W dzisiejszym wpisie chcieliśmy przybliżyć Wam tematykę zgody, jako jednej z autonomicznych podstaw przetwarzania danych osobowych, wprowadzonych przez RODO.
Po wejściu w życie w/w Rozporządzenia (RODO), wszelkie źródła przekazu zostały zdominowane przez „wyrażanie zgody na przetwarzanie danych”, w przeróżnych konfiguracjach i sytuacjach. W związku z obawami o zgodność z RODO, przedsiębiorcy zaczęli w sposób masowy zbierać zgody na przetwarzanie danych od szerokiego kręgu osób, niejako „na wszelki wypadek”, żeby uniknąć zarzutów działania niezgodnie z prawem.
Nie wszyscy jednak zdają sobie sprawę, że ta ugruntowana już na rynku tendencja do powszechnego zbierania zgód „na wszystko”, może okazać się brzemienna w skutkach, a wręcz niebezpieczna dla prowadzonego przez przedsiębiorców procesu przetwarzania danych osobowych.
Dlatego też uprzedzając poniższe wyjaśnienie, należy zadać pytanie: „Czy zawsze potrzebujemy zgody osoby, której dane przetwarzamy?” – i od razu odpowiedzieć stanowczo – ABSOLUTNIE NIE!
Żeby wyjaśnić ten temat warto zwrócić uwagę na art. 6 RODO, który stanowi o tym, kiedy możemy przetwarzać dane osobowe (w sytuacji, gdy nie chodzi o szczególne kategorie danych, np. o stanie zdrowia, tzw. „dane wrażliwe”). Zgodnie z nim podstawami prawnymi przetwarzania danych osobowych są:
- Zgoda (art. 6 ust. 1 lit. a);
- Niezbędność przetwarzania do wykonania lub zawarcia umowy, której stroną jest lub ma być osoba, której dane dotyczą (art. 6 ust. 1 lit. b);
- Niezbędność przetwarzania do wykonania obowiązku prawnego administratora (art. 6 ust. 1 lit. c);
- Ochrona żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej (art. 6 ust. 1 lit. d);
- Wykonanie zadania w interesie publicznym lub w ramach sprawowania władzy publicznej (art. 6 ust. 1 lit. e);
- Prawnie uzasadniony interes realizowany przez administratora danych lub przez stronę trzecią (art. 6 ust. 1 lit. f).
Co to oznacza w praktyce?
Otóż każda z tych sytuacji prawnych jest podstawą autonomiczną, co oznacza, że każda z nich, samodzielnie, daje nam podstawę do przetwarzania określonych danych osobowych w określonym celu. Przykładowo, jeżeli dane kontrahenta są nam niezbędne do zawarcia umowy i jej rozliczenia (wystawienia faktury), to podstawą takiego przetwarzania jest dla nas art. 6 ust. 1 lit. b RODO. W takim przypadku bezcelowym jest zatem uzyskiwanie od takiej osoby zgody na przetwarzanie danych.
Zgoda natomiast posiada jeden unikalny przymiot, mianowicie, może być przez osobę, której dane są przetwarzane, cofnięta. To właśnie cofnięcie zgody może powodować daleko idące problemy dla administratora danych. Zgodnie bowiem z opinią doktryny, za niedopuszczalną należy uznać sytuację, gdy dane przetwarzane na podstawie zgody (nawet jeśli ta zgoda nie była wymagana), po jej cofnięciu są przetwarzane z powołaniem się na inną podstawę prawną.
Oznacza to, że jeżeli przedsiębiorca uzyska od osoby zgodę, która nie była wymagana (bo istniała inna podstawa prawna dla przetwarzania danych), a zgoda zostanie cofnięta, to przedsiębiorca może utracić możliwość przetwarzania danych.
Biorąc pod uwagę powyższe, należy, mimo wszystko, pamiętać, że w przypadku, gdy brak jest innych podstaw przetwarzania danych osobowych, wynikających z art. 6 RODO, a przetwarzanie takich danych jest niezbędne w celu realizacji innych celów niż po krótce opisane powyżej w tym artykule, wtedy jesteśmy zobowiązani uzyskać zgodę od osoby, której te dane dotyczą.
Co zatem, jeśli ustalimy, że potrzebujemy uzyskać zgodę na przetwarzanie danych?
Musimy zadbać o to, żeby zgoda była dobrowolna, wyraźna i odnosiła się do konkretnego celu (zgodnie z zasadą: jedna zgoda – jeden cel). Abstrahując od powyższych problemów z prawidłową identyfikacją podstawy prawnej przetwarzania danych, to właśnie indywidualizacja zgody i celu w którym została wyrażona nastręcza sporych problemów administratorom danych (często nawet dużym przedsiębiorstwom).
Forma uzyskania zgody nie została określona w przepisach, zatem może ona być wyrażona w dowolnej formie, teoretycznie więc może być wyrażona w formie ustnej. Pamiętajmy jednak, że to podmiot, który przetwarza dane musi potrafić udowodnić, że uzyskał od osoby, której dane dotyczą, zgodę na ich przetwarzanie w przypadku potencjalnej kontroli przez uprawniony organ.
