iSecure logo
Blog

Formy wyrażenia zgody na przetwarzanie danych osobowych

Olga Jaworowska

Celem jaki przyświecał Parlamentowi Europejskiemu i Radzie Unii Europejskiej podczas uchwalania ogólnego rozporządzenia o ochronie danych, oprócz wzmacniania i konwergencji gospodarek na rynku wewnętrznym, było także takie zorganizowanie przetwarzania danych osobowych, aby służyło ludzkości (motyw 4 RODO). RODO to nie tylko obowiązki i obostrzenia w zakresie ochrony danych osobowych dla administratorów danych. RODO wprowadziło także wiele uproszczeń, np. m.in. w zakresie przepisów dotyczących międzynarodowego przekazywania danych osobowych, czy jak w temacie, w zakresie form pozyskiwania zgód na przetwarzanie danych osobowych. RODO umożliwia wyrażenie zgody na przetwarzanie danych osobowych w formie oświadczenia przybierającego tradycyjną formę papierową, elektroniczną, lub nawet ustną, o ile rozmowa została odpowiednio udokumentowana, ale także umożliwia pobieranie zgód w sposób łatwiejszy – poprzez działania potwierdzające naszą wolę. Warunek potwierdzenia woli zostanie spełniony dopiero wtedy, gdy dana osoba poprzez swoją czynność, celowe aktywne działanie, przejawi swoją wolę. Za potwierdzenie woli nie uważa się milczenia, brak reakcji, czy domyślnie zaznaczone okienka zgód na przetwarzanie danych osobowych. Co ważne, wyżej wymieniane ułatwienie pozyskiwania zgód, znajdzie zastosowanie, gdy zostaną zachowane pozostałe warunki wyrażenia zgody, w tym m.in. zgoda będzie wyodrębniona, nie będzie pozyskiwana w drodze tej samej czynności co zawarcie umowy, czy zaakceptowanie ogólnych warunków usługi. Komunikacja z osobą powinna być klarowna i jednoznaczna w danym kontekście przetwarzania. Co to oznacza? Że danej osobie fizycznej został przekazany minimalny zakres informacji o procesie przetwarzania danych. Za minimalny zakres uważa się podanie informacji co najmniej na temat tożsamości administratora i zamierzonego celu przetwarzania opisanego szczegółowo. Ponadto wyrażenie zgody na przetwarzanie danych osobowych powinno być całkowicie dobrowolne, bez przymusu, z możliwością odmowy wyrażenia zgody.  Administrator musi być w stanie wykazać, że zgodę uzyskano w ten konkretny sposób, a osoby, których dane dotyczą, muszą mieć możliwość wycofania zgody tak łatwo, jak jej udzieliły.

Zatem co będzie spełniało warunek wyraźnego działania potwierdzającego? Działanie może polegać na wyborze odpowiedniego okienka podczas przeglądania strony internetowej, zmianie ustawień technicznych na inne, niż wyjściowo zaprogramowane do korzystania z usług społeczeństwa informacyjnego, przesunięcia paska na ekranie, machnięciu przed inteligentną kamerą, obróceniu smartfona zgodnie z ruchem wskazówek zegara lub zakreśleniem ósemki. Te i inne tego typu zachowania mogą być wariantami wyrażenia zgody, o ile zapewnione są jasne informacje i nie ulega wątpliwości, że dany ruch oznacza zgodę w odpowiedzi na konkretne zapytanie (np. przesunięcie paska w lewo oznacza zgodę na wykorzystanie informacji X w celu Y. Należy powtórzyć ruch w celu potwierdzenia).

Oczywiście od tej reguły są wyjątki. Oświadczenie lub wyraźne działanie potwierdzające dotyczą wyrażenia zgody na przetwarzanie danych, gdy nie mamy do czynienia z poważnym ryzykiem związanym z ochroną danych. W sytuacjach, w których za właściwy uznaje się wysoki poziom indywidualnej kontroli nad danymi osobowymi, typu przetwarzanie danych osobowych szczególnych kategorii, przetwarzanie danych w sposób w pełni zautomatyzowany, czy w sytuacji zbierania danych podlegających transferowi do państwa trzeciego, należy odbierać od osób fizycznych zgodę „wyraźną”, ale to temat na odrębny artykuł.

Podobne wpisy:

RODO krok po kroku – część 3: obowiązek zgłaszania naruszenia danych osobowych
Katarzyna Ułasiuk

Zasady pracy zdalnej

Biorąc pod uwagę to, że wiele firm (w tym nasi klienci) wybrało przejście w tryb pracy zdalnej, dzielimy się zaleceniami, co do zachowania środków bezpieczeństwa: Na komputerze wykorzystywanym do pracy powinien być zainstalowany program antywirusowy i firewall, które są na bieżąco aktualizowane Należy korzystać ze zaktualizowanych przeglądarek internetowych np. Firefox, Chrome lub Opera; analogicznie system […]

Katarzyna Ułasiuk

Analiza ryzyka w procesach przetwarzania

W raporcie Związku Firm Ochrony Danych Osobowych, w którego powstaniu iSecure brała aktywny udział, brak analizy ryzyka wskazano jako jeden z 10 największych błędów przy zapewnianiu zgodności z RODO. Czym jest analiza ryzyka? Mówiąc obrazowo, analiza ryzyka to sprawdzenie wszystkich procesów przetwarzania danych osobowych i oszacowanie, jakie ryzyka występują w danym procesie na czas sprawdzenia. […]

Agnieszka Rapcewicz

Kilka słów o współadministrowaniu danymi osobowymi

Pojęcie współadministrowania danymi osobowymi nie występowało w polskiej ustawie o ochronie danych osobowych z 1997 r., mimo że dyrektywa 95/46/WE definiowała administratora danych podobnie jak aktualnie RODO. Chodziło więc o podmiot, który samodzielnie lub wspólnie z innymi podmiotamiokreśla cele i sposoby przetwarzania danych osobowych. Dopiero RODO wprowadziło wyraźną regulację dotyczącą współadministrowania i określiło, jakie obowiązki […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki