iSecure logo
Blog

Formy wyrażenia zgody na przetwarzanie danych osobowych

Olga Jaworowska

Celem jaki przyświecał Parlamentowi Europejskiemu i Radzie Unii Europejskiej podczas uchwalania ogólnego rozporządzenia o ochronie danych, oprócz wzmacniania i konwergencji gospodarek na rynku wewnętrznym, było także takie zorganizowanie przetwarzania danych osobowych, aby służyło ludzkości (motyw 4 RODO). RODO to nie tylko obowiązki i obostrzenia w zakresie ochrony danych osobowych dla administratorów danych. RODO wprowadziło także wiele uproszczeń, np. m.in. w zakresie przepisów dotyczących międzynarodowego przekazywania danych osobowych, czy jak w temacie, w zakresie form pozyskiwania zgód na przetwarzanie danych osobowych. RODO umożliwia wyrażenie zgody na przetwarzanie danych osobowych w formie oświadczenia przybierającego tradycyjną formę papierową, elektroniczną, lub nawet ustną, o ile rozmowa została odpowiednio udokumentowana, ale także umożliwia pobieranie zgód w sposób łatwiejszy – poprzez działania potwierdzające naszą wolę. Warunek potwierdzenia woli zostanie spełniony dopiero wtedy, gdy dana osoba poprzez swoją czynność, celowe aktywne działanie, przejawi swoją wolę. Za potwierdzenie woli nie uważa się milczenia, brak reakcji, czy domyślnie zaznaczone okienka zgód na przetwarzanie danych osobowych. Co ważne, wyżej wymieniane ułatwienie pozyskiwania zgód, znajdzie zastosowanie, gdy zostaną zachowane pozostałe warunki wyrażenia zgody, w tym m.in. zgoda będzie wyodrębniona, nie będzie pozyskiwana w drodze tej samej czynności co zawarcie umowy, czy zaakceptowanie ogólnych warunków usługi. Komunikacja z osobą powinna być klarowna i jednoznaczna w danym kontekście przetwarzania. Co to oznacza? Że danej osobie fizycznej został przekazany minimalny zakres informacji o procesie przetwarzania danych. Za minimalny zakres uważa się podanie informacji co najmniej na temat tożsamości administratora i zamierzonego celu przetwarzania opisanego szczegółowo. Ponadto wyrażenie zgody na przetwarzanie danych osobowych powinno być całkowicie dobrowolne, bez przymusu, z możliwością odmowy wyrażenia zgody.  Administrator musi być w stanie wykazać, że zgodę uzyskano w ten konkretny sposób, a osoby, których dane dotyczą, muszą mieć możliwość wycofania zgody tak łatwo, jak jej udzieliły.

Zatem co będzie spełniało warunek wyraźnego działania potwierdzającego? Działanie może polegać na wyborze odpowiedniego okienka podczas przeglądania strony internetowej, zmianie ustawień technicznych na inne, niż wyjściowo zaprogramowane do korzystania z usług społeczeństwa informacyjnego, przesunięcia paska na ekranie, machnięciu przed inteligentną kamerą, obróceniu smartfona zgodnie z ruchem wskazówek zegara lub zakreśleniem ósemki. Te i inne tego typu zachowania mogą być wariantami wyrażenia zgody, o ile zapewnione są jasne informacje i nie ulega wątpliwości, że dany ruch oznacza zgodę w odpowiedzi na konkretne zapytanie (np. przesunięcie paska w lewo oznacza zgodę na wykorzystanie informacji X w celu Y. Należy powtórzyć ruch w celu potwierdzenia).

Oczywiście od tej reguły są wyjątki. Oświadczenie lub wyraźne działanie potwierdzające dotyczą wyrażenia zgody na przetwarzanie danych, gdy nie mamy do czynienia z poważnym ryzykiem związanym z ochroną danych. W sytuacjach, w których za właściwy uznaje się wysoki poziom indywidualnej kontroli nad danymi osobowymi, typu przetwarzanie danych osobowych szczególnych kategorii, przetwarzanie danych w sposób w pełni zautomatyzowany, czy w sytuacji zbierania danych podlegających transferowi do państwa trzeciego, należy odbierać od osób fizycznych zgodę „wyraźną”, ale to temat na odrębny artykuł.

Podobne wpisy:

RODO krok po kroku – część 4: kary finansowe i odpowiedzialność administratora danych
Maria Lothamer

RODO krok po kroku – część 4: kary finansowe i odpowiedzialność administratora danych

W kolejnej części cyklu o zmianach wprowadzanych przez Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO/GDPR) przybliżamy jedne z najgorętszych zagadnień – kary finansowe i odpowiedzialność administratora danych osobowych.

Księgi akcyjne
Agnieszka Rapcewicz

Wyrok WSA w sprawie pierwszej administracyjnej kary pieniężnej nałożonej w Polsce na podstawie RODO

W ubiegłym tygodniu zostało opublikowane uzasadnienie wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie (WSA) z dnia 11 grudnia 2019 r. (II SA/Wa 1030/19). Orzeczenie to zostało wydane w wyniku rozpatrzenia odwołania spółki Bisnode od decyzji Prezesa Urzędu Ochrony Danych Osobowych (PUODO), nakładającej na wskazany podmiot administracyjną karę pieniężną za naruszenie przepisów RODO, w wysokości stanowiącej równowartość […]

Kurs ochrony danych osobowych przez e-mail
Olga Skotnicka

Czy znasz prawa osób, których dane przetwarzasz ?

Z pełnym przekonaniem mogę stwierdzić, że jednym z większych wyzwań Administratora jest obsługa wniosków dotyczących realizacji praw osób których dane dotyczą. RODO kładzie szczególny nacisk na to, aby osoby, których dane są przetwarzane, miały świadomość, co do podejmowanych działań przez Administratora. Mam na myśli najczęściej stosowane prawa wskazane w art. 15-22 RODO, tj. prawo do: […]