Przejdź do treści

Praktyczne zastosowanie „zgody”, jako podstawy przetwarzania danych jest bardzo mocno zawężone ze względu na definicję zgody zawartą w przepisach RODO - zwraca uwagę ANETA KOŁECKA, radca prawny specjalizujący się w problematyce ochrony danych osobowy

Prowadząc jakąkolwiek działalność (tak o charakterze gospodarczym, jak i o charakterze niegospodarczym), która wiąże się z przetwarzaniem danych osobowych, zobligowani jesteśmy do wdrożenia zasad ochrony danych osobowych przewidzianych w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) - zwanym dalej „RODO”.

Wdrożenie zasad ochrony danych osobowych należy rozpocząć od przeprowadzenia audytu, w ramach którego zweryfikujemy, jakiego rodzaju dane osobowe przetwarzane są w prowadzonej przez nas działalności.

Jest to konieczne dla ustalenia, na jakiej podstawie dokonywane jest przetwarzanie danych osobowych (bądź na jakiej powinno się ono odbywać) oraz czy przetwarzane dane rzeczywiście są niezbędne do celów, w których są przetwarzane.
 
Warunki zgodnego z prawem przetwarzania danych osobowych określa art. 6 ust. 1 RODO.

Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków:

  1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów (art. 6 ust. 1 lit. a);
  2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (art. 6 ust. 1 lit. b);
  3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c);
  4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (art. 6 ust. 1 lit. d);
  5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e);
  6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem(art. 6 ust. 1 lit. f).

Akapit pierwszy art. 6 ust. 1 lit. f nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

Przepis art. 9 ust. 1 RODO zabrania natomiast przetwarzania szczególnych kategorii danych osobowych, tj. przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

Zakaz, o którym mowa w art. 9 ust. 1 RODO nie ma zastosowania, jeżeli spełniony jest jeden z warunków określonych w art. 9 ust. 2 RODO:

  1. osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w art. 9 ust. 1 RODO (art. 9 ust. 2 lit. a);
  2. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii Europejskiej lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą (art. 9 ust. 2 lit. b);
  3. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody (art. 9 ust. 2 lit. c);
  4. przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą (art. 9 ust. 2 lit. d);
  5. przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą (art. 9 ust. 2 lit. e);
  6. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy (art. 9 ust. 2 lit. f);
  7. przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii Europejskiej lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą (art. 9 ust. 2 lit. g);
  8. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii Europejskiej lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 9 ust. 3 RODO (art. 9 ust. 2 lit. h); zgodnie z art. 9 ust. 3 RODO dane osobowe, o których mowa w art. 9 ust. 1 RODO, mogą być przetwarzane do celów, o których mowa w art. 9 ust. 2 lit. h RODO, jeżeli są przetwarzane przez - lub na odpowiedzialność - pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii Europejskiej lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii Europejskiej lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe.
  9. przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii Europejskiej lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową (art. 9 ust. 2 lit. i);
  10. przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 RODO, na podstawie prawa Unii Europejskiej lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą (art. 9 ust. 2 lit. j).

Wbrew temu, co mogłoby się wydawać, praktyczne zastosowanie „zgody”, jako podstawy przetwarzania danych jest bardzo mocno zawężone ze względu na definicję zgody zawartą w przepisach RODO.

Zgodnie z art. 4 pkt 11 RODO „zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Jeżeli zatem ustalimy, że przetwarzanie danych będzie się odbywać na podstawie zgody, to wcześniej należałoby zbadać, czy spełnione zostały wszelkie jej wymogi tak, by nie narazić się na zarzut jej nieważności.

Konsekwencjami powyższego byłoby przetwarzanie danych osobowych bez podstawy prawnej warunkującej taką możliwość. W literaturze przedmiotu podkreśla się bowiem, iż w takiej sytuacji administrator nie ma możliwości zastąpienia „zgody” inną podstawą wymienioną w RODO, np.: posłużeniem się uzasadnionym interesem administratora z mocą wsteczną. Ustalenie zatem, czy przetwarzane dane rzeczywiście znajdują oparcie w podstawie prawnej jaką jest udzielona zgoda, pozostaje dla administratora kwestią kluczową.

Jednym z najważniejszych elementów definicji zgody jest element dobrowolności, który oznacza, iż osoba, która jej udziela ma rzeczywisty wpływ i kontrolę m.in. nad tym jakie dane osobowe są przetwarzane, w jakim zakresie i przez jaki okres.

Wyrażenie zgody powinno być bowiem decyzją odwracalną, bez jakichkolwiek niekorzystnych konsekwencji, dla osoby, która jej uprzednio udzieliła.

Z powyższych względów - w ramach przykładu - można wskazać, iż co do zasady podmioty lecznicze nie będą przetwarzać danych na podstawie zgody, gdyż pacjent nie ma wpływu już chociażby na to jakie dane są przetwarzane i przez jaki okres. Odwołanie zgody także w przedstawionej sytuacji nie miałoby wpływu na proces przetwarzania danych, który regulowany jest przepisami prawa.

Inaczej sytuacja będzie wyglądać np. w przypadku pobierania zgód na wykorzystanie danych wizerunkowych. W tej sytuacji dana osoba wyraża zgodę na wykorzystanie jej wizerunku, przy czym ma ona rzeczywisty wpływ na to, gdzie będzie on udostępniony, jak długo itp. Odwołanie udzielonej w takiej sytuacji zgody powinno spowodować natychmiastowe zaprzestanie przetwarzania takich danych osobowych.

W praktyce stosowania RODO pojawił się problem tzw. „pobierania zgód na zapas” w sytuacji, w której istnieje inna podstawa prawna przetwarzania danych osobowych.

Podkreślić należy, iż praktyka ta jest nieprawidłowa i problematyczna, gdyż sugeruje osobie, od której pobierana jest zgoda, iż to ona decyduje o dopuszczalności przetwarzania danych osobowych, podczas gdy nie ma ona na to żadnego wpływu, a o możliwości przetwarzania przedmiotowych danych decydują np.: przepisy prawa.

Ponadto, osoba, która udzieliła zgody mogłaby przypuszczać, że jest w stanie poprzez jej odwołanie zakończyć przetwarzanie danych, gdy w rzeczywistości proces ten byłby kontynuowany. „Pobieranie zgód na zapas” narusza art. 13 RODO, zgodnie z którym osoba, której dane są przetwarzane musi zostać prawidłowo poinformowana, między innymi na jakiej podstawie prawnej dokonywane jest takie przetwarzanie i jakie w związku z tym przysługują jej uprawnienia.

Analizując aspekt dobrowolności „zgody” warto zwrócić uwagę na motyw 43 RODO.

Zgodnie z tym przepisem „Aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach. Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy - w tym świadczenie usługi - mimo że do jej wykonania zgoda nie jest niezbędna.”

Z uwagi na treść motywu 43 RODO należy z dużą ostrożnością podchodzić do kwestii przetwarzania danych osobowych w oparciu o zgodę w relacji pracodawca - pracownik.

Istnieje bowiem wysokie prawdopodobieństwo, że zgoda udzielona przez pracownika zostanie uznana za nieważną wobec niemożności wykazania, iż udzielono jej dobrowolnie, bez żadnych nacisków czy groźby negatywnych konsekwencji w przypadku odmowy. Wyraźne wytyczne w tym względzie zawarte w RODO dają podstawę by przypuszczać, iż kwestia dobrowolności w zatrudnieniu będzie szczególnie analizowana podczas kontrolowania procesu wdrożenia RODO u pracodawców.

Motyw 43 daje także wyraźne wskazówki w jaki sposób powinno następować pobieranie zgód by element dobrowolności mógł być spełniony. „Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy - w tym świadczenie usługi - mimo że do jej wykonania zgoda nie jest niezbędna.” Oznacza to, że należałoby sformułować odrębne oświadczenia o wyrażeniu zgody na każdy cel przetwarzania danych osobowych, a niekiedy nawet - gdy sytuacja tego wymaga - celowe byłoby wręcz wyodrębnienie osobnych operacji przetwarzania.

Przykładowo, oświadczenie, że dana osoba wyraża zgodę na przetwarzanie jej danych wizerunkowych w celach marketingowych poprzez umieszczenie jej wizerunku na stronie internetowej danego podmiotu oraz na przetwarzanie danych poprzez ich udostępnianie innym podmiotom sformułowane łącznie nie jest prawidłowe. Nie daje bowiem możliwości wyboru jednego celu przetwarzania danych przy jednoczesnej rezygnacji z drugiego.

Prawidłowo pobrana zgoda powinna zawierać dwa osobne oświadczenia, jedno dotyczące celów związanych z marketingiem, drugie - z udostępnianiem danych innym podmiotom na podstawie zgody.

Wskazany motyw 43 stanowi rozwinięcie art. 7 ust. 4 RODO, w myśl którego oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy. Jeżeli zatem np.: wykonanie umowy o świadczenie usług zdrowotnych jest uzależnione od wyrażenia zgody na przetwarzanie danych osobowych w celach marketingowych, wówczas tak udzielona zgoda nie spełnia wymogu dobrowolności i jest z tego powodu nieważna.

Istotnym elementem pojęcia „zgody” zawartym w ogólnym rozporządzeniu o ochronie danych jest wymóg związany z konkretnością. W praktyce oznacza on, iż osoba udzielająca zgody na przetwarzanie jej danych osobowych musi zawsze wyrazić zgodę na konkretny cel przetwarzania. Służy to przede wszystkim zapobieżeniu nadużyciom związanym z wykorzystywaniem udzielonej zgody do celów innych niż zostały wskazane. Aby taki wymóg mógł zostać w pełni zrealizowany należy uprzednio szczegółowo poinformować osobę, która zgody udziela o zamierzonych celach i wszelkich ich aspektach, w szczególności jakie dane byłyby przetwarzane w ramach udzielonej zgody i jakie wiązałyby się z tym operacje przetwarzania (np. udostępnianie, archiwizowanie itd.).

Według zaleceń Grupy Roboczej Art. 29 - niezależnego europejskiego organu doradczego w zakresie ochrony danych osobowych i prywatności - wymóg konkretności wiąże się także z wyraźnym oddzieleniem informacji związanych z uzyskaniem zgody od informacji na inne tematy. Powyższe wyklucza zatem przekazywanie informacji istotnych z punktu widzenia osoby udzielającej zgody w ogólnych warunkach umów.

Warunek konkretności zgody jest ściśle powiązany z wymogiem świadomego jej udzielenia.  W tym miejscu warto ponownie przywołać zalecenia Grupy Roboczej Art. 29, która w formułowanych przez siebie wytycznych wskazuje, iż przed uzyskaniem zgody, konieczne jest udzielenie osobie, która ma ją wyrazić co najmniej następujących informacji: tożsamość administratora, cel każdej operacji przetwarzania, jakie dane będą przetwarzane, istnienie prawa do wycofania zgody w każdym momencie, informacji dotyczących wykorzystywania danych do celów zautomatyzowanego podejmowania decyzji zgodnie z art. 22 ust. 2 lit. c RODO w stosownych przypadkach oraz dotyczących możliwych zagrożeń związanych z przekazywaniem danych w związku z brakiem decyzji stwierdzającej odpowiedni stopień ochrony oraz odpowiednich zabezpieczeń zgodnie z art. 46 RODO.

Podkreślić należy, że powyższe informacje powinny być przekazywane w sposób jasny i przejrzysty, za pomocą prostego języka, zrozumiałego dla przeciętnego człowieka.

Wykluczone jest zatem posługiwanie się językiem fachowym, prawniczym bądź przywoływanie numerów artykułów aktów prawnych, bez wyjaśnienia w przystępny sposób zawartej w nich treści.

Zgodnie z przywołaną powyżej definicją zgody, zgoda stanowi okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych. Tak skonstruowana definicja nie pozostawia wątpliwości, iż wyrażenie zgody musi przejawiać się w aktywnym działaniu, które zostało podjęte celem jej udzielenia. Znajduje to potwierdzenie w motywie 32 RODO który wskazuje, że „Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody.” Dodatkowo wymóg jednoznaczności oznacza, iż czynność w ramach której udzielana jest zgoda, musi być wyraźnie oddzielona od innej czynności.

Zgodnie bowiem z art. 7 ust. 2 RODO, jeżeli osoba, której dane dotyczą, wyraża zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Tym samym nie można uznać, że zgoda została udzielona w sposób jednoznaczny, w sytuacji, gdy została wyrażona poprzez zbiorcze zaakceptowanie ogólnych warunków umów.

W literaturze przedmiotu wskazuje się, że - co do zasady - możliwe jest złożenie oświadczenia o wyrażeniu zgody per facta concludentia (w sposób dorozumiany). Wynika to stąd, że w poprzednio obowiązującej ustawie o ochronie danych osobowych, w definicji zgody zawarto zastrzeżenie, iż zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, natomiast aktualnie brak jest wyraźnego zakazu w tym względzie. Niemniej jednak - z uwagi na wymóg jednoznaczności oraz podkreślany w RODO wymóg rozliczalności (administrator musi być w stanie wykazać, iż osoba, której dane dotyczą wyraziła zgodę na ich przetwarzanie) możliwość złożenia oświadczenia o wyrażeniu zgody per facta concludentia może w praktyce być bardzo problematyczne i zwyczajnie ryzykowne.

Opisane powyżej warunki udzielenia ważnej zgody dotyczą tzw. „zwykłej zgody” zawartej w art. 6 ust. 1 pkt a RODO. Natomiast w art. 9 ust. 2 lit. a RODO został zawarty wymóg uzyskania tzw. „wyraźnej zgody” i dotyczy on sytuacji, w której zgoda udzielana jest na przetwarzanie danych osobowych szczególnych kategorii, jak: ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Powyższe oznacza, iż osoba, która składa oświadczenie musi je złożyć w sposób wyraźny, a zatem poprzez takie formy jak: pisemna, elektroniczna opatrzona kwalifikowanym podpisem elektronicznym bądź podpisem potwierdzonym profilem zaufanym ePUAP. W tym przypadku oświadczenie złożone per facta concludentia z oczywistych względów jest nieważne.

Decydując się na przetwarzanie danych w oparciu o udzieloną zgodę, należy mieć na uwadze to, iż osoba, która ją wyraziła ma prawo wycofać zgodę w dowolnym momencie. O powyższym prawie powinna zostać poinformowana jeszcze przed jej udzieleniem. Obowiązek informacyjny obejmuje również okoliczność, iż wycofanie zgody nie ma wpływu na zgodność z prawem przetwarzania, które zostało dokonane do czasu wycofania zgody. Z punktu widzenia administratora istotne jest także to, iż musi on zapewnić możliwość łatwego wycofania zgody. RODO wyraźnie bowiem wskazuje, iż wycofanie zgody musi być równie łatwe, jak jej wyrażenie.

 

Autor:  Aneta Kołecka, radca prawny specjalizujący się w problematyce ochrony danych osobowych