Poradnik Pracownika
Header oprogramowania dla biur rachunkowych Header oprogramowania dla biur rachunkowych Header oprogramowania dla biur rachunkowych
  2. PRAWO
  3. Ochrona danych
  4. Przetwarzanie danych osobowych na podstawie zgody

Przetwarzanie danych osobowych na podstawie zgody

Aktualnie klauzule RODO dołączane są do każdej umowy czy przedstawiane klientowi podczas niemal każdej czynności prawnej, mimo że nie zawsze jest to wymagane. Najczęściej przetwarzanie danych osobowych jest uzasadnione wyrażeniem zgody przez konsumenta. Nie powinno to dziwić, w końcu każda osoba fizyczna musi mieć możliwość wyboru tego, czy chce, aby dany podmiot posiadał ważne informacje o niej i rozporządzał nimi. Uzyskanie zgody na przetwarzanie danych osobowych pozostaje w gestii podmiotu pozyskującego dane, gdyż to na administratorze spoczywa ciężar wykazania wyrażenia takiej zgody. Bez posiadania pisemnej zgody w ewentualnym postępowaniu sądowym może być bardzo ciężkie wykazanie, że konsument był świadomy i, co więcej, pozwolił, aby jego personalia znalazły się w bazie jednostki. Jak zatem powinno wyglądać przetwarzanie danych osobowych na podstawie zgody, aby podmiot przetwarzający nie naraził się na karę administracyjną?

Wyrażenie zgody – w jakiej formie?

Oświadczenie osoby fizycznej na przetwarzanie jej danych osobowych jest wymagane w niemal każdej sytuacji, gdzie jedną stroną zobowiązania czy innej czynności prawnej jest konsument. Niezależnie od tego, czy czynność ta wykonywana jest fizycznie, czy poprzez internet, oświadczenie musi spełniać te same ustawowe warunki.

Oświadczenia o wyrażeniu zgody na przetwarzanie danych osobowych najczęściej jest składane poprzez podpis (w wersji papierowej) lub zaznaczenie checkboxu (w wersji elektronicznej) pod treścią klauzuli przygotowanej wcześniej przez administratora danych. Bardzo często tego typu klauzule nie stanowią samoistnego, oddzielnego zapisu, a są jedynie jednym z elementów innego dokumentu. W tym drugim wypadku oświadczenie o zgodzie musi być przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych zapisów. Są to jedynie kwestie techniczne, jednak z punktu widzenia RODO są one bardzo ważne. Wizualnie taka klauzula musi być odpowiednio wyodrębniona, tak aby konsument był świadomy, że w tym właśnie miejscu pozostawia podpis nie pod np. umową, a jedynie pod zgodą na przetwarzanie danych. Zgoda nie powinna być również zapisana fontem, którego rozmiar czy styl uniemożliwia łatwe zapoznanie się z treścią oświadczenia.

Jaki charakter powinna nosić zgoda na przetwarzanie danych osobowych?

Czy to w formie oddzielnego dokumentu, czy będąc jedynie częścią innego, zapis o przetwarzaniu musi być sformułowany w sposób prosty, zrozumiały i jasny, tak aby jego treść była przystępna dla każdego. Naczelny Sąd Administracyjny wskazał, że zgoda na przetwarzanie danych osobowych musi być wyraźna, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania. Nie spełnia tego wymagania podpisanie oświadczenia o wyrażeniu zgody na przetwarzanie danych stanowiącego dodatkowy element innego zobowiązania niezawierającego informacji o celach i zakresie przetwarzania tych danych.

Zgoda na przetwarzanie danych powinna być zrozumiała. Jak jednak ocenić dany zapis, aby móc z całą stanowczością stwierdzić, że taki jest? Wskazuje się, że najlepszym rozwiązaniem jest przyjęcie wzorca przeciętnej osoby na wzór przeciętnego konsumenta w polskiej ustawie o ochronie konkurencji i konsumentów. Jest to jednak wyłącznie ogólne spojrzenie na sprawę. W niektórych wypadkach wypadałoby sporządzać oświadczenie w inny sposób, bardziej zindywidualizowany. Inaczej bowiem należy podchodzić do zbierania zgód od studentów uniwersytetów czy pracowników naukowych niż do zgód zbieranych np. od osób starszych czy dzieci. W jednym wypadku użyte słownictwo może być bardziej branżowe, specjalistyczne, szczegółowe, w innym o wiele lepszym wyborem będzie użycie słów potocznego użytku, prostych, przy konstrukcji krótkich i niezłożonych zdań.

Ważne! 

Podpis złożony pod oświadczeniem niespełniającym wymogów co do formy i treści nie wiąże w całości osoby, której dane dotyczą. Administrator w takim wypadku nie może w ogóle przetwarzać jej danych.

Dobrowolność zgody na przetwarzanie danych osobowych

Oczywiste jest, że zgoda na przetwarzanie danych nie może być wymuszona. Konsument musi mieć czas do zapoznania się z treścią klauzuli oraz namysłu co do skutków wyrażenia takiej zgody. Nie jest to jednak tak oczywiste, w wielu wypadkach podmioty przetwarzające dane mogą bowiem wymusić wyrażenie zgody w sytuacji nierówności między administratorem a podmiotem danych. Może być tak np. w sytuacji, gdy pracodawca grozi pracownikowi zwolnieniem w przypadku, gdy ten nie wyrazi zgody na upublicznienie jego wizerunku (zdjęcia) na stronie internetowej przedsiębiorstwa. Jest to całkowicie niezgodne z zapisami i duchem RODO. 

Co więcej, realizacja umowy lub świadczenie usługi nie może być uzależnione od zgody na przetwarzanie danych, które nie są niezbędne do realizacji umowy lub świadczenia usługi. Konieczność wyrażenia zgody co do konkretnych informacji może mieć miejsce wyłącznie w przypadku, gdy bez tych danych nie jest możliwe świadczenie usług. Dla przykładu, w przypadku świadczenia usługi dostawy energii elektrycznej niezbędnymi danymi będą imię i nazwisko odbiorcy oraz adres dostawy energii. Podanie adresu e-mail czy numeru telefonu nie jest niezbędne, przedsiębiorstwo bowiem może się kontaktować z konsumentem drogą pocztową.

RODO stanowczo zakazuje praktyki wymuszania zgód na przetwarzanie danych osobowych w kontekście zawierania umów z konsumentami. Przedsiębiorcy powinni mieć na to szczególną uwagę, nawet nieświadomie mogą bowiem dopuścić się tego czynu, jeżeli nie dość dokładnie przemyślą swoją politykę zbierania i przetwarzania danych.

Wycofanie zgody na przetwarzanie danych osobowych

W klauzuli dotyczącej zgody na przetwarzanie danych osobowych obowiązkowo musi znaleźć się informacja o możliwości jej wycofania. Przekazanie informacji o odwołaniu zgody musi nastąpić jeszcze przed jej wyrażeniem. Oznacza to, że obligatoryjnie administrator danych musi wskazać w oświadczeniu, że osoba, której dane będą przetwarzane, w każdym czasie może swoją zgodę wycofać.

Wycofanie zgody musi być równie proste co jej wyrażenie. Nie może zatem być obwarowane żadnymi warunkami, np. być uzależnione od wykonania jakiejś dodatkowej czynności czy opłacenia usługi. Wystarczy wyłącznie złożenie oświadczenia przez konsumenta, że wycofuje on wcześniej złożoną zgodę na przetwarzanie jego danych osobowych. Podmiot zbierający dane nie może również żądać od osoby, która zgodę wycofuje, aby uzasadniała swoją decyzję.

Wycofanie zgody nie musi mieć jednak takiej samej formy jak jej wyrażanie. Administrator danych powinien stworzyć taki mechanizm, aby nie rodziło to po stronie osoby, której dane dotyczą, większych trudności niż złożenie zgody. Niedopuszczalny jest zatem przypadek, kiedy wyrażenie zgody na stronie internetowej odbywa się przez oznaczenie specjalnego checkboxu, a jej wycofanie możliwe jest wyłącznie poprzez wysłanie pisemnego oświadczenia drogą pocztową.

Jak podkreśla się w doktrynie „wymóg zapewnienia dobrowolności zgody nie oznacza braku możliwości pozytywnego wpływania na osobę, której dane dotyczą, w celu wyrażenia przez nią zgody, która jest pożądana przez administratora danych, np. w kontekście marketingowego przetwarzania danych. Takie działania mogą przybrać postać np. dodatkowych zniżek udzielanych osobom, które wyrażą taką zgodę, czy przyznawania im określonych świadczeń. Należy jednak pamiętać o tym, że skala tego zjawiska, w szczególności wartość świadczeń przyznawanych osobom, które wyrażą zgodę, nie może wpływać na proces decyzyjny po stronie takich osób w ten sposób, aby w konkretnych przypadkach dochodziło do pozbawienia zgody cechy dobrowolności” (por. Litwiński 2021, wyd. 1/Barta/Kawecki/Litwińsk, art. 7 RODO).

Zgoda na przetwarzanie danych osobowych dziecka

Ustawodawca unijny za oddzielną grupę osób fizycznych, których dane są chronione przez RODO, wyróżnił dzieci. Uznał on, że w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku możliwe jest przetwarzanie informacji o dziecku na podstawie zgody wyrażonej samodzielnie przez małoletniego, jeśli ukończył on 16 lat.

Natomiast jeżeli dziecko nie ukończyło 16 lat, przetwarzanie jest możliwe wyłącznie, gdy zgodę wyraziła lub zaaprobowała osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem.

Zgoda może być wyłącznie pobierana przez podmioty, które oferują usługi społeczeństwa informacyjnego. Usługa taka oznacza każdą usługę świadczoną za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług.

Treść klauzuli dotyczącej wyrażenia zgody na przetwarzanie danych kierowana wobec dziecka musi być dostosowana do wieku konsumenta. Informacje muszą być zatem zwięzłe, przejrzyste i sporządzone w sposób przystępny dla każdego. Motyw 58 RODO wskazuje, że wszelkie informacje i komunikaty – gdy przetwarzanie dotyczy dziecka – muszą być sformułowane jasnym i prostym językiem, by dziecko mogło je bez trudu zrozumieć.

Obowiązki administratora a przetwarzanie danych osobowych dziecka

Administrator danych ma obowiązek sprawdzenia tego, czy konsument jego usług osiągnął wiek cyfrowej zgody (16 lat). Środki, które podejmuje w celu weryfikacji, muszą być proporcjonalne do charakteru i ryzyka działań związanych z przetwarzaniem.

Jeżeli użytkownik oświadczy, że jest w wieku uprawniającym go do wyrażenia cyfrowej zgody, administrator powinien skontrolować takie oświadczenie. Brak weryfikacji może skutkować nielegalnym przetwarzaniem danych osobowych dziecka. Jest to znaczące wykroczenie.

Podkreślenia wymaga, że weryfikacja wieku dziecka nie może prowadzić do nadmiernego przetwarzania informacji o nim. Mechanizm wybrany do weryfikacji wieku osoby, której dane dotyczą, powinien obejmować ocenę ryzyka związanego z proponowanym przetwarzaniem. Niekiedy zatem, gdy ryzyko jest niskie, wystarczy jedynie, aby użytkownik podał swoją datę urodzenia przed wejściem na stronę internetową. Działanie administratora musi być zatem dostosowane do indywidualnych okoliczności sprawy.

Polecamy:

Czy to pracodawca ustala kiedy następuje przerwa pracownicza?

Naruszenie ochrony danych osobowych – jaka dokumentacja jest wymagana?

Rejestr zastrzeżonych numerów PESEL – czy zwiększy ochronę obywateli?

OFERTY PRACY
Asystent projektanta sieci elektroenergetycznych

T-Energy Sp. z o. o.

Warszawa

Biuro projektowe z branży elektroenergetycznej poszukuje kandydata na Asystenta Projektanta Sieci…

Sprzedawca/Doradca Techniczny

Pneumatyka.eu Sp. z o. o.

Starogard Gdański

DOŁĄCZ DO NAS I KREUJ SUKCES W BRANŻY SPRĘŻONEGO POWIETRZA!

 

Działamy w branży sprężonego powietrza na terenie…

Monter konstrukcji stalowych

Mateusz Jastrzębski Matt-Tech

Niemcy

Witam,
Poszukujemy pracowników na stanowisko Monter konstrukcji stalowych.
Praca polega na skręcaniu gotowych elementów…

Specjalista

iKancelaria.biz Jakub Rezler

Poznań

Szukamy osoby zajmującej się księgowością zdalną fundacji oraz fundacji rodzinnej 

Więcej ofert pracy
Zapytaj eksperta
Porady Online
  1. Wypełnij formularz.
  2. Wycena do 15 minut.
  3. Gotowa porada nawet w 60 minut.
Sprawdź nas
Zobacz również
Wzory dokumentów
Zobacz wszystkie wzory
TEMATY ARTYKUŁÓW
obowiązek wykonywania innych poleceń pracodawcy kapitał początkowy umowa zlecenie z cudzoziemcem elastyczny czas pracy niższe wynagrodzenie po ustaniu zatrudnienia zwolnienie lekarskie przedawnienie odprawy kredyt 2% podstawa zasiłku chorobowego dyskryminacja w przyznawaniu premii uznaniowej wynagrodzenie za urlop niewykorzystany urlop urlop macierzyński premia uznaniowa i regulaminowa odejść z pracy bez okresu wypowiedzenia urlop rodzicielski ile dni na dostarczenie l4 status osoby bezrobotnej pozorna umowa o pracę praca zdalna za granicą ochrona zatrudnienia rodziców nowy polski ład bon turystyczny szczepienia pracowników zmniejszenie renty socjalnej wynagrodzenia kierowców świadczenie 500+ świadczenia rodzinne rko wniosek o emeryturę stres cyfrowy mieszkanie bez wkładu

Zobacz wszystkie tematy