4 maja 2020r. Europejska Rada Ochrony Danych (EROD) opublikowała Wytyczne 05/2020, w których zawarła nowe rekomendacje dotyczące zgody – przesłanki legalizującej przetwarzanie danych osobowych uregulowanej w art. 6 ust. 1 lit. a RODO. Wytyczne zawarte w dokumencie odnoszą się do znanych już administratorom danych standardów, nie mniej jednak warto odświeżyć sobie wiedzę w tym zakresie.
Poniżej przedstawiamy najważniejsze zasady, o których należy pamiętać decydując się na przetwarzanie danych osobowych na podstawie art. 6 ust.1 lit a RODO.
O czym warto pamiętać ?
- Zgoda została zdefiniowana w art. 4 ust. 11 RODO jako dobrowolne, konkretne, świadome, jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzania dotyczącej jej danych osobowych.
- Każde działanie, które powoduje, że podmiot danych nie ma swobody w wyrażaniu zgody np. poprzez wywieranie na nim presji powoduje, iż zgoda jest nieważna.
Przykład: Aplikacja mobilna do edycji zdjęć prosi użytkowników o włączenie lokalizacji GPS dla korzystania z jej usług. Aplikacja informuje również użytkowników, że wykorzysta zebrane dane do reklamy behawioralnej. Ani geolokalizacja, ani internetowa reklama behawioralna nie są konieczne do korzystania z usługi edycji zdjęć i niewątpliwie są to usługi wykraczające poza świadczenie podstawowej usługi. Ponieważ użytkownicy nie mogą korzystać z aplikacji bez wyrażenia zgody na te cele, zgody nie można uznać za dobrowolną.
- Organy administracji publicznej nie powinny bazować na zgodzie jako podstawie przetwarzania danych osobowych, bowiem widoczny jest tu wyraźny brak równowagi sił pomiędzy podmiotami.
- Podobny brak równowagi pojawia się w kontekście zatrudnienia, dlatego większość operacji przetwarzania danych w relacji pracodawca-pracownik nie powinna opierać się na tej podstawie prawnej.
- „Zgoda za 5 zł” – dopuszczalnym rozwiązaniem jest zbieranie zgód na przetwarzanie danych osobowych w zamian za konkretną korzyść. Aby jednak tak udzielna zgoda spełniała kryterium dobrowolności i swobody, korzyść jaką podmiot danych otrzyma za jej udzielenie, nie powinna być nadmiernie wygórowana a ponadto, osoba udzielająca takiej zgody musi mieć możliwość alternatywnego zachowania.
Przykład: Jeżeli podmiot danych wyrazi zgodę na przetwarzanie danych osobowych w celach marketingowych może kupić bilet na koncert za 15 zł. Jeżeli jednak nie zdecyduje się na wyrażenie takiej zgody może kupić bilet na koncert, ale za 20 zł.
- Zgoda podmiotu danych powinna być udzielana w konkretnym, nieabstrakcyjnym celu. Warto także pamiętać, iż nie możemy zbierać jednej zgody w kliku celach, ponieważ podmiot danych nie ma swobody co do wyboru celu w jakim chce wyrazić zgodę. Zgoda dotyczy zasadniczo jednego zachowania, jednej czynności, jednego projektu.
Przykład: Wyrażam oddzielne zgody na przesyłanie ofert handlowych oraz udostępnienie podanych danych partnerom administratora danych.
- W ocenie EDBP podmiot danych przed wyrażeniem zgody powinien zostać poinformowany o: tożsamości administratora danych, celu przetwarzania danych, zakresie przetwarzanych danych, prawie do wycofania zgody, informacji o wykorzystywaniu danych do zautomatyzowanego podejmowania decyzji zgodnie z art. 22 RODO, a jeśli zgoda dotyczy przekazywania danych do państw trzecich – o możliwych zagrożeniach związanych z przekazywaniem danych do państw trzecich (w przypadku braku decyzji stwierdzającej stopień ochrony oraz odpowiednich zabezpieczeń zgodnie z art. 49 ust. 1 lit. a RODO).
- Zgoda na przetwarzanie danych osobowych powinna być sformułowana jasnym, prostym, zrozumiałym językiem. Należy unikać from nadmiernie rozbudowanych, powoływania się na ustawy, używania prawniczych, często niezrozumiałych sformułowań tzw. żargonu prawniczego.
- Zgoda musi być wyrażona przez podmiot danych zawsze przed rozpoczęciem procesu przetwarzania danych osobowych.
- Zgoda podmiotu danych jest ważna do czasu jej wycofania.
- Zgoda wymaga wyraźnego oświadczenia bądź wyraźnego działania podmiotu danych. Powinno być oczywiste, że podmiot danych wyraził zgodę. Milczenie, brak aktywności podmiotu wcale nie oznacza, że podmiot danych wyraził zgodę.
Przykład: Niewłaściwą praktyką jest umieszczanie na stronie internetowej domyślnie zaznaczonych checkboxów za podmiot danych.
- Zasada rozliczalności wymaga, by administrator danych osobowych mógł udowodnić wyrażenie zgody przez podmiot danych.
Przykład: Realizacja zasady rozliczalności może polegać np. na archiwizowaniu przez administratora danych dokumentu w formie pisemnej, na którym zaznaczone są zgody wraz z podpisem podmiotu danych. W przypadku usług świadczonych w formie elektronicznej dobrą praktyką jest zachowanie maila, w którym podmiot danych wyraża lub potwierdza wyrażenie zgody na przetwarzanie danych osobowych, archiwizowanie logów systemowych czy też utrwalenie rozmowy telefonicznej podczas, której podmiot danych wyraził zgodę,
- Podmiot danych powinien mieć zapewnioną możliwość cofnięcia zgody w taki sam prosty sposób, w jaki została ona wyrażona, przy czym nie musi odbywać się w ten sam sposób. Podmiot danych powinien zostać poinformowany o prawie do wycofania zgody przed jej faktycznym wyrażeniem. Wycofanie zgody powinno być bezpłatne i bez obniżenia jakość świadczonej usługi.
Przykład: Jeżeli klient wyraża zgodę poprzez kliknięcie checkboxa, wycofanie zgody nie powinno odbywać się poprzez odesłanie klienta na infolinię.
- Zgoda, stanowi pierwszą, ale nie najważniejszą przesłankę przetwarzania danych. Administrator danych powinien po nią sięgać wówczas, gdy nie znajduje innej podstawy uzasadniającej przetwarzanie danych osobowych.
- Zgoda jako przesłanka przetwarzania danych nie powinna być zbierana „na zapas”, gdy inna podstawa prawna okaże się niewłaściwa.
W razie pytań, w szczególności dotyczących planowanych rozwiązań wykorzystujących zgody prosimy o kontakt z zespołem JAMANO – rodo@jamano.pl.
Autor: dr Agnieszka Stępień – Banach, prawnik