Zgoda na przetwarzanie danych osobowych nie jest czymś nowym w naszym prawie. Często pytacie nas, czy zgody na przetwarzanie danych osobowych zbierane przed 25 maja 2018r. będą nadal aktualne po rozpoczęciu stosowania RODO. Wiemy, że tego nie lubicie, ale odpowiedź brzmi: „to zależy”. ?
Zgody, które uzyskaliście będąc administratorem nadal będą obowiązywać i nie jest konieczne zbieranie ponownych zgód pod warunkiem, że są one zgodne z wytycznymi określonymi w RODO. Przede wszystkim wdrażając RODO musimy jako administratorzy sprawdzić, czy mechanizm wyrażania zgody na przetwarzanie danych osobowych jest zgodny z nowymi wymogami.
Czym więc powinna charakteryzować się taka zgoda? Zgoda na przetwarzanie danych osobowych, zgodnie z definicją wskazaną w RODO oznacza:
- dobrowolne,
- konkretne,
- świadome i
- jednoznaczne
okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
Teraz spróbujemy rozszyfrować poszczególne cechy składające się na tę definicję.
Co znaczy dobrowolne? Przede wszystkim, to, że jako podmiot danych mamy rzeczywisty i wolny wybór, czy wyrazimy zgodę na przetwarzanie danych osobowych oraz to, że mamy możliwość odmowy jej wyrażenia, albo późniejszego jej wycofania bez narażenia na niekorzystne konsekwencje. Zgodnie z RODO każdy cel przetwarzanie równa się odrębna zgoda. Jeżeli jest kilka celów przetwarzania danych osobowych, na każdy cel potrzebne jest uzyskanie odrębnych zgód. Zgoda może obejmować różne operacje, ale operacje te muszą służyć temu samemu celowi. Administrator, zgodnie z motywem 42 RODO, musi być w stanie wykazać, że możliwe jest odmówienie lub wycofanie zgody bez niekorzystnych konsekwencji. Ponadto zgoda nie będzie dobrowolna jeśli mamy do czynienia z sytuacją powiązania realizacji umowy lub usługi z zapytaniem o zgodę na przetwarzanie danych osobowych, które nie są niezbędne do realizacji tej umowy lub usługi.
Przechodząc do kolejnej cechy należy wskazać, że zgoda konkretna, to zgoda jak najbardziej szczegółowa, wskazująca cel przetwarzania. Trzeba pamiętać o wyodrębnieniu zgody od innych kwestii. Oznacza to, że informacje dotyczące uzyskania zgody na przetwarzanie danych osobowych muszą być oddzielone od informacji związanych z innymi kwestiami. Przykładowo nie wplatamy informacji o wyrażeniu zgodę w treść postanowień regulaminu czy umowy. Musi to być wyodrębniona, odróżniająca się informacja.
I z tym wiąże się kolejna cecha prawidłowej zgody. Pamiętajcie, że domyślnie zaznaczone okienka zgody (checkboxy) nie spełniają wymogu świadomego wyrażenia woli. Ważne jest również, aby osobie mającej wyrazić zgodę były przekazane istotne informacje. Grupa Robocza Artykułu 29 wskazuje na konieczność przekazania m.in. informacji: kto jest administratorem; jaki jest cel każdej operacji przetwarzania; jakie dane będą zbierane i wykorzystywane. Nie możemy też zapomnieć o poinformowaniu o prawie do wycofania zgody. Te wszystkie informacje nie mogą jednak brzmieć niezrozumiale, język używany przy formułowaniu zgód musi być jasny, prosty i klarowny.
Cecha jednoznaczności (która nakłada się znaczeniowo na wyżej opisane już cechy) oznacza, że wyrażenie zgody może polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny oznaczać zgody (motyw 32 RODO).
Pamiętaj, że: 1.Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. 3.Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.(art. 7 ust. 1 i 3 RODO) |
Sygnalizujemy też, że RODO wprowadza szczególną ochronę jeśli chodzi o dane osobowe dzieci. W sytuacji bowiem świadczenia usług społeczeństwa informacyjnego oferowanych bezpośrednio osobie, która nie ukończyło 16 lat, gdy podstawą przetwarzania jest zgoda tej osoby, przetwarzanie danych możliwe jest wyłącznie po uzyskaniu uprzedniej zgody osoby sprawującej władzę rodzicielską lub opiekę nad dzieckiem. RODO wskazuje, że państwa członkowskie mogą przewidzieć w swoim prawie niższą granicę wiekową, która musi wynosić co najmniej 13 lat. Taka granica wiekowa (13 lat) została również wskazana w PROJEKCIE polskiej ustawy o ochronie danych osobowych, na którą to ustawę z niecierpliwością czekamy ?.
Mam pytanie 🙂 Rozumiem, że ogólnie rzecz ujmując Checbox może być, z tym, że musi być szczegółowo rozwinięty i mieć możliwość zaznaczenia go przez osobę, która ma wyrazić ową zgodę na przetwarzanie danych?
Checkbox z formułą zgody nie może być domyślnie zaznaczony. Musi być puste okienko, które możemy zaznaczyć wyrażając w ten sposób świadomą zgodę 😉