Pojęcie zgody na przetwarzanie danych jest kluczowe z punktu widzenia administratora i podmiotu przetwarzającego, ponieważ stanowi podstawową przesłankę prawną tego przetwarzania.

Art. 4 pkt 11 stanowi, że zgoda osoby, które dane dotyczą, to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym ta osoba, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Warunki wyrażenia zgody precyzują art. 7 i 8.

Powyższa definicja pozwala na przyjęcie następujących, kumulatywnych przesłanek zgody:

  1. dobrowolna;
  2. konkretna;
  3. świadoma;
  4. jednoznaczna.

Zgoda jest dobrowolna wtedy, gdy osoba świadomie i bez przymusu składa określone oświadczenie woli. Obejmuje to także możliwość zmiany warunków udzielenia zgody lub jej wycofania w dowolnym momencie. Jak wskazano w motywie 43 preambuły, aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach. Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna.

Zgoda musi być konkretna. Oznacza to, że powinna zawierać dokładny cel i zakres przetwarzania danych, ponieważ tylko w taki sposób chronione będą prawa osoby, której dane dotyczą. Niedopuszczalne jest wyrażanie zgody w sposób ogólny albo blankietowy. Podpowiedzi interpretacyjne znajdziemy w motywie 32 preambuły – zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.

Zgoda wyrażana jest świadomie wtedy, gdy osoba, której dane dotyczą, została w sposób prawidłowy poinformowana o wszystkich kluczowych aspektach przetwarzania jej danych osobowych i zdecydowała się je zaakceptować. Zgodnie z motywem 42 preambuły, aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych.

Jednoznaczność wyrażonej zgody oznacza, że ze złożonego oświadczenia woli powinno jasno wynikać, co było zamiarem osoby, która je składa. Jeśli istnieją jakiekolwiek uzasadnione wątpliwości co do zamiaru osoby, której dane dotyczą, zgoda nie może być uznana za jednoznaczną.

Wyrażenie woli może przybrać na przykład formę pisemną (w tym elektroniczną) lub ustną. Może polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Rozporządzenie nie zastrzega specjalnej formy wyrażenia zgody.

Na marginesie jedynie warto zaznaczyć, że zgoda musi mieć charakter uprzedni.

Zachęcam do dyskusji i podsyłania propozycji na kolejne opracowania związane z RODO!

Michał Wysocki

Bibliografia:

  1. E. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer Polska, 2017;
  2. A. Dmochowska, M. Zadrożny, Unijna reforma ochrony danych osobowych. Analiza zmian, C.H. Beck, 2016;
  3. M. Krzysztofek, Ochrona danych osobowych w Unii Europejskiej po reformie. Komentarz do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, C.H. Beck, 2016;
  4. P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, 2018