Pojęcie zgody na przetwarzanie danych w praktyce często bywa mylnie rozumiane jako warunek konieczny legalnego przetwarzania danych osobowych. Należy mieć jednak na uwadze, że zgoda – świadomie i dobrowolnie wyrażona -  stanowi tylko jedną z wielu równoprawnych przesłanek umożliwiających legalne przetwarzanie danych osobowych. Jest tak zarówno obecnie na gruncie przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych , jak również w przyszłości zgodnie z ogólnym rozporządzeniem o ochronie danych, zwanym dalej RODO.

Problem ten był wielokrotnie zauważany przez Generalnego Inspektora Ochrony Danych Osobowych, zarówno w orzecznictwie, jak i w opracowywanych publikacjach, także tych najnowszych: „Zgoda jest często mylnie traktowana jako podstawowa, najważniejsza przesłanka przetwarzania danych osobowych. Tymczasem jest jedną z kilku równoważnych podstaw prawnych – tak jak obowiązek wynikający z przepisu prawa, realizacja umowy czy też uzasadniony interes administratora danych. Pamiętaj by właściwie wskazać podstawę prawną przetwarzania danych i ich nie dublować. Złą praktyką jest chociażby pozyskiwanie zgody jako warunku zawarcia umowy o świadczenie usług.”(http://www.giodo.gov.pl/1520281/id_art/10014/j/pl)  W świetle powyższego podobnie za błędną należy uznać powszechną kiedyś praktykę pobierania zgody od pracownika na przetwarzanie danych osobowych w celach związanych z zatrudnieniem w sytuacji, gdy przepisy kodeksu pracy i aktów wykonawczych określają, jakie dane pracodawca może przetwarzać i jakich może żądać od pracownika.

RODO (ang.GDPR) posługuje się „nową” definicją zgody zawartą w art. 4 pkt 11, zgodnie z którą „zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

W odniesieniu do aktualnie obowiązujących przepisów (definicja zgody znajduje się w art. 7 pkt 5 ustawy o ochronie danych osobowych) można zauważyć, że nastąpiło pewne „złagodzenie” charakteru prawnego zgody. Zgodnie z obecną definicją przez „zgodę” rozumie się wyłącznie oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Ponadto zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, a także zgoda może być odwołana w każdym czasie.

Tym samym w RODO sformułowanie „oświadczenie woli” zastąpiono „okazaniem woli” które może przybrać formę „oświadczenia lub wyraźnego działania potwierdzającego”, którym osoba której dane dotyczą „przyzwala na przetwarzanie dotyczących jej danych osobowych”.

Wydaje się, że nowy przepis lepiej przystaje do realiów związanych z przetwarzaniem danych przy użyciu nowych technologii, np. w Internecie, niemniej jednak dotychczas stosowane pojęcie „oświadczenia woli” z prawnego punktu widzenia także było stosunkowo czytelne. Definicja oświadczenia woli znajdująca się w art. 60 kodeksu cywilnego w zasadzie jest wystarczająco szeroka (zgodnie z art. 60 kc zastrzeżeniem wyjątków w ustawie przewidzianych, wola osoby dokonującej czynności prawnej może być wyrażona przez każde zachowanie się tej osoby, które ujawnia jej wolę w sposób dostateczny, w tym również przez ujawnienie tej woli w postaci elektronicznej). Niemniej jednak definicja zawarta w RODO może być bardziej czytelna, zwłaszcza dla osób niebędących prawnikami.

Motyw 32 preambuły RODO wskazuje jakie są trzy możliwe sposoby wyrażenia zgody:

- wyrażenie zgody może polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej,

- wyrażenie zgody może polegać na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego

- wyrażenie zgody może polegać na lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych.

Przy czym jasno wskazane zostało, że milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny oznaczać zgody. Zgoda powinna także dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy. Pierwszy i ostatni sposób wyrażenia zgody w zasadzie są powszechnie stosowane także obecnie.

Przepisy RODO (GDPR), podobnie jak w ustawie o ochronie danych osobowych, przewidują, że zgoda na przetwarzanie danych może stanowić zarówno przesłankę przetwarzania danych zwykłych (art. 6 ust. 1 lit a RODO), jak również tzw. danych „wrażliwych” (art. 9 ust. 2 lit. a RODO). W odniesieniu do danych „wrażliwych” znika jednak obowiązek pozyskania zgody na piśmie, co z punktu widzenia administratorów danych jest zmianą niewątpliwie korzystną (obowiązek ten mógł być w wielu przypadkach bardzo kłopotliwy).

W motywie 42 preambuły RODO (GDPR) wskazano warunki jakie powinny zostać spełnione, aby przetwarzanie danych mogło odbywać się na podstawie zgody. Po pierwsze administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania. Po drugie w przypadku pisemnego oświadczenia składanego w innej sprawie powinny istnieć gwarancje, że osoba, której dane dotyczą, jest świadoma wyrażenia zgody oraz jej zakresu. Po trzecie oświadczenie powinno mieć zrozumiałą i łatwo dostępną formę, być sformułowane jasnym i prostym językiem i nie powinno zawierać nieuczciwych warunków. Po czwarte osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych aby wyrażenie zgody było świadome. Po piąte jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji, wyrażenia zgody nie należy uznawać za dobrowolne.

Warto mieć na uwadze, że już obecnie doktryna i orzecznictwo wykształciły standardy, które w zasadzie zostały powtórzone w cytowanym motywie preambuły ogólnego rozporządzenia o ochronie danych. Na gruncie obecnie obowiązujących przepisów to na administratorze danych osobowych ciąży obowiązek udowodnienia, że osoba wyraziła zgodę na konkretny cel przetwarzania danych (obecnie dodatkowo w przypadku tzw. danych „wrażliwych” o których mowa w art. 27 st. 1 ustawy o ochronie danych osobowych zgoda musi być wyrażona na piśmie). Przy wyrażaniu zgody na inny cel przetwarzania przy składaniu oświadczenia w innej sprawie – np. przy zawieraniu umowy obecnie także niezbędne jest, aby oświadczenie o wyrażeniu zgody na inny cel przetwarzania było właściwie wyodrębnione (przykładem może być konieczność wyrażenia osobnej zgody na udostępnienie danych osobowych innemu podmiotowi w celach marketingowych). Inaczej zgoda nie będzie uznana za wyrażoną świadomie i dobrowolnie. Podobnie jest jeśli chodzi o wymóg stosowania zrozumiałej i łatwo dostępnej formy oraz jasnego i prostego języka – wymóg ten nie był dotychczas jasno wyartykułowany, niemniej jednak zasady tworzenia klauzul musiały uwzględniać konieczność stosowania klauzul jasnych i zrozumiałych dla odbiorcy (ponownie należy wziąć pod uwagę aktualny wymóg świadomości i dobrowolności wyrażenia zgody).

Jeśli chodzi o wymóg znajomości przynajmniej tożsamości administratora danych osobowych oraz zamierzonych celów przetwarzania, aby wyrażenie zgody było świadome, to w przyszłości może on w praktyce powodować wiele trudności – zwłaszcza w odniesieniu do tych sytuacji w których administratorzy współpracują z wieloma innymi podmiotami (np. w ramach grup kapitałowych). Aktualnie jednak także wskazywano, że konieczność poinformowania o tożsamości administratora danych jest niezbędna, niemniej jednak w praktyce zdarzało się, że czasami dopuszczane były klauzule, w których osoba wyrażała zgodę na udostępnianie danych osobowych w celach marketingowych np. „podmiotom z jednej grupy kapitałowej” (zwłaszcza, że struktura taka może mieć charakter „dynamiczny” – tworzy się nowe spółki, lub likwiduje stare, itp.). Rozwiązanie to, dosyć kontrowersyjne nie zawsze było jednoznacznie negowane przez GIODO – w praktyce pojawia się jednak dodatkowy problem z realizacją obowiązku informacyjnego. Po pierwsze podmiot udostępniający dane musi poinformować o znanych w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców. Po drugie – to co w praktyce o wiele trudniej jest zrealizować - odbiorca danych zobowiązany jest do niezwłocznego (bezpośrednio po utrwaleniu zebranych danych) zrealizowania obowiązku informacyjnego o którym mowa w art. 25 UODO (w związku z tym, że dane są pozyskiwane od podmiotu trzeciego). W świetle przepisów RODO należy uznać, że wymóg znajomości tożsamości administratora może być interpretowany jako konieczność każdorazowego informowania w momencie pozyskania zgody o konkretnych danych identyfikujących każdego administratora danych na rzecz którego wyrażana jest zgoda na przetwarzanie danych.

Warunek, aby osoba, której dane dotyczą miała wolny wybór oraz mogła wycofać zgodę bez niekorzystnych konsekwencji jest znany także obecnie (dobrowolność). Klasycznymi przykładami naruszenia tej zasady, które pojawiały się już na gruncie obowiązującego stanu prawnego są np. uzależnienie możliwości zawarcia umowy z jednym podmiotem od wyrażenia zgody na udostępnienie danych innemu podmiotowi/podmiotom, wymuszanie zgody na przetwarzanie danych od pracowników, którzy nie mają możliwości jej nie wyrażenia (np. obowiązkowe zamieszczanie zdjęć pracowników na stronie internetowej pracodawcy). Podobnie niedopuszczalne jest, aby zgoda była np. zawarta w treści regulaminu świadczonej usługi, czy żeby przy zawieraniu umowy domyślnie zaznaczone były checkboxy z wyrażeniem zgody na przetwarzanie danych w innych celach.

Motyw 43 preambuły RODO wskazuje tutaj dość jednoznacznie, iż zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna. Powoływany wcześniej motyw 32 precyzuje także, że na każdy cel przetwarzania danych powinna być udzielona osobna zgoda.

Uchybienia takie w których w jednej klauzuli zgody jest zawarte więcej niż jeden cel przetwarzania występują dość często i już na gruncie aktualnego stanu prawnego są jednoznacznie kwestionowane przez GIODO. Przykładowo we wnioskach z kontroli przeprowadzonych w sektorze bankowym GIODO wskazał: „Łączenie w jednym oświadczeniu zgód na różne cele przetwarzania danych to jedno z najczęstszych uchybień banków stwierdzonych przez GIODO na podstawie sprawdzeń przeprowadzonych przez ABI” (Banki błędnie formułują klauzule zgody na przetwarzanie danych osobowych w celach marketingowych – materiał dostępny pod adresem http://giodo.gov.pl/pl/259/10003)

Warto wskazać także na warunek możliwości wycofania zgody o którym mowa w art. 7 ust. 3 RODO. Warunek ten, o czym już było wyżej wspomniane jest także niezbędny na gruncie obecnego stanu prawnego, aby przetwarzanie danych na podstawie zgody mogło być uznane za legalne. GDPR idzie tutaj jednak o krok dalej i wymaga, aby – informacja o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem była przekazywana osobie której dane dotyczą w momencie zbierania danych (jako element obowiązku informacyjnego, pierwotnego lub wtórnego – odpowiednio art. 13 ust. 2 lit c i art. 14 ust. 2 lit. d RODO, GDPR). Aktualnie obowiązujący stan prawny obliguje jedynie do tego, aby w przypadku zbierania danych na podstawie zgody poinformować o dobrowolności podania danych. Niektórzy administratorzy danych już obecnie, w ramach dobrych praktyk informowali o tym, że osoba może w dowolnym momencie wycofać zgodę (niekiedy jednak zapis ten stosowany był niechętnie – skoro bowiem prawo nie wymagało tego wprost, niektórzy administratorzy uznawali, że nie leży to w ich interesie).

Powyższy wymóg jest o tyle istotny, że zgodnie z motywem 171 preambuły RODO przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów. Jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia.

Także GIODO wskazuje, iż: „wydaje się, że większość otrzymanych dotychczas zgód zachowa ważność także pod rządami ogólnego rozporządzenia. Pod warunkiem, że poinformowano osobę, której dane dotyczą o możliwości wycofania zgody w dowolnym momencie, a wycofanie zgody jest równie łatwe jak jej wyrażenie.” (Rok do RODO - sprawdzian gotowości. 6. Zgoda na przetwarzanie danych osobowych - materiał dostępny pod adresem http://www.giodo.gov.pl/1520281/id_art/10014/j/pl )

GIODO wskazuje także, że „pamiętając o zasadzie rozliczalności, warto dokumentować wszelkie czynności związane z pozyskiwaniem zgód – np. kiedy, w jakich okolicznościach i komu udzielona została zgoda oraz w jaki sposób spełniono obowiązek informacyjny”

Zupełnie nowe rozwiązanie dotyczy pozyskiwania zgód od osób niepełnoletnich (zgody wyrażane przez dziecko w ramach społeczeństwa informacyjnego). Należy mieć tutaj na uwadze wszystkie wymogi wskazane w art. 8 RODO oraz wytyczne zawarte w motywie 58 preambuły RODO (GDPR). W ogólnym rozporządzeniu o ochronie danych przewidziana została w szczególności możliwość wyrażenia zgody bezpośrednio przez dziecko (bez konieczności wyrażania zgody przez opiekuna prawnego) jeśli ukończyło on 16 lat, przy czym państwa członkowskie mogą obniżyć granicę wieku (do 13 lat).

Reasumując należy stwierdzić, że zdecydowana większość warunków dotyczących wyrażenia zgody wskazana w RODO obowiązuje już obecnie, co wynika zarówno wprost z przepisów UODO, jak również z praktyki wykształconej przez dosyć bogate orzecznictwo i doktrynę. Jednocześnie mając na uwadze nowe obowiązki prawne zasadne jest dokonanie przeglądu aktualnie stosowanych rozwiązań i opracowanie nowych klauzul i procedur uwzględniających potrzebę realizacji wymogów wynikających z RODO. Warto zwrócić na tą kwestię baczną uwagę, albowiem brak zgód, lub zbieranie ich w sposób niezgodny z postanowieniami RODO może prowadzić do bardzo poważanej odpowiedzialności finansowej. Zgodnie z art. 83 ust. 5 lit a RODO naruszenia podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Henryk Hoser

audytor JDS Consulting, aplikant adwokacki

Zapraszamy do zapoznania się z innymi naszymi publikacjami na temat zgody w świetle wymagań RODO (GDPR):

• Test na zgodność zgody z GDPR
• Zgoda na gruncie ogólnego rozporządzenia o ochronie danych – poradnik ICO