Konstrukcja zgody w rodo – 8 warunków, by była prawidłowa

Data: 06-06-2016 r.

Ogólne rozporządzenie o ochronie danych osobowych zrewolucjonizuje zasady ochrony danych osobowych w całej Unii Europejskiej, w tym w Polsce. Wprowadzi ono wiele zmian, jedna z nich dotyczy sposobu pozyskiwania zgody na przetwarzanie danych osobowych. Przeczytaj, czym nowy proces zbierania zgód będzie różnił się od obecnego.

Warunki, jakie powinna spełniać zgoda na przetwarzanie danych określa art. 7 rodo. Są to:

1. Na początek zgoda

To na ADO spoczywać będzie obowiązek udowodnienia, że posiada podstawę prawną, w tym przypadku zgodę, na przetwarzanie danych. Unijny ustawodawca podkreśla, że zgoda musi zostać udzielona przed rozpoczęciem przetwarzania danych osobowych.

Zgoda na przetwarzanie danych osobowych powinna być udzielona za pomocą klarownego, potwierdzającego czynność działania lub oświadczenia złożonego w formie pisemnej lub ustnej. Nie wchodzi w grę późniejsze załączenie klauzuli zgody, np. z wysłaną przez ADO klauzulą obowiązku informacyjnego.

2. Trzy sposoby wyrażania zgody

Niezmienne pozostają cechy charakterystyczne zgody. Zgoda powinna być udzielona za pomocą klarownego, potwierdzającego czynność działania lub oświadczenia złożonego w formie pisemnej lub ustnej. Nie wystarcza zatem samo powiadomienie o zamiarze przetwarzania danych i brak sprzeciwu z drugiej strony. Zgoda może polegać na:

  1. zaznaczeniu okienka wyboru podczas przeglądania strony internetowej,
  2. wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też
  3. na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane warunki przetwarzania jej danych osobowych.

3. Automatyczne zaznaczanie zgody zabronione

Zgoda na przetwarzanie danych nie może być domniemana ani dorozumiana z innego oświadczenia woli, czyli musi być złożona odrębnie. Należy ją oddzielić od innych składanych oświadczeń. Musi być przy tym dobrowolna, konkretna oraz świadoma. Obecnie powszechną praktyką jest automatyczne zamieszczanie przez administratorów danych osobowych na ich stronach internetowych pól (domyślnie zaznaczonych) z wyrażeniem zgody na przetwarzanie danych osobowych. Unijne przepisy położą temu kres. Nielegalne będzie także uznanie milczenia lub niepodjęcia określonej czynności czy też zaniechania działania za wyrażenie zgody.

4. Zakaz łączenia zgód na przetwarzanie danych

Częstą praktyką jest łączenie zgody na przetwarzanie danych osobowych w celach marketingowych, wynikającej z uodo, ze zgodą na przesyłanie drogą elektroniczną informacji handlowych, o której mowa w przepisach ustawy o świadczeniu usług drogą elektroniczną.

W tej sytuacji trudno mówić o możliwości podjęcia swobodnej i nieskrępowanej decyzji o przetwarzaniu danych osobowych. Identyczny zakaz łączenia zgód, o których mowa wcześniej, wynikać będzie także z rozporządzenia unijnego.

5. Klauzula zgody musi być jasna i przejrzysta

Klauzula zgody musi być skonstruowana i przedstawiona w sposób jasny i przejrzysty, w tym pozwalający na identyfikację czy też odróżnienie od innych składanych w tym samym czasie i miejscu oświadczeń. Osoba wyrażająca zgodę musi wiedzieć, że jej zgoda jest udzielona na konkretną czynność. Jeśli podmiot danych ma udzielić zgody w odpowiedzi na elektroniczne zapytanie, musi być ono jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.

6. Konkretna zgoda

Zgoda musi być konkretna. Niedopuszczalna jest ogólna zgoda bez określenia dokładnego celu przetwarzania. Aby zgoda była konkretna, musi być zrozumiała – powinna wyraźnie i precyzyjnie odnosić się do zakresu oraz konsekwencji przetwarzania danych.

7. Odrębna zgoda dla każdego odrębnego celu

Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Brak zgody lub zebranie nieważnych zgód może oznaczać odpowiedzialność finansową ADO – nawet 20 mln euro kary lub 4% całkowitego rocznego światowego obrotu firmy z poprzedniego roku obrotowego.

8. Zgoda wyrażona bez przymusu

Zgodnie z art. 7 ust. 4 rodo: „Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy”.

Niedopuszczalne jest zatem uzależnienie zawarcia umowy od wyrażenia zgody na przetwarzanie danych w celach marketingowych. Zgoda na przetwarzanie danych osobowych musi być zawsze podjęta dobrowolnie, bez przymusu czy groźby, inaczej jest nieważna.

Łukasz Onysyk, ekspert ds. ochrony danych osobowych, zajmuje się usługami konsultingowymi z zakresu ochrony danych osobowych, doradzał ponad 200 podmiotom z sektora prywatnego i administracji publicznej

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Biznesplan

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

Polecane artykuły

Polecamy kancelarię:

Array ( [docId] => 39081 )
Array ( [docId] => 39081 )

Array ( [docId] => 39081 )