Problemy z pozyskiwaniem i wycofywaniem zgody na przetwarzanie danych
Zdaniem wielu ekspertów z zakresu ochrony danych osobowych, zgoda często uważana jest za najsłabszą i najgorszą przesłankę legalizującą przetwarzanie. Niewłaściwy sposób pozyskania zgody czy też jej źle sformułowana treść może prowadzić do jej nieważności. Ponadto wycofanie zgody może także okazać się problematyczne do realizacji dla administratora. Dodatkowo za samą instytucją zgody idą pytania o czas przechowywania, sposób wykazania jej pozyskania oraz problem dotyczący tego, jak i kiedy może być pozyskana zgoda na przetwarzanie danych szczególnych kategorii.
Zgodnie z art. 4 pkt 11 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) "zgoda" osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Panuje przekonanie, iż zgoda jest najsłabszą i najgorszą przesłanką legalizującą przetwarzanie danych osobowych. Szeroki zakres przyczyn wadliwości zgody, problematyka przetwarzania danych szczególnej kategorii w oparciu o zgodę, kwestie związane z jej przechowywaniem i jej wycofaniem sprawiają, że to zagadnienie stanowi skomplikowany obszar dziedziny ochrony danych. W zrozumieniu tej materii mogą pomóc komentarze praktyczne, monografie, analizy i szkolenia, które możesz znaleźć w LEX Ochrona Danych Osobowych.
Kiedy zgoda jest wadliwa?
Istnieje szereg okoliczności, których ziszczenie się sprawia, że wyrażona przez podmiot zgoda staje się obarczona wadliwością. Za najpowszechniejszą należy uznać wymuszenie zgody. Najczęstszym przykładem takiego zjawiska jest wymóg wyrażenia zgody na dostęp do nadmiarowych funkcji w przypadku aplikacji mobilnej. Zezwolenie, by aplikacja, która nie posiada żadnego systemu komunikacji otrzymała dostęp do listy kontaktów jest działaniem nadmiernym, a uzależnienie od tego dostępu do aplikacji stanowi akt wymuszenia zgody. Podobnie wygląda sprawa przy zaznaczonych domyślnie okienkach obok treści zgody, brak oznaczenia, że nie wszystkie zgody są obowiązkowe czy też poprzez "zachętę" - co w szczególności tyczy się zgód na wiadomości marketingowe. Za wadliwą zgodę należy także uznać zgodę na kilka celów przetwarzania w sytuacji, gdy możliwe jest rozdzielenie zgód. Przykładowo w sytuacji, gdy podmiot udziela zgody na przetwarzanie danych dotyczących jego daty urodzenia w celu otrzymywania promocji urodzinowych oraz zgody na otrzymywanie newslettera i przekazywanie jego danych partnerom - takie zgody powinny zostać udzielone osobno. Z kolei wyjątkowo klarowny zdaje się przypadek niezrozumiałych celów przetwarzania tj. sytuacji, w której cele nie zostały jasno określone w punkcie, w którym podmiot wyraża zgodę na przetwarzanie danych, a zamiast objaśnienia celów pojawia się odesłanie do wszelkiego rodzaju polityk prywatności czy regulaminów.
Jak wygląda problematyka wycofania zgody?
Przepisy dotyczące zgody przewidują możliwość jej wycofania w dowolnym momencie, o czym osoby, których dotyczy przetwarzanie danych należy poinformować jeszcze przed wyrażeniem przez nie zgody. W praktyce jednak często stosowane są zabiegi mające na celu utrudnienie wycofania zgody poprzez socjotechniczne wywieranie wpływu na podmiot, którego dane dotyczą. Często pojawiają się sformułowania w postaci nieodwołalnej zgody (co przeczy fundamentalnej zasadzie dobrowolności wyrażania zgody na przetwarzanie danych osobowych). Podobnie wygląda kwestia możliwości wyrażenia zgody na przetwarzanie danych za pośrednictwem środków masowej komunikacji przy jednoczesnym umożliwieniu jej wycofania wyłącznie poprzez osobiste stawiennictwo w oddziale przedsiębiorstwa, weryfikację tożsamości za pomocą skanu dokumentów, bądź też za okazaniem pisemnego uzasadnienia przyczyny wycofania zgody. W kwestii wycofania zgody należy pamiętać, że jej wycofanie musi być równie łatwe jak jej udzielenie. Z tego punktu widzenia zarówno udzielenie, jak i wycofanie zgody są dwiema stronami tej samej samej czynności, toteż zarówno udzielenie, jak i jej wycofanie powinny przebiegać w prosty sposób. Warto przy okazji zaznaczyć, że zgodnie z art. 7 ust. 3 RODO wycofanie zgody nie wpływa na zgodność z prawem przetwarzania danych, którego dokonano przed jej wycofaniem - osoba, której dane dotyczą musi jednak zostać o tym poinformowana jeszcze przed wyrażeniem zgody.
Więcej informacji, nie tylko w temacie zgody na przetwarzanie danych, znajdziesz w LEX Ochrona Danych Osobowych.
Zapraszamy do zapoznania się z najnowszym szkoleniem przeprowadzonym przez ekspertkę LEX Sylwię Czub-Kiełczewską - inspektorkę ochrony danych, praktyka, wykładowczynię akademicką, autorkę komentarzy i książek z dziedziny ochrony danych osobowych.
Dowiesz się z niego m.in.:
- jak właściwie pozyskać zgodę;
- kiedy przetwarzanie należy oprzeć o zgodę,
- w jaki sposób dokumentować zgodę osoby, której dane dotyczą oraz jak realizować jej prawa.
W LEX Ochrona Danych Osobowych znajdziesz wiele publikacji, które pomogą Tobie bliżej zapoznać się z tematyką zgody na przetwarzanie danych osobowych, takich jak m.in.:
- wzory dokumentów, np.
Zgoda na publikację wizerunku w Internecie
Zgoda na przetwarzanie danych osobowych w celach marketingowych
Zgoda kandydata na przetwarzanie danych osobowych na potrzeby rekrutacji
Cofnięcie zgody na przetwarzanie danych osobowych
- eksperckie komentarze praktyczne omawiające zasady pozyskiwania zgód, ich wadliwości oraz nadużywania ich stosowania;
- odpowiedzi na pytania zadawane przez użytkowników LEX ODO dotyczące konkretnych problemów związanych z tym zagadnieniem (obecnie mamy ponad 400 odpowiedzi eksperckich dotyczących zagadnienia zgody jako podstawy przetwarzania danych osobowych);
- nagrania ze szkoleń online, podczas których Eksperci omawiają najważniejsze aspekty związane ze zgodami, a także dzielą się dobrymi praktykami w tym zakresie.
Filip Taraszkiewicz
Redakcja Publikacji Elektronicznych