14 marca 2022

Wyrażenie zgody a spełnienie obowiązku informacyjnego

Udostępnij

W 1997 r. zaczęły obowiązywać przepisy ustawy o ochronie danych osobowych[1]. Ten akt prawny przez ponad 20 lat regulował zagadnienia związane z ochroną danych osobowych – zapewniał stosowanie Dyrektywy 95/46/WE[2]. Od maja 2018 r. kwestie te co do zasady podlegają pod przepisy RODO[3].

Przez okres obowiązywania ustawy z 1997 r. utrwaliło się kilka swego rodzaju „mitów” związanych z przetwarzaniem danych osobowych. Niestety, szum informacyjny towarzyszący rozpoczęciu obowiązywania przepisów RODO, w tym w szczególności wizja olbrzymich kar finansowych grożących rzekomo za najdrobniejsze przewinienia w tym obszarze, nie sprzyjał merytorycznej dyskusji i wyjaśnieniu często nie aż tak skomplikowanych zagadnień, jakby się to mogło wydawać na pierwszy rzut oka. Jednym ze wspomnianych „mitów” jest konieczność uzyskania zgody na przetwarzanie danych osobowych w zasadzie w każdej sytuacji.

Przekonanie, że jest to niezbędne, można zaobserwować zarówno wśród osób, których dane są przetwarzane (których dane dotyczą), jak i wśród administratorów, czyli podmiotów, które decydują o celach i sposobach przetwarzania danych oraz są odpowiedzialne za robienie tego zgodnie z prawem (np. przedsiębiorcy). W pierwszym przypadku można niekiedy usłyszeć: „nie wyraziłem zgody na przetwarzanie moich danych osobowych więc jakim prawem to robicie?” Z drugiej strony administratorzy, mając zresztą często jak najlepsze zamiary, zbierają niekiedy podpisy pod oświadczeniami o treści: „składając zamówienie wyrażam zgodę na przetwarzanie moich danych osobowych celem realizacji niniejszego zamówienia”. Inny przypadek to informacja w stylu: „wyrażenie zgody na przetwarzanie danych jest dobrowolne, ale niezbędne do przeprowadzenia procesu rekrutacji na stanowisko…”.

Zgoda jako podstawa przetwarzania danych osobowych

Czym zatem jest zgoda w RODO, w jaki sposób prawidłowo ją uzyskać i jakie są tego konsekwencje? W treści art. 6 ust. 1 RODO zostało wskazanych sześć równoprawnych i autonomicznych podstaw przetwarzania danych osobowych. Trzeba zaznaczyć, że chodzi tutaj o tzw. dane zwykłe, które należy odróżnić od szczególnych kategorii danych (czasem nadal można spotkać określenie „dane wrażliwe” lub „dane sensytywne”), o których jest mowa w art. 9 ust. 1 RODO. Równoprawność oznacza, że żadna z podstaw nie jest lepsza od pozostałych, zaś autonomiczność powoduje, że operacje przetwarzania danych można całkowicie oprzeć na jednej przesłance. Zgoda, która została wymieniona w art. 6 ust. 1 lit. a) RODO, jest zatem jedną z sześciu przesłanek legalnego przetwarzania danych osobowych. Pozostałe podstawy to:

„b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą (…)”.

Dodatkowo wskazano przy tym, że państwa członkowskie mogą zachować lub wprowadzić bardziej szczegółowe przepisy, aby dostosować stosowanie przepisów RODO w odniesieniu do przesłanek wskazanych w ust. 1 lit. c) i e).

Fakt, iż zgoda została wymieniona w pierwszej kolejności, nie oznacza, że unijny prawodawca wskazał ją jako podstawę w jakikolwiek sposób preferowaną.  

Treść art. 4 pkt 11 RODO przesądza, iż zgoda oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Co w praktyce kryje się za tą definicją?

Dobrowolność jest rzeczywistą i wolną od wszelkich form przymusu lub nacisku możliwością dokonania wyboru udzielenia, odmowy udzielenia lub cofnięcia zgody na późniejszym etapie przetwarzania danych osobowych. Według specjalistów z Grupy Roboczej art. 29[4], zgoda nie będzie dobrowolna np. w sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem. Jako przykład nierównowagi wskazano relację pracodawca-pracownik. I chociaż Grupa art. 29 ostatecznie nie wykluczyła możliwości udzielenia zgody na przetwarzanie danych przez pracownika, jednak eksperci zaznaczyli, że może on to uczynić wyłącznie wtedy, gdy jest to całkowicie dobrowolne. W tym miejscu warto jednak zauważyć, że we wskazanej relacji wykazanie „całkowitej dobrowolności” może stanowić pewnego rodzaju kłopot w kontekście ewentualnej kontroli organu nadzorczego, czyli Prezesa Urzędu Ochrony Danych Osobowych, i konieczności wykazania, że zgoda faktycznie została uzyskana we właściwy sposób, czyli m. in. została udzielona dobrowolnie. W tym kontekście szczególnie należy unikać wskazanych już określeń typu „dobrowolna, ale niezbędna”. Niezbędność wyklucza bowiem dobrowolność i odwrotnie.

Jednoznaczność sprowadza się do tego, że osoba fizyczna, która udziela zgody administratorowi, robi to przez złożenie oświadczenia woli lub wyraźne działanie potwierdzające, które nie budzą żadnych wątpliwości co do celu wyrażenia zgody na przetwarzanie danych osobowych. W pierwszej chwili brzmi to nieco zawile, ale w praktyce chodzi o złożenie podpisu, kliknięcie odpowiedniego okienka, wysłanie potwierdzającego e-maila, odpisanie na smsa lub przekazanie w inny sposób komunikatu, a także wypowiedzenie „zgadzam się”, kliknięcie w przycisk „zgadzam się”, a nawet wykonanie stosownego ruchu smartfonem.

Konkretność jest jasnym określeniem, jaki jest cel i zakres przetwarzania danych osobowych przez administratora w kontekście odebranej zgody. Chodzi tu zatem o zrozumiałość, wyraźność i precyzyjność komunikatu.

Grupa art. 29 zauważyła przy tym, że zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Motyw 32 RODO informuje bowiem, że jeżeli przetwarzanie ma służyć różnym celom, potrzebna jest zgoda na każdy z tych celów. Związane to jest także z realizacją zasady ograniczonego celu z art. 5 ust. 1 lit. b RODO, zgodnie z którą dane muszą być „zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.”

Świadomość jest natomiast związana z przejrzystością informacji dotyczącej działań wpisujących się w proces przetwarzania danych osobowych. Informacje te należy przekazać zainteresowanej osobie przed odebraniem od niej zgody. Grupa art. 29 wskazuje tutaj, że istotnym czynnikiem mogącym wpływać na stan świadomości podmiotu danych, jest realizacja obowiązku informacyjnego, dzięki któremu osoba może poznać okoliczności przetwarzania i podjąć decyzję w kwestii zgody, zdając sobie sprawę z następstw wyrażenia zgody.

Na jakie rzeczy należy zwrócić uwagę, jeżeli przetwarzanie danych osobowych opiera się na przesłance zgody?

Po pierwsze, wspomniana wcześniej cecha dobrowolności oznacza, że zgoda na przetwarzanie danych może być w każdym momencie cofnięta (art. 7 ust. 3 RODO), a to oznacza, że administrator od tego momentu nie może już przetwarzać danych osobowych na tej podstawie. Jest to zatem – wbrew pozorom – przesłanka bardzo niepewna i uzależniona od dobrej woli osoby, której dane są przetwarzane. Możliwość odwołania zgody oznacza też to, że uczynienie tego powinno być równie proste, jak wyrażenie zgody.

Po drugie, wyraźne działanie potwierdzające musi być nieodzownie związane z aktywnością osoby, której dane są przetwarzane. Pod żadnym pozorem za takie działanie nie będzie uznane domyślne zaznaczenie zgód, brak wyrażenia sprzeciwu osoby, której dane są przetwarzane, jej bierność, czyli niepodejmowanie działań, ani tym bardziej wkomponowanie klauzuli udzielenia zgody na dalsze przetwarzanie w treść umowy, formularza zamówieniowego czy formularza rekrutacyjnego.

Po trzecie, odbierając zgodę na przetwarzanie danych, administrator (przedsiębiorca) powinien wskazać cel przetwarzania danych. Absolutnie niedopuszczalne jest zbieranie danych bo „może kiedyś do czegoś będą potrzebne”.

Po czwarte, zgodę należy uzyskać, zanim dojdzie do przetwarzania danych osobowych na jej podstawie. Nie można zatem wystąpić o zgodę „po drodze”.

Po piąte, eksperci z obszaru ochrony danych osobowych podkreślają, że jeżeli przetwarzanie można oprzeć o inną przesłankę legalizacyjną, zbieranie zgód jest wręcz niedopuszczalne[5].  A takie sytuacje zdarzają się i to całkiem często.

Jednym z przykładów jest zbieranie podczas procesu rekrutacyjnego zgód na przetwarzanie takich informacji o kandydacie jak imię (imiona) i nazwisko, data urodzenia, dane kontaktowe wskazane przez kandydata, wykształcenie, kwalifikacje zawodowe oraz przebieg dotychczasowego zatrudnienia. Jest to błąd – zgodnie z art. 221 §  1 ustawy Kodeksu pracy pracodawca żąda od kandydatów do pracy podania mu wskazanych w tym przepisie danych osobowych[6]. Określenie „żąda podania” oznacza, że podstawą legalnego przetwarzania będzie nie zgoda, ale niezbędność wypełnienia obowiązku prawnego ciążącego na administratorze (czyli art. 6 ust. 1 lit. c) RODO). Uwaga! Na podstawie zgody w procesie rekrutacyjnym można natomiast zbierać inne dane osobowe kandydata niż te, wskazane w Kodeksie pracy (np. hobby, zainteresowania itd.).

Inny przykład to przypadek zbierania zgody celem dostarczenia zakupionego towaru. Tutaj  właściwą podstawą przetwarzania będzie niezbędność do wykonania umowy, której stroną jest osoba, której dane dotyczą (klient). Uwaga! Administrator (np. przedsiębiorca) może przy okazji realizacji zamówienia poprosić klienta o wyrażenie zgody na działania marketingowe w przyszłości, jednak nie może uzależnić realizacji dostawy od uzyskania tej zgody. 

Podsumowując ten fragment warto też zauważyć, że osoby, których dane dotyczą, również nie zawsze prawidłowo rozumieją kwestię wyrażania zgody. Zdarza się, że składają do organu nadzorczego skargę, kiedy kontakt nawiązuje z nimi np. firma windykacyjna. Powodem skargi jest przetwarzanie danych bez uzyskania zgody osoby, której dane są przetwarzane. Jak jednak wskazuje Prezes UODO „przy dochodzeniu roszczeń jedną z przesłanek dopuszczalności przetwarzania danych osobowych, w tym ich udostępniania, jest realizacja prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, określoną w art. 6 ust. 1 lit. f ogólnego rozporządzenia o ochronie danych, czyli RODO. Tym prawnie usprawiedliwionym celem może być m.in. dochodzenie roszczeń z tytułu prowadzonej przez administratora danych działalności gospodarczej. Przetwarzanie danych w takim przypadku jest prawnie dopuszczalne i nie jest do tego potrzebna zgoda osoby, której dane dotyczą”[7]. Podobnie wygląda sprawa przy stosowaniu monitoringu wizyjnego w miejscu pracy – tu także zastosowanie znajdzie art. 6 ust. 1 lit. f RODO[8]

Obowiązek informacyjny to nie zgoda

Zgoda bywa też niekiedy mylona ze spełnieniem obowiązku informacyjnego. W okresie, kiedy zaczynały obowiązywać przepisy RODO, skrócony obowiązek informacyjny (tzw. pierwsza warstwa obowiązku) często zastępował zgodę i być może to z tego bierze się mieszanie tych dwóch, jakże jednak różnych od siebie kwestii.

W przeciwieństwie do zgody, która jest jedną z podstaw legalnego przetwarzania danych osobowych, obowiązek informacyjny jest jednym z obowiązków administratora (np. przedsiębiorcy), które musi on spełnić wobec osób, których dane przetwarza. Jeżeli zatem dane osobowe są zbierane bezpośrednio od osoby, której dane dotyczą, zgodnie z art. 13 RODO administrator na początku przekazuje następujące informacje.

Po pierwsze, administrator powinien podać swoją tożsamość oraz dane kontaktowe, czyli np. nazwa firmy, ogólnodostępny adres e-mail, telefon kontaktowy, adres do kontaktu.

Po drugie, administrator powinien wskazać cele przetwarzania danych osobowych. Te są uzależnione od profilu działalności administratora. Może chodzić np. o założenia konta (profilu) w sklepie, składanie i realizację zamówień, wysyłkę towaru oraz ewentualnie obsługę złożonej przez klienta reklamację. 

Po trzecie, administrator powinien również poinformować osobę, której dane pozyskuje, o przysługujących jej prawach do:

  1. żądania dostępu do danych osobowych;
  2. sprostowania danych osobowych;
  3. usunięcia lub ograniczenia przetwarzania danych osobowych, o ile to jest możliwe w danym przypadku;
  4. wniesienia sprzeciwu wobec przetwarzania;
  5. przenoszenia danych, o ile to jest możliwe w danym przypadku;
  6. wniesienia skargi do organu nadzorczego, czyli Prezesa Urzędu Ochrony Danych Osobowych.

Inne informacje, które należy podać w obowiązkach informacyjnych, powinny być dostosowane do konkretnego celu przetwarzania danych osobowych. 

Podstawa prawna – w przypadku danych zwykłych administrator powinien poinformować, na której ze wskazanych wcześniej przesłanek przetwarza dane osobowe. Może to być zatem zgoda osoby, której dane dotyczą (np. przekazanie danych klienta partnerom biznesowym sprzedawcy), wykonanie umowy lub podjęcie działań przed zawarciem umowy (np. kontaktowanie się w związku z realizacją zamówienia), wykonanie obowiązku prawnego (np. przekazanie danych pracownika do ZUS) lub prawnie uzasadniony interes (np. marketing bezpośredni, co szczególnie warto podkreślić, przy jednoczesnym pamiętaniu o możliwości wniesienia sprzeciwu wobec dalszego przetwarzania, jeżeli osoba, której dane są przetwarzane, nie życzy sobie kontaktów w takim celu[9].

Inspektor Ochrony Danych (IOD) – administrator powinien wskazać dane IOD, o ile powołał kogoś na takie stanowisko.  Podanie imienia i nazwiska inspektora ochrony danych na stronie internetowej podmiotu, który wyznaczył inspektora, jest obowiązkowe i wynika wprost z przepisów prawa. Zgodnie z art. 37 ust. 7 RODO, administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych. Sposób realizacji tego obowiązku doprecyzowany został w art. 11 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. W przepisie tym wskazano, że podmiot, który wyznaczył inspektora, udostępnia dane inspektora w zakresie: imię i nazwisko oraz adres poczty elektronicznej lub nr telefonu inspektora, niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej, a jeżeli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności.

Jeżeli podstawą prawną przetwarzania danych osobowych jest zgoda, to w obowiązku informacyjnym należy umieścić wiadomość o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.

Odbiorcy danych lub kategorie odbiorców – administrator powinien podać kategorie podmiotów, którym dane mogą być przekazywane (np. partnerzy firmy, firmy kurierskie, podmioty obsługujące płatności elektroniczne itd.).

Przekazywanie danych do państw poza Europejskim Obszarem Gospodarczym (EOG) lub do organizacji międzynarodowej – administrator powinien umieścić odpowiednią informację o tym procesie. Na tę kwestię należy zwrócić szczególną uwagę w kontekście korzystania z usług firm zapewniających np. możliwość odbycia telekonferencji.

Retencja danych – administrator powinien również poinformować osobę, której dane osobowe zamierza przetwarzać, jak długo dane osobowe będą przechowywane. Jeżeli ustalenie konkretnej daty jest niemożliwe, to administrator powinien poinformować, jakie są kryteria ustalania tego okresu. Kryteria te mogą być związane np. z wypełnieniem obowiązku prawnego.

Wymóg ustawowy lub umowny lub warunek zawarcia umowy – administrator musi poinformować, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy, a także to czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.

Profilowanie – w obowiązku informacyjnym powinny się również znaleźć informacje o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu – oczywiście o ile administrator będzie prowadził takie działania na danych osobowych. W tym kontekście warto szczególnie pamiętać o tym, że w swojej decyzji Prezes UODO stwierdził, że korzystanie z plików cookie może wiązać się z przetwarzaniem danych osobowych. W takiej sytuacji należy pamiętać o wymogach, które administratorom stawia RODO[10].

Treść artykułu nie wyczerpuje wszystkich zagadnień związanych z tematem zgody na gruncie przepisów RODO. Jak zostało wspomniane, wyraźna zgoda może być także podstawą do przetwarzania szczególnej kategorii danych osobowych. Jeszcze inną sprawą jest kwestia warunków wyrażenia zgody przez dziecko w przypadku świadczenia usług społeczeństwa informacyjnego, o których jest mowa w art. 8 RODO. Podobnie jest z obowiązkiem informacyjnym – nieco inaczej kształtuje się on wtedy, kiedy administrator pozyskuje dane od innego podmiotu niż osoba, której dane dotyczą (art. 14 RODO). Intencją artykułu było natomiast podkreślenie, że zgoda na przetwarzanie danych i spełnienie obowiązku informacyjnego to dwie całkiem różne rzeczy, które stosuje się w odmiennych sytuacjach. Nie dla wszystkich jest to oczywiste.

Dlatego jeżeli prowadzisz firmę lub zastanawiasz się nad rozpoczęciem działalności gospodarczej i masz pytania lub wątpliwości dotyczące ochrony danych osobowych to już dziś skontaktuj się z ośrodkiem sieci Enterprise Europe Network (EEN) przy Polskiej Agencji Rozwoju Przedsiębiorczości (PARP). Postaramy się rozwiać wszystkie wątpliwości.

Zapraszamy do kontaktu


Przypisy:

[1] Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 1997 nr 133 poz. 883)

[2] DYREKTYWA 95/46/WE PARLAMENTU EUROPEJSKIEGO I RADY z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U.UE.L.1995.281.31)

[3] ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie  swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

[4] Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, zwana dalej Grupą Roboczą, powołana została na mocy art. 29 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych jako niezależny podmiot o charakterze doradczym. Grupa ta została rozwiązana 25 maja 2018 r., a w jej miejsce została powołana Europejska Rada Ochrony Danych. W skład Grupy Roboczej wchodzili przedstawiciele organu lub organów nadzorczych, powołanych przez każde Państwo Członkowskie, przedstawiciel organu lub organów ustanowionych dla instytucji i organów wspólnotowych oraz przedstawiciel Komisji. Każdy członek grupy roboczej był powoływany przez instytucję, organ lub organy, które reprezentował. W przypadku, gdyby Państwo Członkowskie powołało więcej niż jeden organ nadzorczy, organy te wyznaczały wspólnego przedstawiciela zasiadającego w Grupie Roboczej. Powyższa zasada dotyczy również organów utworzonych przez instytucje i organy wspólnotowe. Polska w Grupie Roboczej była reprezentowana przez Generalnego Inspektora Ochrony Danych Osobowych.

[5] W. Chomiczewski  [w:] „RODO. Ogólne rozporządzenie o ochronie danych. Komentarz”, red. E. Bielak-Jomaa, D. Lubasz, Warszawa 2017, s. 422

[6] Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (t.j. Dz. U. z 2020 r. poz. 1320 z późn. zm.).

[7] https://uodo.gov.pl/pl/138/1263

[8] https://uodo.gov.pl/pl/225/2017

[9] https://uodo.gov.pl/pl/138/1297

[10] Decyzja z dnia 7 października 2021 r., znak: ZSPR.440.331.2019.PR.PAM

Zobacz więcej podobnych artykułów