Prawo i podatki,

Prawny charakter zgody na przetwarzanie danych osobowych

Zespół prawny

A.M. Jesiołowscy-Finanse sp. z o.o.

Wprowadzenie

W ostatniej analizie zostały przedstawione zasady przetwarzania danych osobowych na gruncie RODO. Do prawidłowego dysponowania danymi osobowymi wymagana jest zgoda osoby, której dane dotyczą. Bez niej bowiem przetwarzanie danych konkretnej osoby może zostać uznane za działanie wbrew jej woli, a co za tym idzie – bezprawne, co można wywieść m.in. z art. 6 ust. 1 lit. a czy art. 9 ust. 2 lit. a RODO. W niniejszym artykule zostaną omówione kwestie pojęcia zgody i jej determinantów określonych w RODO, jak również wymogów koniecznych do skutecznego jej wyrażenia. Pozwoli to bliżej przyjrzeć się obowiązkom, jakie ciążą na administratorach danych w związku z ich przetwarzaniem.

Pojęcie zgody i jej elementy konstrukcyjne

Zgodnie z definicją legalną, zawartą w art. 4 pkt 11 RODO: „zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Jak wynika z powyższej definicji, zgoda może być wyrażona zarówno poprzez złożenie wyraźnego oświadczenia oświadczenia (pisemnego czy ustnego), jak i w sposób dorozumiany (per facta concludentia). Przez złożenie oświadczenia należy posiłkować się definicją zawartą w art. 60 Kodeksu cywilnego, zgodnie z którą oświadczeniem woli danej osoby jest każde zachowanie się tej osoby, które ujawnia jej wolę w sposób dostateczny, w tym również przez ujawnienie tej woli w postaci elektronicznej.

Jak wskazuje się w doktrynie charakter zgody obejmuje 4 obligatoryjne elementy:

  • dobrowolność
  • konkretność
  • świadomość
  • jednoznaczność.

Dobrowolność

Dobrowolność zgody oznacza, iż osoba, której dane dotyczą, ma rzeczywisty lub wolny wybór co do udzielenia zgody oraz może jej odmówić lub ją wycofać bez niekorzystnych konsekwencji. Z wymogiem jej zagwarantowania łączy się uprawnienie do rzeczywistego wycofania zgody, brak przymusu przy jej odbieraniu oraz możliwość odmowy jej wyrażenia. Brak przymusu oznacza, iż dobrowolna zgoda oznacza decyzję podjętą z własnej inicjatywy przez osobę będącą w pełni władz umysłowych, bez jakiegokolwiek przymusu o charakterze społecznym, finansowym, psychologicznym lub innym (a tym bardziej pod wpływem groźby karalnej).
Oczywiście nie wyklucza to aktywnego zachęcania podmiotu, którego dane dotyczą przez administratora danych do udzielenia zgody i wprowadzenia w pewnym zakresie różnicowania sytuacji prawnej podmiotów, które udzieliły zgody na określoną aktywność administratora względem ich danych, od podmiotów, które takiej zgody nie udzieliły (np. przystąpienie do programu lojalnościowego i czerpanie przysługujących z tego tytułu korzyści, czy zgodę na przesyłanie informacji handlowych w zamian za otrzymanie zniżki lub możliwość zapoznania się z określonymi treściami, w innym przypadku płatnymi, lub ściągnięcia e-booka).
Warto również podkreślić, iż zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna. Potwierdza to treść art. 7 ust. 4 RODO, zgodnie z którym „Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.”.

Konkretność

Jak przyjmuje się w doktrynie, aby wymóg konkretności zgody był spełniony, nie może ona w szczególności nie zawierać informacji na temat celu przetwarzania lub podawać je w sposób ogólny, blankietowy czy też odnosić się do otwartego zbioru czynności przetwarzania. By zatem zgoda była konkretna, w sposób zrozumiały musi określać wyraźnie i precyzyjnie cel oraz zakres przetwarzania. Nie musi to być, rzecz jasna jeden cel, gdyż przy takim rozumowaniu należałoby implikować, iż koniecznym do zachowania wymogu konkretności jest odbieranie osobnego aktu oświadczenia odnośnie każdego celu przetwarzania danych. Zdaniem części doktryny wystarczające jest jedno oświadczenie odnoszące się do większej liczby określonych celów, co można argumentować brzmieniem art. 6 ust. 1 lit. a RODO – ważne by cele te były dostatecznie sprecyzowane. Co więcej, jeśli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, musi ono być jasne, zwięzłe, a przy tym nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.

Świadomość

Świadomy charakter zgody jest bardzo silnie skorelowany z wymogiem jej konkretności. Aby zgoda była świadoma, administrator w chwili zwracania się o zgodę musi przedstawić wszystkie niezbędne informacje i powinny one dotyczyć istotnych aspektów przetwarzania. W tym kontekście należy stwierdzić, iż warunkiem świadomości wyrażenia zgody, jest spełnienie przez administratora obowiązków informacyjnych z art. 13 RODO (w przypadku osoby, której dane dotyczą) i 14 RODO (w przypadku innej osoby).

Zgodnie z pierwszym z przepisów:

„Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:

  • swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
  • gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
  • cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
  • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  • gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.


Co więcej, zgodnie z art. 13 ust. 2 RODO poza informacjami, o których mowa w ust. 1, administrator podaje osobie, której dane dotyczą, następujące informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą:

  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  • informacje o prawie wniesienia skargi do organu nadzorczego;
  • źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Stosownie do art. 13 ust. 3 RODO, Informacje, o których mowa w ust. 1 i 2, administrator podaje:

  • w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
  • jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
  • jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

Z kolei jak wynika z z art. 13 ust. 4 RODO, jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.

Jednoznaczność

Ostatnim z konstytutywnych wymogów zgody na przetwarzanie danych osobowych jest wymóg jednoznaczności zgody. Zdaniem P. Fajgielskiego, wymóg, aby oświadczenie o zgodzie było jednoznaczne, oznacza, że wyrażenie zgody nie powinno budzić wątpliwości co do zamiaru osoby, która takie oświadczenie składa, zatem jeżeli oświadczenie o zgodzie można różnie interpretować i wyciągać z niego odmienne wnioski w przedmiocie zgody, to może pojawić się wątpliwość co do spełnienia omawianej tu przesłanki.

Sposób i warunki wyrażenia zgody

Jeśli chodzi o sposób i warunki wyrażenia zgody, to jak już zostało wspomniane wcześniej, nie musi mieć ono wyłącznie formy pisemnej, może nastąpić także w postaci elektronicznej, ustnie, a nawet w sposób konkludentny. Jednakże nieprzypadkowo administratorom danych rekomenduje się odbieranie oświadczeń o wyrażeniu zgody na przetwarzanie danych osobowych na piśmie. Zgodnie bowiem z art. 7 ust. 1 RODO, jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. Jeśli więc dany podmiot decyduje się na odbiór oświadczenia ustnego, powinien zabezpieczyć się na wypadek zabezpieczenia dowodów, np. poprzez rejestrację oświadczenia (o której jednak również należy uprzednio poinformować daną osobę, która musi wyrazić zgodę na taką czynność). Stwarza to oczywiście dodatkowe trudności, dlatego optymalną formą wyrażania zgody jest tradycyjna forma pisemna (jednak autonomię w decyzji co do sposobu odebrania oświadczenia posiada administrator danych).
Klauzule dotyczące zgody na przetwarzanie danych osobowych powinny być łatwe do zrozumienia dla przeciętnego człowieka. Odnosi się to nie tylko do użycia „prostego i jasnego języka”, ale także do takich determinantów, jak krój czy wielkość czcionki.
Przepisy RODO nie określają też czasu obowiązywania zgody, jednak – co już zostało uprzednio zasygnalizowane – osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę (art. 7 ust. 3 zdanie pierwsze RODO). Jednakże wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest informowana o możliwości wycofania zgody, zanim ją wyrazi. Co ważne, wycofanie zgody musi być równie łatwe jak jej wyrażenie. Należy także podkreślić, iż zarówno wyrażenie zgody, jak i jej wycofanie mogą być zawarte również przez pełnomocnika, na podstawie szczegółowego upoważnienia określającego wyraźnie, w jakim zakresie zgoda na przetwarzanie danych mocodawcy ma być przez pełnomocnika udzielona (pełnomocnictwo rodzajowe, a tym bardziej – pełnomocnictwo ogólne – są w takiej sytuacji niewystarczające).

Wymogi dotyczące zgody udzielanej przez dziecko

Na koniec warto wspomnieć o pewnej specyfice wyrażania zgody na przetwarzanie danych osobowych przez osoby najmłodsze, nie posiadające pełnej (a w pewnych przypadkach nawet ograniczonej) zdolności do czynności prawnych. Zgodnie z art. 8 ust. 1 RODO, jeżeli zastosowanie ma art. 6 ust. 1 lit. a), w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody. Ponadto, Państwa członkowskie mogą przewidzieć w swoim prawie niższą granicę wiekową, która musi wynosić co najmniej 13 lat – w Polsce jednak takie działania nie zostały podjęte, zatem zastosowanie mają ogólne reguły wynikające z przepisów RODO.
W przypadkach zgody udzielanej w imieniu dziecka (najczęściej przez rodzica) administrator, uwzględniając dostępną technologię, podejmuje rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała (art. 8 ust. 2 RODO). Sformułowanie „podejmuje rozsądne działania”, nie oznacza, iż administrator ma obowiązek każdorazowej weryfikacji, czy osoba wyrażająca zgodę jest rzeczywiście rodzicem bądź opiekunem dziecka, wystarczające jest podjęcie próby tym zakresie. Jak wskazuje P. Fajgielski, W praktyce mogą być przyjmowane różne rozwiązania mające pozwolić na weryfikację, np. rozmowa telefoniczna czy też konieczność potwierdzenia przez e-mail. Zdaniem Autora, „komentowany przepis nie nakłada też explicite obowiązku sprawdzenia, czy osoba osiągnęła wymagany wiek, jednak należy przyjąć, że ustanowienie tego rodzaju wymogu odnoszącego się do wieku pociąga za sobą konieczność dokonywania przez administratora weryfikacji spełnienia tego wymogu”.

Podsumowanie

Od skutecznie wyrażonej zgody na przetwarzanie danych osobowych zależy jego legalność. Jeśli bowiem zgoda nie została wyrażona, bądź jej wyrażenie nie spełnia wymogów dobrowolności, świadomości, konkretności i jednoznaczności, administrator danych osobowych będzie je przetwarzał w sposób bezprawny. Równie ważny jest sposób i warunki udzielenia samej zgody, o których mowa w przepisach RODO. O ich przestrzeganie musi dbać przede wszystkim podmiot przetwarzający, gdyż to on jest obowiązany do wykazania, że przetwarzane przez niego dane nie naruszają przepisów rozporządzenia (a więc również, że doszło do wyrażenia skutecznej zgody na przetwarzanie danych).

Źródła:

  • Bielak-Jomaa Edyta, Lubasz Dominik, Chomiczewski Witold, Czerniawski Michał, Drobek Piotr, Góral Urszula, Kuba Magdalena, Łuczak Joanna, Makowski Paweł, Witkowska-Nowakowska Katarzyna i Zawadzka Natalia. RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. Wolters Kluwer Polska, 2018.
  • Fajgielski Paweł. Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz. Wolters Kluwer Polska, 2018.