Zgoda na przetwarzanie danych osobowych powinna być świadomym działalniem

Sylwia Czub-Kiełczewska
Specjalista ds. ochrony danych osobowych i informacji niejawnych
rozwiń więcej
RODO - jak powinna być wyrażona zgoda na przetwarzanie danych osobowych? fot. shutterstock
RODO, a szczególnie preambuła, przyniosło odpowiedzi na pytanie, jak skutecznie pozyskiwać pozyskiwać zgodę i kiedy jest ona uważana za domniemaną lub nieważną. Świadomy gest jest bardzo istotnym aspektem wyrażenia zgody, który może ułatwić administratorom oraz osobom, których dane dotyczą wzajemną komunikację i współpracę.

Zgoda jako „świadome działanie”

W zasadzie ogólne rozporządzenie o ochronie danych osobowych [RODO] nie zmieniło nic w zakresie sposobu uzyskiwania zgody na przetwarzanie danych, gdyż w naszej ustawie o ochronie danych osobowych już od samego początku zdefiniowano „zgodę, jako oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści (uchylona uodo: Dz.U.2016 poz. 922). Jednakże to sformułowanie definicji zgody powodowało problem z interpretacją, jaką formę powinno przyjąć oświadczenie woli, a także jakie dane osoby, której dane dotyczą należy pozyskać biorąc od niej zgodę.

RODO, a szczególnie preambuła, przyniosło odpowiedzi na pytanie, jak skutecznie pozyskiwać pozyskiwać zgodę i kiedy jest ona uważana za domniemaną lub nieważną.

Polecamy: Serwis Inforlex RODO 3 m-ce + książka RODO dla kadrowych i HR

Formy wyrażenia zgody

Zgoda może być (motyw 32 RODO):

  • złożona na piśmie
  • ustna
  • wyrażona poprzez świadomy gest
  • elektroniczna, np. poprzez zaznaczenie checkbox lub kliknięcie „zgadzam się”

Świadomy gest jest bardzo istotnym aspektem wyrażenia zgody, który może ułatwić administratorom oraz osobom, których dane dotyczą wzajemną komunikację i współpracę. Wyobraźmy sobie sytuację, że podczas dużego wydarzenia, organizator podczas rejestracji uczestników przedstawi im prosty regulamin imprezy, z którego będzie wynikało, że wydarzenie będzie dokumentowane fotograficznie oraz filmowo. Uczestnik może wyrazić zgodę na rozpowszechnianie jego wizerunku na zasadach określonych w regulaminie na przykład poprzez wybór koloru smyczy lub silikonowej bransoletki. Są to proste i skuteczne rozwiązania, które później pozwalają administratorowi dokonać łatwego wyboru zdjęć uczestników, którzy wyrazili świadomą zgodę. Podobnie zamieszczenie przed tak zwaną „ścianką” tablicy informacyjnej, że pozowanie oznacza zgodę na rozpowszechnianie wizerunku. Należy jednak pamiętać, że administrator ma obowiązek udowodnienia, że rzeczywiście uczestnik wyraził zgodę. Istotne jest także uwzględnienie zasady ograniczonego czasu przechowywania/rozpowszechniania/wykorzystywania danych pozyskanych na podstawie zgody. Artykuł 5 RODO wskazuje, że dane powinny być przechowywane przez rozsądny okres czasu, do wyczerpania celu przetwarzania. Nie należy bać się usuwania danych zebranych do celów promocyjnych. Po pewnym czasie ich atrybut promocyjny zupełnie wygasa, a koszty przechowywania materiałów oraz dowodów pozyskania zgody rosną.

Czy zgoda musi być odrębna

Sporną kwestią jest, czy samo wysłanie zgłoszenia udziału w konkursie lub naciśnięcie guzika „zapisz” nie wystarczy za „świadomy gest” potwierdzający zgodę na przetwarzanie danych. Opinie w tej sprawie są różne, osobiście uważam, że jeżeli zgoda ma być „świadoma”, a ja jako administrator muszę udowodnić, że faktycznie ją pozyskałam, a nie domniemałam, wolę uzyskać odrębne oświadczenie. Wynika to też z faktu, że ludzie przyzwyczaili się do tego, że są proszeni o zaznaczenie „wyrażenia zgody na przetwarzanie danych” i mogą uznać, że jeżeli nic nie musieli zaznaczać, to nie wyrazili zgody. Trudno w pewnym stopniu nie zgodzić się z ich argumentacją.

Obowiązek gromadzenia dowodów

Naprawdę nie lubię prosić o zgodę na przetwarzanie danych. Jeżeli tylko jest to możliwe, korzystam z innych przesłanek legalizujących przetwarzanie danych, zgodnie z artykułami 6 i 9 RODO. Każda uzyskana zgoda to potencjalny koszt związany z jej przechowywaniem, inwentaryzowaniem, a także jej wycofaniem. Pozyskując zgodę muszę pamiętać, że jej wycofanie musi być równie łatwe, jak wyrażenie. A czas przechowywania dowodu pozyskania zgody, musi być równy czasowi przetwarzania danych, np. fotografii na stronie. Nim dłużej dane są przetwarzane, tym koszty rosną. Dodatkowo w przypadku zgody wyrażonej, jako świadome działanie, muszę przechowywać regulamin/zdjęcia tablic informacyjnych podczas imprezy/nagrania wideo z gestem zgody (podniesienie ręki, kiwnięcie głową, itp.). Równie kosztowne będzie przechowywanie nagrań głosu. Dodatkowo dochodzi konieczność inwentaryzacji danych, aby można było później dotrzeć do właściwego dowodu pozyskanej zgody.

Realizacja prawa osoby, której dane dotyczą

Osoba, której dane dotyczą musi być w stanie łatwo wycofać wyrażoną zgodą, a także skorzystać z innych praw przysługujących jej na mocy artykułów 15-22 RODO. W związku z tym w momencie gromadzenia jej danych (art. 13 RODO) lub najpóźniej przy pierwszym kontakcie (art. 14 RODO) administrator wypełnia obowiązek informacyjny. W praktyce, jeżeli zgoda została wyrażona w formie działania, obowiązek powinien zostać wypełniony wcześniej (np. poprzez przekazany regulamin) lub w momencie dokonywania zgody (np. można przekazać jej kartkę z niezbędnymi informacjami, spotkałam się z takim rozwiązaniem na dużych eventach, gdzie fotograf pytał o zgodę, a jeśli ktoś się zgodził, hostessa dawała fotografowanemu klauzulę informacyjną). W praktyce wolę jednak uzyskać zgody, o ile to możliwe, podczas rejestracji (np. przez formularz elektroniczny), a następnie jedynie rozdać znaczniki (np. smycze).

Jedna zgoda na tożsame cele przetwarzania

Jeżeli cele przetwarzania są tożsame wystarczy jedna zgoda, np. uczestnik konkursu wyrażając zgodę na udział w konkursie zgadza się na przetwarzanie jego danych w celu dodania do bazy uczestników, oceny pracy konkursowej przez jurorów, powiadomienia o przejściu do kolejnego etapu/wygranej, pozyskania danych do wysłania nagrody, w przypadku wygranej. W czasach „przed RODO”, spotykałam się z praktyką zbierania odrębnej zgody na każdy ze wskazanych celów, w myśl zasady „jedna zgoda na jeden cel przetwarzania”. Oczywiście w przypadku różnych celów, np. udział w konkursie oraz otrzymywanie newsletteru, nadal niezbędne są odrębne zgody.

Polecamy serwis: Prawa konsumenta

Prawo
Czy 3 maja trzeba iść do kościoła i jest to święto nakazane?
03 maja 2024

3 maja wypada święto kościelne Matki Bożej Królowej Polski. Czy 3 maja idzie się do kościoła i jest to święto nakazane?

Zewnętrzne zagrożenie bezpieczeństwa państwa. Prezydent skierował projekt ustawy do Sejmu
03 maja 2024

Prezydent RP Andrzej Duda skierował do Sejmu projekt ustawy o działaniach organów władzy państwowej na wypadek zewnętrznego zagrożenia bezpieczeństwa państwa. Projekt zakłada m.in. powołanie nowego Dowództwa Połączonych Rodzajów Sił Zbrojnych oraz likwidację niejasności w obszarach kompetencyjnych organów władzy publicznej.

Czy można robić grilla na balkonie w bloku? Jakie są przepisy?
02 maja 2024

Majówka zwykle zaczyna sezon na grillowanie. Co roku wracają te same pytania np. o to czy można robić grilla na balkonie w bloku? Jakie są przepisy? Sprawdźmy, czy można dostać mandat za grilla na balkonie.

Marszałek Hołownia: jestem absolutnie przekonany, że teraz idzie czas flagi
02 maja 2024

Te czasy flagi, bo jestem absolutnie przekonany, że teraz idzie czas flagi, pokazują, że jak mamy flagę to mamy siebie, nawzajem. Flaga była po to, żeby ludzie gromadzili się wokół; dzisiaj tego bycia ze sobą bardzo nam trzeba - powiedział marszałek Sejmu Szymon Hołownia w Dzień Flagi RP.

Matura 2024 r. Sprawdź czy rozwiążesz maturę z matematyki 2023 r. [Formuła 2023 r. arkusz egzaminacyjny CKE]
02 maja 2024

Sprawdź, czy rozwiążesz arkusz z matematyki z "Matura 2023 r."

Wreszcie podwyżki w samorządach. O 700 zł - 1000 zł [rozporządzenie, projekt]
02 maja 2024

Podwyżka wyniesie od  700 do 1000 zł. I dotyczy osób zarabiających najmniej w samorządach.

Dodatkowe 100 zł miesięcznie dopłaty do prądu. Niezależnie od bonu energetycznego. Sprawdź, dla kogo. Budżet to 30 mln zł.
03 maja 2024

Dodatkowe 100 zł miesięcznie dopłaty do prądu. Niezależnie od bonu energetycznego. Celem jest zapobieganie rezygnacji z leczenia. PFRON przeznaczy na ten cel 30 mln złotych.

System kaucyjny: Zwrot butelek szklanych w każdym sklepie. Projekt ustawy trafił do konsultacji
02 maja 2024

Projekt ustawy o zmianie ustawy o gospodarce opakowaniami i odpadami opakowaniowymi trafił do konsultacji społecznych i uzgodnień. Projektowane regulacje dotyczą systemu kaucyjnego, który ma obowiązywać od 2025 r.

Bon senioralny od 1 stycznia 2026 r. Komu będzie przysługiwał, na jakich zasadach, w jakiej wysokości? Pieniądze w ramach KPO
02 maja 2024

W ramach finansowania z KPO, od 1 stycznia 2026 r. wprowadzony zostanie bon senioralny przysługujący osobom w wieku powyżej 75. lat, które będą potrzebowały pomocy w codziennych czynnościach. Wartość bonu senioralnego ma wynosić maksymalnie 2150 zł miesięcznie. Komu dokładnie będzie przysługiwał, na jakich zasadach?

pokaż więcej
Proszę czekać...