Problem przetwarzania danych związany jest z koniecznością uzyskania zgody osoby, której dane dotyczą. Poniżej przedstawiamy zasady uzyskania takiej zgody przez administratora.
Przetwarzanie danych osobowych może być realizowane jedynie z zachowaniem przepisów o ochronie danych osobowych. Przewidują one pięć przesłanek, dopuszczających możliwość legalnego przetwarzania danych, a mianowicie:
- jeśli osoba, której dane dotyczą, wyrazi zgodę na przetwarzanie;
- w sytuacji, gdy przetwarzanie jest konieczne, celem realizacji uprawnienia albo spełnienia obowiązku, który wynika z przepisu prawa;
- jeśli przetwarzanie danych jest wymogiem realizacji umowy, której podmiot danych jest stroną;
- jeśli jest to konieczne dla realizacji zadań dla publicznego dobra;
- jeżeli jest to konieczne do wypełnienia usprawiedliwionych prawnie celów, które realizują administratorzy danych, a także pod warunkiem, iż przetwarzanie nie godzi w prawa i wolności osoby, której dane dotyczą.
Taka zgoda, o której mowa powyżej, może stanowić prawną podstawę przetwarzania danych wówczas, kiedy osoba, której dane dotyczą, posiada rzeczywistą możliwość dobrowolności jej wyrażenia, natomiast niewyrażenie przez nią zgody nie pociąga za sobą jakichkolwiek negatywnych konsekwencji (np. brak zgody klienta na przesyłanie promocji e-mailem przez właściciela serwisu www nie spowoduje, że klient w ogóle nie będzie mógł założyć konta w serwisie).
Administrator danych osobowych jest zobowiązany do spełnienia wszelkich wymogów uzyskania ważnej zgody, gdyż jedynie wówczas wyrażona zgoda będzie narzędziem, gwarantującym podmiotom danych kontrolę nad przetwarzaniem ich danych osobowych.
Jakie cechy musi posiadać zgoda na przetwarzanie danych osobowych?
Zgoda na przetwarzanie danych osobowych została zdefiniowana w artykule 4 pkt 11 RODO, który określa ją jako okazanie woli, które musi być:
- dobrowolna,
- konkretna,
- świadoma,
- jednoznaczna,
zaś osoba, której dane dotyczą, winna w postaci oświadczenia albo wyraźnego potwierdzenia pozwolić na przetwarzanie jej danych osobowych.
Dobrowolność tej zgody oznacza, iż osoba miała możliwość dokonania rzeczywistego wyboru w sprawie wyrażenia zgody na przetwarzanie danych, a także ma możliwość zachowania nad nimi kontroli. Jeśli osoba ta została w jakiś sposób zmuszona do wyrażenia zgody, albo poniosła jakiekolwiek negatywne konsekwencje w przypadku jej niewyrażenia, zgoda będzie nieważna.
Zgoda, która nie jest jednoznaczna, na przykład została ukryta w jakiejś części umowy, również jest nieważna. Ponadto, powinna dotyczyć jednorazowo jednego celu ich przetwarzania. Jednocześnie, jeśli będzie się w niej zawierać kilka różnych, niepowiązanych celów przetwarzania, automatycznie będzie tracić ważność. Zgoda jednoznaczna to również taka zgoda, która została wyrażona za sprawą aktywnego działania albo deklaracji.
Jeśli chodzi o konkretność, zgoda na przetwarzanie danych winna posiadać jasno określony cel, co zapobiega ryzyku przetwarzania danych w innych celach. Powinna także dotyczyć konkretnego podmiotu, dla którego jest wyrażana. Ponadto, powinna zawierać jasno sformułowany zwrot będący zapytaniem o zgodę. Winna także wyraźnie oddzielać informacje wiążące się z uzyskaniem zgody na przetwarzanie danych od innych informacji.
Istotnym jest również, aby osoba, której dane dotyczą, wyraziła zgodę na ich przetwarzanie świadomie, a więc musi zostać poinformowana o celu przetwarzania, prawie do niewyrażenia zgody, prawie do jej wycofania – w sposób jasny i zrozumiały dla osoby, która wyraża zgodę.. Musi również otrzymać informacje dotyczące wykorzystywania danych.
Forma wyrażenia zgody na przetwarzanie danych
W związku z jednoznacznością, jako jedną z kluczowych cech zgody na przetwarzanie danych, może ona zostać wyrażona w formie aktywnego działania, a więc także działania dorozumianego w sposób jednoznaczny, które potwierdza intencje osoby, wyrażającej zgodę. Brak tej aktywności nie może być poczytany jako zgoda (czyli nie można zakładać, że zgoda została udzielona poprzez pominięcie czy milczenie, czy inny przejaw braku działania). W tym wypadku czynność wyrażenia zgody może polegać na zaznaczeniu odpowiedniego okienka na stronie internetowej albo na innym oświadczeniu, które jasno wskazuje, iż osoba, jakiej dane dotyczą zaakceptowała warunki ich przetwarzania.
Niektóre cele przetwarzania wymagają udzielenia zgody wyraźnej, która nie może mieć formy dorozumianej. Może być ona wyrażona przy użyciu słów w formie ustnej, elektronicznej lub pisemnej. Ponadto, Administrator Danych Osobowych musi być w stanie wykazać, iż osoba, jakiej dane dotyczą, wyraziła zgodę na ich przetwarzanie, a więc zawsze musi być w stanie udowodnić zgodę (stąd forma ustna jest kłopotliwa ze względów dowodowych).
Zgoda na przetwarzanie danych musi mieć również charakter uprzedni, a nie następczy, czyli musi zostać wyrażona przed faktycznym dokonaniem przetwarzania danych, zaś jej wycofanie musi być równie proste i skutkować usunięciem danych bez względu na formę ich utrwalenia.