Rozporządzenie zmienia w wielu aspektach podejście do ochrony danych osobowych osób fizycznych. W przypadku niektórych pojęć jak np. zgody na przetwarzanie danych osobowych osoby, której dane dotyczą, GDPR wprowadza jedynie nieznaczną zmianę. Warto jednak pamiętać o zmianach, nawet tych drobnych.

Pojęcie zgody według GDPR

Według GDPR przez zgodę na przetwarzanie danych osobowych osoby, której dane dotyczą należy rozumieć dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego przyzwala na przetwarzanie dotyczących jej danych osobowych (art. 4 pkt 11 GDPR).

Z definicji tej wynika, że zgoda może być odebrana od osoby, której dane dotyczą w formie:

  • oświadczenia,
  • wyraźnego działania tej osoby.

Jak interpretować te formy?

Jeśli chodzi o pierwszą formę odebrania zgody na przetwarzanie danych osobowych od osoby, której dane dotyczą, to nie budzi ona zbyt wielu wątpliwości w mojej ocenie. W tym zakresie nowa definicja zgody jest podobna do definicji zgody znanej nam z przepisów uodo, a dotychczasowe orzecznictwo GIODO i sądów administracyjnych ukształtowało jej rozumienie. Jednak dodanie przez ustawodawcę w definicji zgody wyrażenia, że osoba wyraża zgodę poprzez „wyraźne działanie potwierdzające przyzwolenie na przetwarzanie dotyczących jej danych osobowych” może powodować problemy z jej interpretacją. W początkowej fazie stosowania przepisów GDPR wiele podmiotów może interpretować ten przepis w sposób mniej restrykcyjny niż prawdopodobnie będzie to czynił GIODO.

 Forma wyraźnego działania osoby

Ustawodawca unijny podpowiada nam między innymi w motywie 32 preambuły GDPR, że zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.

Dobrowolność zgody

W przypadku odbierania zgody na gruncie GDPR należy pamiętać o dobrowolności udzielanej zgody. Jak wskazuje motyw 43 preambuły GDPR: aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach. Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna.

Oznacza to, że administrator danych będący pracodawcą, organem publicznym, czy też stroną umowy, będzie musiał legitymować się inną przesłanką legalności przetwarzania danych niż zgoda osoby, której dane dotyczą. Takie podejście znamy już z przepisów uodo aktualnie obowiązującej.

Pojęcie zgody według uodo

W dotychczas obowiązujących przepisach uodo zgoda na przetwarzanie danych osobowych osoby, której dane dotyczą, definiowana jest jako oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie (art. 7 pkt 5 ustawy).

Porównanie definicji

Z obu definicji wynika, że osoba udzielająca zgody musi być tego świadoma. Musi ona też dokonać tego dobrowolnie, w sposób konkretny, poprzez jednoznaczne stwierdzenie (po nowemu również działanie), iż przyzwala na przetwarzanie swoich danych osobowych przez dany podmiot/osobę, w danym celu. W obu przypadkach ustawodawca nie wskazuje, że taka zgoda musi być udzielona w formie pisemnej[1].

Zalety formy pisemnej, dla celów dowodowych

Pamiętać jednak należy, że warto odebrać taką zgodę na piśmie lub w innej formie umożliwiającej udokumentowanie faktu pozyskania zgody od osoby, której dane dotyczą (np. w formie pisemnej, nagrania rozmowy, odczytu z serwisu wskazującego odznaczenie przez osobę klauzuli o wyrażeniu zgody itp.). Takie działanie ma wyłącznie cel dowodowy. Administrator danych bowiem musi liczyć się z sytuacją, w której będzie musiał wylegitymować się podstawą prawną przetwarzania danych (przesłanką legalności) przed osobą, której dane dotyczą lub przed organem.

GDPR nie wskazuje nam konkretnego rozwiązania w jaki sposób mamy taką zgodę odbierać. Jednakże to administrator danych będzie odpowiadał, jeśli taką zgodę odbierze w sposób niewłaściwy, bądź nie będzie w stanie udokumentować faktu jej odebrania.

Brak możliwości domniemania zgody, na podstawie oświadczenia woli dotyczącego innej kwestii

Z dotychczasowego orzecznictwa GIODO czy sądów administracyjnych wiemy też, że zgoda (według przepisów uodo) nie może  zostać domniemana na podstawie oświadczenia woli dotyczącego innej kwestii. Takie oświadczenie woli musi zostać wyodrębnione.[2] W mojej ocenie będzie to również aktualne podejście w przypadku stosowania wykładni przepisów GDPR.

Autor: Olga Zofia

[1] Wyjątkiem aktualnie w uodo jest obowiązek odebrania pisemnej zgody, od osoby, której dane dotyczą, w przypadku przetwarzania jej danych wrażliwych – art. 27 ust. 2 pkt 1.

[2]  Decyzja GIODO z dnia 25 czerwca 2013 r. (DIS/DEC- 689/13/40618)

Related Post

UDOSTĘPNIJ
Poprzedni artykułPrzetwarzanie niewymagające identyfikacji
Następny artykułKto może być DPO?
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.