• +48 573 177 822
  • biuro@ratio-go.pl
  • Pon - Pt: 10:00 - 18:00
Facebook-f Instagram Linkedin
Facebook-f Instagram Linkedin

Zgoda na przetwarzanie danych osobowych

Zgoda na przetwarzanie danych osobowych to jedna z podstaw prawnych przewidzianych w RODO, ale w praktyce jest też najczęściej nadużywana i źle rozumiana. Zgoda nie jest rozwiązaniem „uniwersalnym” i nie zawsze może być podstawą legalnego przetwarzania danych.

Aby zgoda była ważna, musi być dobrowolna, konkretna, świadoma i jednoznaczna. Oznacza to, że osoba musi wiedzieć, kto przetwarza jej dane, w jakim celu, w jakim zakresie i że ma realny wybór. Zgoda wymuszona, dorozumiana albo „ukryta” w regulaminie nie spełnia wymogów RODO.

Istotne jest również to, że zgoda może zostać w każdej chwili cofnięta, a jej cofnięcie musi być tak samo łatwe jak jej udzielenie. To sprawia, że w wielu procesach biznesowych zgoda jest podstawą niestabilną i trudną do obrony, zwłaszcza gdy istnieje inna, właściwsza podstawa prawna, np. wykonanie umowy lub obowiązek prawny.

Zgoda ma sens tam, gdzie osoba rzeczywiście ma wybór, a przetwarzanie nie jest konieczne do realizacji usługi. Najczęściej dotyczy to działań marketingowych, newsletterów czy publikacji wizerunku. W pozostałych przypadkach sięganie po zgodę bywa błędem, który generuje więcej ryzyk niż korzyści.

W RODO zgoda nie jest „zabezpieczeniem administratora”, lecz prawem osoby, której dane dotyczą. I właśnie w ten sposób powinna być traktowana.

Spis treści

Czym jest zgoda w rozumieniu RODO?

Zgoda to wyraźne, dobrowolne, konkretne, świadome i jednoznaczne okazanie woli osoby, której dane dotyczą – wyrażone w formie oświadczenia lub wyraźnego działania potwierdzającego – na przetwarzanie jej danych osobowych. Taką definicję znajdziemy w art. 4 pkt 11 RODO. Kluczowe są tutaj:

  • Dobrowolność – rzeczywista i wolna od form przymusu/nacisku możliwość dokonania wyboru udzielenia zgody. Cofnięcie zgody powinno być tak samo łatwe i dostępne jak jej udzielenie. Niedopuszczalne jest także stawianie warunku skorzystania z usługi od uprzedniego wyrażenia zgody, na przykład na działania marketingowe.
  • Konkretność – osoba fizyczna, która wyraża zgodę na przetwarzanie danych osobowych, powinna otrzymać zrozumiałą i klarowną informację o tym, kto jest administratorem danych, w jakim celu dane będą przetwarzane oraz jaki jest ich zakres. Wszystkie te informacje powinny być przekazane w prostym i przejrzystym języku, który nie budzi wątpliwości co do intencji administratora.
  • Świadomość – osoba musi wiedzieć, na co się zgadza.
  • Jednoznaczność – wyrażenie zgody przez osobę fizyczną następuje poprzez jednoznaczne oświadczenie woli lub takie działanie, które jasno wskazuje na zamiar udzielenia zgody na przetwarzanie danych osobowych. Sposób jej udzielenia nie może pozostawiać żadnych wątpliwości co do intencji osoby, której dane dotyczą.

Kiedy można przetwarzać dane na podstawie zgody?

Zgoda to tylko jedna z sześciu przesłanek legalizujących przetwarzanie danych osobowych (art. 6 ust. 1 RODO). Zgoda ma charakter subsydiarny – czyli powinniśmy się na nią powoływać dopiero wtedy, gdy inne podstawy prawne (np. umowa, obowiązek prawny, interes prawny) nie mają zastosowania.

W szczególności zgoda na przetwarzanie danych osobowych jest wykorzystywana w takich sytuacjach jak:

  • wysyłka newsletterów lub działań marketingowych,
  • udział w badaniach opinii,
  • przetwarzanie danych kandydatów do pracy poza zakresem Kodeksu pracy,
  • publikacja wizerunku pracownika na stronie internetowej,
  • przetwarzanie tzw. danych wrażliwych, jeśli nie zachodzą inne przesłanki z art. 9 ust. 2 RODO.
zgoda na przetwarzanie danych osobowych

Jak długo można przetwarzać dane osobowe?

Dane osobowe można przetwarzać wyłącznie przez czas trwania umowy. Ponieważ podstawą prawną przetwarzania jest jej realizacja, po zakończeniu obowiązywania umowy – niezależnie od tego, czy nastąpiło to poprzez jej wykonanie, rozwiązanie czy wygaśnięcie – dalsze przetwarzanie danych na tej podstawie nie jest już dopuszczalne.

Warunki ważnej zgody

Zgoda na przetwarzanie danych osobowych musi spełniać konkretne wymogi formalne. Administrator danych musi być w stanie wykazać, że zgoda została rzeczywiście udzielona i spełnia następujące warunki:

  • Jasność i prostota – treść zgody musi być zrozumiała, sformułowana prostym językiem.
  • Celowość – każda zgoda musi dotyczyć konkretnego celu (np. osobna zgoda na przesyłanie ofert handlowych, osobna na udostępnienie danych partnerowi).
  • Łatwość wycofania – wycofanie zgody musi być równie proste jak jej udzielenie – np. za pomocą jednego kliknięcia w e-mailu lub krótkiego formularza.
  • Forma – zgoda może być wyrażona pisemnie, elektronicznie (np. checkbox), a czasem nawet ustnie – ale zawsze musi dawać się udowodnić.

Szczególna ostrożność przy danych wrażliwych

Zgoda nabiera jeszcze większego znaczenia przy przetwarzaniu szczególnych kategorii danych osobowych (art. 9 RODO) – czyli m.in. danych o zdrowiu, poglądach politycznych, przynależności związkowej czy orientacji seksualnej. Przetwarzanie takich danych jest co do zasady zabronione, chyba że osoba wyraziła na to wyraźną zgodę – czyli jednoznaczne, świadome i jasno potwierdzone przyzwolenie.

W praktyce oznacza to np. konieczność odrębnego pola zgody, pełnej informacji o celu i ograniczeniu zakresu danych tylko do tych niezbędnych.

zgoda na przetwarzanie danych

Dlaczego zgoda to najsłabsza podstawa prawna?

Zgoda – mimo że brzmi bezpiecznie – jest najbardziej „kruchą” podstawą przetwarzania. Dlaczego?

  • Może być w każdej chwili wycofana – i od tego momentu dane nie mogą być dalej przetwarzane (chyba że wystąpi inna podstawa).
  • Często błędnie stosowana – administratorzy zbierają zgody „na wszelki wypadek”, nawet gdy nie są one potrzebne, co może prowadzić do nieważności zgody.
  • Ryzyko nieczytelnej zgody – niedostosowana językowo treść lub ogólnikowość zapisów powodują, że zgoda jest nieważna.

Z tych powodów warto stosować ją rozważnie i tylko tam, gdzie rzeczywiście nie da się przetwarzać danych na innej podstawie prawnej.

Jak zadbać o zgodność zgody z RODO?

Aby zgoda była zgodna z RODO, administrator powinien w pierwszej kolejności ocenić, czy jest ona rzeczywiście niezbędna – czyli czy nie istnieje inna, bardziej stabilna podstawa prawna do przetwarzania danych. Następnie należy zadbać o to, by treść zgody była przejrzysta, zrozumiała i dotyczyła wyłącznie jednego, jasno określonego celu – dla każdego celu należy przygotować odrębny komunikat. Ważne jest także, aby zapewnić osobie, której dane dotyczą, łatwą możliwość wycofania zgody – np. za pomocą prostego formularza, przycisku w wiadomości e-mail lub innego dostępnego kanału. Istotnym elementem jest prowadzenie ewidencji zgód, czyli dokumentowanie daty, treści i sposobu jej wyrażenia. Dodatkowo, przy każdej zmianie warunków przetwarzania, warto weryfikować, czy dotychczasowa zgoda wciąż pozostaje ważna i aktualna.

Michał Myśliwy

Michał Myśliwy

Prawnik

Prawnik i praktyk w obszarze ochrony danych osobowych oraz compliance. Od momentu wejścia w życie RODO aktywnie pełni funkcję Inspektora Ochrony Danych w spółkach akcyjnych i spółkach z ograniczoną odpowiedzialnością. Specjalizuje się w projektowaniu i wdrażaniu rozwiązań z zakresu ochrony danych i compliance, opartych na realnych procesach biznesowych, ryzykach oraz odpowiedzialności zarządczej.

Sprawdź naszą ofertę!

Wdrożenie RODO
Dokumentacja
Audyt RODO
Szkolenia RODO
Szkolenia RODO
Outsourcing IOD
Doradztwo RODO
Ostatnie wpisy

Masz pytanie?

O nas

Uważamy, że odpowiednio wdrożone RODO, może posłużyć jako narzędzie wpływające korzystnie na rozwój, postrzeganie oraz reputację firmy. Naszym celem jest zapewnienie prawidłowego przetwarzania, obiegu, archiwizowania oraz dostępu do danych zgodnie z aktualnymi wymogami.

Facebook-f Instagram Linkedin
Udostępnij ten post
Facebook
LinkedIn
Czytaj dalej
Facebook Instagram Linkedin
Facebook-f Instagram Linkedin