Pobierz najnowszy numer

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać informacje o nowościach z branży!

Jesteś tutaj

Zgoda na przetwarzanie danych osobowych. Wszystko, co trzeba wiedzieć

Printer Friendly and PDF

leadW ostatnim czasie coraz częściej pojawiają się kwestie związane z udzielaniem zgody na przetwarzanie danych osobowych. Klienci kancelarii pytają m.in. o przedstawiane do podpisu oświadczenia w formie cyfrowej, na przykład w Internecie, a także o to, czy można wycofać zgodę na przetwarzanie danych osobowych, która została wyrażona w ten sposób. Przedsiębiorcy są zainteresowani informacjami dotyczącymi warunków uzyskania czyjejś zgody (np. pytają o to, czy połączenie przedstawianego do podpisu oświadczenia mającego na celu uzyskanie czyjejś zgody na przetwarzanie danych osobowych z innymi oświadczeniami będzie poprawne).

Należy rozprawić się z kilkoma mitami dotyczącymi zgody na przetwarzanie danych osobowych w świetle ustawy o ochronie danych osobowych.

Mit pierwszy

Na przetwarzanie danych osobowych zawsze potrzebna jest zgoda. Jeżeli nie ma zgody – nie można ich przetwarzać.

Nic bardziej błędnego. Zgodnie bowiem z art. 23 ust. 1 przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

  1. osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych; 
  2. jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa; 
  3. jest to konieczne do realizacji umowy – gdy osoba, której dane dotyczą, jest jej stroną – lub niezbędne do podjęcia działań przed zawarciem umowy (na żądanie osoby, której dane dotyczą); 
  4. jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego; 
  5. jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. 

Oznacza to, że jest aż pięć warunków legalnego przetwarzania danych osobowych, zaś zgoda osoby zainteresowanej jest tylko jednym z nich.

Mit drugi

Zgoda raz dana nie może być odwołana.

Nieprawda. Zgodnie z art. 7 pkt 5 ustawy zgoda to oświadczenie woli, którego treścią jest przyzwolenie na przetwarzanie danych osoby, która składa oświadczenie. Zgoda nie może być domniemana ani dorozumiana z oświadczenia woli o innej treści i może być odwołana w dowolnym momencie.

Mit trzeci

Zgoda może być wyrażona jedynie na piśmie z własnoręcznym podpisem. Brak wyrażonej w ten sposób zgody (zgoda ustna, zgoda wyrażona w e-mailu, SMS-ie lub na stronie WWW poprzez kliknięcie odpowiedniego miejsca) oznacza, że nie można przetwarzać danych osobowych.

Nic bardziej błędnego. Samo pojęcie „oświadczenie woli” nie jest nigdzie w ustawie zdefiniowane, co jest plusem tej regulacji. Ustawodawca doszedł bowiem do wniosku, że zostało ono dostatecznie zdefiniowane w kodeksie cywilnym i nie ma konieczności tworzenia jakichkolwiek nowych definicji. Zgodnie z art. 60 kodeksu cywilnego: „Z zastrzeżeniem wyjątków w ustawie przewidzianych, wola osoby dokonującej czynności prawnej może być wyrażona przez każde zachowanie się tej osoby, które ujawnia jej wolę w sposób dostateczny, w tym również przez ujawnienie tej woli w postaci elektronicznej (oświadczenie woli)”.

Mit czwarty

Nie trzeba podawać celu przetwarzania. Wystarczy formułka „Wyrażam zgodę na przetwarzanie moich danych osobowych” oraz podpis.

Warto pamiętać, że upoważnienia do przetwarzania danych osobowych nie można podpisać in blanco – wyrażający zgodę powinien mieć świadomość, jakie dane, w jakim celu i gdzie będą przetwarzane (gdzie jest siedziba administratora danych), a także wiedzieć, czy będą one poddawane dalszemu przetwarzaniu. Wydaje się, że jeżeli administrator nie uzyskał zgody na udostępnienie danych innemu administratorowi, nie będzie mógł ich udostępnić na podstawie uzyskanego oświadczenia woli – konieczna jest dodatkowa zgoda osoby, której dane dotyczą. Za innego administratora nie uznaje się podmiotu przetwarzającego dane na zlecenie administratora.

Mit piąty

Wystarczy „ukryć” zapis wyrażający zgodę na przetwarzanie danych osobowych w innych oświadczeniach przedstawianych do podpisu (lub np. w odrębnym regulaminie, zapisie itp.), aby uzyskać czyjąś zgodę.

Zgoda musi być wyraźna. Nie może być ani domniemana, ani dorozumiana z oświadczeń woli o innej treści. Klauzula o zgodzie powinna być tak wyodrębniona, by można było jednocześnie odmówić wyrażenia zgody na przetwarzanie danych osobowych i zgodzić się na inne warunki. Często pod oświadczeniami przedstawianymi do podpisu (np. mającymi na celu uzyskanie zgody na przesyłanie korespondencji o charakterze reklamowym, na wykorzystanie wizerunku itp.) widnieje miejsce na podpis osoby zainteresowanej (lub „okienko”, które trzeba zaznaczyć w przypadku oświadczeń w postaci cyfrowej). Zgodą na przetwarzanie danych osobowych nie jest niewyrażenie sprzeciwu.

Mit szósty

Nie można udzielić zgody na przetwarzanie danych w przyszłości.

Powyższe zdanie – często przytaczane przez naszych Klientów – jest dość nieprecyzyjne. Zgoda może być wyrażona na przyszłość – zgodnie z art. 23 ust. 2 zgoda może dotyczyć również przetwarzania danych w przyszłości, jeżeli nie zmieni się cel przetwarzania.

Mit siódmy

Nawet na wykasowanie danych trzeba mieć zgodę osoby zainteresowanej.

Powyższe stwierdzenie jest nieprawdziwe. Nie jest wymagana zgoda na usunięcie danych – w przypadku usuwania danych osobowych nie trzeba mieć zgody osoby, której dane dotyczą. W Internecie wysłanie odpowiedniego formularza z zaznaczonym polem przy sformułowaniu typu „Wyrażam zgodę na przetwarzanie moich danych” jest równoznaczne z udzieleniem zgody na przetwarzanie danych osobowych. W razie wątpliwości administrator będzie musiał udowodnić, że taką zgodę posiada – zgodnie z rozkładem ciężaru dowodowego z art. 6 kc.

Zupełnie inaczej jest w przypadku wrażliwych danych osobowych (do takich danych należą dane o zdrowiu, nałogach itp. – opisane szeroko w art. 27). Ustawa wprowadza bowiem konieczność uzyskania zgody pisemnej (na równi ze zgodą pisemną będzie uznawana zgoda z podpisem cyfrowym). Oznacza to, że opisany wyżej sposób wyrażania i otrzymywania zgody nie jest w tym przypadku właściwy – chyba że formularz zostanie opatrzony podpisem cyfrowym.

W kontekście „cyfrowych” form wyrażania zgody pojawia się szereg wątpliwości dotyczących weryfikacji podmiotu udzielającego zgody, rozumienia wad oświadczenia woli w cyberprzestrzeni czy też możliwości odwołania zgody. Weryfikacja udzielającego zgody może być w wielu przypadkach znacznie utrudniona lub nawet niemożliwa, co oczywiście może doprowadzić do zaprzeczenia wyrażeniu zgody przez daną osobę. W takich sytuacjach podmiot przetwarzający dane najczęściej broni się, wysyłając potwierdzenie zgody na podany adres e-mailowy, ale to nie zawsze wystarczy. Trzeba zauważyć, że w wielu portalach internetowych do zalogowania wystarczy imię i nazwisko oraz adres e-mailowy, co nie jest równoznaczne z weryfikacją tożsamości użytkownika.

Podsumowanie

Zgoda osoby zainteresowanej jest tylko jednym z warunków legalnego przetwarzania danych osobowych. Zgoda może być wyrażona na wiele sposobów – także „cyfrowo”. W przypadku danych wrażliwych ważna jest tylko zgoda na piśmie lub z cyfrowym podpisem.

Przedstawiane do akceptacji sformułowania mające na celu uzyskanie czyjejś zgody na przetwarzanie danych osobowych muszą być wyraźnie wyodrębnione – nie mogą być ukryte.

Wyrażenie zgody w formie cyfrowej może rodzić wątpliwości co do możliwości weryfikacji osoby, która taką zgodą wyraziła, lub być wadliwym oświadczeniem woli.

 

Monika Brzozowska-Pasieka
dyrektor Departamentu Danych Osobowych
w kancelarii Pasieka, Derlikowski, Brzozowska i Partnerzy,
ekspert Instytutu Sobieskiego

 

Zabezpieczenia 1/2014

Wszelkie prawa zastrzeżone. Kopiowanie tekstów bez zgody redakcji zabronione / Zasady użytkowania strony