Kryteria zgody i zasady jej dokumentowania na gruncie RODO
Zgoda na przetwarzanie danych- i co dalej?
Zgoda na przetwarzanie danych- i co dalej?Zgoda jest jedną z sześciu podstaw przetwarzania danych osobowych wskazanych w art. 6 ust. 1 Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Akt ten, będący kamieniem milowym unijnej polityki ochrony danych, poświęca zgodzie wyjątkowo dużo miejsca. Co może wskazywać na jej szczególną rolę w procesie legalnego przetwarzania danych osobowych. Z perspektywy osoby, której dane dotyczą, możliwość wyrażenia zgody na przetwarzanie jej danych osobowych pozwala na najszerszą kontrolę nad zbieraniem i wykorzystywaniem danych. Stanowi to przejaw autonomii informacyjnej jednostki. Trzeba jednak podkreślić, że z perspektywy samej treści RODO, zgoda nie jest i nie może być rozpatrywana jako przesłanka przetwarzania nadrzędna wobec pozostałych z przesłanek określonych w art. 6 ust. 1 tego aktu.
Warunki do skorzystania ze zgody na przetwarzanie danych
Skorzystanie przez administratora ze zgody na przetwarzanie danych uwarunkowane jest od spełnienia przez niego szeregu wymogów. Wymogi te wynikają już z samej definicji zgody:
- zgodnie z art. 4 pkt. 11 RODO zgoda to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, przez które osoba, której dane dotyczą, akceptuje przetwarzanie dotyczących jej danych osobowych. Z przytoczonej definicji zgody, a także z warunków jej skuteczności określonych w art. 7 RODO wyprowadzić można też szereg kryteriów, którym musi odpowiadać oświadczenie podmiotu danych, aby można było na nim legalnie oprzeć przetwarzanie danych osobowych. Przede wszystkim zgoda powinna być: wyrażona dobrowolnie, co oznacza brak jakiegokolwiek przymusu, nacisku czy nieadekwatnych skutków dla osoby, której dane dotyczą, w przypadku nieudzielenia zgody. Osoba ta musi mieć rzeczywisty wybór i kontrolę nad wyrażeniem zgody;
- wyrażona świadomie, co oznacza, że osoba, której dane dotyczą, musi wiedzieć i rozumieć, na co się zgadza. Obejmuje to pełną świadomość zakresu przetwarzania danych, celów przetwarzania i możliwych skutków wyrażenia zgody. Administrator danych ma obowiązek dostarczyć wszystkich niezbędnych informacji w jasny i zrozumiały sposób;
- konkretna – odnosząc się do konkretnego, sprecyzowanego celu przetwarzania. Nie może być zbyt ogólna ani niejasna. Jeśli przetwarzanie obejmuje kilka różnych celów, dla każdego z nich wymagana jest odrębna zgoda;
- wyrażona w sposób jednoznaczny, co oznacza aktywną czynność wyrażenia woli przez konkretną osobę – może to być na przykład zaznaczenie pola na formularzu internetowym, przesłanie e-maila lub podpis na dokumencie. Milczenie, brak działania czy domyślne zaznaczone pola nie mogą być traktowane jako prawnie skuteczna zgoda.
Zgoda istotna dla Administratora
Przepisy RODO wymagają od administratora, aby był on zdolny do wykazania, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych – zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO). Ponadto, prawodawca już w motywie 42 RODO ustanowił, że: „jeśli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania”. Obowiązek ten wskazano w art. 7 ust. 1 RODO gdzie prawodawca wprost nałożył na administratora obowiązek wykazania, że osoba, której dane dotyczą, wyraziła zgodę.
Obowiązki Administratora
Kolejnym obowiązkiem administratora związanym z gromadzeniem zgód jest zapewnienie, aby były one równie łatwo odwoływalne, jak ich udzielenie. Wynika to wprost z art. 7 ust. 3 RODO, a w praktyce sprowadza się do odpowiedniego zaprojektowania procesu przetwarzania, który zakłada pozyskiwanie zgód. Realizacja tego obowiązku może wymagać od administratora prowadzenia rejestrów lub innych dokumentów, które ułatwią ewidencjonowanie udzielonych zgód. Może to obejmować elektroniczne logi, formularze zgody z podpisem, potwierdzenie wyrażenia zgody otrzymane drogą elektroniczną lub inne metody zdolne do wykazania, kiedy i w jaki sposób i na jaki cel przetwarzania zgodę udzielono. Sposób wykazania wyrażenia zgody prawodawca zostawił do decyzji administratorowi. W wytycznych nr 05/2020, Grupa Robocza Art. 29 wprost wskazała, że „administratorzy mogą swobodnie opracowywać metody zapewnienia zgodności z tym przepisem w sposób, który jest spójny z ich bieżącą działalnością[1]”. Posiadanie dowodu wyrażenia zgody jest wymagane: „dopóki dane są przetwarzane, dopóty istnieje obowiązek wykazania prawidłowo wyrażonej zgody[2]”.
Możliwość potwierdzenia, że dana osoba wyraziła zgodę jest szczególnie ważna w sytuacji, gdy osoba, której dane dotyczą lub Organ Nadzorczy zażąda informacji o tym, w jakim celu i na jakiej podstawie dane osobowe są przetwarzane. Administrator, w sytuacji otrzymania takiego żądania, powinien być w stanie przedstawić dowód wyrażenia zgody, zgodnie z zasadą rozliczalności. Brak możliwości wykazania tego faktu może skutkować uznaniem przetwarzania danych określonej osoby za pozbawione podstawy prawnej, a także uznaniem, że wdrożony proces przetwarzania danych osobowych na zgodzie nie odpowiada wymogom RODO, co z kolei może prowadzić do nałożenia na administratora sankcji administracyjnych, w tym kar finansowych.
Jak udowodnić, że wyrażono zgodę?
Dużym wyzwaniem związanym z dowodowością wyrażenia zgody przez osobę, której dane dotyczą, jest zapewnienie, że procesy dokumentowania są wystarczająco szczegółowe i odporne na manipulacje (dowody są autentyczne i niezmienione), a zarazem, że przechowywanie dowodów wyrażenia zgody odbywa się w sposób bezpieczny i zgodny z innymi wymogami RODO, takimi jak zasada minimalizacji danych, adekwatności czy celowości. Znajduje to potwierdzenie w wytycznych Grupy Roboczej Art. 29, która wskazuje: „równocześnie obowiązek wykazania, że administrator uzyskał ważną zgodę, nie powinien sam w sobie prowadzić do nadmiernego przetwarzania dodatkowych danych. Oznacza to, że administratorzy powinni mieć wystarczająco dużo danych, aby móc wykazać związek z przetwarzaniem (aby wykazać, że uzyskano zgodę), ale nie powinni zbierać więcej informacji niż to konieczne. W sytuacji zakończenia przetwarzania danych osobowych na podstawie zgody, dowód na wyrażenie zgody nie powinien być przechowywany dłużej niż jest to bezwzględnie konieczne do wywiązania się z prawnego obowiązku lub do ustalenia, dochodzenia lub obrony roszczeń zgodnie z art. 17 ust. 3 lit. b) i e)”[3].
Odpowiednie i kompleksowe podejście Administratora
W celu wypełnienia obowiązku, od administratora wymaga się kompleksowego podejścia, łączącego zaawansowane rozwiązania techniczne, starannie zaprojektowanych procesów przetwarzania, ustanowienia procedur wewnętrznych w zakresie zbierania i przechowywania zgód, ciągłej edukacji pracowników oraz ustanowienia skutecznych planów reagowania na pojawiające się incydenty, żądania podmiotów danych oraz organu nadzorczego. W ten sposób administrator nie tylko zwiększa swoją zgodność z RODO, ale także buduje zaufanie wśród osób, których dane dotyczą, co jest nieocenione w utrzymaniu pozytywnych relacji z interesariuszami, których dane osobowe są przetwarzane oraz wizerunku firmy jako odpowiedzialnej i transparentnej.
Podsumowanie
Odpowiedzialność za wykazanie wyrażenia zgody spoczywa na administratorze, co stanowi część szerszej zasady rozliczalności i transparentności przetwarzania danych osobowych zgodnie z RODO, jak też jest bezpośrednim wymogiem przewidzianym w RODO. Brak wykazania wyrażenia zgody naraża administratora na zarzut bezpodstawnego przetwarzania danych osobowych, które spotkać się z reakcją organu nadzorczego.
[1] Wytyczne 05/2020 dotyczące zgody na mocy rozporządzenia 2016/679, str. 24
[2] Wytyczne 05/2020 dotyczące zgody na mocy rozporządzenia 2016/679, str. 24
[3] Wytyczne 05/2020 dotyczące zgody na mocy rozporządzenia 2016/679, str. 25