Zgoda na przetwarzanie danych osobowych po reformie przepisów

Zgoda jako podstawa przetwarzania danych osobowych

Legalność przetwarzania danych osobowych jest jedną z podstawowych zasad, jakie obowiązują Administratora Danych zgodnie z wymogami RODO. Zasada ta została wprost wyrażona w artykule 5 ust. 1 pkt (a) RODO. Jednym ze sposobów zapewnienia zgodności z prawem przetwarzania jest uzyskanie zgody osoby, której dane dotyczą, która będzie stanowić prawną przesłankę przetwarzania danych osobowych (Artykuł 6 ust. 1 pkt (a) oraz Motyw 40 RODO). W opinii Grupy Roboczej Artykułu 29, wyrażenie przez podmiot danych zgody na przetwarzanie jest podstawowym i najprostszym sposobem wykazania przez Administratora, że przetwarzanie przez niego danych jest legalne.
Administrator Danych musi być w każdej chwili zdolny do wykazania, że przetwarzanie przez niego danych osobowych odbywa się zgodnie z wymogami RODO (Artykuł 5 ust. 2 RODO). Oznacza to, że Administrator, który przetwarza dane na podstawie zgody musi być w stanie wykazać, że ją uzyskał.

Warunki wyrażenia zgody na przetwarzanie danych

By wyrażona zgoda mogła stać się wiążącą podstawą przetwarzania danych osobowych, musi ona spełniać pewne niezbędne, minimalne wymagania co do jej treści i sposobu jej wyrażenia. Wśród wymagań RODO dotyczących zgód na przetwarzanie danych osobowych pojawiły się następujące kryteria wyrażenia i uznania zgody za podstawę prawną legalizującą przetwarzanie danych osobowych:

  1. Zgoda musi być jednoznaczna, nie może wynikać z żadnego innego stosunku łączącego Administratora i podmiot danych,
  2. Zgoda musi być wyrażona dobrowolnie, nie wolno przymuszać osoby, której dane dotyczą do jej wyrażenia np. groźba niewykonania usługi wynikającej z umowy wiążącej Administratora i podmiot danych,
  3. Zgoda musi być konkretna, to znaczy musi wyrażać przyzwolenie osoby, której dane dotyczą na konkretne działania Administratora związane z realizacją konkretnych celów przetwarzania,
  4. Zgoda musi być wyrażona świadomie, zatem podmiot danych, który wyraża zgodę powinien znać przynajmniej tożsamość administratora oraz zamierzone cele działania oraz mieć rzeczywisty, wolny wybór co do wyrażenia zgody, odmowy jej wyrażenia lub wycofania bez niekorzystnych konsekwencji,
  5. Treść zgody powinna być napisana jasnym i prostym językiem, a forma zgody powinna być łatwo dostępna dla osoby, której dane mają być przetwarzane,
  6. Zgoda powinna polegać na działaniu lub być złożona w formie oświadczenia, pisemnego lub ustnego – milczenie lub niepodjęcie działania nie powinny oznaczać zgody.

W przypadku, gdy przetwarzanie danych osobowych ma dotyczyć danych podlegających szczególnej ochronie, zgoda powinna być dodatkowo wyraźna, a więc wprost wskazywać na chęć i gotowość osoby, której dane dotyczą na przekazanie jej danych do przetwarzania.

Regulacje dotyczące zgód, ich treści i sposobu wyrażenia znajdują się w:

  • Motywach 32, 40, 43, 51 RODO,
  • Artykule 4 pkt 11 RODO,
  • Artykule 7, 8 i 9 ust. 2 pkt (a) RODO.

Prawa osoby, która wyraziła zgodę

Osoba, która wyraziła zgodę, ma prawo do jej wycofania w dowolnym momencie bez niekorzystnych konsekwencji dla siebie. Zgodność z prawem przetwarzania dokonanego przed wycofaniem zgody pozostaje bez zmian pomimo jej wycofania. Administrator ma obowiązek pouczyć osobę, od której pobiera zgodę o tym przywileju. Jeżeli przetwarzanie odbywa się na podstawie zgody, osoba, której dane dotyczą ma prawo żądania przeniesienia swoich danych do innego Administratora. Co więcej, w przypadku wycofania zgody, która stanowiła podstawę prawną przetwarzania danych, osoba, której dane dotyczą ma prawo żądać niezwłocznego usunięcia jej danych.

Co ze zgodami wyrażonymi na podstawie UODO?

Wobec zmian, które wprowadza RODO pojawiło się pytanie, czy zgody wyrażone na podstawie uprzednio obowiązującej Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (wygasa z dniem 25 maja 2018 r.) zachowują ważność? GIODO zajęło stanowisko, że zgody wyrażone na podstawie UODO zachowują ważność pod warunkiem, że zostały one zebrane w sposób odpowiadający wymogom RODO, czyli czy spełniają one kryteria: dobrowolności, konkretności, świadomości i jednoznaczności.

Konsekwencje naruszenia przepisów dot. zgody

Zgodnie z Artykułem 83 ust. 5 RODO, Administrator, który narusza podstawowe zasady przetwarzania, w tym nie przestrzega warunków dotyczących zgody na przetwarzanie danych, może zostać ukarany administracyjną karą pieniężną w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Zobacz również:

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO)
Wytyczne Grupy Roboczej Artykułu 29 z dnia 28 listopada 2017 r. dotyczące zgody na mocy Rozporządzenia 2016/679, 17/EN WP 259 [ENG]
Stanowisko GIODO dotyczące ważności zgód na przetwarzanie danych osobowych z dnia 29 grudnia 2017 r.