Zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Cechy wyrażonej zgody

Według GDPR przez zgodę na przetwarzanie danych osobowych, osoby której dane dotyczą należy rozumieć dobrowolne, konkretne, świadome i jednoznaczne.

Dobrowolność zgody

Wyrażenie zgody nie będzie uznane za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych dla niej konsekwencji. I tak, zgoda nie będzie stanowić ważnej podstawy prawnej przetwarzania danych osobowych gdy:

1) istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a ADO, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie;

2) nie można zgody wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne,

3) od wyrażenia zgody (np. na marketing lub udostępnienie) uzależnione jest wykonanie umowy.

Jak wskazuje motyw 43 GDPR aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach. Oznacza to, że administrator danych, będący pracodawcą, organem publicznym, czy też stroną umowy, będzie musiał legitymować się inną przesłanką legalności przetwarzania danych niż zgoda osoby, której dane dotyczą. Takie podejście znamy już z przepisów uodo aktualnie obowiązującej.

Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna.

Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.

Konkretność zgody

Zgoda powinna być udzielona na każdy z poszczególnych celów. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele.

Jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Część takiego oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie niniejszego rozporządzenia nie jest wiążąca.

W momencie zbierania danych często nie da się w pełni zidentyfikować celu przetwarzania danych osobowych na potrzeby badań naukowych. Dlatego osoby, których dane dotyczą, powinny móc wyrazić zgodę na niektóre obszary badań naukowych, o ile badania te są zgodne z uznanymi normami etycznymi w zakresie badań naukowych. Osoby, których dane dotyczą, powinny móc wyrazić zgodę tylko na niektóre obszary badań lub elementy projektów badawczych, o ile umożliwia to zamierzony cel.

Świadomość zgody

Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych.

W szczególności w przypadku pisemnego oświadczenia składanego w innej sprawie muszą istnieć gwarancje, że osoba, której dane dotyczą, jest świadoma wyrażenia zgody oraz jej zakresu, np. w przypadku zgody na marketing podmiotów trzecich lub zgody na udostępnianie danych podmiotom, które nie są stroną danej umowy.

Jednoznaczność zgody

Zgoda wyrażana jest poprzez jednoznaczne stwierdzenie lub działanie, iż przyzwala na przetwarzanie swoich danych osobowych przez dany podmiot / osobę, w danym celu.

Ustawodawca unijny podpowiada nam między innymi w motywie 32 preambuły GDPR, że zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia.

Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody.

Forma udzielenia zgody

Zgoda może być odebrana od osoby, której dane dotyczą w formie:

1) oświadczenia-  w tym zakresie nowa definicja zgody jest podobna  do definicji zgody znanej nam z przepisów uodo, a dotychczasowe orzecznictwo GIODO i sądów administracyjnych ukształtowało jej rozumienie

2) wyraźnego działania potwierdzającego przyzwolenie na przetwarzanie dotyczących jej danych osobowych (wyraźnego działania tej osoby)- jest to pojęcie nowe, w początkowej fazie stosowania przepisów GDPR wiele podmiotów może interpretować ten przepis w sposób mniej restrykcyjny niż prawdopodobnie będzie to czynił GIODO.

Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.

Ponadto, oświadczenie o wyrażeniu zgody przygotowane przez ADO musi mieć zrozumiałą i łatwo dostępną formę, być sformułowane jasnym i prostym językiem i nie może zawierać nieuczciwych warunków[i].

[1] Dyrektywa Rady 93/13/EWG z dnia 5 kwietnia 1993 r. w sprawie nieuczciwych warunków w umowach konsumenckich (Dz.U. L 95, 21.4.1993, s. 29)

Ciężar dowodu co do udzielenia zgody

Jeśli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, ADO musi być w stanie udowodnić, że osoba ta wyraziła zgodę na operację przetwarzania.

Administrator danych bowiem musi liczyć się z sytuacją, w której będzie musiał wylegitymować się podstawą prawną przetwarzania danych (przesłanką legalności) przed osobą, której dane dotyczą lub przed organem.

GDPR nie wskazuje nam konkretnego rozwiązania, w jaki sposób mamy taką zgodę odbierać. Jednakże to administrator danych poniesie odpowiedzialność, jeśli taką zgodę odbierze w sposób niewłaściwy, bądź nie będzie wstanie udokumentować faktu jej odebrania. Oznaczać to będzie naruszenie przepisów GDPR, za co ustawodawca unijny przewidział dotkliwe kary finansowe.

Ustawodawca nie wskazuje, że taka zgoda musi być udzielona w formie pisemnej. Pamiętać jednak należy, że warto odebrać taką zgodę na piśmie lub w innej formie, umożliwiającej udokumentowanie faktu pozyskania zgody od osoby, której dane dotyczą (np. w formie pisemnej, nagrania rozmowy, odczytu z serwisu wskazującego odznaczenie przez osobę klauzuli o wyrażeniu zgody itp.). Takie działanie ma cel dowodowy.

Warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego

Szczególnej ochrony danych osobowych wymagają dzieci, gdyż mogą one być mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych. Taka szczególna ochrona powinna mieć zastosowanie przede wszystkim do wykorzystywania danych osobowych dzieci do celów marketingowych lub do tworzenia profili osobowych lub profili użytkownika oraz do zbierania danych osobowych dotyczących dzieci, gdy korzystają one z usług skierowanych bezpośrednio do nich.

Jeżeli, w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Państwa członkowskie mogą przewidzieć w swoim prawie niższą granicę wiekową, która musi wynosić co najmniej 13 lat.

Zgoda osoby sprawującej władzę rodzicielską lub opiekę nie powinna być konieczna w przypadku usług profilaktycznych lub doradczych oferowanych bezpośrednio dziecku.

Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody. Tak więc, korzystanie z portali społecznościowych i usług internetowych przez dzieci poniżej 16 roku życia będzie możliwe dopiero po wyrażeniu lub zaaprobowaniu takiej zgody przez rodziców albo opiekunów prawnych.

W takich przypadkach administrator, uwzględniając dostępną technologię, podejmuje rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała.

Rozporządzenie wpływa na ogólne przepisy prawa umów państw członkowskich, takie jak przepisy o ważności, zawieraniu lub skutkach umowy wobec dziecka.

Wycofanie zgody

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę.

Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.

Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę.

Wycofanie zgody musi być równie łatwe jak jej wyrażenie.

Porównanie przepisów UODO/GDPR

W dotychczas obowiązujących przepisach uodo zgoda na przetwarzanie danych osobowych, osoby, której dane dotyczą, definiowana jest jako oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie (art. 7 pkt 5 ustawy).

Przewidziane w GDPR wymogi, są mniej restrykcyjne niż w polskiej ustawie. W wyniku stosowania GDPR, przyjmowanie dotychczasowego rozumienia wyrażenia zgody, nie będzie już możliwe.

Related Post