W kolejnych artykułach pod wspólną nazwą RODOwskaz znajdziecie Państwo najważniejsze informacje wyjaśniające zapisy ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Kolejne artykuły ukazujące się w tym cyklu będą omawiały zagadnienia poruszone w Rozdziale II art. 6 RODO i dotyczące zgodności przetwarzania z prawem. Oparcie przetwarzania danych na jednej z przesłanek określonych w artykule art. 6 RODO stanowi przejaw realizacji zasady zgodności z prawem (legalności) przetwarzania danych, wyrażonej w art. 5 ust. 1 lit. a RODO.
Artykuł 6 Zgodność przetwarzania z prawem
- Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
- osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
Jedną z najważniejszych cech zgody na przetwarzanie danych osobowych jest jej dobrowolność.
W motywie 43 preambuły wyjaśniono, że „aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach”. Oznacza to, że w przypadku faktycznego braku równowagi między administratorem podmiotem danych należy zwracać szczególną uwagę na gwarancje dobrowolności, aby nie narazić się na kwestionowanie skuteczności zgody.
Wątpliwości co do rzeczywistej swobody wyrażenia zgody odnoszą się np. do sytuacji, gdy podmiotem ubiegającym się o uzyskanie zgody jest pracodawca, a zgody udziela pracownik albo kandydat na pracownika. Bez wątpienia pomiędzy pracodawcą a pracownikiem (a także kandydatem) istnieje brak równowagi ze względu na stosunek podporządkowania (podległości) lub ubiegania się o zatrudnienie, co może sprawiać, że pracownik (kandydat), obawiając się negatywnych konsekwencji, z zasady nie będzie odmawiał udzielenia zgody.
W relacjach między pracodawcą a pracownikiem (kandydatem) zgoda jako podstawa przetwarzania danych powinna być wykorzystywana wyjątkowo, jeżeli okoliczności wyraźnie wskazują na to, że pracownik nie poniesie negatywnych konsekwencji z powodu odmowy udzielenia zgody (np. gdy chodzi o zgodę na przetwarzanie danych w celu dodatkowego dobrowolnego ubezpieczenia).
Podstawową przesłanką dopuszczalności przetwarzania danych pracowniczych powinny być przepisy prawa nakładające obowiązek przetwarzania danych i rozstrzygające, w jakim zakresie dane mogą być przez pracodawcę przetwarzane.
W motywie 43 preambuły wskazano również, że „zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna”.
Oznacza to, że oświadczenia o zgodzie na przetwarzanie danych powinno pozwalać osobie, której dane dotyczą, na odrębne decydowanie o dopuszczalności przetwarzania danych w różnych celach (np. wykorzystywanie przez administratora i udostępnianie innym podmiotom) jeżeli „w danym przypadku byłoby to stosowne”, a więc należy w tym zakresie dokonać oceny indywidualnego przypadku i stosownie do okoliczności rozstrzygnąć, czy konieczne jest umożliwienie wyrażenia zgody odrębnie w odniesieniu do różnych operacji przetwarzania. Można jednak przyjąć, że co do zasady wystarczające jest odniesienie zgody do określonego celu przetwarzania, a szczegółowe odnoszenie zgody do poszczególnych operacji przetwarzania będzie wymagane w sytuacjach wyjątkowych uzasadnionych okolicznościami (np. gdy administrator zamierza udostępnić dane innym podmiotom na podstawie zgody osoby).
Gdy chodzi o uzależnianie wykonania umowy od zgody, to prawodawca unijny zabrania stosowania tego rodzaju rozwiązania, gdy zgoda nie jest niezbędna do wykonania umowy. Wynika stąd, że prawodawca unijny dopuszcza taką możliwość, gdy zgoda jest niezbędna, m.in. gdy usługa jest oferowana bezpłatnie (np. usługa darmowej poczty elektronicznej), a jest finansowana z przychodów uzyskiwanych z reklam, wówczas zgoda osoby korzystającej z usługi może być uznana za niezbędną dla świadczenia usługi. Należy jednak podkreślić, że zgoda nie powinna dotyczyć danych koniecznych do zawarcia i wykonania umowy, gdyż niezbędność przetwarzania danych dla wykonania umowy stanowi odrębną (samoistną) przesłankę dopuszczalności przetwarzania danych.
W tym kontekście warto przywołać tezę jednego z orzeczeń NSA, które zachowuje swoją aktualność mimo zmiany stanu prawnego. W wyroku NSA z 13.02.2003 r. (II SA 1620/01, M. Praw. 2003/8, s. 339, z krytyczną glosą J. Turka, M. Praw. 2003/18, s. 849), który dotyczył zgody pracowników na badania z użyciem poligrafu (wykrywacza kłamstw) przeprowadzane przez pracodawcę, Naczelny Sąd Administracyjny uznał, że: „skutki badań poligraficznych, mimo że dobrowolnych, naruszają prawa i wolności osobiste badanych. […] wyrażenie zgody na badania przy pomocy wykrywacza kłamstw, prowadzone przez pracodawcę, stawia pod znakiem zapytania swobodę tej zgody”.
Jedną z ważkich kwestii odnoszących się do zgody na przetwarzanie danych jest problem dopuszczalności łączenia zgody na przetwarzanie danych z innymi oświadczeniami o zgodzie (na przesyłanie informacji handlowej bądź na wykorzystywanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących do celów marketingu bezpośredniego) i odbierania w tym zakresie jednego oświadczenia o zgodzie na wskazane powyżej cele. Praktyka tego rodzaju nie zasługuje na aprobatę, w świetle komentowanych przepisów unijnego rozporządzenia wskazanych powyżej oświadczeń o zgodzie nie powinno się utożsamiać i łączyć ze sobą, należy zagwarantować osobie możliwość swobodnego decydowania o przetwarzaniu jej danych w każdym z tych odmiennych celów.
W praktyce istotny problem stanowi odbieranie zgody na zapas, w sytuacji gdy istnieje inna podstawa dopuszczalności przetwarzania danych (np. przepis prawa nakładający na administratora obowiązek przetwarzania danych bądź przetwarzanie danych jest niezbędne do zawarcia i wykonania umowy). Praktyka tego rodzaju nie zasługuje na uznanie, gdyż może prowadzić do różnego rodzaju wątpliwości i problemów.
Jednym z nich jest tworzenie mylnego wyobrażenia u osoby, która wyraża zgodę na przetwarzanie, że osoba ta decyduje o dopuszczalności przetwarzania danych, podczas gdy dopuszczalność przetwarzania może wynikać z innych podstaw (np. przepisu prawa), a osoba, której dane dotyczą, faktycznie pozbawiona jest możliwości decydowania o dopuszczalności przetwarzania danych. Kolejnym problemem w omawianej tu sytuacji może być odwołanie (wycofanie) zgody – osoba, która skorzysta z tego uprawnienia, będzie przekonana, że administrator powinien zaprzestać przetwarzania jej danych, choć faktycznie może być inaczej, jeżeli administrator legitymuje się inną przesłanką dopuszczalności, to dane mogą być nadal przetwarzane, mimo odwołania zgody.
Szczegółowe wymogi dotyczące wyrażenia zgody na przetwarzanie danych określa przepis art. 7 RODO. Nakłada on na administratora ciężar dowodu, że osoba wyraziła zgodę; określa wymogi dotyczące przejrzystości oświadczeń o zgodzie zawartych w formie pisemnej; przewiduje możliwość wycofania zgody; nakłada na administratorów obowiązek informowania osoby, której dane dotyczą, o możliwości wycofania zgody, zanim wyrazi ona zgodę na przetwarzanie oraz wymóg zapewnienia, aby wycofanie zgody było równie łatwe jak jej wyrażenie.
Zgoda na przetwarzanie danych osobowych może być w każdym czasie odwołana (wycofana). Cofnięcie zgody wywołuje skutki od chwili złożenia oświadczenia.
