Przetwarzanie danych osobowych na podstawie zgody
Aktualnie klauzule RODO dołączane są do każdej umowy czy przedstawiane klientowi podczas niemal każdej czynności prawnej, mimo że nie zawsze jest to wymagane. Najczęściej przetwarzanie danych osobowych jest uzasadnione wyrażeniem zgody przez konsumenta. Nie powinno to dziwić, w końcu każda osoba fizyczna musi mieć możliwość wyboru tego, czy chce, aby dany podmiot posiadał ważne informacje o niej i rozporządzał nimi. Uzyskanie zgody na przetwarzanie danych osobowych pozostaje w gestii podmiotu pozyskującego dane, gdyż to na administratorze spoczywa ciężar wykazania wyrażenia takiej zgody. Bez posiadania pisemnej zgody w ewentualnym postępowaniu sądowym może być bardzo ciężkie wykazanie, że konsument był świadomy i, co więcej, pozwolił, aby jego personalia znalazły się w bazie jednostki. Jak zatem powinno wyglądać przetwarzanie danych osobowych na podstawie zgody, aby podmiot przetwarzający nie naraził się na karę administracyjną?
Wyrażenie zgody – w jakiej formie?
Oświadczenie osoby fizycznej na przetwarzanie jej danych osobowych jest wymagane w niemal każdej sytuacji, gdzie jedną stroną zobowiązania czy innej czynności prawnej jest konsument. Niezależnie od tego, czy czynność ta wykonywana jest fizycznie, czy poprzez internet, oświadczenie musi spełniać te same ustawowe warunki.
Oświadczenia o wyrażeniu zgody na przetwarzanie danych osobowych najczęściej jest składane poprzez podpis (w wersji papierowej) lub zaznaczenie checkboxu (w wersji elektronicznej) pod treścią klauzuli przygotowanej wcześniej przez administratora danych. Bardzo często tego typu klauzule nie stanowią samoistnego, oddzielnego zapisu, a są jedynie jednym z elementów innego dokumentu. W tym drugim wypadku oświadczenie o zgodzie musi być przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych zapisów. Są to jedynie kwestie techniczne, jednak z punktu widzenia RODO są one bardzo ważne. Wizualnie taka klauzula musi być odpowiednio wyodrębniona, tak aby konsument był świadomy, że w tym właśnie miejscu pozostawia podpis nie pod np. umową, a jedynie pod zgodą na przetwarzanie danych. Zgoda nie powinna być również zapisana fontem, którego rozmiar czy styl uniemożliwia łatwe zapoznanie się z treścią oświadczenia.
Jaki charakter powinna nosić zgoda na przetwarzanie danych osobowych?
Czy to w formie oddzielnego dokumentu, czy będąc jedynie częścią innego, zapis o przetwarzaniu musi być sformułowany w sposób prosty, zrozumiały i jasny, tak aby jego treść była przystępna dla każdego. Naczelny Sąd Administracyjny wskazał, że zgoda na przetwarzanie danych osobowych musi być wyraźna, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania. Nie spełnia tego wymagania podpisanie oświadczenia o wyrażeniu zgody na przetwarzanie danych stanowiącego dodatkowy element innego zobowiązania niezawierającego informacji o celach i zakresie przetwarzania tych danych.
Zgoda na przetwarzanie danych powinna być zrozumiała. Jak jednak ocenić dany zapis, aby móc z całą stanowczością stwierdzić, że taki jest? Wskazuje się, że najlepszym rozwiązaniem jest przyjęcie wzorca przeciętnej osoby na wzór przeciętnego konsumenta w polskiej ustawie o ochronie konkurencji i konsumentów. Jest to jednak wyłącznie ogólne spojrzenie na sprawę. W niektórych wypadkach wypadałoby sporządzać oświadczenie w inny sposób, bardziej zindywidualizowany. Inaczej bowiem należy podchodzić do zbierania zgód od studentów uniwersytetów czy pracowników naukowych niż do zgód zbieranych np. od osób starszych czy dzieci. W jednym wypadku użyte słownictwo może być bardziej branżowe, specjalistyczne, szczegółowe, w innym o wiele lepszym wyborem będzie użycie słów potocznego użytku, prostych, przy konstrukcji krótkich i niezłożonych zdań.
Podpis złożony pod oświadczeniem niespełniającym wymogów co do formy i treści nie wiąże w całości osoby, której dane dotyczą. Administrator w takim wypadku nie może w ogóle przetwarzać jej danych.
Dobrowolność zgody na przetwarzanie danych osobowych
Oczywiste jest, że zgoda na przetwarzanie danych nie może być wymuszona. Konsument musi mieć czas do zapoznania się z treścią klauzuli oraz namysłu co do skutków wyrażenia takiej zgody. Nie jest to jednak tak oczywiste, w wielu wypadkach podmioty przetwarzające dane mogą bowiem wymusić wyrażenie zgody w sytuacji nierówności między administratorem a podmiotem danych. Może być tak np. w sytuacji, gdy pracodawca grozi pracownikowi zwolnieniem w przypadku, gdy ten nie wyrazi zgody na upublicznienie jego wizerunku (zdjęcia) na stronie internetowej przedsiębiorstwa. Jest to całkowicie niezgodne z zapisami i duchem RODO.
Co więcej, realizacja umowy lub świadczenie usługi nie może być uzależnione od zgody na przetwarzanie danych, które nie są niezbędne do realizacji umowy lub świadczenia usługi. Konieczność wyrażenia zgody co do konkretnych informacji może mieć miejsce wyłącznie w przypadku, gdy bez tych danych nie jest możliwe świadczenie usług. Dla przykładu, w przypadku świadczenia usługi dostawy energii elektrycznej niezbędnymi danymi będą imię i nazwisko odbiorcy oraz adres dostawy energii. Podanie adresu e-mail czy numeru telefonu nie jest niezbędne, przedsiębiorstwo bowiem może się kontaktować z konsumentem drogą pocztową.
RODO stanowczo zakazuje praktyki wymuszania zgód na przetwarzanie danych osobowych w kontekście zawierania umów z konsumentami. Przedsiębiorcy powinni mieć na to szczególną uwagę, nawet nieświadomie mogą bowiem dopuścić się tego czynu, jeżeli nie dość dokładnie przemyślą swoją politykę zbierania i przetwarzania danych.
Wycofanie zgody na przetwarzanie danych osobowych
W klauzuli dotyczącej zgody na przetwarzanie danych osobowych obowiązkowo musi znaleźć się informacja o możliwości jej wycofania. Przekazanie informacji o odwołaniu zgody musi nastąpić jeszcze przed jej wyrażeniem. Oznacza to, że obligatoryjnie administrator danych musi wskazać w oświadczeniu, że osoba, której dane będą przetwarzane, w każdym czasie może swoją zgodę wycofać.
Wycofanie zgody musi być równie proste co jej wyrażenie. Nie może zatem być obwarowane żadnymi warunkami, np. być uzależnione od wykonania jakiejś dodatkowej czynności czy opłacenia usługi. Wystarczy wyłącznie złożenie oświadczenia przez konsumenta, że wycofuje on wcześniej złożoną zgodę na przetwarzanie jego danych osobowych. Podmiot zbierający dane nie może również żądać od osoby, która zgodę wycofuje, aby uzasadniała swoją decyzję.
Wycofanie zgody nie musi mieć jednak takiej samej formy jak jej wyrażanie. Administrator danych powinien stworzyć taki mechanizm, aby nie rodziło to po stronie osoby, której dane dotyczą, większych trudności niż złożenie zgody. Niedopuszczalny jest zatem przypadek, kiedy wyrażenie zgody na stronie internetowej odbywa się przez oznaczenie specjalnego checkboxu, a jej wycofanie możliwe jest wyłącznie poprzez wysłanie pisemnego oświadczenia drogą pocztową.
Jak podkreśla się w doktrynie „wymóg zapewnienia dobrowolności zgody nie oznacza braku możliwości pozytywnego wpływania na osobę, której dane dotyczą, w celu wyrażenia przez nią zgody, która jest pożądana przez administratora danych, np. w kontekście marketingowego przetwarzania danych. Takie działania mogą przybrać postać np. dodatkowych zniżek udzielanych osobom, które wyrażą taką zgodę, czy przyznawania im określonych świadczeń. Należy jednak pamiętać o tym, że skala tego zjawiska, w szczególności wartość świadczeń przyznawanych osobom, które wyrażą zgodę, nie może wpływać na proces decyzyjny po stronie takich osób w ten sposób, aby w konkretnych przypadkach dochodziło do pozbawienia zgody cechy dobrowolności” (por. Litwiński 2021, wyd. 1/Barta/Kawecki/Litwińsk, art. 7 RODO).
Zgoda na przetwarzanie danych osobowych dziecka
Ustawodawca unijny za oddzielną grupę osób fizycznych, których dane są chronione przez RODO, wyróżnił dzieci. Uznał on, że w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku możliwe jest przetwarzanie informacji o dziecku na podstawie zgody wyrażonej samodzielnie przez małoletniego, jeśli ukończył on 16 lat.
Natomiast jeżeli dziecko nie ukończyło 16 lat, przetwarzanie jest możliwe wyłącznie, gdy zgodę wyraziła lub zaaprobowała osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem.
Zgoda może być wyłącznie pobierana przez podmioty, które oferują usługi społeczeństwa informacyjnego. Usługa taka oznacza każdą usługę świadczoną za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług.
Treść klauzuli dotyczącej wyrażenia zgody na przetwarzanie danych kierowana wobec dziecka musi być dostosowana do wieku konsumenta. Informacje muszą być zatem zwięzłe, przejrzyste i sporządzone w sposób przystępny dla każdego. Motyw 58 RODO wskazuje, że wszelkie informacje i komunikaty – gdy przetwarzanie dotyczy dziecka – muszą być sformułowane jasnym i prostym językiem, by dziecko mogło je bez trudu zrozumieć.
Obowiązki administratora a przetwarzanie danych osobowych dziecka
Administrator danych ma obowiązek sprawdzenia tego, czy konsument jego usług osiągnął wiek cyfrowej zgody (16 lat). Środki, które podejmuje w celu weryfikacji, muszą być proporcjonalne do charakteru i ryzyka działań związanych z przetwarzaniem.
Jeżeli użytkownik oświadczy, że jest w wieku uprawniającym go do wyrażenia cyfrowej zgody, administrator powinien skontrolować takie oświadczenie. Brak weryfikacji może skutkować nielegalnym przetwarzaniem danych osobowych dziecka. Jest to znaczące wykroczenie.
Podkreślenia wymaga, że weryfikacja wieku dziecka nie może prowadzić do nadmiernego przetwarzania informacji o nim. Mechanizm wybrany do weryfikacji wieku osoby, której dane dotyczą, powinien obejmować ocenę ryzyka związanego z proponowanym przetwarzaniem. Niekiedy zatem, gdy ryzyko jest niskie, wystarczy jedynie, aby użytkownik podał swoją datę urodzenia przed wejściem na stronę internetową. Działanie administratora musi być zatem dostosowane do indywidualnych okoliczności sprawy.