W kolejnych artykułach pod wspólną nazwą RODOwskaz znajdziecie Państwo najważniejsze informacje wyjaśniające zapisy ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Kolejne artykuły ukazujące się w tym cyklu będą omawiały zagadnienia poruszone w Rozdziale II art. 6 RODO i dotyczące zgodności przetwarzania z prawem. Oparcie przetwarzania danych na jednej z przesłanek określonych w artykule art. 6 RODO stanowi przejaw realizacji zasady zgodności z prawem (legalności) przetwarzania danych, wyrażonej w art. 5 ust. 1 lit. a RODO.
Artykuł 6 Zgodność przetwarzania z prawem
- Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
- osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
Pierwszą z przesłanek dopuszczalności przetwarzania danych, wskazaną w ust. 1 lit. a art. 6 RODO, jest zgoda osoby, której dane dotyczą, na przetwarzanie danych.
Przepis precyzuje, że zgoda może być wyrażona w jednym lub większej liczbie określonych celów przetwarzania. Zamieszczenie przez prawodawcę unijnego zgody jako pierwszej wśród podstaw dopuszczalności przetwarzania może być odczytywane jako uznanie istotnego znaczenia tej przesłanki i szczególnej jej roli wśród wszystkich podstaw dopuszczalności przetwarzania. Oparcie przetwarzania danych na podstawie zgody pozwala uwzględnić wolę osoby, której dane dotyczą, i jest jednym z przejawów realizacji prawa do ochrony danych osobowych, na które składa się uprawnienie podmiotu danych do decydowania o sposobie i zakresie przetwarzania danych.
Prawodawca unijny, zdecydował się na przyjęcie modelu opt‑in, a więc ustanowił wymóg uzyskania zgody, natomiast nie dopuścił praktyki zakładającej, że brak sprzeciwu oznacza zgodę na przetwarzanie danych.
Pojęcie zgody osoby, której dane dotyczą, zostało zdefiniowane w art. 4 pkt 11 RODO i oznacza „dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”. Osoba, która wyraża zgodę, powinna mieć zapewnioną swobodę jej wyrażenia (albo odmowy jej wyrażenia). Oświadczenie dotyczące zgody powinno jasno wskazywać cel i zakres przetwarzania oraz podmiot, którego dotyczy.
Osoba składająca oświadczenie powinna być poinformowana, a jej działanie powinno w sposób niebudzący wątpliwości wskazywać na udzielenie zgody, przy czym nie jest tu wymagana określona forma prawna.
Zgoda może być wyrażona na przetwarzanie danych w jednym lub wielu celach, przy czym każdy z celów powinien być wyraźnie oznaczony, a oświadczenie powinno być tak skonstruowane, aby pozwalało osobie, której dane dotyczą, wyrazić zgodę na wybrane cele przetwarzania. Łączenie różnych celów przetwarzania w jednym oświadczeniu bez możliwości wskazania celów, na które osoba wyraża zgodę, może prowadzić do swoistego wymuszania zgody, a zgodność z prawem takiego oświadczenia może być kwestionowana.
Warto jednak zwrócić uwagę, że takie sformułowanie komentowanego przepisu nie znosi ogólnych wymogów, w świetle których zgoda powinna być dobrowolna, konkretna, świadoma i jednoznaczna, a połączenie w jednym oświadczeniu kilku celów przetwarzania nie powinno prowadzić do wątpliwości, czy wymogi te zostały w konkretnym przypadku spełnione.
Zgoda może mieć charakter samodzielnego oświadczenia woli (niepowiązanego z innymi oświadczeniami), może też być elementem złożonego aktu woli (wyrażanego np. przez kandydata przystępującego do jakiejś organizacji).
Zgoda może mieć charakter indywidualny, tzn. upoważniać tylko jeden podmiot, np. ten, który zbiera dane, do ich dalszego przetwarzania, może też odnosić się do dalszych dysponentów (nabywców) zbioru obejmującego te dane, którzy będą je dalej przetwarzać. W tym zakresie zgoda będzie jednak skuteczna o tyle, o ile ci dalsi dysponenci zostaną wskazani, a cel przetwarzania będzie tożsamy.
Zgoda na przetwarzanie danych nie tylko występuje w formie jednostronnego oświadczenia woli, ale może też stanowić element umowy. Ma to miejsce m.in. wówczas, gdy w grę wchodzi świadczenie wzajemne ze strony administratora danych, np. w formie zobowiązania do zapłaty jakiejś sumy pieniężnej, do uwzględnienia w losowaniu nagród itp.
Nie ma przeszkód, aby zgoda miała charakter warunkowy (jej skuteczność będzie zależeć od ziszczenia się warunku; będzie ona legalizowała zbieranie lub inną formę przetwarzania danych dopiero po ziszczeniu się warunku). Podobnie może ona mieć charakter terminowy (wyrażać akceptację na przetwarzanie danych przez określony czas). Wreszcie zgoda może być ograniczona terytorialnie (np. do przetwarzania na terenie kraju), podmiotowo (z zastrzeżeniem, że zgoda została udzielona wyłącznie na przetwarzanie dokonywane przez wskazaną osobę zatrudnioną przez administratora) oraz przedmiotowo (w odniesieniu do niektórych tylko danych czy do niektórych celów przetwarzania)
Jedną z najważniejszych cech zgody na przetwarzanie danych osobowych jest jej dobrowolność.
W motywie 43 preambuły wyjaśniono, że „aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach”. Oznacza to, że w przypadku faktycznego braku równowagi między administratorem podmiotem danych należy zwracać szczególną uwagę na gwarancje dobrowolności, aby nie narazić się na kwestionowanie skuteczności zgody.
Wątpliwości co do rzeczywistej swobody wyrażenia zgody odnoszą się np. do sytuacji, gdy podmiotem ubiegającym się o uzyskanie zgody jest pracodawca, a zgody udziela pracownik albo kandydat na pracownika. Bez wątpienia pomiędzy pracodawcą a pracownikiem (a także kandydatem) istnieje brak równowagi ze względu na stosunek podporządkowania (podległości) lub ubiegania się o zatrudnienie, co może sprawiać, że pracownik (kandydat), obawiając się negatywnych konsekwencji, z zasady nie będzie odmawiał udzielenia zgody.
Jednakowoż w relacjach między pracodawcą a pracownikiem (kandydatem) zgoda jako podstawa przetwarzania danych powinna być wykorzystywana wyjątkowo, jeżeli okoliczności wyraźnie wskazują na to, że pracownik nie poniesie negatywnych konsekwencji z powodu odmowy udzielenia zgody (np. gdy chodzi o zgodę na przetwarzanie danych w celu dodatkowego dobrowolnego ubezpieczenia).
Podstawową przesłanką dopuszczalności przetwarzania danych pracowniczych powinny być przepisy prawa nakładające obowiązek przetwarzania danych i rozstrzygające, w jakim zakresie dane mogą być przez pracodawcę przetwarzane.
W motywie 43 preambuły wskazano również, że „zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna”.
Oznacza to, że oświadczenia o zgodzie na przetwarzanie danych powinno pozwalać osobie, której dane dotyczą, na odrębne decydowanie o dopuszczalności przetwarzania danych w różnych celach (np. wykorzystywanie przez administratora i udostępnianie innym podmiotom) jeżeli „w danym przypadku byłoby to stosowne”, a więc należy w tym zakresie dokonać oceny indywidualnego przypadku i stosownie do okoliczności rozstrzygnąć, czy konieczne jest umożliwienie wyrażenia zgody odrębnie w odniesieniu do różnych operacji przetwarzania. Można jednak przyjąć, że co do zasady wystarczające jest odniesienie zgody do określonego celu przetwarzania, a szczegółowe odnoszenie zgody do poszczególnych operacji przetwarzania będzie wymagane w sytuacjach wyjątkowych uzasadnionych okolicznościami (np. gdy administrator zamierza udostępnić dane innym podmiotom na podstawie zgody osoby).
Gdy chodzi o uzależnianie wykonania umowy od zgody, to prawodawca unijny zabrania stosowania tego rodzaju rozwiązania, gdy zgoda nie jest niezbędna do wykonania umowy. Wynika stąd, że prawodawca unijny dopuszcza taką możliwość, gdy zgoda jest niezbędna, m.in. gdy usługa jest oferowana bezpłatnie (np. usługa darmowej poczty elektronicznej), a jest finansowana z przychodów uzyskiwanych z reklam, wówczas zgoda osoby korzystającej z usługi może być uznana za niezbędną dla świadczenia usługi. Należy jednak podkreślić, że zgoda nie powinna dotyczyć danych koniecznych do zawarcia i wykonania umowy, gdyż niezbędność przetwarzania danych dla wykonania umowy stanowi odrębną (samoistną) przesłankę dopuszczalności przetwarzania danych.
W tym kontekście warto przywołać tezę jednego z orzeczeń NSA, które zachowuje swoją aktualność mimo zmiany stanu prawnego. W wyroku NSA z 13.02.2003 r. (II SA 1620/01, M. Praw. 2003/8, s. 339, z krytyczną glosą J. Turka, M. Praw. 2003/18, s. 849), który dotyczył zgody pracowników na badania z użyciem poligrafu (wykrywacza kłamstw) przeprowadzane przez pracodawcę, Naczelny Sąd Administracyjny uznał, że: „skutki badań poligraficznych, mimo że dobrowolnych, naruszają prawa i wolności osobiste badanych. […] wyrażenie zgody na badania przy pomocy wykrywacza kłamstw, prowadzone przez pracodawcę, stawia pod znakiem zapytania swobodę tej zgody”.
Jedną z ważkich kwestii odnoszących się do zgody na przetwarzanie danych jest problem dopuszczalności łączenia zgody na przetwarzanie danych z innymi oświadczeniami o zgodzie (na przesyłanie informacji handlowej bądź na wykorzystywanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących do celów marketingu bezpośredniego) i odbierania w tym zakresie jednego oświadczenia o zgodzie na wskazane powyżej cele. Praktyka tego rodzaju nie zasługuje na aprobatę, w świetle komentowanych przepisów unijnego rozporządzenia wskazanych powyżej oświadczeń o zgodzie nie powinno się utożsamiać i łączyć ze sobą, należy zagwarantować osobie możliwość swobodnego decydowania o przetwarzaniu jej danych w każdym z tych odmiennych celów.
W praktyce istotny problem stanowi odbieranie zgody na zapas, w sytuacji gdy istnieje inna podstawa dopuszczalności przetwarzania danych (np. przepis prawa nakładający na administratora obowiązek przetwarzania danych bądź przetwarzanie danych jest niezbędne do zawarcia i wykonania umowy). Praktyka tego rodzaju nie zasługuje na uznanie, gdyż może prowadzić do różnego rodzaju wątpliwości i problemów.
Jednym z nich jest tworzenie mylnego wyobrażenia u osoby, która wyraża zgodę na przetwarzanie, że osoba ta decyduje o dopuszczalności przetwarzania danych, podczas gdy dopuszczalność przetwarzania może wynikać z innych podstaw (np. przepisu prawa), a osoba, której dane dotyczą, faktycznie pozbawiona jest możliwości decydowania o dopuszczalności przetwarzania danych. Kolejnym problemem w omawianej tu sytuacji może być odwołanie (wycofanie) zgody – osoba, która skorzysta z tego uprawnienia, będzie przekonana, że administrator powinien zaprzestać przetwarzania jej danych, choć faktycznie może być inaczej, jeżeli administrator legitymuje się inną przesłanką dopuszczalności, to dane mogą być nadal przetwarzane, mimo odwołania zgody.
Szczegółowe wymogi dotyczące wyrażenia zgody na przetwarzanie danych określa przepis art. 7 komentowanego rozporządzenia. Nakłada on na administratora ciężar dowodu, że osoba wyraziła zgodę; określa wymogi dotyczące przejrzystości oświadczeń o zgodzie zawartych w formie pisemnej; przewiduje możliwość wycofania zgody; nakłada na administratorów obowiązek informowania osoby, której dane dotyczą, o możliwości wycofania zgody, zanim wyrazi ona zgodę na przetwarzanie oraz wymóg zapewnienia, aby wycofanie zgody było równie łatwe jak jej wyrażenie.
Zgoda na przetwarzanie danych osobowych może być w każdym czasie odwołana (wycofana). Cofnięcie zgody wywołuje skutki od chwili złożenia oświadczenia.
