Blog

W tym dziale znajdą Państwo artykuły prawne pisane przez nasz zespół

RODO – ważne wytyczne dotyczące zgody

RODO – ważne wytyczne dotyczące zgody

  • 23 stycznia 2019
  • Kancelaria JHC

RODO, czyli ogólne rozporządzenie o ochronie danych osobowych posługuje się pojęciem zgody, którą osoba, której dane dotyczą, musi wyrazić, aby administratorzy danych osobowych mogli zgodnie z prawem dokonywać przetwarzania danych.

Wyjaśnienie tego pojęcia znajdziemy w art. 4 pkt 11 RODO, zgodnie z którym termin zgoda należy rozumieć jako „dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”.

Z powyższej definicji wynika, iż aby zgoda była uznana za ważną, musi ona zawierać określone elementy.

  1. Dobrowolność

 Zgoda powinna być wyrażona dobrowolnie, czyli musi stanowić rzeczywistą możliwość dokonania wyboru przez osobę, której dane mają być przetwarzane. Chodzi o takie wyrażenie zgody, które nie powoduje negatywnych konsekwencji wobec osoby, której dane dotyczą oraz nie prowadzi do sytuacji, w której osoba wyrażająca zgodę czuje się zmuszona do jej udzielenia.

W przypadku dobrowolności wyrażenia zgody może dojść do sytuacji, gdy administratorem danych będzie organ publiczny lub pracodawca. W takiej sytuacji może wystąpić brak równowagi sił, czyli brak realnej szansy na udzielenie zgody bez presji, obaw lub innych negatywnych korzyści.

Zgoda będzie ważna wyłącznie wtedy, gdy osoba jej udzielająca będzie miała możliwość złożenia swobodnego oświadczenia woli, bez wystąpienia elementu przymusu bądź presji, a administrator, czy to pracodawca, czy też organ publiczny, będzie w stanie wykazać, iż jest to zgoda wyrażona w sposób dobrowolny.

  1. Konkretność

Zgoda wyrażona przez osobę, której dane dotyczą, musi zawierać cel, dla którego zgoda jest wymagana. Osoba udzielająca zgody powinna być konkretnie i wyraźnie poinformowana o celu przetwarzania jej danych osobowych.

Warto zaznaczyć, iż przepisy RODO pozwalają na wyrażenie zgody w jednym lub większej liczbie określonych celów. Jednak osoba udzielająca zgody musi być poinformowana w jakich konkretnie celach jej dane będą przetwarzane.

Istotne w przypadku elementu konkretności jest to, że w przypadku gdy administrator chciałby przetwarzać dane w nowym celu, wcześniej nieskonkretyzowanym, zobowiązany jest do uzyskania dodatkowej zgody na ten inny cel.

  1. Świadomość

 W RODO wskazano także wymóg, aby zgoda była wyrażona w sposób świadomy. Oznacza to, iż osobie udzielającej zgody powinny być dostarczone informacje dotyczące tego w jakim celu wyraża zgodę, jakie dane będą gromadzone i przetwarzane, dane dotyczące tożsamości administratora oraz informacja o przysługującym jej prawie wycofania zgody.

Podanie tych informacji umożliwi osobie udzielającej zgody podjęcie decyzji, czyli osoba taka będzie w pełni świadoma na co wyraża zgodę i jakie prawa jej przysługują. Jeżeli administratorzy nie przekażą takich informacji, wówczas będzie to skutkowało nieważnością zgody i naruszeniem przepisów RODO.

Przekazanie informacji przez administratorów może nastąpić w formie pisemnej, ustnej, wiadomości dźwiękowej lub wideo. Istotne jest to, iż administratorzy mają obowiązek używania jasnego i prostego języka w każdym przypadku, tak aby informacje były zrozumiałe dla przeciętnego człowieka.

Osoby, których dane dotyczą, powinny w łatwy i przystępny sposób otrzymać informacje odnośnie celu przetwarzania danych oraz powinny bez przeszkód zrozumieć na co wyrażają zgodę oraz kto będzie administratorem ich danych.

  1. Jednoznaczne oświadczenie woli

 Zgoda powinna być wyrażona poprzez aktywne działanie lub oświadczenie osoby, której dane mają być przetwarzane. Nie może budzić wątpliwości fakt udzielenia przez osobę, której dane dotyczą, zgody na przetwarzanie danych osobowych. Osoba, której dane mają być przetwarzane musi podjąć określone działanie, mające na celu wyrażenie zgody na przetwarzanie danych.

Administratorzy mogą uzyskać zgodę w różnej formie: pisemnej, ustnej lub elektronicznej. Milczenie lub niepodjęcie działania nie może być traktowane jako wyrażenie zgody. Niezależnie od formy w jakiej zgoda została udzielona, administrator ma obowiązek uzyskać zgodę przed rozpoczęciem przetwarzania danych osobowych.

Wykazanie zgody

RODO nakłada na administratorów obowiązek wykazania, iż dana osoba wyraziła zgodę na przetwarzanie danych. To administratorzy muszą być w stanie udowodnić, że ważna zgoda została udzielona. W celu wykazania faktu udzielenia ważnej zgody, administratorzy mogą prowadzić rejestry uzyskanych oświadczeń o wyrażeniu zgody, które umożliwią wykazanie sposobu, czasu oraz zakresu wyrażenia zgody.

 Jak wycofać zgodę?

Jak już wcześniej zostało wspomniane administratorzy powinni poinformować osobę, której dane dotyczą o możliwości wycofania zgody. RODO stawia wymóg, aby wycofanie zgody było tak samo łatwe jak jej udzielenie. Nie oznacza to jednak, iż wyrażenie i wycofanie zgody musi odbyć się w ten sam sposób.

Administratorzy powinni zapewnić osobie udzielającej zgody wycofanie jej w sposób bezpłatny i niepowodujący ponoszenia przez nią negatywnych konsekwencji. W praktyce oznacza to, iż jeżeli zgoda została wyrażona drogą elektroniczną poprzez kliknięcie klawisza, to wycofanie tak udzielonej zgody powinno być równie proste.

Wycofanie zgody powoduje, iż administratorzy zobowiązani są do zaprzestania przetwarzania danych, a w przypadku gdy nie posiadają innej zgodnej z prawem podstawy przetwarzania powinni te dane usunąć.

Czy zgoda wyrażona przez dziecko jest zgodna z prawem?

RODO stanowi, iż w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, przetwarzanie danych osobowych dziecka na podstawie zgody, możliwe jest wyłącznie w przypadku dziecka, które ukończyło 16 lat. Jeżeli dziecko nie osiągnęło takiego wieku to przetwarzanie jego danych możliwe jest wyłącznie w przypadku wyrażenia zgody przez osobę sprawującą nad nim władzę rodzicielską lub opiekę. RODO daje państwom członkowskim możliwość określenia innej granicy wieku, jednak nie niższej niż 13 lat.

W przypadku wyrażenia zgody przez dziecko, administratorzy zobowiązani są do przekazania im informacji dotyczących celu przetwarzania danych w sposób jasny i zrozumiały dla dzieci, tak aby dziecko było świadome jaki zamiar ma administrator. Wymóg ten nie jest konieczny jeżeli zgody w imieniu dziecka udziela jego rodzic lub opiekun prawny. W takiej sytuacji informacje muszą zostać przekazane w sposób umożliwiający osobie dorosłej świadome podjęcie decyzji.

Administratorzy zobowiązani są również do weryfikacji, czy osoba udzielająca zgody osiągnęła wymagany wiek lub czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem jest uprawniona do podjęcia takich czynności. Administrator w tym celu może podjąć czynności kontrolne zmierzające do ustalenia wieku dziecka (prośba o podanie roku urodzenia lub wypełnienie formularza oświadczającego osiągnięcie wymaganego wieku), a w przypadku weryfikacji osób uprawnionych do wyrażenia zgody administratorzy zazwyczaj proszą o weryfikację poprzez pocztę elektroniczną.

Czy zgoda wyrażona przed wejściem w życie RODO jest ważna?

Administratorzy, którzy przetwarzają dane osobowe w oparciu o poprzednio obowiązujące przepisy o ochronie danych osobowych, po wejściu w życie RODO nie muszą uzyskiwać „nowej” zgody, jeżeli uprzednio wyrażona zgoda jest zgodna z warunkami określonymi w RODO. W sytuacji gdy zgoda nie spełnia wymogów określonych w RODO, wówczas administrator zobowiązany jest do podjęcia czynności mających na celu doprowadzenie do zgodności z przepisami RODO, poprzez np. odnowienie zgody.

Tagi: , , , ,