Konstrukcja zgody w rodo – 8 warunków, by była prawidłowa

Parlament Europejski przyjął 14 kwietnia 2016 r. pakiet reform z zakresu ochrony danych osobowych. W jego skład wchodzą tzw. dyrektywa PNR¹, a także rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: rozporządzenie).

Rozporządzenie ma zaktualizować rozwiązania przyjęte przez Dyrektywę 95/46 WE i dostosować je (czy też unowocześnić) do wymagań stawianych przez erę cyfrową i rozwój społeczeństwa informacyjnego.

Przyczyn dostosowania dyrektywy możemy upatrywać także w tym, że obecne prawo nie nadąża za nowymi technologiami. Rozwój Internetu rzeczy, Big data czy cloud computing stawiają duże wyzwania, którym nie potrafią sprostać obecne rozwiązania prawne.

Rozporządzenie jest obszernym aktem wprowadzającym bardzo istotne zmiany w odniesieniu do obowiązującej w Polsce ustawy o ochronie danych osobowych. W tym artykule skoncentruję się na konstrukcji zgody na przetwarzanie danych osobowych.

W szczególności wskażę, jakie warunki powinna spełniać zgoda na przetwarzanie danych, by stała się jedną z przesłanek legalnego przetwarzania danych osobowych. Dodatkowo omówię obecny stan prawny, jaki obowiązuje na podstawie ustawy o ochronie danych osobowych, a także różnice, które zaczną obowiązywać wraz z wejściem w życie unijnego rozporządzenia.

Należy wskazać, że jest to błędne podejście, gdyż zgoda jest tylko jednym z elementów związanych z ochroną danych osobowych. Statuuje ona autonomię jednostki oraz wyraża prawo do decydowania o tym, co stanie się z jej danymi.

Rozporządzenie w art. 7 precyzuje warunki, jakimi powinna charakteryzować się zgoda jako jedna z przesłanek przetwarzania danych osobowych. Zgoda osoby, której dane dotyczą, w powszechnym mniemaniu jest symbolem ochrony danych osobowych i zapewnia realizację wymogów wynikających z aktów prawnych, dodatkowo gwarantując wolności i prawa osoby, której dane dotyczą.

Na wstępie należy zauważyć, że zgodnie z rozporządzeniem zgoda będzie równoprawną przesłanką przetwarzania danych osobowych, tak jak przepis prawa czy prawnie usprawiedliwiony interes administratora danych osobowych.

Nie zmienia się zatem jej autonomiczny charakter względem innych przesłanek. Co niezmienne, przesłanki przetwarzania pozostają wobec siebie niezależne i równoprawne. Każda z nich może stanowić wyłączną podstawę czyniącą proces przetwarzania danych legalnym.

Decyzja, oczywiście z zachowaniem odpowiednich standardów, o zastosowaniu odpowiedniej z nich, w zależności od okoliczności i celu przetwarzania danych osobowych, będzie należała do administratora danych osobowych, tj. podmiotu decydującego o celach i środkach przetwarzania.

Jak czytamy w pierwszych słowach art. 7 rozporządzenia, to na administratorze danych spoczywać będzie obowiązek udowodnienia, że posiada podstawę prawną, w tym przypadku zgodę, na przetwarzanie danych. Unijny ustawodawca podkreśla, że zgoda musi zostać udzielona przed rozpoczęciem przetwarzania danych osobowych.

Zgoda na przetwarzanie danych osobowych powinna być udzielona za pomocą klarownego, potwierdzającego czynność działania lub oświadczenia złożonego w formie pisemnej lub ustnej

Innymi słowy, musi być uprzednia względem chwili podjęcia pierwszej czynności przetwarzania danych osobowych. Co więcej, nie wchodzi w grę późniejsze załączenie klauzuli zgody, np. z wysłaną przez administratora danych klauzulą obowiązku informacyjnego.

Dodatkowo warto wspomnieć o zasadach, jakimi powinien się kierować administrator danych osobowych w przypadku przetwarzania danych osobowych. Chodzi o zasady – privacy by design oraz privacy by default.

Celem pierwszej z nich jest „wbudowanie” zasad ochrony prywatności w każdy projekt zakładający przetwarzanie danych osobowych – od początku jego realizacji. Druga zaś wskazuje, że domyślnie należy zawsze dawać prymat zasadzie ochrony danych osobowych, a odstępstwa od niej dopuszczać jedynie wyjątkowo.

W porównaniu do rodzimej ustawy o ochronie danych osobowych pozostają niezmienne cechy charakterystyczne zgody. Mówiąc najogólniej, zgoda powinna być udzielona za pomocą klarownego, potwierdzającego czynność działania lub oświadczenia złożonego w formie pisemnej lub ustnej.

Mówiąc najogólniej, nie wystarcza zatem samo powiadomienie o zamiarze przetwarzania danych osobowych i brak sprzeciwu z drugiej strony. Rozporządzenie wskazuje, że złożona zgoda może polegać na:

1. zaznaczeniu okienka wyboru podczas przeglądania strony internetowej,
2. wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też
3. na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane warunki przetwarzania jej danych osobowych.

Zgodnie z ustawą o ochronie danych osobowych, zgoda na przetwarzanie danych nie może być domniemana ani dorozumiana z innego oświadczenia woli. Należy rozumieć przez to konieczność, by zgoda na przetwarzanie danych była złożona odrębnie. Należy ją oddzielić od innych składanych oświadczeń.

Zgoda musi być przy tym dobrowolna, konkretna oraz świadoma. Obecnie powszechną praktyką jest automatyczne zamieszczanie przez administratorów danych osobowych na ich stronach internetowych pól (domyślnie zaznaczonych) z wyrażeniem zgody na przetwarzanie danych osobowych.

Unijne przepisy położą temu kres. Tego typu działania staną się niezgodne z prawem. Nielegalne będzie także uznanie milczenia lub niepodjęcia określonej czynności czy też zaniechania działania za wyrażenie zgody.

Częstą praktyką jest także łączenie zgody na przetwarzanie danych osobowych w celach marketingowych, wynikającej z przepisów ustawy o ochronie danych osobowych, ze zgodą na przesyłanie drogą elektroniczną informacji handlowych, o której mowa w przepisach ustawy o świadczeniu usług drogą elektroniczną.

W tej sytuacji trudno mówić o możliwości podjęcia swobodnej i nieskrępowanej decyzji o przetwarzaniu danych osobowych. Identyczny zakaz łączenia zgód, o których mowa wcześniej, wynikać będzie także z rozporządzenia unijnego.

Klauzula zgody musi być skonstruowana i przedstawiona w sposób jasny i przejrzysty, w tym pozwalający na identyfikację czy też odróżnienie od innych składanych w tym samym czasie i miejscu oświadczeń. Osoba wyrażająca zgodę musi wiedzieć, że jej zgoda jest udzielona na tę konkretną czynność, np. na przetwarzanie danych w celach rekrutacyjnych, marketingowych czy promocyjnych administratora danych.

Z rozporządzenia wynika także, że jeśli podmiot danych ma udzielić zgody w odpowiedzi na elektroniczne zapytanie, musi być ono jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.

Dalej należy wskazać, że zgoda osoby, której dane dotyczą, na gruncie unijnego rozporządzenia musi być konkretna. Innymi słowy, niedopuszczalna jest ogólna zgoda bez określenia dokładnego celu przetwarzania. Aby zgoda była konkretna, musi być zrozumiała – powinna wyraźnie i precyzyjnie odnosić się do zakresu oraz konsekwencji przetwarzania danych.

Wymogu konkretności na pewno nie spełnia zamieszczanie ogólnikowej formułki „Wyrażam zgodę na przetwarzanie danych osobowych”. Abstrakcyjny charakter takiej zgody nie spełnia wymagań stawianych ani przez rozporządzenie, ani przez ustawę o ochronie danych osobowych.

Dobrym przykładem będą także szeroko rozumiane działania promocyjne administratora danych. Wyrażając zgodę na ten konkretny cel, nie wyrażamy automatycznie zgody na udostępnienie danych innym podmiotom czy publikacje naszych danych na stronie internetowej.

Aby jednak umożliwić udostępnienie danych osobom trzecim w celach marketingowych, należy zwrócić się o odrębną, dodatkową zgodę na udostępnienie danych we wskazanym zakresie, np. podmiotom współpracującym z administratorem danych.

Należy zauważyć, że w obecnym stanie prawnym nie istnieją przepisy prawa, które pozwalałyby na uznanie, że przesyłanie oferty marketingowej podmiotu współpracującego jest działaniem rozumianym jako prawnie uzasadniony interes administratora danych. Powoływanie się przez przedsiębiorców na art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych w takich przypadkach jest nieuzasadnione.

Kolejna cecha charakterystyczna zgody dotyczy tego, że powinna ona dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. I tak, jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele.

Brak zgody lub zebranie nieważnych zgód może oznaczać odpowiedzialność finansową ADO – nawet 20 mln euro kary lub 4% całkowitego rocznego światowego obrotu firmy z poprzedniego roku obrotowego

Dobrym przykładem będzie tu wysyłanie CV potencjalnych kandydatów do pracy zawierającego zgodę na przetwarzanie danych osobowych „w celach rekrutacji”. Oznacza to, że takiego CV nie można wykorzystać do innych celów niż rekrutacyjne, czyli np. do celów marketingowych czy wysyłania materiałów promocyjnych.

Wiele wątpliwości budzi sformułowanie art. 7 ust. 4 rozporządzenia. Zgodnie z jego literalnym brzmieniem „Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy”.

Niedopuszczalne jest zatem uzależnienie zawarcia umowy od wyrażenia zgody na przetwarzanie danych w celach marketingowych. Zgoda na przetwarzanie danych osobowych musi być zawsze podjęta dobrowolnie, bez przymusu czy groźby, inaczej jest nieważna.

Jeśli ktoś uzależnia wykonanie jakiejś usługi od wyrażenia zgody na przetwarzanie danych osobowych, to jest to nielegalne. Uzależnianie wykonania jakiejś usługi od wyrażenia zgody na przetwarzanie danych osobowych w celach marketingowych może dodatkowo stanowić nieuczciwą praktykę konsumencką.

Właściwy do rozpoznania sprawy jest wtedy Urząd Ochrony Konkurencji i Konsumentów. Dobrowolność wyrażenia zgody na przetwarzanie danych osobowych możemy także rozpatrywać, w przypadku kiedy osoba poddana jest jakiemukolwiek naciskowi, groźbie czy zastraszaniu.

Nie sposób także nie wspomnieć, że zgoda może być odwołana w każdym czasie. O możliwości jej odwołania osoba musi zostać poinformowana już na początku składania oświadczenia. Jak wspomniałem powyżej, odwołanie zgody dotyczy przyszłości, nie zaś przetwarzania danych, które miało miejsce w przeszłości, w okresie, w którym dane gromadzono w sposób legalny.

Odwołanie nie ma zatem wpływu na wcześniej podjęte działania. Dlatego też uprzednio podjętych decyzji ani procesów przetwarzania informacji nie można po prostu anulować. Jeżeli jednak nie istnieje inna podstawa prawna uzasadniająca dalsze przechowywanie danych, administrator danych powinien je usunąć.

Zgodnie z rodo, serwisy społecznościowe będą musiały ustanowić mechanizmy pozwalające na weryfikację wieku dziecka czy rodzaju przetwarzanych danych

Rozporządzenie dodatkowo wskazuje, że odwołanie musi być proste do realizacji. W regulaminie czy też procedurze odwołań należy kierować się prostotą w sposobie przekazywania informacji. Prostota rozumiana jest jako formułowanie pojęć czy też zaleceń w formie zrozumiałej dla przeciętnego Kowalskiego.

Nie można przy tym ustanawiać dodatkowych warunków, jakimi powinno charakteryzować się odwołanie. Kończąc dotychczasowe rozważania, należy zauważyć, że wszelkie próby nadmiernej ingerencji w dopuszczalność odwołania będą traktowane jako naruszenie postanowień rozporządzenia.

Jak czytamy w preambule rozporządzenia, dane wrażliwe z racji swego charakteru wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności. Na gruncie ustawy o ochronie danych osobowych administrator danych osobowych, by móc dokonywać operacji na takich danych, musi uzyskać zgodę w formie pisemnej.

Niemniej, warto zauważyć, że zgoda takiej osoby nie jest jedyną przesłanką uzasadniającą przetwarzanie danych wrażliwych. Pełen katalog przesłanek znajdujemy w art. 27 ust. 2 ustawy. Wśród nich możemy znaleźć przepis prawa, niezbędność do ochrony żywotnych interesów osoby, której dane dotyczą, czy dochodzenie praw przed sądem.

Rozporządzenie wskazuje natomiast na „wyraźną zgodę osoby, której dane dotyczą” milczy natomiast w zakresie pisemności takiego oświadczenia.

Brak zgody lub zebranie nieważnych zgód może prowadzić do bardzo poważnej odpowiedzialności finansowej administratora danych. Zgodnie z rozdziałem VIII unijnego rozporządzenia zatytułowanym „Środki ochrony prawnej, odpowiedzialność i sankcje” w przypadku naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, administrator danych podlega administracyjnej karze pieniężnej w wysokości do 20 mln euro.

W przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Warto przy tym dodać, że zawsze zastosowanie będzie miała kwota wyższa.

Kolejnym novum na gruncie rozporządzenia unijnego jest kwestia zgody na przetwarzanie danych osobowych wyrażona przez dziecko w ramach społeczeństwa informacyjnego. Zgodnie z rozporządzeniem serwisy społecznościowe zobowiązane są do ustanowienia mechanizmów pozwalających na weryfikację takich okoliczności jak wiek dziecka czy rodzaj przetwarzanych danych.

Dalej należy dodać, że mechanizmy muszą być zrozumiałe i dostosowane do rozwoju intelektualnego i psychofizycznego dziecka. Jak czytamy w dalszej części art. 8 rozporządzenia, państwa członkowskie mogą same określić wiek użytkownika, od którego nie będzie konieczna zgoda rodzica. Przy czym wskazany jest przedział wiekowy. Nie może być to jednak mniej niż 13 lat i więcej niż 16 lat.

Rozporządzenie wskazuje także na przypadki wyrażenia przez dziecko „pełnowartościowej” zgody na przetwarzanie danych osobowych. W przypadku przetwarzania w jednym lub większej liczbie określonych celów zgoda wyrażona przez dziecko, które skończyło 16 lat, uznawana jest jako legalna.

Odmiennie wygląda natomiast sytuacj, kiedy dziecko nie ma ukończonych 16 lat. Wtedy to zgodę na przetwarzanie danych osobowych zobowiązana jest wyrazić osoba sprawująca nad nim władzę rodzicielską lub opiekę.

¹Dyrektywa Parlamentu Europejskiego i Rady w sprawie wykorzystania danych dotyczących przelotu pasażera w celu zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia dochodzeń w ich sprawie i ich ścigania. Dane PNR (Passenger Name Record) to dane o pasażerach linii lotniczych.