Czy w jednym działaniu można pozyskać zgodę na przetwarzanie danych dla kilku administratorów danych

Zgodnie z art. 23 ust. 1 ustawy o ochronie danych osobowych (uodo) przetwarzanie danych jest dopuszczalne tylko po spełnieniu jednego z określonych w tym przepisie warunków (tzw. przesłanek). Podstawową przesłanką przetwarzania danych osobowych innych osób jest wyrażenie przez te osoby zgody na przetwarzanie ich danych. Zgoda konkretnej osoby na przetwarzanie jej danych osobowych została zdefiniowana w ustawie o ochronie danych osobowych. Chodzi tu o takie oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa to oświadczenie. Oświadczenie woli to zaś każde zachowanie człowieka wyrażające jego wolę w sposób dostateczny. Mówiąc wprost: osoba powinna zachować się tak, aby było wiadomo, iż zgadza się na przetwarzanie danych osobowych. Natomiast zgoda taka nie może być:

• domniemana,
• dorozumiana z oświadczenia woli o innej treści,
• udzielona z zastrzeżeniem, że osoba udzielająca zgody zrzeka się możliwości jej odwołania w każdym czasie.

Zakaz domniemywania zgody dotyczy sytuacji, gdy zachowanie osoby nie wyraża woli w sposób dostateczny, ale „domyślamy się” woli w tym zachowaniu na podstawie różnych okoliczności. Zgoda nie może być także dorozumiana z oświadczenia woli o innej treści.

Zgoda na przetwarzanie danych osobowych zawsze powinna wskazywać na to:

• kto jest administratorem danych,
• jakie dane osobowe są przekazywane administratorowi danych,
• w jakim celu administrator danych może te dane przetwarzać.

Wyrażający zgodę musi mieć pełną świadomość tego, na co się godzi. Stanowisko takie wyraził np. Naczelny Sąd Administracyjny w wyroku z 4 kwietnia 2003 r. (II SA 2135/2002). Wskazanie administratora danych powinno nastąpić zgodnie z prawem i możliwie precyzyjnie. Oznacza to konieczność wskazania takich informacji, jak:

• w przypadku osób fizycznych – imię i nazwisko, adres miejsca zamieszkania lub miejsca prowadzenia działalności gospodarczej, numer PESEL,
• w przypadku osób prawnych – firma, adres siedziby, numer wpisu do właściwego rejestru (np. numer wpisu do KRS), numer NIP, wysokość kapitału zakładowego (w przypadku spółek kapitałowych).

Określenie danych osobowych przekazywanych administratorowi danych także musi być możliwie konkretne. Chodzi tu przy tym nie o wskazywanie w treści zgody konkretnych danych osobowych (np. Jan Kowalski, urodzony 15 maja 1986 r.), ale kategorii tych danych (np. imię i nazwisko, data urodzenia). Same dane osobowe mogą być przekazane niezależnie od zgody, np. w osobnym dokumencie. Konieczność tak dokładnego określania poszczególnych elementów zgody wynika z omawianego wcześniej wymogu, aby oświadczenie woli wyrażało wolę w sposób dostateczny. Nie inaczej jest i z trzecim elementem – celem przetwarzania danych. Cele muszą być wskazane konkretnie, na przykład:

• „do celów przeprowadzenia postępowania kwalifikacyjnego na stanowisko kierownika zespołu”,
• „na cele wzięcia udziału w konkursie Moto Lato”.

Zgoda powinna zostać wyrażona dobrowolnie i swobodnie. Warunku swobody nie znajdziemy wprawdzie w polskiej ustawie, ale został on zamieszczony w art. 2 lit. h dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Prawo europejskiej zdefiniowało bowiem zgodę osoby jako „konkretne i świadome, dobrowolne wskazanie przez osobę, której dane dotyczą, na to, że wyraża przyzwolenie na przetwarzanie odnoszących się do niej danych osobowych”. Konkretność i świadomość omówiliśmy wyżej, jak zaś sformułować formuły zgody tak, aby była ona swobodna?

Swoboda ma polegać na możliwości autonomicznego podjęcia przez daną osobę decyzji o tym, czy chce ona, aby ktoś inny przetwarzał jej dane osobowe. Co może ograniczyć tę swobodę? Zarówno sama treść oświadczenia o zgodzie, jak i okoliczności towarzyszące temu oświadczeniu, a nieujęte w samej jego treści. W przypadku udzielania zgody kilku administratorom danych brakiem swobody będzie z całą pewnością zobowiązanie osoby, której dane dotyczą, do udzielenia zgody wyłącznie określonym administratorom.

Istnieje możliwość jednoczesnego (tj. w tym samym czasie, za jednym działaniem) pobrania zgody na przetwarzanie danych osobowych przez różnych administratorów danych i w różnych celach (w tym także w celu komunikacji marketingowej), ale muszą być przy tym zachowane następujące zasady. Po pierwsze osobie, której dane dotyczą, nie można przedstawić do podpisania (lub „zaptaszkowania” w przypadku strony internetowej) jednego oświadczenia zgody obejmującego kilka celów przetwarzania danych lub kilku administratorów danych. Po drugie, rozwiązaniem najmniej ryzykownym z punktu widzenia ewentualnej kontroli Generalnego Inspektora Ochrony Danych Osobowych jest sporządzenie tylu oświadczeń o zgodzie, ilu mamy potencjalnych administratorów danych i celów przetwarzania tych danych.

• przetwarzanie w celach marketingu produktów lub usług administratora danych,
• przetwarzanie w celach marketingu produktów lub usług podmiotów innych niż administrator danych,
• używanie telekomunikacyjnych urządzeń końcowych w celu prowadzenia marketingu bezpośredniego,
• otrzymywanie informacji handlowej drogą elektroniczną.

Po trzecie, formuła zgody na przetwarzanie danych osobowych musi być odrębnym oświadczeniem. Oznacza to, że nie tylko nie należy robić „multiformuł” zawierających kilka odrębnych zgód na przetwarzanie danych (bądź to przez różnych administratorów, bądź na różne cele), ale nie należy także łączyć zgody na przetwarzanie danych osobowych z innymi oświadczeniami. Na przykład w treści zgody na przetwarzanie danych osobowych nie powinno się znajdować upoważnienie administratora danych lub innego podmiotu do potrącania jakichś należności czy też potwierdzenie prawidłowego wykonania określonych prac.

Zakaz łączenia zgód zarówno między sobą, jak i z innymi oświadczeniami, nie oznacza, że na jednej stronie dokumentu (lub na jednym formularzu na stronie internetowej) nie można zamieścić wszystkich tych oświadczeń woli. Taka możliwość jak najbardziej istnieje, ale należy pamiętać, aby każde z tych oświadczeń było wyraźnie wyodrębnione. To wyodrębnienie powinno się przejawiać przede wszystkim ze względu na:

• budowę zdań (jedna zgoda = jedno zdanie),
• ujęcie wizualne (np. osobna rubryka albo akapit dla każdej ze zgód),
• ujęcie funkcjonalne (np. osobna kratka do zaznaczenia każdej ze zgód).

Przy uzyskiwaniu zgody na przetwarzanie danych osobowych bardzo często mylone są zupełnie różne pojęcia:

• przetwarzanie danych osobowych do celów marketingu własnego,
• zgoda na przetwarzanie danych osobowych do celów marketingu,
• zgoda na otrzymywanie informacji handlowych drogą elektroniczną.

1. Przetwarzanie danych osobowych do celów marketingu własnego

Jeżeli administrator danych przetwarza dane osobowe konkretnej osoby za jej zgodą, to może używać tych danych w celach wskazanych w tej zgodzie. Oprócz tego jednak może także przetwarzać dane do celu tzw. marketingu własnego. Otóż administrator danych ma prawo przetwarzać posiadane przez siebie dane m.in., gdy jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Tym prawnie usprawiedliwionym celem może być m.in. marketing bezpośredni własnych produktów lub usług administratora danych.

Podsumowując: można wysyłać informacje reklamowe do osoby, która powierzyła administratorowi swoje dane osobowe, ale pod warunkiem, że administrator reklamuje wyłącznie swoje (a nie cudze) towary lub usługi i działanie takie nie narusza praw i wolności osoby, której dane dotyczą (np. nie jest to reklama nachalna, spam). Na to działanie nie trzeba żadnej dodatkowej zgody osoby powierzającej swoje dane.

2. Zgoda na przetwarzanie danych osobowych do celów marketingu

Jeżeli administrator danych chce przetwarzać dane osobowe w celu marketingu towarów lub usług innych podmiotów, to wówczas konieczne jest uzyskanie na to osobnej zgody tej osoby. I ta właśnie zgoda jest potocznie nazywana zgodą marketingową. Powinna ona być udzielana niezależnie od innych oświadczeń składanych administratorowi, a od jej udzielenia nie można uzależniać zawarcia umowy czy wykonania żadnych działań.

3. Zgoda na otrzymywanie informacji handlowych drogą elektroniczną

Ta zgoda nie ma nic wspólnego z ochroną danych osobowych i jest regulowana osobną ustawą z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną. Generalnie jest zakaz przesyłania niezamówionej informacji handlowej kierowanej do osób fizycznych za pomocą środków komunikacji elektronicznej. Nie można więc wysyłać do konkretnych osób np. wiadomości poczty elektronicznej zawierających informację handlową, jeżeli osoby te wcześniej nie zamówiły takiej informacji. Informacja ta jest zaś zamówiona, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji. Zasadniczo udzielenie takiej zgody nie jest więc powiązane z danymi osobowymi w tym sensie, że:

• samo przekazanie przez konkretną osobę jej danych osobowych administratorowi nie uprawnia jeszcze administratora danych do wysyłania tej osobie informacji handlowych drogą elektroniczną,
• do wysyłania konkretnej osobie informacji handlowych drogą elektronicznej potrzebna jest zgoda tej osoby na otrzymywanie informacji handlowych drogą elektroniczną oraz podanie przez tę osobę przynajmniej adresu elektronicznego (np. adresu poczty elektronicznej).

Poniżej znajdują się przykładowe oświadczenia (składane przy rejestracji nowego użytkownika na stronie internetowej) dotyczące zgody na przetwarzanie danych osobowych, zgody marketingowej oraz zgody na przesyłanie informacji handlowych drogą elektroniczną.