iSecure logo
Blog

Formy wyrażenia zgody na przetwarzanie danych osobowych

Olga Jaworowska

Celem jaki przyświecał Parlamentowi Europejskiemu i Radzie Unii Europejskiej podczas uchwalania ogólnego rozporządzenia o ochronie danych, oprócz wzmacniania i konwergencji gospodarek na rynku wewnętrznym, było także takie zorganizowanie przetwarzania danych osobowych, aby służyło ludzkości (motyw 4 RODO). RODO to nie tylko obowiązki i obostrzenia w zakresie ochrony danych osobowych dla administratorów danych. RODO wprowadziło także wiele uproszczeń, np. m.in. w zakresie przepisów dotyczących międzynarodowego przekazywania danych osobowych, czy jak w temacie, w zakresie form pozyskiwania zgód na przetwarzanie danych osobowych. RODO umożliwia wyrażenie zgody na przetwarzanie danych osobowych w formie oświadczenia przybierającego tradycyjną formę papierową, elektroniczną, lub nawet ustną, o ile rozmowa została odpowiednio udokumentowana, ale także umożliwia pobieranie zgód w sposób łatwiejszy – poprzez działania potwierdzające naszą wolę. Warunek potwierdzenia woli zostanie spełniony dopiero wtedy, gdy dana osoba poprzez swoją czynność, celowe aktywne działanie, przejawi swoją wolę. Za potwierdzenie woli nie uważa się milczenia, brak reakcji, czy domyślnie zaznaczone okienka zgód na przetwarzanie danych osobowych. Co ważne, wyżej wymieniane ułatwienie pozyskiwania zgód, znajdzie zastosowanie, gdy zostaną zachowane pozostałe warunki wyrażenia zgody, w tym m.in. zgoda będzie wyodrębniona, nie będzie pozyskiwana w drodze tej samej czynności co zawarcie umowy, czy zaakceptowanie ogólnych warunków usługi. Komunikacja z osobą powinna być klarowna i jednoznaczna w danym kontekście przetwarzania. Co to oznacza? Że danej osobie fizycznej został przekazany minimalny zakres informacji o procesie przetwarzania danych. Za minimalny zakres uważa się podanie informacji co najmniej na temat tożsamości administratora i zamierzonego celu przetwarzania opisanego szczegółowo. Ponadto wyrażenie zgody na przetwarzanie danych osobowych powinno być całkowicie dobrowolne, bez przymusu, z możliwością odmowy wyrażenia zgody.  Administrator musi być w stanie wykazać, że zgodę uzyskano w ten konkretny sposób, a osoby, których dane dotyczą, muszą mieć możliwość wycofania zgody tak łatwo, jak jej udzieliły.

Zatem co będzie spełniało warunek wyraźnego działania potwierdzającego? Działanie może polegać na wyborze odpowiedniego okienka podczas przeglądania strony internetowej, zmianie ustawień technicznych na inne, niż wyjściowo zaprogramowane do korzystania z usług społeczeństwa informacyjnego, przesunięcia paska na ekranie, machnięciu przed inteligentną kamerą, obróceniu smartfona zgodnie z ruchem wskazówek zegara lub zakreśleniem ósemki. Te i inne tego typu zachowania mogą być wariantami wyrażenia zgody, o ile zapewnione są jasne informacje i nie ulega wątpliwości, że dany ruch oznacza zgodę w odpowiedzi na konkretne zapytanie (np. przesunięcie paska w lewo oznacza zgodę na wykorzystanie informacji X w celu Y. Należy powtórzyć ruch w celu potwierdzenia).

Oczywiście od tej reguły są wyjątki. Oświadczenie lub wyraźne działanie potwierdzające dotyczą wyrażenia zgody na przetwarzanie danych, gdy nie mamy do czynienia z poważnym ryzykiem związanym z ochroną danych. W sytuacjach, w których za właściwy uznaje się wysoki poziom indywidualnej kontroli nad danymi osobowymi, typu przetwarzanie danych osobowych szczególnych kategorii, przetwarzanie danych w sposób w pełni zautomatyzowany, czy w sytuacji zbierania danych podlegających transferowi do państwa trzeciego, należy odbierać od osób fizycznych zgodę „wyraźną”, ale to temat na odrębny artykuł.

Podobne wpisy:

Dane osobowe w kopiach zapasowych
Olga Jaworowska

Dane osobowe w kopiach zapasowych

Po wejściu w życie RODO, administratorzy danych nie mają łatwego zadania – praktyczne wdrożenie przepisów unijnej regulacji jest bowiem czasochłonne i dotyka wielu sfer funkcjonowania firmy, w tym także w obszarze IT. Za przykład niech posłuży pionierska aplikacja na telefon za pomocą której można umawiać się na wizytę do usługodawców, takich jak zakłady fryzjerskie, czy […]

Dane osobowe dzieci w internecie
Olga Jaworowska

Zgoda dziecka na przetwarzanie danych osobowych

Publikacja mojego artykułu przypada na pierwszy dzień kwietnia, który w łacinie to nie inaczej, jak prima (dies) Aprilis. Pomimo tej okoliczności, dzisiaj nie o żartach, a o poważnych i interesujących tematach, jak na blog iSecure przystoi, a mianowicie – o zgodzie dzieci na przetwarzanie ich danych osobowych. Zaznaczam na wstępie, że niniejszy artykuł tylko o […]

Dlaczego RODO nie zabije blockchain i technologii rejestrów rozproszonych
Maria Lothamer

Dlaczego RODO nie zabije blockchain i technologii rejestrów rozproszonych

Wśród specjalistów, którzy pracują na styku prawa i nowych technologii trwa dyskusja czy przepisy Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) stoją w sprzeczności z fundamentami działania technologii rejestrów rozproszonych, jak Bitcoin, Ethereum czy Ripple. Jeśli jednak przyjrzeć się fundamentom działania rejestrów rozproszonych, to okaże się, że obawy dotyczące RODO nie mają podstaw. Mało tego, przepisy RODO w wielu wypadkach w ogóle mogą nie mieć zastosowania w odniesieniu do rejestrów rozproszonych.