Zgoda na przetwarzanie danych osobowych - co zmienia RODO?

Zgoda na przetwarzanie danych osobowych - co zmienia RODO?

Ogrom zmian wprowadzanych przez rozporządzenie RODO dosięgnie niemalże każdego aspektu związanego z przetwarzaniem danych osobowych. Kwestia uregulowania sposobu pozyskiwania zgody na przetwarzanie danych osobowych nie została również pominięta. Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) znajdzie zastosowanie od 25 maja 2018 r., wkraczając do porządku prawnego wszystkich państw członkowskich Unii Europejskiej.

Problematyka pozyskiwania zgody na przetwarzanie danych osobowych została unormowana już w treści Motywu 32 Preambuły RODO:

Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.

Tak jak to miało miejsce do tej pory, na gruncie RODO jedną z przesłanek dopuszczalności przetwarzania danych osobowych pozostanie uzyskanie zgody osoby, której dane dotyczą.
Rozporządzenie RODO konkretyzuje jednak warunki, jakie zgoda na przetwarzanie danych osobowych musi spełniać, by mogła zostać uznana za skutecznie wyrażoną.

Przyjrzyjmy się więc definicji zgody, zawartej w stosowanej obecnie ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz tej, którą przewidział ustawodawca europejski.

Zauważmy, że pojęcie zgody na przetwarzanie danych osobowych zostało doprecyzowane. RODO podkreśla także wymóg, by oświadczenie to było dobrowolne, konkretne, świadome i jednoznaczne. Szczegółowe warunki wyrażenia zgody na przetwarzanie danych osobowych zostały uregulowane w przepisie art. 7 RODO.

Aby przyjąć, że zgoda na przetwarzanie danych osobowych została wyrażona w sposób właściwy, będzie musiała spełniać ona następujące warunki:

1.Administrator danych osobowych będzie musiał być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. W przypadku np. skargi osoby, której dane dotyczą, do administratora będzie należało udowodnienie, że dana osoba wyraziła zgodę na przetwarzanie przez niego danych.

2.Jeżeli zgoda będzie wyrażana w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione:
• w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii,
• w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

W przypadku niespełnienia powyższego warunku, część oświadczenia zostaje uznana za niewiążącą. Obrazując konsekwencję takiego stanu prawnego, jeśli administrator danych osobowych, będący na przykład organizatorem szkoleń, umieściłby klauzulę dotyczącą zgody na przetwarzanie danych osobowych wśród innych oświadczeń, powodując tym samym jej nieczytelność i rozpoczął by przetwarzanie danych, robiłby to bezprawnie.

3.Osoba, której dane dotyczą, będzie miała prawo w dowolnym momencie wycofać zgodę. Musi być to tak łatwe, jak samo wyrażenie zgody. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem, o czym osoba powinna zostać poinformowana jeszcze przez wyrażeniem zgody.

Jeśli osoba której dane dotyczą wycofa swoją zgodę na ich przetwarzanie, administrator jest zobowiązany do zaprzestania przetwarzania tych danych. Wyjątek stanowi okoliczność, w której administrator przetwarza te dane osobowe również na innej podstawie, np. gdy są one niezbędne do poprawnego wykonania umowy.

4.Z uwagi na tak podkreślaną konieczność zapewnienia dobrowolności wyrażenia zgody, przy jej ocenie w jak największym stopniu będzie uwzględniać się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.

RODO kładzie duży nacisk na bezpieczeństwo najmłodszych użytkowników sieci. Wyrażenie zgody na przetwarzanie danych osobowych przez dziecko w zakresie tzw. usług społeczeństwa informacyjnego zostało uregulowane w treści art. 7 Rozporządzenia.

Usługa społeczeństwa informacyjnego oznacza usługę w rozumieniu art. 1 ust. 1 lit. b) dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/1535, a więc usługę normalnie świadczoną za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług.

Jeżeli usługobiorcą takiej usługi jest osoba, która nie ukończyła 16 roku życia, zgodę na przetwarzanie jej danych osobowych może wyrazić wyłącznie osoba sprawująca nad nim władzę rodzicielską lub opiekę. Granica wiekowa może zostać obniżona przez poszczególne państwa członkowskie, jednakże nie może wynosić mniej niż 13 lat.

Zgoda na przetwarzanie danych osobowych wyrażona przez osobę, które dane te dotyczą, nadal pozostaje jedną z głównych podstaw do przetwarzania danych osobowych.

Zważywszy na treść definicji oraz szczegółowe warunki wyrażania zgody na przetwarzanie danych osobowych które wprowadza RODO, należy pamiętać, by dostosować obszar uzyskiwania zgód usługobiorców na przetwarzanie ich danych do nowych przepisów. Już od 25 maja 2018 r., aby wyrażenie zgody na przetwarzanie danych osobowych było zgodnie z prawem, udzielona zgoda powinna:

• być dobrowolna,
• zostać sformułowana w sposób jasny i zrozumiały,
• być wyrażona w formie oświadczenia bądź poprzez wyraźne i jednoznaczne działanie, np. w Internecie – poprzez zaznaczenie tzw. checkboxa,
• zostać wyrażona na przetwarzanie w określonym celu lub kilku celach,
wyraźnie odróżniać się od innych treści, jeżeli zawarta jest w oświadczeniu dotyczącym także innych kwestii,
• informować o możliwości jej wycofania,
• umożliwiać wycofanie w łatwy sposób,
• uwzględniać zasady pozyskiwania zgody na przetwarzanie danych osobowych dzieci.

Made with by Integree.eu