Zgoda jest najpopularniejszą podstawą prawną przetwarzania danych osobowych i to zarówno w przypadku danych zwykłych, jak i szczególnej kategorii. W tym drugim przypadku unijny ustawodawca wprowadził wymóg, by zgoda ta była „wyraźna”. Sprawdź, jakie warunki powinna spełniać zgoda, aby mogła stanowić legalną przesłankę przetwarzania danych osobowych szczególnej kategorii.
Podstawową zasadą ochrony danych osobowych jest reguła legalizmu, rzetelności i przejrzystości, zgodnie z którą dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Przepisy ogólnego rozporządzenia o ochronie danych przewidują zasadniczo zakaz przetwarzania danych osobowych szczególnej kategorii czyli wrażliwych. Są to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych. Poza tym do danych wrażliwych zalicza się dane genetyczne i dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej a także dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
Art. 9 ust. 2 RODO przewiduje wyjątki od tego zakazu stanowiące zarazem podstawy przetwarzania danych wrażliwych. Jedną z podstaw przetwarzania takich danych jest tytułowa zgoda. O pozostałych 9 przypadkach, w których przetwarzanie danych wrażliwych jest dopuszczalne, przeczytasz w artykule: Dane osobowe wrażliwe – czym są i jak je przetwarzać
Dane wrażliwe mogą być przetwarzane na podstawie zgody, o której mowa w art. 9 ust. 2 pkt 1 RODO. Zgoda na przetwarzanie danych wrażliwych musi spełniać ogólne wymogi zgody na przetwarzanie danych. Zgoda podmiotu danych to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych (art. 4 pkt 11 RODO).
W każdym przypadku, niezależnie od tego, czy przetwarzamy dane zwykle, czy też szczególnej kategorii, zgoda na ich przetwarzanie musi być stosowana świadomie. Nie można zbierać zgody prewencyjnie, „na wszelki wypadek”, skoro można skorzystać z innych podstaw przetwarzania.
Zgoda musi też mieć charakter dobrowolny. W żadnym wypadku od tej zgody nie można uzależniać wykonania umowy, jeżeli jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.
Jak wynika z wytycznych Grupy Roboczej Art. 29, zgoda jest właściwa podstawą przetwarzania danych, gdy osoba, której dane dotyczą, ma zapewnioną możliwość sprawowania kontroli oraz rzeczywistą możliwość wyboru. Dlatego administrator danych osobowych musi każdorazowo ocenić, czy spełni wszystkie wymogi uzyskania ważnej zgody określone w art. 7 RODO.
Nie w każdym przypadku zgoda na przetwarzanie danych osobowych szczególnej kategorii musi więc być uzewnętrzniona w formie oświadczenia. Zgodą na gruncie RODO, będzie bowiem także „działanie potwierdzające”. Koresponduje to z rozumieniem oświadczenia woli na gruncie polskiego Kodeksu cywilnego. Zawsze jednak z treści zgody powinno w sposób niebudzący wątpliwości wynikać, w jakim celu, i w jakim zakresie zgoda jest udzielana. Osoba udzielająca zgody musi być w pełni świadoma, na co i po co się godzi.
Zgodnie z art. 60 Kodeksu cywilnego oświadczenie woli to wola osoby dokonującej czynności prawnej, która może być wyrażona przez każde zachowanie się tej osoby, ujawniające jej wolę w sposób dostateczny, w tym również przez ujawnienie tej woli w postaci elektronicznej, chyba że przepisy szczególne stanowią inaczej. Innymi słowy oświadczenie woli jest uzewnętrznieniem woli osoby fizycznej, które zaczyna wywoływać skutki prawne z chwilą, w której dana osoba (której oświadczenie zostaje złożone), mogła się z tym oświadczeniem woli zapoznać (a nie zapoznała się).
Dlatego z treści zgody powinno w sposób niebudzący wątpliwości wynikać, w jakim celu, i w jakim zakresie zgoda jest udzielana. Osoba udzielająca zgody musi mieć pełną świadomość tego, na co i po co się godzi.
Dodatkowy wymóg co do zgody jako podstawy przetwarzania danych osobowych sformułowany został dla danych szczególnej kategorii. Zgoda na ich przetwarzanie musi być „wyraźna” i to zarówno jako oświadczenie, jak i działanie potwierdzające. Ma na to na celu - jak wskazała Grupa Robocza Art. 29 w wytycznych dotyczących zgody na mocy RODO (17/PL WP259) – zapewnienie podmiotowi danych wysokiego poziomu kontroli nad tymi danymi.
Przede wszystkim musi być to działanie podmiotu danych. Zachowanie wywołujące skutki prawne może wprawdzie polegać zarówno na działaniu (gdy postępujemy w myśl określonego wzoru zachowania), jak i na zaniechaniu (wtedy, kiedy powstrzymujemy się od działania). Niemniej jednak zgodą na przetwarzanie danych osobowych może być jedynie wyraźne działanie, ale nie zaniechanie. Musi więc zajść interakcja pomiędzy administratorem a podmiotem danych, przy czym interakcja ta ma wiązać się z aktywnością a nie biernością osoby udzielającej zgody na przetwarzanie danych.
Wyraźna zgoda na przetwarzanie danych osobowych nie może być domniemywana.
Jak wynika z motywu 32 RODO: (..)Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w jednym lub kilku konkretnych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.”
Zgoda może być więc odczytana jako wyraźna, jeżeli nie ma żadnych wątpliwości czy dana osoba na coś się zgodziła, czy też nie. Jak wskazał Naczelny Sąd Administracyjny w wyroku z 4 kwietnia 2003 r. (sygn. akt II SA 2135/02): "Zgoda na przekazywanie danych musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania. Czynności takiej nie konwaliduje późniejsze poinformowanie o treści regulaminu, ani możliwość zgłoszenia zastrzeżeń wobec pewnych form przetwarzania danych". Wskazówka interpretacyjna zawarta w tym wyroku znajduje aktualność także w okresie obowiązywania RODO.
Z całą pewnością takie warunki spełni pisemne oświadczenie. Takie rozwiązanie rekomenduje też Grupa Robocza Art. 29 w wytycznych.
To jednak nie jedyne rozwiązanie. Aby pozyskać zgodę na przetwarzanie danych osobowych możemy również posłużyć się innymi kanałami komunikacji np. drogą elektroniczną:
Administrator nie może przy tym zapominać o regule rozliczalności i tym, aby móc wykazać fakt jej pozyskania (bezpieczeństwo dowodowe).
Klinika chirurgii estetycznej prosi o wyraźną zgodę pacjenta na przekazanie jego dokumentacji medycznej do eksperta, do którego klinika zwraca się o drugą opinię na temat stanu pacjenta. Dokumentacja medyczna jest w formie pliku cyfrowego. Z uwagi na szczególny charakter tych informacji klinika prosi o podpis elektroniczny osobę, której dane dotyczą, w celu uzyskania ważnej wyraźnej zgody oraz aby móc wykazać, że uzyskano wyraźną zgodę.
Przeczytaj także: RODO umożliwia ustne wyrażenie zgody na przetwarzanie danych osobowych
W każdym przypadku stosowanie zgody osoby, której dane dotyczą jako podstawy przetwarzania danych wrażliwych musi być świadome i konkretne. Administrator musi bowiem zyskać pewność, że przetwarzanie danych osobowych na tej podstawie, jest działaniem celowym, a nie „na wszelki wypadek”. Ani administrator, ani też osoba, która udziela zgody na przetwarzanie danych, nie mogą mieć wątpliwości co do celu i sensu jej wyrażenia.
Pobierz wzór oświadczenia o zgodzie na przetwarzanie danych szczególnej kategorii.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl