Aby zgoda na przetwarzanie danych osobowych była uznana za ważną podstawę przetwarzania danych, musi ona spełniać następujące warunki:
musi być wyrażona dobrowolnie,
musi być wyrażona w konkretnym celu,
musi być wyrażona w sposób świadomy,
musi być wyrażona w formie jednoznacznego okazania woli w formie oświadczenia lub wyraźnego działania potwierdzającego,
musi przyzwalać na przetwarzanie danych osobowych osoby, która jej udziela.
Wskazane jest, by przed rozpoczęciem procesu przetwarzania danych osobowych w oparciu o zgodę administrator wnikliwie ocenił i udokumentował ocenę, czy treść, sposób zbierania oraz forma zapytania o zgodę odpowiada ww. warunkom.
Główną cechą zgody jako podstawy przetwarzania danych osobowych jest to, że istnienie tej podstawy przetwarzania danych zależy w całości i wyłącznie od osoby, która udzieliła zgody. Osoba, która udzieliła zgody, ma prawo w dowolnym momencie ją wycofać. Co istotne, wycofanie zgody nie powinno wiązać się z jakimikolwiek negatywnymi konsekwencjami dla osoby, która zgody udzieliła i następnie ją wycofała.
Polskie prawo pracy wprowadza dodatkowe uwarunkowania w odniesieniu do przetwarzania danych osobowych pracowników lub kandydatów do pracy przez pracodawcę na podstawie zgody – konieczne jest ich odpowiednie uwzględnienie w przypadku przetwarzania danych osobowych na podstawie zgody przez pracodawcę.
Czym jest zgoda na przetwarzanie danych osobowych?
Zgoda na przetwarzanie danych osobowych to jedna z podstaw przetwarzania danych. Oznacza to, że jest ona jedną z okoliczności, których wystąpienie powoduje, że administrator danych osobowych może przetwarzać określone dane osobowe. Jeśli jednak administrator danych identyfikuje inną adekwatną podstawę przetwarzania danych (np. przetwarzanie danych jest niezbędne do zawarcia umowy), to przetwarzanie danych osobowych na podstawie zgody będzie nieprawidłowe i jako takie może zostać uznane za działanie naruszające przepisy RODO. Błędne jest więc powszechne przekonanie, że odbieranie zgody zawsze jest najbezpieczniejszym rozwiązaniem.
Przykład. Przepisy Kodeksu pracy wyraźnie określają, jakie dane osobowe może przetwarzać pracodawca. W tym katalogu danych znajduje się m.in. informacja o dacie urodzenia pracownika. Pracodawca przetwarza tego rodzaju dane na podstawie art. 6 ust. 1 pkt c k.p. i odbieranie zgody w tym zakresie byłoby nieprawidłową praktyką.
Zastanawiając się nad tym, jaka jest podstawa prawna przetwarzania danych, warto odpowiedzieć sobie na pytania:
skąd wynika konieczność przetwarzania danych?
czy wynika ona z przepisów prawa?
czy jest to obowiązek czy uprawnienie?
czy podanie tych danych jest niezbędne do zawarcia lub wykonania umowy?
Odpowiedzi na te pytania pomogą ustalić, jaka jest właściwa podstawa przetwarzania danych.
Jakie warunki musi spełniać zgoda?
Aby zgoda na przetwarzanie danych osobowych była uznana za ważną i skuteczną podstawę przetwarzania danych, musi ona spełniać następujące warunki:
musi być dobrowolnie wyrażona,
musi być wyrażona w konkretnym celu,
musi być wyrażona w sposób świadomy,
musi być wyrażona w formie jednoznacznego okazania woli w formie oświadczenia lub wyraźnego działania potwierdzającego,
musi przyzwalać na przetwarzanie danych osobowych osoby, która jej udziela (przy czym w niektórych specyficznych przypadkach zgoda będzie udzielana przez inną osobę, np. gdy rodzic udziela zgody w odniesieniu do danych dziecka).
Gdyby się okazało, że zgoda na przetwarzanie danych nie spełnia któregokolwiek z ww. warunków, przetwarzanie danych osobowych w oparciu o taką zgodę stanowiłoby naruszenie RODO przez podmiot prowadzący takie przetwarzanie. Dodatkowo w takim przypadku za naruszenie RODO można by było uznać sam fakt ustalenia treści oraz sposobu zbierania zgód z naruszeniem wymogów prawnych.
Wskazane jest, by przed rozpoczęciem procesu przetwarzania danych osobowych w oparciu o zgodę administrator wnikliwie ocenił (i udokumentował tę ocenę dla celów rozliczalności), czy treść, sposób zbierania oraz forma zapytania o zgodę odpowiada ww. warunkom.
Nadto – z uwagi na szereg uwarunkowań związanych z przetwarzaniem danych osobowych w oparciu o zgodę (opisanych szerzej poniżej) – wskazane jest, by administrator planujący przetwarzanie danych w oparciu o zgodę każdorazowo rozważył, czy w odniesieniu do planowanego przetwarzania można zidentyfikować inną adekwatną podstawę przetwarzania danych, np. przetwarzanie danych w celu wykonania umowy lub przetwarzanie danych w oparciu o tzw. prawnie uzasadniony interes administratora lub strony trzeciej.
Kiedy można uznać, że zgoda jest dobrowolna?
Kluczowym elementem koniecznym dla uznania, że zgoda na przetwarzania danych jest ważna i może stanowić podstawę przetwarzania danych, jest to, by podmiot danych wyraził ją dobrowolnie, a więc aby decyzja o wyrażeniu zgody faktycznie zależała wyłącznie od swobodnej decyzji osoby, której dane dotyczą, i nie była, w szczególności, wynikiem nacisków, obaw, podstępu czy nawet nadmiernych zachęt.
przymiot „dobrowolności” zakłada rzeczywistą możliwość dokonania wyboru przez osoby, których dane dotyczą, oraz sprawowania przez nie kontroli. Co do zasady RODO stanowi, że jeżeli osobie, której dane dotyczą, nie przysługuje rzeczywista możliwość wyboru, czuje się ona zmuszona do wyrażenia zgody lub poniesie negatywne konsekwencje w przypadku jej niewyrażenia, zgoda będzie nieważna (…). Co do zasady wszelki element niewłaściwej presji lub niewłaściwego wpływu na osobę, której dane dotyczą (mogący się przejawiać na wiele różnych sposobów), uniemożliwiający osobie, której dane dotyczą, swobodne okazanie woli, spowoduje nieważność zgody.
RODO również daje szereg wskazówek pomocnych przy ocenie, czy w danym przypadku można uznać, że zgoda została udzielona dobrowolnie. Motyw 42 RODO wskazuje, że:
Wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.
Gdyby przykładowo odmowa udzielenia zgody na przetwarzanie danych wiązała się ze znacznie niższą jakością usług świadczonych na rzecz podmiotu danych, trudno byłoby uznać tak udzieloną zgodę za dobrowolną. Podobnie gdyby proces przetwarzania danych był zorganizowany w taki sposób, że osoba, która udziela zgody, uzyskuje korzyści w związku z udzieleniem zgody (np. rabat albo dostęp do lepszej jakości usług), jednak w momencie cofnięcia zgody musi zwrócić uzyskane korzyści (np. zwrócić uzyskany rabat lub dokonać dopłaty za określone usługi), to tego rodzaju zgoda na przetwarzanie danych mogłaby być uznana za nieważną w świetle RODO.
Motyw 43 RODO stanowi z kolei, że:
Aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem.
Taki brak równowagi może występować w różnych okolicznościach – wskazane jest, by przed rozpoczęciem procesu zbierania zgód administrator rozważył, czy w danym przypadku nie będzie występować ryzyko braku równowagi pomiędzy nim a osobami, które mają wyrażać zgodę.
W praktyce duże znaczenie ma brak równowagi pomiędzy pracodawcą a pracownikiem / kandydatem do pracy, na który w szczególności zwraca uwagę EROD w wytycznych w sprawie zgody, stwierdzając:
Biorąc pod uwagę zależność charakteryzującą stosunek między pracodawcą a pracownikiem, nie jest prawdopodobne, by osoba, której dane dotyczą, mogła odmówić pracodawcy zgody na przetwarzanie danych, nie doświadczając obaw lub faktycznego ryzyka poniesienia niekorzystnych konsekwencji w wyniku odmowy. (…) EROD uznaje zatem, że w przypadku pracodawców problematyczne jest przetwarzanie danych osobowych obecnych lub przyszłych pracowników w oparciu o ich zgodę, ponieważ jest mało prawdopodobne, by została ona wyrażona dobrowolnie.
Oznacza to, że opieranie przetwarzania przez pracodawcę danych osobowych pracowników / kandydatów do pracy o udzieloną przez nich zgodę może być uprawnione jedynie w absolutnie wyjątkowych przypadkach, a pracodawca, decydując się na przetwarzanie danych osobowych na podstawie zgody w takich przypadkach, powinien udokumentować uzasadnienie swojej oceny, zgodnie z którą poleganie na zgodzie w takich przypadkach nie narusza wymogu „dobrowolności” zgody.
Ponadto motyw 43 RODO stanowi, że „Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne”. Zgodnie z wytycznymi w sprawie zgody „Jeżeli administrator połączył kilka celów przetwarzania i nie zwrócił się o osobną zgodę na każdy z tych celów, osoba, której dane dotyczą, jest pozbawiona swobody wyboru. (…) W przypadku przetwarzania danych do kilku celów rozwiązaniem umożliwiającym spełnienie przesłanek ważnej zgody jest szczegółowość, tj. rozdzielenie tych celów i uzyskanie zgody na każdy z nich”. Powyższy wymóg łączy się ścisłe z wymogiem konkretności zgody, o którym szerzej mowa poniżej.
Motyw 43 RODO stanowi dodatkowo, że:
Zgody nie uważa się za dobrowolną jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna.
W praktyce aby ocenić, czy w danym przypadku zgoda na przetwarzanie danych jest niezbędna do wykonania umowy lub świadczenia określonej usługi, należy rozważyć, czy – oceniając obiektywnie – bez uprzedniego udzielenia zgody nie da się wykonać oferowanej przez administratora umowy lub usługi. Jeśli bez uprzedniego udzielenia zgody i bez przetwarzania danych osobowych w zakresie i w sposób wskazany w planowanej zgodzie wykonanie oferowanej usługi lub umowy przez administratora jest obiektywnie możliwe, to zgoda na przetwarzanie danych osobowych zbierana w takich okolicznościach może być uznana za nieważną.
Jako przykład sytuacji braku dobrowolności zgody EROD wskazuje następującą sytuację:
Aplikacja mobilna do edytowania zdjęć prosi użytkowników o aktywowanie lokalizacji GPS w celu rozpoczęcia korzystania z jej usług. Aplikacja informuje również użytkowników, że będzie wykorzystywała zgromadzone dane do celów reklamy behawioralnej. Ani geolokalizacja, ani internetowa reklama behawioralna nie są konieczne do świadczenia usługi edytowania zdjęć i wykraczają one poza świadczenie podstawowej usługi. Ponieważ użytkownicy nie mogą korzystać z aplikacji bez wyrażenia zgody na te usługi, nie można uznać zgody za wyrażoną dobrowolnie.
W powyższym zakresie pojawia się jednak wątpliwość, co w sytuacji, w której bez uprzedniego udzielenia zgody wykonanie usługi jest co prawda obiektywnie możliwe, lecz w nieco innym zakresie czy formie niż w przypadku usługi, która byłaby wykonana, gdyby zgoda została udzielona. EROD w wytycznych w sprawie zgody wyjaśnia, że:
Administrator mógłby argumentować, że jego organizacja zapewnia osobom, których dane dotyczą, rzeczywistą możliwość wyboru, jeżeli mogą one wybierać między usługą, która obejmuje wyrażenie zgody na wykorzystywanie ich danych osobowych do celów dodatkowych, z jednej strony, a równoważną usługą oferowaną przez tego samego administratora, która nie obejmuje zgody na wykorzystywanie danych do celów dodatkowych, z drugiej strony. Jeżeli istnieje możliwość wykonania umowy lub świadczenia zleconej usługi przez tego administratora bez konieczności wyrażenia zgody na tego rodzaju inne lub dodatkowe wykorzystanie danych, oznacza to, że usługa nie ma już charakteru warunkowego. Obydwie usługi muszą być jednak faktycznie równoważne. Zdaniem EROD zgody nie można uznać za dobrowolną, jeżeli administrator argumentuje, że istnieje możliwość wyboru między usługą, która obejmuje wyrażenie zgody na wykorzystywanie danych osobowych do celów dodatkowych, z jednej strony, a równoważną usługą oferowaną przez innego administratora, która nie obejmuje zgody na wykorzystywanie danych, z drugiej strony. W takim przypadku swoboda wyboru byłaby zależna od działań innych uczestników rynku oraz od tego, czy konkretna osoba, której dane dotyczą, uznałaby usługi świadczone przez drugiego administratora za faktycznie równoważne. Ponadto nakładałoby to na administratorów obowiązek monitorowania rozwoju sytuacji rynkowej, aby zapewnić ciągłą ważność zgody na podejmowane przez nich czynności przetwarzania danych, ponieważ konkurent może zmienić świadczoną usługę na późniejszym etapie. Co za tym idzie, taka argumentacja oznacza, że zgoda oparta na alternatywnej ofercie proponowanej przez stronę trzecią jest niezgodna z RODO, zatem usługodawca nie może odmówić osobom, których dane dotyczą, dostępu do usługi na podstawie odmowy udzielenia przez nie zgody.
Jak widać, uzależnianie wykonania umowy czy usługi od udzielenia zgody może być bardzo problematyczne. Jeśli administrator planuje takie działania, powinien uprzednio wnikliwie rozważyć, uzasadnić oraz udokumentować argumenty potwierdzające jego opinię, że w takim przypadku można uznać, że zbieranie zgody nie narusza wymogu jej dobrowolności, w szczególności że oferowane usługi są faktycznie równoważne.
Kiedy można uznać, że zgoda jest wyrażona w konkretnym celu?
Aby można było uznać, że zgoda jest wyrażona w konkretnym celu, jej treść powinna odnosić się do wąsko określonego celu i planowanego sposobu przetwarzania danych na podstawie zgody. Innymi słowy, treść zgody powinna czytelnie wskazywać, jakie czynności z danymi osobowymi, w jakim celu (jednym celu, a nie kilku celach) oraz w odniesieniu do jakich kategorii danych zamierza wykonywać administrator.
Co istotne, jeśli administrator planuje przetwarzać dane osobowe na podstawie zgody w wielu różnych celach powinien, zgodnie z wytycznymi w sprawie zgody:
zapewnić możliwość wyrażenia zgody osobno na każdy z tych celów, aby umożliwić użytkownikom wyrażenie konkretnej zgody na konkretne cele. (…) Ponadto w każdym osobnym zapytaniu o zgodę administratorzy powinni podać szczegółowe informacje na temat danych, które są przetwarzane w każdym z celów, aby uświadomić osobom, których dane dotyczą, skutki poszczególnych wyborów, jakich mogą dokonać.
Jak wynika z powyższego, aby zmniejszyć ryzyko naruszenia RODO i kwestionowania ważności zgody, administratorzy, opracowując treść zgody, powinni zwrócić szczególną uwagę na precyzyjne określenie planowanego celu przetwarzania danych na podstawie zgody i każdorazowo oceniać, czy treść zgody obejmuje faktycznie tylko jeden cel przetwarzania.
Kiedy można uznać, że zgoda jest wyrażona sposób świadomy?
Aby można było uznać, że określona zgoda jest wyrażona w sposób świadomy, osoba, która ma udzielić zgody, powinna w przystępny, zrozumiały i czytelny sposób otrzymać pewien minimalny zakres informacji, który pozwoli jej podjąć przemyślaną decyzję co do wyrażenia zgody. W wytycznych w sprawie zgody podkreślono, że „wiadomość powinna być zrozumiała dla przeciętnej osoby, a nie tylko dla prawników”, oraz że „informacje istotne dla podjęcia świadomych decyzji o wyrażeniu lub niewyrażeniu zgody nie mogą być ukryte w ogólnych warunkach”.
Jeśli chodzi o minimalny zakres informacji, to w wytycznych w sprawie zgody wskazano, że:
do uzyskania ważnej zgody wymagane są przynajmniej następujące informacje:
tożsamość administratora;
cel każdej operacji przetwarzania, w odniesieniu do której prosi się o zgodę;
jakie dane (jaki rodzaj danych) będą gromadzone i wykorzystywane;
istnienie prawa do wycofania zgody;
informacje dotyczące wykorzystywania danych do celów zautomatyzowanego podejmowania decyzji zgodnie z art. 22 ust. 2 lit. c) RODO w stosownych przypadkach; oraz
informacje dotyczące możliwych zagrożeń związanych z przekazywaniem danych [poza EOG – przyp. red.] w związku z brakiem decyzji stwierdzającej odpowiedni stopień ochrony oraz odpowiednich zabezpieczeń zgodnie z art. 46 RODO.
Forma i sposób przekazywania ww. informacji powinny być dostosowane do kategorii odbiorców, którzy docelowo mają wyrażać zgodę. Jak zaznacza EROD, „przykładowo, w przypadku, gdy do grupy docelowej należą małoletnie osoby, których dane dotyczą, administrator danych powinien dopilnować, aby informacje były zrozumiałe dla małoletnich”. Dodatkowo „informacje mogą być przekazane na różne sposoby, np. w formie pisemnych lub ustnych oświadczeń bądź wiadomości dźwiękowych lub wiadomości wideo”.
Nadto wydaje się wskazane, by administrator, który kieruje swoje zapytania o zgodę do osób różnojęzycznych, np. do osób w różnych krajach EOG, przygotował treść zgody w odpowiednich wersjach językowych.
Kiedy można uznać, że zgoda jest wyrażona w formie jednoznacznego okazania woli w formie oświadczenia lub wyraźnego działania potwierdzającego?
Aby można było uznać, że zgoda jest wyrażona w formie jednoznacznego okazania woli w formie oświadczenia lub wyraźnego działania potwierdzającego, sposób zbierania zgody musi przewidywać, że jej udzielenie wymaga jakiegoś rodzaju aktywnego działania ze strony osoby, która udziela zgody. Innymi słowy, proces zbierania zgód nie powinien być zorganizowany w taki sposób, że podmiot danych udziela zgody, nie wykonując żadnej dodatkowej czynności (np. w postaci zaznaczenia odpowiedniej rubryki i złożenia podpisu na dokumencie, zaznaczenia checkboxa, kliknięcia w kafel lub link na stronie internetowej, wyraźnego stwierdzenia na głos, że udziela zgody w przypadku rozmowy telefonicznej). Sposób wyrażenia zgody powinien być dostosowany do kanału komunikacji, za którego pośrednictwem jest zbierana. Administrator powinien zadbać o to, by nie było żadnych niejednoznaczności w zakresie tego, czy podmiot danych faktycznie wykonał czynność potwierdzającą wyrażenie zgody.
Motyw 32 RODO wskazuje ponadto, że:
Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. (…). Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.
W wytycznych w sprawie zgody wyjaśniono ponadto, że w szczególności: „(…) po prostu kontynuowanie korzystania z usługi nie mogą zostać uznane za aktywne wskazanie wyboru”. Ponadto wskazano, że:
zgody nie można uzyskać w drodze tej samej czynności co zawarcie umowy czy zaakceptowanie ogólnych warunków usługi. Zbiorczego zaakceptowania ogólnych warunków nie można uznać za wyraźne działanie potwierdzające wyrażenie zgody na wykorzystanie danych osobowych. RODO nie dopuszcza możliwości stosowania przez administratorów wcześniej zaznaczonych pól ani mechanizmów opt-out (możliwość rezygnacji), które wymagają ingerencji ze strony osoby, której dane dotyczą, w celu uniemożliwienia zawarcia umowy (na przykład pola opt-out). Dokonana w czynny sposób czynność potwierdzająca, za pośrednictwem której osoba, której dane dotyczą, wyraża zgodę, może być konieczna, jeżeli mniej inwazyjny lub zakłócający sposób powodowałby niejednoznaczność. Konieczne może być zatem, aby zapytanie o zgodę zakłóciło w pewnym stopniu korzystanie z usługi w celu zapewnienia skuteczności zapytania.
Kiedy można uznać, że zgoda przyzwala na przetwarzanie danych osobowych osoby, która jej udziela?
Aby można było uznać, że zgoda przyzwala na przetwarzanie danych osobowych osoby, która jej udziela, z treści zgody musi wyraźnie wynikać, że jeśli zgoda zostanie udzielona, administrator danych będzie przetwarzał dane osobowe osoby, która jej udziela, w celu i w zakresie wskazanym w zgodzie. Wymóg ten łączy się z wymogiem konkretności i świadomego wyboru, o których mowa powyżej.
Jakie dodatkowe warunki musi spełniać zgoda wyrażona w pisemnym oświadczeniu?
RODO przewiduje dodatkowe wymagania dla zgód zbieranych w pisemnym oświadczeniu. Przy czym wskazane jest – w celu zmniejszenia ryzyk oraz dla zachowania większej transparentności i rzetelności przetwarzania – by przez „pisemne oświadczenie” rozumieć nie tylko oświadczenie składane na piśmie, ale również oświadczenie pisemne składane w formie elektronicznej.
Zgodnie z RODO jeżeli osoba, której dane dotyczą, wyraża zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Nie jest wiążąca ta część oświadczenia, która stanowi naruszenie ww. wymogu.
W praktyce kluczowe jest, by dokument, który obejmuje zgodę na przetwarzanie danych oraz inne kwestie, był sformułowany w taki sposób, żeby nie można było uznać, że treść zgody jest „ukryta” w innych treściach dokumentu lub trudno dostrzegalna. W tym celu można wykorzystać odpowiednie rozwiązania graficzne (np. wyróżnienia kolorem czy obramowaniem) i redakcyjne, np. wyróżnienia w postaci umieszczenia zgody w ramach odrębnych sekcji czy oddzielnych stron (odpowiednio oznaczonych czy też zatytułowanych załączników do dokumentów lub w postaci oddzielnych dokumentów). Ważne jest też odpowiednie wytłumaczenie w tekście zgody, czego zgoda dotyczy i jaka jest jej rola, oraz że jej wyrażenie jest czymś niezależnym od innych kwestii poruszonych czy regulowanych w danym dokumencie.
Zgoda a rozliczalność
RODO kładzie duży nacisk na to, że administrator danych, który przetwarza dane na podstawie zgody, musi móc udowodnić, że faktycznie uzyskał zgodę.
Administrator danych planujący opierać przetwarzanie danych osobowych na podstawie zgody powinien zatem zadbać, by proces pozyskiwania zgód był zaprojektowany w taki sposób, by można było bez trudu wykazać, np. przed PUODO, że zgoda została udzielona (w tym przez kogo, kiedy i jakiej treści).
W przypadku zgód wyrażonych pisemnie kwestia ta jest stosunkowo prosta – wystarczy zachować odpowiednie dokumenty. Warto jednak pamiętać o zapewnieniu odpowiedniej ich archiwizacji, tak by w przypadku kontroli lub wezwania PUODO administrator mógł szybko i bez kłopotu odnaleźć właściwe dokumenty.
W przypadku zgód zbieranych elektronicznie lub zdalnie kwestia możliwości wykazania udzielenia zgód jest nieco bardziej skomplikowana. W przypadku zgód zbieranych za pośrednictwem internetu wskazane jest, by oprogramowanie służące do zbierania zgód archiwizowało w odpowiedni sposób informacje:
kto udzielił danej zgody (np. zalogowany użytkownik o określonym ID, osoba o określonym adresie email wskazanym do kontaktu z administratorem),
w jaki sposób można wykazać, że zgoda została wyrażona przez osobę, której zgoda dotyczy, a nie przez inną, nieuprawnioną osobę (np. przed wyrażeniem zgody trzeba się zalogować),
kiedy zgoda została udzielona (poprzez np. archiwizację odpowiednich logów),
jaka była treść udzielonej zgody (poprzez archiwizację treści zgody w powiązaniu z osobą jej udzielającą oraz momentem udzielenia w taki sposób, by np. analiza logów wyraźnie wskazywała, kto, kiedy i jakiej zgody udzielił).
W przypadku zgód zbieranych przez telefon sposobem wykazania udzielenia zgody może być zarejestrowanie rozmowy z osobą jej udzielającą. Wskazane jest, by w trakcie rozmowy zarejestrować również, kto udziela danej zgody.
Szczególną uwagę na konieczność odpowiedniej archiwizacji informacji na potrzeby realizacji zasady rozliczalności należy zwrócić w sytuacji, gdy zgoda na przetwarzanie danych jest udzielana nie przez samą osobę, której dane dotyczą, ale przez inną osobę, np. gdy rodzic udziela zgody w odniesieniu do danych dziecka.
Prawo do wycofania zgody – implikacje praktyczne
Główną cechą zgody jako podstawy przetwarzania danych osobowych jest to, że istnienie tej podstawy przetwarzania danych zależy w całości i wyłącznie od osoby, która udzieliła zgody. Osoba, która udzieliła zgody, ma prawo w dowolnym momencie ją wycofać. Co istotne, wycofanie zgody nie powinno wiązać się z żadnymi negatywnymi konsekwencjami dla osoby, która zgody udzieliła i następnie ją wycofała (np. koniecznością zwrotu rabatu udzielonego w związku z wyrażeniem zgody, znaczącym obniżeniem jakości usług lub zmniejszeniem zakresu usług).
Administrator powinien zapewnić, żeby osoba, która udzieliła zgody, mogła wycofać zgodę w dowolnym momencie i żeby cofnięcie zgody było równie łatwe jak jej wyrażenie. W praktyce powoduje to konieczność uwzględnienia kwestii związanych z wycofywaniem zgody już na etapie projektowania procesu przetwarzania, który ma być oparty na zgodzie. Oznacza to np., że jeżeli administrator planuje zbierać zgody na przetwarzanie danych za pośrednictwem internetu, to powinien zapewnić również możliwość cofnięcia tej zgody za pośrednictwem internetu. Co więcej, sposób cofnięcia zgody nie powinien wymagać wykonania więcej lub bardziej skomplikowanych czynności niż jej wyrażenie, a miejsce, np. przycisk służący do cofnięcia zgody, powinien być równie łatwo odnajdywalny dla podmiotu danych jak przycisk, który służył do wyrażenia zgody.
Projektując proces przetwarzania danych oparty na zgodzie, administrator powinien również rozważyć, w jaki sposób będzie weryfikował, czy zgoda jest cofana przez osobę, która ją wyraziła (lub przez osobę uprawnioną do działania w imieniu osoby, którą ją wyraziła). Sposób ten powinien uwzględniać zasadę minimalizacji przetwarzania danych oraz wskazany powyżej nakaz takiej organizacji procesu, by cofnięcie zgody było równie łatwe jak jej wyrażenie. Oznacza to m.in., że administrator nie powinien, co do zasady, żądać w celu identyfikacji osoby cofającej zgodę szerszego zakresu danych, niż były mu uprzednio wystarczające do uznania, że określona osoba skutecznie wyraziła zgodę.
Jakie skutki ma cofnięcie zgody dla administratora?
Zgodnie z RODO wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. W praktyce oznacza to, że przetwarzanie danych osobowych, którego dokonywał administrator do momentu wycofania zgody na podstawie prawidłowo udzielonej zgody, pozostaje legalne pomimo wycofania zgody przez osobę, której dane dotyczą.
Wycofanie zgody powoduje jednak, że administrator nie może dłużej przetwarzać danych osobowych w celu określonym w odwołanej zgodzie. Administrator powinien również co do zasady usunąć dane osobowe, które były przetwarzane na podstawie odwołanej zgody, chyba że administrator jest w stanie zidentyfikować inną podstawę dalszego przetwarzania danych osoby, która cofnęła zgodę. W praktyce w niektórych przypadkach taką podstawą może być prawnie uzasadniony interes administratora związany z obroną przed roszczeniami (art. 6 ust. 1 lit. f RODO). Jednakże każdy przypadek zachowania danych osobowych osoby, która wycofała zgodę, powinien być oceniany indywidualnie i z zastosowaniem podejścia ostrożnościowego. W większości przypadków bowiem skuteczne cofnięcie zgody przed podmiot danych powinno powodować usunięcie danych osobowych, których dotyczyła zgoda.
Projektując proces przetwarzania danych osobowych w oparciu o zgodę, administrator danych powinien również rozważyć wdrożenie rozwiązań, które w przypadku cofnięcia zgody w sprawny i możliwie automatyczny sposób (lecz z zachowaniem dowodów wykonania takich czynności dla celów rozliczalności):
usuną odpowiednie dane ze zbiorów administratora,
powiadomią podmioty przetwarzające dane osobowe w imieniu administratora o konieczności usunięcia odpowiednich danych ze zbiorów podmiotu przetwarzającego.
Zgoda na przetwarzanie danych a specyfika polskiego prawa pracy
Jak wskazano powyżej, zgoda na przetwarzanie danych rzadko może stanowić ważną podstawę przetwarzania danych pracowników przez pracodawcę z uwagi na problem z zachowaniem dobrowolności jej wyrażenia wynikający z braku równowagi stron. Warto zauważyć, że polskie prawo pracy wprowadza jednak dodatkowe uwarunkowania w odniesieniu do przetwarzania danych osobowych pracowników lub kandydatów do pracy przez pracodawcę na podstawie zgody.
W praktyce kluczowe znaczenie mają następujące przepisy Kodeksu pracy:
Art. 221a § 2 k.p., który wyraźnie stanowi, że brak udzielenia przez pracownika lub kandydata do pracy zgody na przetwarzanie danych osobowych lub jej wycofanie nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.
Art. 221b § 1 k.p., który stanowi, że zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę szczególnych kategorii danych osobowych (np. danych o zdrowiu) wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. Przepis ten w praktyce oznacza, że pracodawca, aby nie narazić się na zarzut naruszenia przepisów, nie powinien prosić pracownika czy kandydata do pracy o wyrażenie zgody na przetwarzanie szczególnych kategorii danych osobowych. Jeśli bowiem pracodawca poprosi pracownika czy zasugeruje mu wyrażenie zgody na przetwarzanie danych szczególnych kategorii, może być trudno argumentować, że pracownik tego rodzaju dane przekazał z własnej inicjatywy (skoro inicjatywa w tym zakresie wyszła de facto od pracodawcy).
Komentarz do art. 7
Warunki wyrażenia zgody
Czym jest zgoda na przetwarzanie danych osobowych?
Zgoda na przetwarzanie danych osobowych to jedna z podstaw przetwarzania danych. Oznacza to, że jest ona jedną z okoliczności, których wystąpienie powoduje, że administrator danych osobowych może przetwarzać określone dane osobowe. Jeśli jednak administrator danych identyfikuje inną adekwatną podstawę przetwarzania danych (np. przetwarzanie danych jest niezbędne do zawarcia umowy), to przetwarzanie danych osobowych na podstawie zgody będzie nieprawidłowe i jako takie może zostać uznane za działanie naruszające przepisy RODO. Błędne jest więc powszechne przekonanie, że odbieranie zgody zawsze jest najbezpieczniejszym rozwiązaniem.
Zastanawiając się nad tym, jaka jest podstawa prawna przetwarzania danych, warto odpowiedzieć sobie na pytania:
Odpowiedzi na te pytania pomogą ustalić, jaka jest właściwa podstawa przetwarzania danych.
Jakie warunki musi spełniać zgoda?
Aby zgoda na przetwarzanie danych osobowych była uznana za ważną i skuteczną podstawę przetwarzania danych, musi ona spełniać następujące warunki:
Gdyby się okazało, że zgoda na przetwarzanie danych nie spełnia któregokolwiek z ww. warunków, przetwarzanie danych osobowych w oparciu o taką zgodę stanowiłoby naruszenie RODO przez podmiot prowadzący takie przetwarzanie. Dodatkowo w takim przypadku za naruszenie RODO można by było uznać sam fakt ustalenia treści oraz sposobu zbierania zgód z naruszeniem wymogów prawnych.
Wskazane jest, by przed rozpoczęciem procesu przetwarzania danych osobowych w oparciu o zgodę administrator wnikliwie ocenił (i udokumentował tę ocenę dla celów rozliczalności), czy treść, sposób zbierania oraz forma zapytania o zgodę odpowiada ww. warunkom.
Nadto – z uwagi na szereg uwarunkowań związanych z przetwarzaniem danych osobowych w oparciu o zgodę (opisanych szerzej poniżej) – wskazane jest, by administrator planujący przetwarzanie danych w oparciu o zgodę każdorazowo rozważył, czy w odniesieniu do planowanego przetwarzania można zidentyfikować inną adekwatną podstawę przetwarzania danych, np. przetwarzanie danych w celu wykonania umowy lub przetwarzanie danych w oparciu o tzw. prawnie uzasadniony interes administratora lub strony trzeciej.
Kiedy można uznać, że zgoda jest dobrowolna?
Kluczowym elementem koniecznym dla uznania, że zgoda na przetwarzania danych jest ważna i może stanowić podstawę przetwarzania danych, jest to, by podmiot danych wyraził ją dobrowolnie, a więc aby decyzja o wyrażeniu zgody faktycznie zależała wyłącznie od swobodnej decyzji osoby, której dane dotyczą, i nie była, w szczególności, wynikiem nacisków, obaw, podstępu czy nawet nadmiernych zachęt.
Opracowane przez Europejską Radę Ochrony Danych wytyczne w sprawie zgody, o której mowa w RODO (dalej: „wytyczne w sprawie zgody”) (Guidelines 05/2020 on consent under Regulation 2016/679) wyjaśniają nadto, że:
RODO również daje szereg wskazówek pomocnych przy ocenie, czy w danym przypadku można uznać, że zgoda została udzielona dobrowolnie. Motyw 42 RODO wskazuje, że:
Gdyby przykładowo odmowa udzielenia zgody na przetwarzanie danych wiązała się ze znacznie niższą jakością usług świadczonych na rzecz podmiotu danych, trudno byłoby uznać tak udzieloną zgodę za dobrowolną. Podobnie gdyby proces przetwarzania danych był zorganizowany w taki sposób, że osoba, która udziela zgody, uzyskuje korzyści w związku z udzieleniem zgody (np. rabat albo dostęp do lepszej jakości usług), jednak w momencie cofnięcia zgody musi zwrócić uzyskane korzyści (np. zwrócić uzyskany rabat lub dokonać dopłaty za określone usługi), to tego rodzaju zgoda na przetwarzanie danych mogłaby być uznana za nieważną w świetle RODO.
Motyw 43 RODO stanowi z kolei, że:
Taki brak równowagi może występować w różnych okolicznościach – wskazane jest, by przed rozpoczęciem procesu zbierania zgód administrator rozważył, czy w danym przypadku nie będzie występować ryzyko braku równowagi pomiędzy nim a osobami, które mają wyrażać zgodę.
W praktyce duże znaczenie ma brak równowagi pomiędzy pracodawcą a pracownikiem / kandydatem do pracy, na który w szczególności zwraca uwagę EROD w wytycznych w sprawie zgody, stwierdzając:
Oznacza to, że opieranie przetwarzania przez pracodawcę danych osobowych pracowników / kandydatów do pracy o udzieloną przez nich zgodę może być uprawnione jedynie w absolutnie wyjątkowych przypadkach, a pracodawca, decydując się na przetwarzanie danych osobowych na podstawie zgody w takich przypadkach, powinien udokumentować uzasadnienie swojej oceny, zgodnie z którą poleganie na zgodzie w takich przypadkach nie narusza wymogu „dobrowolności” zgody.
Ponadto motyw 43 RODO stanowi, że „Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne”. Zgodnie z wytycznymi w sprawie zgody „Jeżeli administrator połączył kilka celów przetwarzania i nie zwrócił się o osobną zgodę na każdy z tych celów, osoba, której dane dotyczą, jest pozbawiona swobody wyboru. (…) W przypadku przetwarzania danych do kilku celów rozwiązaniem umożliwiającym spełnienie przesłanek ważnej zgody jest szczegółowość, tj. rozdzielenie tych celów i uzyskanie zgody na każdy z nich”. Powyższy wymóg łączy się ścisłe z wymogiem konkretności zgody, o którym szerzej mowa poniżej.
Motyw 43 RODO stanowi dodatkowo, że:
W praktyce aby ocenić, czy w danym przypadku zgoda na przetwarzanie danych jest niezbędna do wykonania umowy lub świadczenia określonej usługi, należy rozważyć, czy – oceniając obiektywnie – bez uprzedniego udzielenia zgody nie da się wykonać oferowanej przez administratora umowy lub usługi. Jeśli bez uprzedniego udzielenia zgody i bez przetwarzania danych osobowych w zakresie i w sposób wskazany w planowanej zgodzie wykonanie oferowanej usługi lub umowy przez administratora jest obiektywnie możliwe, to zgoda na przetwarzanie danych osobowych zbierana w takich okolicznościach może być uznana za nieważną.
Jako przykład sytuacji braku dobrowolności zgody EROD wskazuje następującą sytuację:
W powyższym zakresie pojawia się jednak wątpliwość, co w sytuacji, w której bez uprzedniego udzielenia zgody wykonanie usługi jest co prawda obiektywnie możliwe, lecz w nieco innym zakresie czy formie niż w przypadku usługi, która byłaby wykonana, gdyby zgoda została udzielona. EROD w wytycznych w sprawie zgody wyjaśnia, że:
Jak widać, uzależnianie wykonania umowy czy usługi od udzielenia zgody może być bardzo problematyczne. Jeśli administrator planuje takie działania, powinien uprzednio wnikliwie rozważyć, uzasadnić oraz udokumentować argumenty potwierdzające jego opinię, że w takim przypadku można uznać, że zbieranie zgody nie narusza wymogu jej dobrowolności, w szczególności że oferowane usługi są faktycznie równoważne.
Kiedy można uznać, że zgoda jest wyrażona w konkretnym celu?
Aby można było uznać, że zgoda jest wyrażona w konkretnym celu, jej treść powinna odnosić się do wąsko określonego celu i planowanego sposobu przetwarzania danych na podstawie zgody. Innymi słowy, treść zgody powinna czytelnie wskazywać, jakie czynności z danymi osobowymi, w jakim celu (jednym celu, a nie kilku celach) oraz w odniesieniu do jakich kategorii danych zamierza wykonywać administrator.
Co istotne, jeśli administrator planuje przetwarzać dane osobowe na podstawie zgody w wielu różnych celach powinien, zgodnie z wytycznymi w sprawie zgody:
Jak wynika z powyższego, aby zmniejszyć ryzyko naruszenia RODO i kwestionowania ważności zgody, administratorzy, opracowując treść zgody, powinni zwrócić szczególną uwagę na precyzyjne określenie planowanego celu przetwarzania danych na podstawie zgody i każdorazowo oceniać, czy treść zgody obejmuje faktycznie tylko jeden cel przetwarzania.
Kiedy można uznać, że zgoda jest wyrażona sposób świadomy?
Aby można było uznać, że określona zgoda jest wyrażona w sposób świadomy, osoba, która ma udzielić zgody, powinna w przystępny, zrozumiały i czytelny sposób otrzymać pewien minimalny zakres informacji, który pozwoli jej podjąć przemyślaną decyzję co do wyrażenia zgody. W wytycznych w sprawie zgody podkreślono, że „wiadomość powinna być zrozumiała dla przeciętnej osoby, a nie tylko dla prawników”, oraz że „informacje istotne dla podjęcia świadomych decyzji o wyrażeniu lub niewyrażeniu zgody nie mogą być ukryte w ogólnych warunkach”.
Jeśli chodzi o minimalny zakres informacji, to w wytycznych w sprawie zgody wskazano, że:
Forma i sposób przekazywania ww. informacji powinny być dostosowane do kategorii odbiorców, którzy docelowo mają wyrażać zgodę. Jak zaznacza EROD, „przykładowo, w przypadku, gdy do grupy docelowej należą małoletnie osoby, których dane dotyczą, administrator danych powinien dopilnować, aby informacje były zrozumiałe dla małoletnich”. Dodatkowo „informacje mogą być przekazane na różne sposoby, np. w formie pisemnych lub ustnych oświadczeń bądź wiadomości dźwiękowych lub wiadomości wideo”.
Nadto wydaje się wskazane, by administrator, który kieruje swoje zapytania o zgodę do osób różnojęzycznych, np. do osób w różnych krajach EOG, przygotował treść zgody w odpowiednich wersjach językowych.
Kiedy można uznać, że zgoda jest wyrażona w formie jednoznacznego okazania woli w formie oświadczenia lub wyraźnego działania potwierdzającego?
Aby można było uznać, że zgoda jest wyrażona w formie jednoznacznego okazania woli w formie oświadczenia lub wyraźnego działania potwierdzającego, sposób zbierania zgody musi przewidywać, że jej udzielenie wymaga jakiegoś rodzaju aktywnego działania ze strony osoby, która udziela zgody. Innymi słowy, proces zbierania zgód nie powinien być zorganizowany w taki sposób, że podmiot danych udziela zgody, nie wykonując żadnej dodatkowej czynności (np. w postaci zaznaczenia odpowiedniej rubryki i złożenia podpisu na dokumencie, zaznaczenia checkboxa, kliknięcia w kafel lub link na stronie internetowej, wyraźnego stwierdzenia na głos, że udziela zgody w przypadku rozmowy telefonicznej). Sposób wyrażenia zgody powinien być dostosowany do kanału komunikacji, za którego pośrednictwem jest zbierana. Administrator powinien zadbać o to, by nie było żadnych niejednoznaczności w zakresie tego, czy podmiot danych faktycznie wykonał czynność potwierdzającą wyrażenie zgody.
Motyw 32 RODO wskazuje ponadto, że:
W wytycznych w sprawie zgody wyjaśniono ponadto, że w szczególności: „(…) po prostu kontynuowanie korzystania z usługi nie mogą zostać uznane za aktywne wskazanie wyboru”. Ponadto wskazano, że:
Kiedy można uznać, że zgoda przyzwala na przetwarzanie danych osobowych osoby, która jej udziela?
Aby można było uznać, że zgoda przyzwala na przetwarzanie danych osobowych osoby, która jej udziela, z treści zgody musi wyraźnie wynikać, że jeśli zgoda zostanie udzielona, administrator danych będzie przetwarzał dane osobowe osoby, która jej udziela, w celu i w zakresie wskazanym w zgodzie. Wymóg ten łączy się z wymogiem konkretności i świadomego wyboru, o których mowa powyżej.
Jakie dodatkowe warunki musi spełniać zgoda wyrażona w pisemnym oświadczeniu?
RODO przewiduje dodatkowe wymagania dla zgód zbieranych w pisemnym oświadczeniu. Przy czym wskazane jest – w celu zmniejszenia ryzyk oraz dla zachowania większej transparentności i rzetelności przetwarzania – by przez „pisemne oświadczenie” rozumieć nie tylko oświadczenie składane na piśmie, ale również oświadczenie pisemne składane w formie elektronicznej.
Zgodnie z RODO jeżeli osoba, której dane dotyczą, wyraża zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Nie jest wiążąca ta część oświadczenia, która stanowi naruszenie ww. wymogu.
W praktyce kluczowe jest, by dokument, który obejmuje zgodę na przetwarzanie danych oraz inne kwestie, był sformułowany w taki sposób, żeby nie można było uznać, że treść zgody jest „ukryta” w innych treściach dokumentu lub trudno dostrzegalna. W tym celu można wykorzystać odpowiednie rozwiązania graficzne (np. wyróżnienia kolorem czy obramowaniem) i redakcyjne, np. wyróżnienia w postaci umieszczenia zgody w ramach odrębnych sekcji czy oddzielnych stron (odpowiednio oznaczonych czy też zatytułowanych załączników do dokumentów lub w postaci oddzielnych dokumentów). Ważne jest też odpowiednie wytłumaczenie w tekście zgody, czego zgoda dotyczy i jaka jest jej rola, oraz że jej wyrażenie jest czymś niezależnym od innych kwestii poruszonych czy regulowanych w danym dokumencie.
Zgoda a rozliczalność
RODO kładzie duży nacisk na to, że administrator danych, który przetwarza dane na podstawie zgody, musi móc udowodnić, że faktycznie uzyskał zgodę.
Administrator danych planujący opierać przetwarzanie danych osobowych na podstawie zgody powinien zatem zadbać, by proces pozyskiwania zgód był zaprojektowany w taki sposób, by można było bez trudu wykazać, np. przed PUODO, że zgoda została udzielona (w tym przez kogo, kiedy i jakiej treści).
W przypadku zgód wyrażonych pisemnie kwestia ta jest stosunkowo prosta – wystarczy zachować odpowiednie dokumenty. Warto jednak pamiętać o zapewnieniu odpowiedniej ich archiwizacji, tak by w przypadku kontroli lub wezwania PUODO administrator mógł szybko i bez kłopotu odnaleźć właściwe dokumenty.
W przypadku zgód zbieranych elektronicznie lub zdalnie kwestia możliwości wykazania udzielenia zgód jest nieco bardziej skomplikowana. W przypadku zgód zbieranych za pośrednictwem internetu wskazane jest, by oprogramowanie służące do zbierania zgód archiwizowało w odpowiedni sposób informacje:
W przypadku zgód zbieranych przez telefon sposobem wykazania udzielenia zgody może być zarejestrowanie rozmowy z osobą jej udzielającą. Wskazane jest, by w trakcie rozmowy zarejestrować również, kto udziela danej zgody.
Szczególną uwagę na konieczność odpowiedniej archiwizacji informacji na potrzeby realizacji zasady rozliczalności należy zwrócić w sytuacji, gdy zgoda na przetwarzanie danych jest udzielana nie przez samą osobę, której dane dotyczą, ale przez inną osobę, np. gdy rodzic udziela zgody w odniesieniu do danych dziecka.
Prawo do wycofania zgody – implikacje praktyczne
Główną cechą zgody jako podstawy przetwarzania danych osobowych jest to, że istnienie tej podstawy przetwarzania danych zależy w całości i wyłącznie od osoby, która udzieliła zgody. Osoba, która udzieliła zgody, ma prawo w dowolnym momencie ją wycofać. Co istotne, wycofanie zgody nie powinno wiązać się z żadnymi negatywnymi konsekwencjami dla osoby, która zgody udzieliła i następnie ją wycofała (np. koniecznością zwrotu rabatu udzielonego w związku z wyrażeniem zgody, znaczącym obniżeniem jakości usług lub zmniejszeniem zakresu usług).
Administrator powinien zapewnić, żeby osoba, która udzieliła zgody, mogła wycofać zgodę w dowolnym momencie i żeby cofnięcie zgody było równie łatwe jak jej wyrażenie. W praktyce powoduje to konieczność uwzględnienia kwestii związanych z wycofywaniem zgody już na etapie projektowania procesu przetwarzania, który ma być oparty na zgodzie. Oznacza to np., że jeżeli administrator planuje zbierać zgody na przetwarzanie danych za pośrednictwem internetu, to powinien zapewnić również możliwość cofnięcia tej zgody za pośrednictwem internetu. Co więcej, sposób cofnięcia zgody nie powinien wymagać wykonania więcej lub bardziej skomplikowanych czynności niż jej wyrażenie, a miejsce, np. przycisk służący do cofnięcia zgody, powinien być równie łatwo odnajdywalny dla podmiotu danych jak przycisk, który służył do wyrażenia zgody.
Projektując proces przetwarzania danych oparty na zgodzie, administrator powinien również rozważyć, w jaki sposób będzie weryfikował, czy zgoda jest cofana przez osobę, która ją wyraziła (lub przez osobę uprawnioną do działania w imieniu osoby, którą ją wyraziła). Sposób ten powinien uwzględniać zasadę minimalizacji przetwarzania danych oraz wskazany powyżej nakaz takiej organizacji procesu, by cofnięcie zgody było równie łatwe jak jej wyrażenie. Oznacza to m.in., że administrator nie powinien, co do zasady, żądać w celu identyfikacji osoby cofającej zgodę szerszego zakresu danych, niż były mu uprzednio wystarczające do uznania, że określona osoba skutecznie wyraziła zgodę.
Jakie skutki ma cofnięcie zgody dla administratora?
Zgodnie z RODO wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. W praktyce oznacza to, że przetwarzanie danych osobowych, którego dokonywał administrator do momentu wycofania zgody na podstawie prawidłowo udzielonej zgody, pozostaje legalne pomimo wycofania zgody przez osobę, której dane dotyczą.
Wycofanie zgody powoduje jednak, że administrator nie może dłużej przetwarzać danych osobowych w celu określonym w odwołanej zgodzie. Administrator powinien również co do zasady usunąć dane osobowe, które były przetwarzane na podstawie odwołanej zgody, chyba że administrator jest w stanie zidentyfikować inną podstawę dalszego przetwarzania danych osoby, która cofnęła zgodę. W praktyce w niektórych przypadkach taką podstawą może być prawnie uzasadniony interes administratora związany z obroną przed roszczeniami (art. 6 ust. 1 lit. f RODO). Jednakże każdy przypadek zachowania danych osobowych osoby, która wycofała zgodę, powinien być oceniany indywidualnie i z zastosowaniem podejścia ostrożnościowego. W większości przypadków bowiem skuteczne cofnięcie zgody przed podmiot danych powinno powodować usunięcie danych osobowych, których dotyczyła zgoda.
Projektując proces przetwarzania danych osobowych w oparciu o zgodę, administrator danych powinien również rozważyć wdrożenie rozwiązań, które w przypadku cofnięcia zgody w sprawny i możliwie automatyczny sposób (lecz z zachowaniem dowodów wykonania takich czynności dla celów rozliczalności):
Zgoda na przetwarzanie danych a specyfika polskiego prawa pracy
Jak wskazano powyżej, zgoda na przetwarzanie danych rzadko może stanowić ważną podstawę przetwarzania danych pracowników przez pracodawcę z uwagi na problem z zachowaniem dobrowolności jej wyrażenia wynikający z braku równowagi stron. Warto zauważyć, że polskie prawo pracy wprowadza jednak dodatkowe uwarunkowania w odniesieniu do przetwarzania danych osobowych pracowników lub kandydatów do pracy przez pracodawcę na podstawie zgody.
W praktyce kluczowe znaczenie mają następujące przepisy Kodeksu pracy: