Spis treści
Zgoda na przetwarzanie danych osobowych to jeden z filarów ochrony prywatności w RODO. Mimo że nie zawsze jest ona wymagana – ponieważ istnieją także inne podstawy legalnego przetwarzania danych – w praktyce zgoda bardzo często stanowi fundament operacji przetwarzania. Jest szczególnie istotna w działaniach marketingowych, procesach rekrutacyjnych czy badaniach opinii..
Czym jest zgoda w rozumieniu RODO?
Zgoda to wyraźne, dobrowolne, konkretne, świadome i jednoznaczne okazanie woli osoby, której dane dotyczą – wyrażone w formie oświadczenia lub wyraźnego działania potwierdzającego – na przetwarzanie jej danych osobowych. Taką definicję znajdziemy w art. 4 pkt 11 RODO. Kluczowe są tutaj:
- Dobrowolność – rzeczywista i wolna od form przymusu/nacisku możliwość dokonania wyboru udzielenia zgody. Cofnięcie zgody powinno być tak samo łatwe i dostępne jak jej udzielenie. Niedopuszczalne jest także stawianie warunku skorzystania z usługi od uprzedniego wyrażenia zgody, na przykład na działania marketingowe.
- Konkretność – osoba fizyczna, która wyraża zgodę na przetwarzanie danych osobowych, powinna otrzymać zrozumiałą i klarowną informację o tym, kto jest administratorem danych, w jakim celu dane będą przetwarzane oraz jaki jest ich zakres. Wszystkie te informacje powinny być przekazane w prostym i przejrzystym języku, który nie budzi wątpliwości co do intencji administratora.
- Świadomość – osoba musi wiedzieć, na co się zgadza.
- Jednoznaczność – wyrażenie zgody przez osobę fizyczną następuje poprzez jednoznaczne oświadczenie woli lub takie działanie, które jasno wskazuje na zamiar udzielenia zgody na przetwarzanie danych osobowych. Sposób jej udzielenia nie może pozostawiać żadnych wątpliwości co do intencji osoby, której dane dotyczą.
Kiedy można przetwarzać dane na podstawie zgody?
Zgoda to tylko jedna z sześciu przesłanek legalizujących przetwarzanie danych osobowych (art. 6 ust. 1 RODO). Zgoda ma charakter subsydiarny – czyli powinniśmy się na nią powoływać dopiero wtedy, gdy inne podstawy prawne (np. umowa, obowiązek prawny, interes prawny) nie mają zastosowania.
W szczególności zgoda na przetwarzanie danych osobowych jest wykorzystywana w takich sytuacjach jak:
- wysyłka newsletterów lub działań marketingowych,
- udział w badaniach opinii,
- przetwarzanie danych kandydatów do pracy poza zakresem Kodeksu pracy,
- publikacja wizerunku pracownika na stronie internetowej,
- przetwarzanie tzw. danych wrażliwych, jeśli nie zachodzą inne przesłanki z art. 9 ust. 2 RODO.
Jak długo można przetwarzać dane osobowe?
Dane osobowe można przetwarzać wyłącznie przez czas trwania umowy. Ponieważ podstawą prawną przetwarzania jest jej realizacja, po zakończeniu obowiązywania umowy – niezależnie od tego, czy nastąpiło to poprzez jej wykonanie, rozwiązanie czy wygaśnięcie – dalsze przetwarzanie danych na tej podstawie nie jest już dopuszczalne.
Warunki ważnej zgody
Zgoda na przetwarzanie danych osobowych musi spełniać konkretne wymogi formalne. Administrator danych musi być w stanie wykazać, że zgoda została rzeczywiście udzielona i spełnia następujące warunki:
- Jasność i prostota – treść zgody musi być zrozumiała, sformułowana prostym językiem.
- Celowość – każda zgoda musi dotyczyć konkretnego celu (np. osobna zgoda na przesyłanie ofert handlowych, osobna na udostępnienie danych partnerowi).
- Łatwość wycofania – wycofanie zgody musi być równie proste jak jej udzielenie – np. za pomocą jednego kliknięcia w e-mailu lub krótkiego formularza.
- Forma – zgoda może być wyrażona pisemnie, elektronicznie (np. checkbox), a czasem nawet ustnie – ale zawsze musi dawać się udowodnić.
Szczególna ostrożność przy danych wrażliwych
Zgoda nabiera jeszcze większego znaczenia przy przetwarzaniu szczególnych kategorii danych osobowych (art. 9 RODO) – czyli m.in. danych o zdrowiu, poglądach politycznych, przynależności związkowej czy orientacji seksualnej. Przetwarzanie takich danych jest co do zasady zabronione, chyba że osoba wyraziła na to wyraźną zgodę – czyli jednoznaczne, świadome i jasno potwierdzone przyzwolenie.
W praktyce oznacza to np. konieczność odrębnego pola zgody, pełnej informacji o celu i ograniczeniu zakresu danych tylko do tych niezbędnych.
Dlaczego zgoda to najsłabsza podstawa prawna?
Zgoda – mimo że brzmi bezpiecznie – jest najbardziej „kruchą” podstawą przetwarzania. Dlaczego?
- Może być w każdej chwili wycofana – i od tego momentu dane nie mogą być dalej przetwarzane (chyba że wystąpi inna podstawa).
- Często błędnie stosowana – administratorzy zbierają zgody „na wszelki wypadek”, nawet gdy nie są one potrzebne, co może prowadzić do nieważności zgody.
- Ryzyko nieczytelnej zgody – niedostosowana językowo treść lub ogólnikowość zapisów powodują, że zgoda jest nieważna.
Z tych powodów warto stosować ją rozważnie i tylko tam, gdzie rzeczywiście nie da się przetwarzać danych na innej podstawie prawnej.
Jak zadbać o zgodność zgody z RODO?
Aby zgoda była zgodna z RODO, administrator powinien w pierwszej kolejności ocenić, czy jest ona rzeczywiście niezbędna – czyli czy nie istnieje inna, bardziej stabilna podstawa prawna do przetwarzania danych. Następnie należy zadbać o to, by treść zgody była przejrzysta, zrozumiała i dotyczyła wyłącznie jednego, jasno określonego celu – dla każdego celu należy przygotować odrębny komunikat. Ważne jest także, aby zapewnić osobie, której dane dotyczą, łatwą możliwość wycofania zgody – np. za pomocą prostego formularza, przycisku w wiadomości e-mail lub innego dostępnego kanału. Istotnym elementem jest prowadzenie ewidencji zgód, czyli dokumentowanie daty, treści i sposobu jej wyrażenia. Dodatkowo, przy każdej zmianie warunków przetwarzania, warto weryfikować, czy dotychczasowa zgoda wciąż pozostaje ważna i aktualna.
Sprawdź naszą ofertę!
Ostatnie wpisy
Masz pytanie?
Napisz do nas
O nas
Uważamy, że odpowiednio wdrożone RODO, może posłużyć jako narzędzie wpływające korzystnie na rozwój, postrzeganie oraz reputację firmy. Naszym celem jest zapewnienie prawidłowego przetwarzania, obiegu, archiwizowania oraz dostępu do danych zgodnie z aktualnymi wymogami.