Łukasz Kulicki
RADCA PRAWNY | PARTNER
Radca prawny, Partner w Kancelarii Linke Kulicki specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.
Opublikowano:
Każde przetwarzanie danych osobowych musi mieć swoją podstawę prawną. Ogólne rozporządzenie o ochronie danych (RODO) przewiduje sześć różnych podstaw prawnych, dzięki którym przetwarzanie danych osobowych jest zgodne z RODO. Jedną z takich podstaw jest zgoda osoby, której dane dotyczą. Jest to najbardziej popularna podstawa i można mieć wrażenie, że jedyna słuszna. Nic bardziej mylnego. Zgoda odpowiada za wiele ważnych procesów przetwarzania danych osobowych, ale na pewno nie za wszystkie.
Zgodność z przetwarzaniem danych na podstawie zgody
Zgodnie z RODO przetwarzanie jest zgodne z prawem m.in. gdy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów (art. 6 ust. 1 lit. a) RODO).
Administrator koniecznie musi być w stanie wykazać, że dana osoba rzeczywiście udzieliła takiej zgody. Co ważne zgoda nie musi być wyrażona w formie pisemnej. Wyrażenie zgody na przetwarzanie danych osobowych musi być świadomym i aktywnym działaniem osoby, której te dane dotyczą. Osoba ta powinna w sposób niebudzący wątpliwości potwierdzić swoją wolę udostępnienia danych osobowych w konkretnym, jasno określonym celu.
Taka zgoda może być wyrażona na różne sposoby. Może to być tradycyjne oświadczenie pisemne, zarówno w formie papierowej jak i elektronicznej, lub oświadczenie ustne. W środowisku cyfrowym może to być na przykład świadome kliknięcie w odpowiednie pole wyboru na stronie internetowej lub dostosowanie specjalnych ustawień w serwisie online. Kluczowe jest to, że zachowanie osoby musi jednoznacznie wskazywać na jej aprobatę dla proponowanego sposobu wykorzystania jej danych.
Ważne jest, że zgoda nie może być domniemana – brak reakcji czy automatycznie zaznaczone pola wyboru nie stanowią prawidłowej formy wyrażenia zgody. Dodatkowo, jeśli dane mają być wykorzystywane w kilku różnych celach, konieczne jest uzyskanie osobnej zgody na każdy z nich.
W przypadku zbierania zgód drogą elektroniczną, proces ten powinien być maksymalnie przyjazny dla użytkownika – zapytanie o zgodę musi być zrozumiałe, krótkie i nie może utrudniać korzystania z danej usługi.
Sprawdź również: Wdrożenie RODO w firmie krok po kroku – od czego zacząć?
Dobrowolność zgody
Koncepcja dobrowolności zgody na przetwarzanie danych osobowych wymaga szczególnej uwagi w sytuacjach, gdzie występuje nierównowaga sił między osobą udostępniającą dane a podmiotem je zbierającym. Zgoda nie może być uznana za faktycznie dobrowolną w dwóch kluczowych przypadkach. Po pierwsze, gdy osoba nie ma możliwości oddzielnego decydowania o różnych sposobach wykorzystania jej danych, mimo że okoliczności by tego wymagały. Po drugie, gdy wyrażenie zgody jest warunkiem koniecznym do zawarcia umowy lub skorzystania z usługi, podczas gdy w rzeczywistości taka zgoda nie jest niezbędna do realizacji tej umowy czy świadczenia usługi.
Przepis RODO (art. 7 ust. 3) stanowi, że przy ocenie, czy zgodę wyrażono dobrowolnie, uwzględnia się przede wszystkim, czy od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych nie jest niezbędne do wykonania umowy.
Sprawdź również: Naruszenie RODO – czym jest naruszenie ochrony danych osobowych i komu należy je zgłosić?
Przykład
Wyobraźmy sobie salon kosmetyczny, który oferuje podstawową usługę wykonywania manicure. Przy zapisie na wizytę klientka jest proszona o wypełnienie formularza, w którym oprócz niezbędnych danych do realizacji usługi (imię, nazwisko, numer telefonu do kontaktu), musi wyrazić zgodę na:
- Otrzymywanie newslettera z promocjami,
- Przetwarzanie jej danych w celach marketingowych,
- Udostępnienie jej zdjęć na profilach social media salonu.
Salon informuje klientkę, że bez wyrażenia wszystkich tych zgód nie może ona skorzystać z usługi manicure. To jest właśnie przykład nieprawidłowego uzależnienia wykonania umowy (usługi manicure) od wyrażenia zgód, które nie są niezbędne do jej realizacji.
Prawidłowe podejście powinno wyglądać tak:
- Salon zbiera tylko dane niezbędne do umówienia i wykonania usługi (imię, nazwisko, telefon) bez dodatkowych warunków
- Dodatkowe zgody (newsletter, marketing, zdjęcia) są całkowicie dobrowolne i ich nieudzielenie nie wpływa w żaden sposób na możliwość skorzystania z usługi manicure.
- Klientka powinna mieć możliwość wykonania manicure niezależnie od tego, czy wyrazi dodatkowe zgody czy nie.
Dodatkowo należy pamiętać, że samo umożliwienie wycofania zgody nie jest równoznaczne z tym, że zgoda została udzielona dobrowolnie. Stanowisko sądów jest tutaj jednoznaczne:
Samo przedstawienie przez podmiot zbierający zgody na przetwarzanie danych osobowych przez inne podmioty (z grupy kapitałowej) w ich własnych celach marketingowych, informacji o prawie do wycofania zgody – nie jest równoznaczne z tym, że zgodę wyrażono dobrowolnie. Dobrowolność należy oceniać na gruncie art. 7 ust. 4 RODO. Pamiętać należy bowiem, że zgodnie z RODO, wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem (art. 7 ust. 3 RODO). (wyrok WSA w Warszawie, II SA/Wa 3670/21)
Wycofanie zgody
Osoba, której dane dotyczą musi mieć prawo w dowolnym momencie wycofać udzieloną zgodę na przetwarzanie danych. Taka osoba powinna być o tym poinformowana jeszcze przed tym jak wyrazi zgodę. Samo wycofanie zgody musi być bezwzględnie równie łatwe jak jej wyrażenie.
Czasami administratorzy próbują utrudnić wycofanie zgody poprzez konieczność przejścia (czasem nawet kilkuetapowego) formularza do jej wycofania. W szczególności próbują uzależnić wycofanie zgody od podania powodu takiego wycofania. Na ten temat wypowiedział się Prezes Urzędu Ochrony Danych Osobowych stwierdzając, że:
Nie jest uprawnione wymaganie by osoba, która składa oświadczenie o odwołaniu zgody wskazała powód swojego żądania, zwłaszcza gdy nieudzielenie odpowiedzi na to pytanie nie pozwala na kontynuację procesu odwołania zgody, co skutkuje tym, że zgoda nie jest odwołana. (Decyzja PUODO z dnia 16.10.2019 r., ZSPR.421.7.2019).
Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?
Podsumowanie – checklista warunków prawidłowo wyrażonej zgody na przetwarzanie danych:
- Zgoda musi być świadoma i jednoznaczna: Osoba, której dane dotyczą, musi w sposób niebudzący wątpliwości potwierdzić swoją wolę udostępnienia danych w konkretnym, jasno określonym celu.
- Zgoda nie może być domniemana: Brak reakcji, automatycznie zaznaczone pola wyboru, czy milczenie nie stanowią prawidłowej formy wyrażenia zgody.
- Oddzielne zgody na różne cele: Jeśli dane mają być wykorzystywane w kilku różnych celach, konieczne jest uzyskanie osobnej zgody na każdy z nich.
- Dobrowolność zgody: Osoba udzielająca zgody musi mieć realny wybór i nie może być do niej przymuszona, np. poprzez uzależnienie wykonania usługi od wyrażenia zgody, która nie jest do tego niezbędna.
- Łatwość wycofania zgody: Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę, a proces ten musi być tak prosty jak jej wyrażenie.
- Informacja o prawie do wycofania zgody: Osoba udzielająca zgody musi być poinformowana o swoim prawie do jej wycofania.
- Niedozwolone utrudnianie wycofania zgody: Administrator nie może utrudniać wycofania zgody, np. poprzez skomplikowane formularze czy wymóg podania powodu
- Samo przedstawienie informacji o prawie do wycofania zgody nie czyni jej automatycznie dobrowolną.
Kancelaria Linke Kulicki to kancelaria prawna, która od lat zajmuje się wspieraniem Klientów w sferze ochrony danych osobowych. Nasze działania koncentrują się na różnych płaszczyznach, co daje nam możliwość zapewniania kompleksowej pomocy dla firm. Rzetelnie sprawdzamy wszystkie kwestie, dzięki czemu jesteśmy w stanie wykazać ewentualne braki w zakresie ochrony danych osobowych i zaproponować skuteczne zmiany gwarantujące bezpieczeństwo. Nasza aktywność koncentruje się także na reprezentowaniu Klientów przed Prezesem Urzędu Ochrony Danych Osobowych oraz w postępowaniach sądowych z zakresu ochrony danych osobowych.