Zespół prawny
A.M. Jesiołowscy-Finanse sp. z o.o.
Wprowadzenie
Dzisiejsza analiza koncentruje się na dokumentowaniu zgody na przetwarzanie danych osobowych pozyskiwanej od wszystkich osób, których dane zamierza przetwarzać nasza firma (klientów, kontrahentów, pracowników, osób powiązanych itp.), oraz na dokumentowaniu jej odwołania. Poniższe rozważania rozwina problematykę poruszoną we wcześniejszym artykule, tj.: „Prawny charakter zgody na przetwarzanie danych osobowych”
Niniejsza część obejmuje wątki związane wyłącznie z dokumentacją wykazującą realizację obowiązków administratora (a praw z punktu widzenia osoby, której dane dotyczą). W celu poszerzenia informacji o teoretyczno-praktycznych aspektach tych zagadnień, zachęcam do zapoznania się z wymienioną powyżej analizą opublikowaną na naszym blogu.
Dokumentacja zgody osoby, której dane dotyczą
Jak wynika z art. 6 ust. 1 lit. a RODO, przetwarzanie jest zgodne z prawem między innymi wtedy, gdy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów. Jeśli chodzi o szczególne kategorie danych osobowych, tzw. dane wrażliwe, podstawę prawną stanowić będzie art. 9 ust. 2 lit. a RODO, wymagający do legalnego przetwarzania między innymi wyraźnej zgody osoby, której dane dotyczą. Warto przy tym podkreślić, iż odbieranie zgody na przetwarzanie danych osobowych nie ma charakteru absolutnego, tzn. istnieją sytuacje, w których przetwarzanie danych osobowych np. klienta czy kontrahenta wynika z innych przepisów RODO i odrębny dokument zgody nie będzie konieczny. Przykładem takim może być przetwarzanie danych osobowych w celu wystawienia faktury – wynika ono z art. 5 ust. 1 lit. c RODO,dotyczącym przetwarzania danych adekwatnych, stosownych oraz ograniczonych do tego, co niezbędne do celów („minimalizacja danych”). Jeśli więc osoba, z którą podejmujemy współpracę poda nam dane niezbędne do wystawienia faktury, wówczas sama czynność wystawienia nie jest uzależniona od dodatkowego oświadczenia zgody takiej osoby.
Co do treści samego dokumentu, przepisy RODO pozostawiają administratorom pewną swobodę. Istotnym jest, by zgoda spełniała definicję z art. 4 pkt 11 RODO: była dobrowolna, konkretna, świadoma i jednoznaczna. Ma ona przybrać postać okazania woli, w którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Nie musi być wyrażona na piśmie, a nawet nie musi być wyrażona słowami. W praktyce jednak, mimo, że wiele zgód może być prawnie ważnych, pojawia się problem wykazania ich złożenia (na wypadek kontroli ze strony UODO). Zgodnie bowiem z treścią art. 7 ust. 1 RODO, „Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.”. Stąd najbezpieczniejszym rozwiązaniem będzie zbieranie od konkretnych osób indywidualnych oświadczeń woli, które – co ważne – będą miały taką formę, aby po czasie było możliwe wykazanie, iż osoby, których dane dotyczą faktycznie zgodziły się na przetwarzanie swoich danych osobowych. Przepisy rozporządzenia nie narzucają więc konkretnej formy dokumentu, jedynym ograniczeniem jest konieczność wykazania zgody przez administratora.
Niemniej jednak, pewne wskazówki co do formy uzyskania zgody daje nam treść motywu 32 preambuły RODO:
„Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia.
Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych.
Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody.
Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.”.
Należy zwrócić uwagę na dwie kwestie. Po pierwsze, zgoda powinna być wyrażona osobno na różne czynności przetwarzania danych osobowych, dlatego we wzorze (formularzu) zgody wykorzystywanym w firmie (bądź na jej stronie internetowej) powinna być określona konkretna czynność, której zgoda dotyczy (a nie wszystkie czynności przetwarzania łącznie). Wynika to z motywu 43 preambuły RODO, wedle którego:
„Aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach. Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna.”.
Po drugie, trzeba pamiętać, iż zgoda może być częścią innego dokumentu podpisywanego przez osobę, której dane dotyczą (np. umowy współpracy z naszą firmą, umowy o pracę w przypadku pracowników itd.). Należy więc zwrócić uwagę na to, by osoba ta była świadoma wyrażanej zgody oraz jej zakresu, co najprościej ująć przez odrębne sformułowanie oświadczenia o zgodzie (np. jako jeden z załącznik głównego dokumentu). W tym zakresie pomocne jest sięgnięcie do treści motywu 42 preambuły RODO, który stanowi:
„Jeśli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania.
W szczególności w przypadku pisemnego oświadczenia składanego w innej sprawie powinny istnieć gwarancje, że osoba, której dane dotyczą, jest świadoma wyrażenia zgody oraz jej zakresu.
Zgodnie z dyrektywą Rady 93/13/EWG 10 oświadczenie o wyrażeniu zgody przygotowane przez administratora powinno mieć zrozumiałą i łatwo dostępną formę, być sformułowane jasnym i prostym językiem i nie powinno zawierać nieuczciwych warunków.
Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych.
Wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.”.
Biorąc pod uwagę powyższe kryteria, przykładowy wzór zgody na przetwarzanie danych osobowych może przybrać następującą postać:
Zgoda na przetwarzanie danych osobowych
numer zgody … (nie jest konieczny, jednak ogromnie ułatwia zarządzanie oświadczeniami o wyrażeniu zgody, w przypadku dużej liczby takich dokumentów, można wygenerować nawet odrębną ewidencję zgód w celu optymalizacji ich wyszukiwania)
Administrator danych osobowych (słowa: „administrator danych osobowych” mogą być zastąpione pełną nazwą administratora danych) informuje, że wyrażona dalej zgoda może być w dowolnym momencie wycofana przez osobę, która ją wyraża.
Administrator informuje, że w przypadku wycofania zgody, przetwarzanie danych osobowych do momentu wycofania zgody jest zgodne z prawem.
Wyrażam zgodę na przetwarzanie następujących dotyczących mnie danych osobowych: … … …
przez … … … (tu pada pełna nazwa administratora danych).
Dane osoby, która wyraża zgodę: … … …
Data wyrażenia zgody …
Podpis osoby, która wyraża zgodę … (nie jest on konieczny, gdyż zgoda może być wyrażona np. ustnie, jednak z ostrożności, tym bardziej w przypadku prowadzenia dokumentacji papierowej, najbezpieczniej będzie aby administrator odbierał podpisane oświadczenia dotyczące zgody – wówczas nie ma ryzyka w zakresie wykazania faktu uzyskania zgód w przypadku kontroli)”
Oczywiście powyższa treść jest jedynie przykładowa – administrator danych musi ją samodzielnie dostosować do zakresu przetwarzanych danych i celów. Inaczej będzie też wyglądała zgoda wyrażana na papierze, a inaczej np. na stronie internetowej firmy. Dlatego powyższy wzór ma jedynie charakter poglądowy.
Warto wreszcie wypunktować najczęściej pojawiające się błędy w zakresie odbierania zgody, które pojawiają się w praktyce, a których należy stanowczo unikać:
– błąd dokumentu wynikający z faktu przyjęcia i odnotowania milczącej zgody na przetwarzanie danych osobowych, bądź stwierdzenia, że zgoda zaszła wskutek niepodjęcia działania przez osobę, której dane dotyczą,
– błąd dokumentu wynikający z faktu, iż okienko (tzw. check box) w interfejsie, którego zaznaczenie na „tak” oznacza wyrażenie zgody, zaznaczony był domyślnie na „tak” (bardzo częsta sytuacja na różnych stronach internetowych, takie działanie jest sprzeczne z dyrektywą opisaną w motywie 32 preambuły RODO),
– błąd związany z udzielaniem zgody na przetwarzanie danych osobowych, polegający na utrudnianiu osobie, której dane dotyczą, wycofania zgody na przetwarzanie swoich danych, bądź też po prostu brak zapewnienia możliwości wycofywania zgody w sposób równie łatwy jak jej składania,
– błąd polegający na odbieraniu zgody przy jednoczesnym istnieniu innej przesłanki dopuszczalności przetwarzania danych osobowych (przykład wystawienia faktury),
– błąd polegający na wnioskowaniu, iż skoro ktoś wyraził zgodę na czynność, do wykonania której konieczne są dane, to tym samym wyraził zgodę na przetwarzanie danych (potrzebne jest odrębne oświadczenie, najlepiej w odrębnym dokumencie, a jeśli zgoda jest częścią innego dokumentu, powinna być wyraźnie oddzielona i zaakceptowana),
– błąd polegający na takim odbieraniu zgody, że nie wiadomo dokładnie jaki jest jej zakres.
Wycofanie zgody na przetwarzanie danych osobowych
Dokumentacja wycofania zgody na przetwarzanie danych osobowych jest w pewnym zakresie analogiczna do jej udzielenia. Prawo do wycofania zgody wynika z treści art. 7 ust. 3 RODO, stanowiącego:
„Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.”.
Przepis ten wydaje się bardzo czytelny i nie ma sensu szerzej go omawiać. Dla porządku trzeba jedynie zaznaczyć, iż oświadczenie o wycofaniu zgody powinno spełniać te same cechy, co jej oświadczenie o jej udzieleniu, a więc stosownie do treści art. 4 pkt 11 RODO powinno być dobrowolne, konkretne, świadome i jednoznaczne. Analogicznie do czynności udzielenia zgody, czynność jej wycofania nie musi być wyrażona na piśmie a nawet słowami, jednak w celu jej późniejszego wykazania administrator powinien się zabezpieczyć i wprowadzić w swojej organizacji odpowiedni dokument wycofania zgody. Może przyjąć ono postać, jak w poniższym przykładzie:
Wycofanie zgody na przetwarzanie danych osobowych
numer wycofywanej zgody (niekonieczny, lecz zalecany, w przypadku numerowania zgód, każdy numer wycofania zgody powinien być powiązany z numerem dokumentu jej wyrażenia w odniesieniu do konkretnej osoby)
Administrator danych … (można użyć pełnej nazwy administratora danych) informuje, że wyrażona dalej zgoda może być w dowolnym momencie wycofana przez osobę, która ją wyraża.
Administrator informuje, że w przypadku wycofania zgody, przetwarzanie danych osobowych do momentu wycofania zgody jest zgodne z prawem.
Wycofuję zgodę na przetwarzanie następujących dotyczących mnie danych osobowych … … … przez: … … … (tu pada pełna nazwa administratora danych).
Data wycofania zgody: …
Dane osoby, która wycofuje zgodę: … … …
Podpis osoby, która wycofuje zgodę: … (niekonieczny, ale wskazany w celu wykazania realizacji obowiązku)
Podsumowanie
Dokumentacja związana z uzyskiwaniem zgody na przetwarzanie danych osobowych oraz jej wycofania jest warunkiem sine qua non legalnego funkcjonowania praktycznie każdej firmy. Pozornie może się wydawać, iż z przepisów RODO nie wynika zobowiązanie do jej pisemnego uzyskiwania, jednak dla celów dowodowych (wykazania, iż dane są przetwarzane zgodnie z wolą danej osoby), zaleca się skrupulatną i uporządkowaną dokumentację realizacji tego obowiązku. W niektórych przypadkach jej uzyskanie nie jest wymagane – wówczas jednak przetwarzanie danych osobowych musi być oparte na innej podstawie prawnej. Sama klauzula zgody powinna w pełnym brzmieniu zawierać takie elementy jak:
– nazwę podmiotu przetwarzającego dane,
– cele przetwarzania danych osobowych,
– określenie czynności przetwarzania, objętych odrębnie wyrażaną zgodą,
– informacje o prawie do cofnięcia zgody w każdej chwili i bez podawania powodu, lecz bez wpływu na zgodność z prawem przetwarzania danych osobowych przed cofnięciem,
– skutki niewyrażenia lub późniejszego cofnięcia zgody,
– informację, czy wyrażenie zgody jest obowiązkowe do skorzystania z określonej usługi,
– oświadczenie woli o wyrażeniu zgody, a jeżeli zgoda jest wyrażona poprzez wyraźne działanie potwierdzające – informację o tym, jakie działanie spowoduje skutek w postaci wyrażenia zgody,
– wskazanie gdzie można znaleźć pełną klauzulę informacyjną.
Przy cofnięciu zgody na przetwarzanie danych osobowych należy pamiętać przede wszystkim, iż musi ono być tak samo łatwe, jak jej wyrażenie, nie może powodować negatywnych konsekwencji dla osoby, której dane dotyczą (musi być bezpłatne i nie może powodować obniżenia poziomu usługi), jak również może odbywać się w inny sposób, niż jej wyrażenia (chyba, że zgoda była wyrażana przez interfejs użytkownika – wówczas również cofnięcie zgody odbywa się poprzez ten interfejs).
Oczywiście dokumentowanie obowiązku związanego z uzyskaniem i wycofaniem zgody nie jest jedynym warunkiem zgodnego z prawem przetwarzania danych osób związanych z naszą firmą. Kolejnymi elementami są odpowiednie dokumenty wykazujące realizację obowiązków informacyjnych oraz uprawnień konkretnych osób w zakresie swoich danych. Dokumenty te zostaną omówione w kolejnej analizie omawiającej obowiązkową dokumentację w zakresie RODO.
Źródła:
J. Rzymowski, RODO – GDPR. Obowiązkowa dokumentacja przetwarzania danych osobowych z punktu widzenia administratora, Oficyna Wydawnicza „Impuls”, Kraków 2019.
W. Szczygielska (red.), Dokumentacja ochrony danych osobowych według RODO, Wyd. Wiedza i Praktyka, Warszawa 2018.
A. Sagan-Jeżowska, Ochrona danych osobowych w małej i średniej firmie. Kontrola poprawności wdrożenia RODO. Metodyka, procedury, wzory, Wyd. C.H. Beck, Warszawa 2018.