Aktualna pozycja: HomeBlog o prawie

Dane osobowe po nowemu (5), czyli jak skutecznie uzyskać zgodę na ich przetwarzanie?

 

Obowiązująca ustawa o ochronie danych osobowych stanowi, że przetwarzanie danych jest dopuszczalne tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie jej danych, względnie gdy zachodzą inne wymienione przesłanki (np. jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, dane przetwarzane są w celu wykonania umowy, której stroną jest osoba udostępniająca swoje dane, czy w sytuacji gdy dane przetwarzane są dla dobra publicznego). Tak zwana klauzula zgody powinna być sformułowana  jako  oświadczenie woli, którego treścią jest zgoda konkretnej osoby na przetwarzanie danych osobowych. Istotne jest, że zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści oraz że może być odwołania w każdym czasie.

 

Kiedy należy uzyskać zgodę na przetwarzanie danych

 

W dotychczasowym systemie prawnym brak było jednoznacznego określenia momentu, w którym przedsiębiorca powinien uzyskać zgodę osoby zainteresowanej na przetwarzanie jaj danych osobowych. Jak wynika z mojego  doświadczenia, bardzo często była ona uzyskiwana już po przystąpieniu do ich przetwarzania. Ogólne Rozporządzenie o Danych Osobowych (RODO) nie pozostawia już wątpliwości -  od maja 2018 roku zgoda na przetwarzanie danych ma mieć charakter uprzedni względem samego przetwarzania. Innymi słowy, należy ją uzyskać zanim przedsiębiorca przystąpi do wykonywania operacji na cudzych danych osobowych, tj. już przed rozpoczęciem ich gromadzenia.

 

Treść zgody

 

Wyrażenie zgody na przetwarzanie danych osobowych następuje zwykle poprzez podpisanie lub zaakceptowanie w inny sposób klauzuli zgody. Klauzula ta, zgodnie z RODO, powinna zostać sformułowana jasnym, prostym i zrozumiałym językiem. Powinno z niej dokładanie wynikać:

  1. jakie dane osobowe będą przetwarzane przez przedsiębiorcę,
  2. w jakich konkretnie celach będą one przetwarzane,
  3. jakie operacje będą na nich wykonywane (właściciel danych powinien mieć możliwość wyrażenia bądź niewyrażenia zgody na każdą operację przetwarzania danych z osobna),
  4. kto będzie administratorem danych osobowych (nazwa i dane kontaktowe).

 

W klauzuli zgody koniecznie trzeba będzie także poinformować zainteresowaną osobę, że zgodę na przetwarzanie danych osobowych można w każdej chwili wycofać oraz wskazać, w jaki sposób powinno to nastąpić.

 

Sposób wyrażenia zgody

 

RODO nie narzuca formy, w jakiej powinna zostać wyrażona zgoda na przetwarzanie danych osobowych. Przeciwnie, może ona przybrać dowolną postać, np. pisemnego (w tym elektronicznego) lub ustnego oświadczenia woli. Wyrażenie zgody może również polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba udostępniająca swoje dane zaakceptowała proponowany sposób ich  przetwarzania.

 

Zgodnie z RODO, nie uznaje się za wyrażenie zgody na przetwarzanie danych milczenia osoby, której dane dotyczą, czy braku jej aktywności. Zakazane jest również domyślne (automatyczne) zaznaczanie przez administratorów na stronach internetowych pól z wyrażeniem zgody na przetwarzanie danych. Dotychczas proceder ten był dosyć powszechny i nadal można spotkać się z nim na niektórych portalach internetowych.  

 

Mając na względzie, że administrator musi być w stanie wykazać, że osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych, najbezpieczniejszą z jego punktu widzenia formą zgody będą rozwiązania pozwalające na archiwizowanie złożonych oświadczeń. W tym zakresie zdecydowaną przewagę – ze względu na ułatwienia dowodowe - ma tradycyjna forma pisemna lub forma elektroniczna.

 

Zakaz nakłaniania do wyrażenie zgody

 

Dążąc do uzyskania zgody na przetwarzanie danych osobowych, w żadnym razie nie można stosować  jakichkolwiek form nacisku na właściciela danych. W przeciwnym bowiem razie nie zostanie spełniona przesłanka dobrowolności jej wyrażenia. Oceniając, czy zgodę wyrażono dobrowolnie bierze się pod uwagę przede wszystkim, czy od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi. Zakaz ten nie dotyczy jednak sytuacji, gdy dane są niezbędne do wykonania tejże umowy/usługi (w tym przypadku wyrażenie zgody na przetwarzanie danych osobowych  nie jest konieczne).

 

Prawo do cofnięcia zgody

 

Osoba, której dane dotyczą, powinna mieć prawo do wycofania zgody na ich przetwarzanie w dowolnym momencie, o czym należy ją poinformować. Cofnięcie zgody musi być równie łatwe jak jej wyrażenie. Najprościej, gdy cofnięcie zgody będzie następowało na podstawie oświadczenia osoby, której dane dotyczą, złożonego w takie samej formie, w jakiej została wyrażona zgoda na przetwarzanie.

 

Lista zadań

 

Co zatem zrobić, żeby uczynić zadość stawianym przez RODO wymaganiom dotyczącym zgody na przetwarzanie danych osobowych? Poniżej przedstawiam listę niezbędnych działań, które zagwarantują przedsiębiorcy spokojny sen:

 

  • Uzyskaj zgodę na przetwarzanie danych osobowych od każdej osoby, której dane będziesz przetwarzać (lub upewnij się co do braku obowiązku pozyskiwania takiej zgody);
  • Sformułuj klauzulę zgody prostym i zrozumiałym językiem;
  • Dokładnie wskaż dane administratora danych osobowych, oznacz jakie dane osobowe oraz w jakim celu lub celach będą przetwarzane;
  • Dokładnie określ operacje, jakie będą wykonywane na danych osobowych oraz sformułuj zgodę w taki sposób, by osoba zainteresowana mogła wyrazić zgodę na każdą z nich;
  • Nigdy nie uzależniaj od wyrażenia zgody na przetwarzanie danych zawarcia umowy, jeżeli zgoda taka nie jest niezbędna do jej wykonania, ani też nigdy nie nakłaniaj do wyrażenia zgody w inny sposób, który może skutkować wątpliwościami co do dobrowolności jej wyrażenia;
  • Poinformuj osobę, której dane planujesz przetwarzać o przysługującym jej prawie do cofnięcia zgody, wskazując jednocześnie, w jaki sposób z niego skorzystać;
  • Przechowuj uzyskane oświadczenia.

 

Przepisy RODO będą obligatoryjnie stosowane dopiero w przyszłym roku, tj. od 25 maja 2018 r., ale  już dzisiaj warto wprowadzać powyższe rozwiązania. Będzie to krok do przodu w procesie wdrażania nowych procedur ochrony danych osobowych.

 

Photo by geralt

ZOSTAW SWÓJ KOMENTARZ
© 2016 KSP Legal & Tax Advice. Wszelkie prawa zastrzeżone.
Ta strona używa technologii cookies (ciasteczek). Akceptuję Polityka prywatności