Wytyczne dotyczące zgody w RODO
14/01/2018
Wytyczne dotyczące zgody na przetwarzanie danych na mocy rozporządzenia 2016/679 RODO,numer WP259 - Wytyczne Grupy Roboczej art. 29
GRUPA ROBOCZA ART. 29 DS. OCHRONY DANYCH
17/EN
WP 259
Wytyczne dotyczące zgodyna mocy rozporządzenia 2016/679
przyjęte w dniu 28 listopada 2017 r.
GRUPA ROBOCZA DS. OCHRONY OSÓB FIZYCZNYCH W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH
powołana na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia
24 października 1995 r.,
uwzględniając art. 29 i art. 30 wspomnianej dyrektywy,
uwzględniając swój regulamin wewnętrzny,
PRZYJMUJE NINIEJSZE WYTYCZNE:
1. Wprowadzenie
Wytyczne zapewniają dokładną analizę pojęcia zgody w ogólnym rozporządzeniu o ochronie danych 2016/679 (dalej zwanym: RODO). Pojęcie zgody w formie użytej do chwili obecnej w dyrektywie o ochronie danych (dalej zwanej: dyrektywą 95/46/WE) oraz w dyrektywie o prywatności i łączności elektronicznej ewoluowało. Rozporządzenie o danych osobowych przewiduje dalsze wyjaśnienie i doprecyzowanie wymogów uzyskania i wykazania ważnej zgody na przetwarzanie danych. Niniejsze wytyczne koncentrują się na tych zmianach, zapewniając praktyczne wskazówki w celu zapewnienia zgodności z RODO oraz bazując na opinii 15/2011 w sprawie zgody.
Zgoda pozostaje jedną z sześciu legalnych podstaw przetwarzania danych osobowych, jak wymieniono w artykule 6 RODO1. Rozpoczynając działania obejmujące przetwarzanie danych osobowych, administrator zawsze musi znaleźć czas na rozważenie, czy zgoda jest odpowiednią legalną podstawą przewidzianego przetwarzania lub czy zamiast tego należy wybrać inną podstawę.
Generalnie zgoda na przetwarzanie danych może być odpowiednią podstawą prawną tylko wówczas, jeżeli osoba, której dane dotyczą, ma zapewnioną możliwość sprawowania kontroli oraz rzeczywistą możliwość wyboru, jeżeli chodzi o zaakceptowanie lub odrzucenie proponowanych warunków lub też odrzucenie ich bez niekorzystnych konsekwencji. W przypadku proszenia o zgodę, administrator ma obowiązek ocenić, czy spełni wszystkie wymogi uzyskania ważnej zgody na przetwarzanie danych. Jeżeli zgoda jest uzyskana w pełni zgodnie z RODO, stanowi ona narzędzie, które zapewnia osobom, których dane dotyczą, możliwość kontroli nad tym, czy dotyczące ich dane osobowe będą przetwarzane czy też nie. W przeciwnym przypadku kontrola osoby, której dane dotyczą, stanie się iluzoryczna, a zgoda będzie nieważną podstawą przetwarzania, przyczyniając się do tego, że przetwarzanie będzie niezgodne z prawem2
Istniejące opinie Grupy Roboczej Artykułu 29 dotyczące zgody na przetwarzanie danych3 nadal są właściwe w sytuacji, gdy są zgodne z nowymi ramami prawnymi, ponieważ RODO kodyfikuje istniejące wytyczne GR Art. 29, a ogólne dobre praktyki oraz większość kluczowych elementów zgody pozostają takie same na mocy Rozporządzenia 2016/679. W związku z tym, w niniejszym dokumencie GR Art. 29 raczej rozszerza i uzupełnia wcześniejsze opinie dotyczące określonych tematów, które obejmują odniesienie do zgody na mocy dyrektywy 95/46/WE, niż je zastępuje.
Jak stwierdzono w opinii 15/2011 w sprawie definicji zgody, zachęcanie ludzi do zaakceptowania operacji przetwarzania danych powinno podlegać surowym wymogom, ponieważ dotyczy praw podstawowych osób, których dane dotyczą, a administrator zamierza podjąć operację przetwarzania, która byłaby niezgodna z prawem bez zgody osoby, której dane dotyczą4. Kluczową rolę zgody podkreślono w artykułach 7 i 8 Karty Praw Podstawowych Unii Europejskiej. Ponadto uzyskanie zgody nie neguje też ani w żaden sposób nie ogranicza zobowiązań administratora do przestrzegania zasad przetwarzania zawartych w RODO, szczególnie w artykule 5 RODO w odniesieniu do rzetelności, konieczności i proporcjonalności, jak również jakości danych. Nawet jeżeli przetwarzanie danych osobowych jest oparte na zgodzie osoby, której dane dotyczą, nie będzie ona legitymizować gromadzenia danych, które nie jest konieczne w odniesieniu do określonego celu przetwarzania i jest zasadniczo nierzetelne5.
Tymczasem GR Art. 29 jest świadoma przeglądu dyrektywy o prywatności i łączności elektronicznej (2002/58/WE). Pojęcie zgody w projekcie rozporządzenia w sprawie prywatności i łączności elektronicznej jest powiązane z pojęciem zgody w RODO6. Istnieje prawdopodobieństwo, że organizacje będą potrzebowały zgody na mocy instrumentu dotyczącego prywatności i łączności elektronicznej dla większości wiadomości marketingowych online lub połączeń marketingowych oraz metod śledzenia online obejmujących używanie plików cookie lub aplikacji bądź też innego oprogramowania. GR Art.
29 już przedstawiła europejskiemu ustawodawcy zalecenia i wytyczne odnoszące się do wniosku dotyczącego rozporządzenia w sprawie prywatności i łączności elektronicznej7.
Jeżeli chodzi o istniejącą dyrektywę o prywatności i łączności elektronicznej, GR Art. 29 zauważa, że odniesienia do uchylonej dyrektywy 95/46/WE powinny być rozumiane jako odniesienia do RODO8. Dotyczy to również odniesień do zgody w obecnej dyrektywie 2002/58/WE w przypadku, gdyby rozporządzenie w sprawie prywatności i łączności elektronicznej (jeszcze) nie obowiązywało od maja 2018 r. Zgodnie z artykułem 95 RODO rozporządzenie nie nakłada dodatkowych obowiązków co do przetwarzania w związku ze świadczeniem ogólnodostępnych usług łączności elektronicznej w publicznych sieciach łączności, o ile dyrektywa o prywatności i łączności elektronicznej nakłada określone obowiązki mające ten sam cel. Grupa Robocza Art. 29 zauważa, że wymogi co do zgody na przetwarzanie danych na mocy RODO nie są uznawane za dodatkowy obowiązek, ale raczej za warunek wstępny legalnego przetwarzania. W związku z tym warunki RODO dotyczące uzyskania ważnej zgody mają zastosowanie do sytuacji wchodzących w zakres dyrektywy o prywatności i łączności elektronicznej.
2. Zgoda w art. 4 ust. 11 RODO
Artykuł 4 ust. 11 RODO definiuje zgodę jako: „dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.”
Koncepcja prawna zgody nadal jest podobna do tej przewidzianej w dyrektywie 95/46/WE i zgoda jest jedną z podstaw prawnych, na których musi być oparte przetwarzanie danych osobowych, zgodnie z artykułem 6 RODO.9 Oprócz zmienionej definicji w artykule 4 ust. 11 RODO przewiduje dodatkowe wytyczne w artykule 7 i motywach 32, 33, 42 i 43 wskazujące, jak administrator musi podstępować, aby zapewnić zgodność z głównymi elementami wymogu zgody.
I wreszcie włączenie określonych przepisów i motywów dotyczących wycofania zgody potwierdza, że zgoda powinna być decyzją odwracalną i że pozostaje pewien zakres kontroli po stronie osoby, której dane dotyczą.
3. Elementy ważnej zgody
Artykuł 4 ust. 11 RODO przewiduje, że zgoda osoby, której dane dotyczą, oznacza:
- dobrowolne,
- konkretne,
- świadome i
- jednoznaczne okazanie woli, w którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
W poniższych częściach przeanalizowano, w jakim zakresie brzmienie artykułu 4 ust. 11 wymaga od administratorów zmiany ich wniosków/formularzy zgody, aby zapewnić zgodność z RODO10.
3.1. Dobrowolna 11
Element „dobrowolna” oznacza rzeczywisty wybór i kontrolę zapewnione dla osoby, której dane dotyczą. Co do zasady RODO przewiduje, że jeżeli osoba, której dane dotyczą, nie ma rzeczywistego wyboru, czuje się zmuszona do wyrażenia zgody lub poniesie negatywne konsekwencje, jeżeli nie wyrazi zgody, zgoda będzie nieważna12. Jeżeli zgoda jest włączona jako niepodlegająca negocjacjom część warunków, zakłada się, że nie została wyrażona dobrowolnie. W związku z tym zgoda nie będzie uznana za dobrowolną, jeżeli osoba, której dane dotyczą, nie ma możliwości odmówienia lub wycofania swojej zgody bez niekorzystnych konsekwencji13. Pojęcie braku równowagi między administratorem a osobą, której dane dotyczą, również zostało wzięte pod uwagę w RODO.
[Przykład 1]
Aplikacja mobilna do edycji zdjęć prosi swoich użytkowników o aktywację lokalizacji GPS w celu korzystania z jej usług. Aplikacja informuje również swoich użytkowników, że będzie wykorzystywać gromadzone dane do celów reklamy behawioralnej. Ani geolokalizacja, ani reklama behawioralna online nie są potrzebne do świadczenia usług edycji zdjęć i wykraczają poza świadczenie kluczowych usług. W związku z tym, że użytkownicy nie mogą używać aplikacji bez wyrażenia zgody na te cele, zgoda nie może być uznana za dobrowolną.
3.1.1 Brak równowagi sił
Motyw 4314 wyraźnie wskazuje, że jest mało prawdopodobne, że organy publiczne mogą bazować na zgodzie jako przesłance legalizującej przetwarzanie danych, ponieważ gdy administratorem jest organ publiczny, często istnieje wyraźny brak równowagi sił w relacji między administratorem a osobą, której dane dotyczą. Jest również oczywiste w większości przypadków, że osoba, której dane dotyczą, nie będzie miała rzeczywistych alternatywnych możliwości akceptacji (warunków) przetwarzania przez tego administratora. GR Art. 29 uważa, że istnieją inne legalne podstawy, które są, co do zasady, bardziej odpowiednie dla działalności organów publicznych.15
Bez szkody dla tych ogólnych rozważań, wykorzystanie zgody jako legalnej podstawy przetwarzania danych przez organy publiczne nie jest całkowicie wyłączone na mocy ram prawnych RODO. Poniższe przykłady pokazują, że wykorzystanie zgody może być właściwe w określonych okolicznościach.
[Przykład 2]
Gmina planuje prace związane z utrzymaniem dróg. Jako że roboty drogowe mogą utrudnić ruch przez długi czas, gmina oferuje mieszkańcom możliwość wpisania się na listę e-mailingową w celu otrzymywania aktualnych informacji na temat postępu prac oraz spodziewanych opóźnień. Gmina wyraźnie wskazuje, że nie ma obowiązku zapisania się i prosi o zgodę na wykorzystanie adresów e-mail w tym (jedynym) celu. Obywatele, którzy nie wyrażą zgody, nie zostaną pozbawieni żadnej kluczowej usługi gminy ani realizacji żadnego prawa, zatem mogą dobrowolnie wyrazić zgodę lub odmówić zgody na wykorzystanie danych. Wszystkie informacje na temat robót drogowych będą również dostępne na stronie internetowej gminy.
[Przykład 3]
Osoba fizyczna będąca właścicielem gruntu potrzebuje określonych pozwoleń zarówno od gminy, jak i od organu wojewódzkiego, którym gmina podlega. Oba organy publiczne wymagają tych samych informacji w celu wydania pozwolenia, ale nie mają dostępu do swoich baz danych. W związku z tym oba proszą o te same informacje i właściciel gruntu przesyła swoje informacje do obu organów publicznych. Gmina i organ wojewódzki proszą o jego zgodę na połączenie akt, aby uniknąć powielania procedur i korespondencji. Oba organy publiczne zapewniają, że jest to opcjonalne i że wnioski o
pozwolenie nadal będą rozpatrywane odrębnie, jeżeli postanowi on nie wyrazić zgody na połączenie jego danych. Właściciel gruntu może dobrowolnie wyrazić zgodę na połączenie plików przez organy.
[Przykład 4]
Szkoła publiczna prosi uczniów o zgodę na wykorzystanie ich zdjęć w drukowanym magazynie uczniowskim. Zgoda w takich przypadkach będzie rzeczywistym wyborem, o ile uczniom nie odmowi się kształcenia ani usług i będą mieli możliwość niewyrażenia zgody na wykorzystanie ich zdjęć bez niekorzystnych konsekwencji.16
Brak równowagi sił pojawia się również w kontekście zatrudnienia.17 Zważywszy na zależność, która wynika ze stosunku pracodawca - pracownik, jest mało prawdopodobne, że osoba, której dane dotyczą, będzie w stanie odmówić swojemu pracodawcy wyrażenia zgody na przetwarzanie danych bez doświadczenia obawy przed wystąpieniem lub rzeczywistego ryzyka wystąpienia szkodliwych skutków w wyniku odmowy. Jest mało prawdopodobne, że pracownik mógłby dobrowolnie odpowiedzieć na zapytanie swojego pracodawcy o zgodę, na przykład na uruchomienie systemów monitoringu, takich jak monitoring wizyjny w miejscu pracy, lub prośbę o wypełnienie arkusza oceny bez poczucia presji, aby wyrazić zgodę.18 W związku z tym GR Art. 29 uważa przetwarzanie przez pracodawców danych obecnych lub przyszłych pracowników na podstawie zgody za problematyczne, ponieważ jest mało prawdopodobne, aby zgoda była dobrowolnie wyrażona. Dla większości takich operacji przetwarzania w pracy zgoda pracowników (artykuł 6 ust. 1 lit. a) nie może i nie powinna być legalną podstawą ze względu na charakter relacji między pracodawcą a pracownikiem.19
Jednak nie oznacza to, że pracodawcy nigdy nie mogą polegać na zgodzie jako legalnej podstawie przetwarzania. Mogą mieć miejsce sytuacje, w których pracownik może wykazać, że zgoda rzeczywiście została wyrażona dobrowolnie. Zważywszy na brak równowagi sił między pracodawcą a jego pracownikami, pracownicy mogą wyrazić dobrowolną zgodę tylko w wyjątkowych okolicznościach, gdy nie będzie to miało żadnych negatywnych konsekwencji, niezależnie od tego, czy wyrażą zgodę, czy też nie.20
[Przykład 5]
Ekipa filmowa ma zamiar filmować określoną część biura. Pracodawca prosi wszystkich pracowników, którzy siedzą w tym obszarze, o zgodę na bycie filmowanymi, ponieważ mogą pojawić się w tle filmu. Ci, którzy nie chcą być filmowani, nie są w żaden sposób karani, a zamiast tego na czas filmowania udostępnia się im biurka w innym miejscu budynku.
Brak równowagi sił nie jest ograniczony do organów publicznych i pracodawców, może mieć miejsce również w innych sytuacjach. Jak podkreślono w kilku opiniach GR Art. 29, zgoda może być ważna tylko, jeżeli osoba, której dane dotyczą, ma możliwość rzeczywistego wyboru, i nie istnieje ryzyko oszukania, zastraszenia, przymusu lub znaczących negatywnych konsekwencji (np. znaczne dodatkowe koszty), jeżeli osoba nie wyrazi zgody. Zgoda nie będzie dobrowolna w przypadkach, w których istnieje jakikolwiek element przymusu, nacisku lub braku możliwości wyrażenia wolnej woli.
3.1.2. Warunkowość
Ważną rolę w ocenie, czy zgoda jest dobrowolna, odgrywa artykuł 7 ust. 4 RODO.21
Artykuł 7 ust. 4 RODO wskazuje między innymi, że sytuacja „połączenia” zgody z akceptacją warunków lub „powiązanie” realizacji umowy lub usługi z zapytaniem o zgodę na przetwarzanie danych osobowych, które nie są niezbędne do realizacji tej umowy lub usługi, jest uznawane za wysoce niepożądane. Jeżeli zgoda jest wyrażana w takich okolicznościach, uważa się, że nie jest dobrowolna (motyw 43). Artykuł 7 ust. 4 ma na celu zapewnienie, że cel przetwarzania danych osobowych nie będzie ukryty ani połączony z realizacją umowy lub usługi, do czego te dane osobowe nie są konieczne. Czyniąc to, Rozporządzenie o danych osobowych zapewnia, że przetwarzanie danych osobowych, na które prosi się o zgodę, nie może stać się bezpośrednio lub pośrednio wspólną realizacją umowy. Dwie podstawy prawne legalnego przetwarzania danych osobowych, tj. zgoda i umowa, nie mogą być połączone ani niejasne.
Przymus do wyrażenia zgody na wykorzystywanie danych osobowych dodatkowych w stosunku do tego, co jest absolutnie niezbędne, ogranicza wybór osoby, której dane dotyczą, i stoi na drodze do dobrowolnej zgody. Jako że prawo ochrony danych dąży do ochrony praw podstawowych, sprawowanie przez osobę fizyczną kontroli nad jej danymi osobowymi jest konieczne i istnieje silne domniemanie, że zgoda na przetwarzanie danych osobowych, która nie jest konieczna, nie może być uważana za obowiązkowy element w zamian za realizację umowy lub świadczenie usługi.
Zatem zawsze gdy zapytanie o zgodę jest powiązane z realizacją umowy przez administratora, osoba, której dane dotyczą, która nie życzy sobie udostępnienia jej danych osobowych do przetwarzania przez administratora, ponosi ryzyko, że odmówi się jej świadczenia usług, o które prosiła.
Żeby ocenić, czy występuje taka sytuacja powiązania, ważne jest ustalenie, jaki jest zakres umowy lub usługi. Zgodnie z opinią 06/2014 GR Art. 29, termin „niezbędne do wykonania umowy” musi być interpretowany ściśle. Przetwarzanie musi być niezbędne do wypełnienia umowy z każdą indywidualną osobą, której dane dotyczą. Może to obejmować na przykład przetwarzanie adresu osoby, której dane dotyczą, aby towary nabyte online mogły być dostarczone, lub przetwarzanie szczegółów karty kredytowej w celu ułatwienia płatności. W kontekście zatrudnienia ta podstawa może pozwolić na przykład na przetwarzanie informacji dotyczących płac i rachunku bankowego, tak aby można było wypłacić wynagrodzenia.22 Musi istnieć bezpośrednie i obiektywne powiązanie między przetwarzaniem danych i celem wykonania umowy.
Jeżeli administrator chce przetwarzać dane osobowe, które są rzeczywiście niezbędne do wykonania umowy, istnieje prawdopodobieństwo, że prawidłową podstawą prawną jest artykuł 6 ust. 1 lit. b (umowa). W tym przypadku nie ma potrzeby użycia innej podstawy prawnej, takiej jak zgoda, a artykuł 7 ust. 4 nie ma zastosowania. W związku z tym, że konieczność wykonania umowy nie jest podstawą prawną przetwarzania szczególnych kategorii danych, szczególnie istotne jest, aby zwrócili na to uwagę administratorzy przetwarzający szczególne kategorie danych.23
[Przykład 6]
Bank prosi klientów o zgodę na wykorzystanie ich informacji dotyczących płatności do celów marketingowych. Takie działania w zakresie przetwarzania nie są niezbędne do wykonania umowy z klientem i świadczenia zwykłych usług rachunku bankowego. Jeżeli brak zgody klienta na przetwarzanie danych w tym celu prowadziłby do odmowy świadczenia usług, zamknięcia rachunku bankowego lub zwiększenia opłat, nie ma mowy o dobrowolności zgody czy możliwości jej wycofania.
Wybór ustawodawcy, aby zwrócić szczególną uwagę na warunkowość, między innymi, jako założenie braku dobrowolności zgody, pokazuje, że należy uważnie przeanalizować wystąpienie warunkowości. Wyrażenie „w jak największym stopniu uwzględnia się” użyte w artykule 7 ust. 4 sugeruje, że administrator powinien zachować szczególną ostrożność w przypadku, gdy z umową/usługą powiązane jest zapytanie o zgodę na przetwarzanie danych osobowych.
Ponieważ brzmienia artykułu 7 ust. 4 nie rozumie się w sposób absolutny, mogą niekiedy zdarzać się przypadki, w których ta warunkowość nie będzie powodować nieważności zgody. Jednak termin „uważa się” w motywie 43 wyraźnie wskazuje, że takie przypadki będą występować jedynie wyjątkowo.
W każdym przypadku, jeżeli chodzi o artykuł 7 ust. 4, ciężar dowodu będzie spoczywał na administratorze.24 Ten konkretny przepis odzwierciedla ogólną zasadę rozliczalności obecną w całym RODO. Jednak, gdy ma zastosowanie artykuł 7 ust. 4, administratorowi trudniej będzie udowodnić, że zgoda została dobrowolnie wyrażona przez osobę, której dane dotyczą.25
Administrator może argumentować, że jego organizacja oferuje osobom, których dane dotyczą, rzeczywisty wybór, jeżeli mogą one wybrać między usługą, która obejmuje wyrażenie zgody na wykorzystywanie danych osobowych do dodatkowych celów z jednej strony, a między równoważną usługą, która nie obejmuje wyrażenia zgody na wykorzystywanie danych do dodatkowych celów z drugiej strony. O ile istnieje możliwość wykonania umowy lub świadczenia zakontraktowanej usługi przez administratora bez wyrażania zgody na inne lub dodatkowe wykorzystywanie danych, oznacza to, że usługa nie jest już usługą warunkową. Jednak obie usługi muszą być rzeczywiście równoważne i nie obejmować dodatkowych kosztów.
Oceniając, czy zgoda jest dobrowolna, należy nie tylko wziąć pod uwagę konkretną sytuację powiązania zgody z umową lub świadczeniem usługi, jak opisano w artykule 7 ust. 4. Artykuł 7 ust. 4 sformułowano w sposób niewyczerpujący, używając słów „między innymi”, cooznacza, że może mieć miejsce wiele innych sytuacji objętych tym przepisem. Ogólnie mówiąc, każdy element niewłaściwego nacisku lub wpływu na osobę, której dane dotyczą (który może być wyrażony na wiele różnych sposobów), który uniemożliwia osobie, której dane dotyczą, wyrażenie wolnej woli, spowoduje, że zgoda będzie nieważna.
3.1.3. Szczegółowość
Usługa może obejmować liczne operacje przetwarzania dla więcej niż jednego celu. W takich przypadkach osoby, których dane dotyczą, powinny mieć raczej wolny wybór, jaki cel chcą zaakceptować, a nie mieć do czynienia z sytuacją, w której muszą zgodzić się na szereg celów przetwarzania. W danym przypadku można zagwarantować szereg zgód w celu rozpoczęcia oferowania usług, zgodnie z RODO.
Motyw 43 wyjaśnia, że zgody nie uważa się za dobrowolną, jeżeli proces/procedura uzyskania zgody nie pozwala osobom, których dane dotyczą, na wyrażenie odrębnej zgody na poszczególne operacje przetwarzania danych osobowych (np. tylko na niektóre operacje przetwarzania, a na inne nie), mimo że w danym przypadku byłoby to stosowne. Motyw 32 stanowi: „Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele.”
Jeżeli administrator połączył kilka celów przetwarzania i nie próbował uzyskać odrębnej zgody dla każdego celu, nie ma dobrowolności. Ta szczegółowość jest ściśle powiązana z koniecznością, aby zgoda była konkretna, jak będzie to omówione w części 3.2 poniżej. Gdy przetwarzanie danych jest prowadzone w kilku celach, rozwiązanie zapewniające przestrzeganie warunków ważnej zgody polega na szczegółowości, tj. na oddzieleniu tych celów i uzyskaniu zgody dla każdego celu.
[Przykład 7]
W ramach tego samego zapytania o zgodę sprzedawca prosi swoich klientów o zgodę na wykorzystywanie ich danych osobowych w celu przesyłania im ofert marketingowych drogą e-mailową, jak również w celu przekazywania ich danych innym przedsiębiorstwom w ramach jego grupy. Zgoda ta nie jest szczegółowa, ponieważ nie ma odrębnych zgód na te dwa odrębne cele, toteż zgoda nie będzie ważna.
3.1.4. Niekorzystne konsekwencje
Administrator musi wykazać, że możliwe jest odmówienie lub wycofanie zgody bez niekorzystnych konsekwencji (motyw 42). Na przykład administrator musi udowodnić, że wycofanie zgody nie powoduje żadnych dodatkowych kosztów dla osoby, której dane dotyczą, i tym samym wyraźnie niekorzystnej sytuacji dla osób wycofujących zgodę.
Innymi przykładami niekorzystnych konsekwencji są wprowadzenie w błąd, zastraszenie, przymus lub znaczące negatywne konsekwencje, jeśli osoba, której dane dotyczą, nie wyrazi zgody. Administrator powinien być w stanie udowodnić, że osoba, której dotyczą dane, mogła dokonać rzeczywistego, wolnego wyboru, czy wyrazić zgodę, i że możliwe było wycofanie zgody bez niekorzystnych konsekwencji.
Jeżeli administrator jest w stanie wykazać, że usługa obejmuje możliwość wycofania zgody bez negatywnych konsekwencji, np. bez obniżenia jakości wykonania usługi na szkodę użytkownika, może to służyć do wykazania, że zgoda była dobrowolna.
3.2. Konkretna
Artykuł 6 ust. 1 lit. a) potwierdza, że zgoda osoby, której dane dotyczą, musi być wyrażona na przetwarzanie w „jednym lub większej liczbie określonych” celów i że osoba, której dane dotyczą, ma możliwość wyboru w odniesieniu do każdego z tych celów.26 Wymóg, że zgoda musi być ‘konkretna’ ma na celu zapewnienie stopnia kontroli użytkownika oraz przejrzystości dla osoby, której dane dotyczą. Wymóg ten nie został zmieniony przez RODO i nadal jest ściśle związany z wymogiem ‘świadomej’ zgody. Jednocześnie musi być interpretowany zgodnie z wymogiem ‘szczegółowości’ w celu uzyskania ‘dobrowolnej’ zgody.27 Podsumowując, aby zapewnić zgodność z elementem ‘konkretna’, administrator musi zastosować:
- Określenie celu jako zabezpieczenie przed rozrostem funkcji (ang. function creep),
- Szczegółowość w zapytaniach o zgodę, oraz
- Wyraźne oddzielenie informacji związanych z uzyskaniem zgody na działania w zakresie przetwarzania danych od informacji dotyczących innych kwestii.
Ad. (i): Zgodnie z artykułem 5 ust. 1 lit. b) RODO, uzyskanie ważnej zgody jest zawsze poprzedzone ustaleniem konkretnego, wyraźnego i prawnie uzasadnionego celu dla zamierzonego działania w zakresie przetwarzania.28 Potrzeba konkretnej zgody w połączeniu z pojęciem ograniczenia celu w artykule 5 ust. 1 lit. b) funkcjonuje jako zabezpieczenie przed stopniowym rozszerzeniem lub ‘rozmyciem’ celów, dla których dane są przetwarzane, po wyrażeniu przez osobę, której dane dotyczą, zgody na początkowe gromadzenie danych. To zjawisko, znane również jako ‘rozrost funkcji’ (ang. function creep), stanowi ryzyko dla osób, których dane dotyczą, ponieważ może doprowadzić do nieprzewidzianego wykorzystywania danych osobowych przez administratora lub przez strony trzecie oraz do utraty kontroli przez osobę, której dane dotyczą.
Jeżeli administrator opiera się na artykule 6 ust. 1 lit. a), osoby, których dane dotyczą, muszą zawsze wyrażać zgodę na konkretny cel przetwarzania.29 Zgodnie z koncepcją ograniczenia celu oraz artykułem 5 ust. 1 lit. b) i motywem 32, zgoda może obejmować różne operacje, o ile operacje te służą temu samemu celowi. Oczywiste jest, że konkretna zgoda może być uzyskana tylko, jeżeli osoby, których dane dotyczą, zostaną konkretnie poinformowane o planowanych celach wykorzystywania dotyczących ich danych.
Jeżeli administrator przetwarza dane na podstawie zgody i chciałby przetwarzać dane w nowym celu, administrator musi zwrócić się do osoby, której dane dotyczą, o nową zgodę na nowy cel przetwarzania. Pierwotna zgoda nigdy będzie legitymizować nowych celów przetwarzania.
[Przykład 8]
Sieć telewizji kablowej zbiera dane osobowe abonentów, w oparciu o ich zgody, aby przedstawiać im osobiste propozycje nowych filmów, którymi mogliby być zainteresowani, w oparciu o ich przyzwyczajenia jako widzów. Po jakimś czasie sieć telewizji kablowej postanawia, że chciałaby umożliwić stronom trzecim przesyłanie (lub wyświetlanie) reklamy ukierunkowanej na podstawie przyzwyczajeń widzów będących abonentami. Zważywszy na nowy cel, potrzebna jest nowa zgoda.
Ad. (ii): Mechanizm zgody musi być nie tylko szczegółowy, aby spełnić wymóg ‘dobrowolności’, ale musi również spełniać element ‘konkretności’. Oznacza to, że administrator, który prosi o zgodę do różnych celów, powinien zapewnić odrębną możliwość wyrażenia zgody (mechanizm opt-in) dla każdego celu, aby umożliwić użytkownikom wyrażenie konkretnej zgody na konkretne cele.
Ad. (iii): I wreszcie administratorzy powinni zapewnić wraz z każdym odrębnym zapytaniem o zgodę konkretne informacje na temat danych, które są przetwarzane w każdym celu, aby uświadomić osoby, których dane dotyczą, na temat skutków różnych wyborów, jakich mogą dokonać. Zatem osoby, których dane dotyczą, mogą wyrazić konkretną zgodę. Kwestia ta pokrywa się z wymogiem, że administratorzy muszą zapewniać jasne informacje, jak omówiono w paragrafie 3.3 poniżej.
3.3. Świadoma
RODO umacnia wymóg, że zgoda musi być świadoma. Na podstawie artykułu 5 Rozporządzenia o ochronie danych wymóg przejrzystości jest jedną z podstawowych zasad, ściśle związanych z zasadami rzetelności i zgodności z prawem. Zapewnianie informacji osobom, których dane dotyczą, przed uzyskaniem ich zgody jest niezbędne do umożliwienia im podejmowania świadomych decyzji, zrozumienia, na co wyrażają zgodę, oraz na przykład realizacji ich prawa do wycofania zgody. Jeżeli administrator nie zapewnia dostępnych informacji, kontrola ze strony użytkownika staje się złudna, a zgoda stanowi nieważną podstawę przetwarzania.
Konsekwencją nieprzestrzegania wymogów świadomej zgody jest fakt, że zgoda będzie nieważna, a administrator może naruszać artykuł 6 RODO.
3.3.1. Minimalne wymogi dla zgody aby była świadoma
Aby zgoda była świadoma, konieczne jest poinformowanie osoby, której dane dotyczą, o określonych elementach, które są kluczowe do dokonania wyboru. W związku z tym GR Art. 29 jest zdania, że do uzyskania ważnej zgody wymagane są co najmniej następujące informacje:
- tożsamość administratora,
- cel każdej operacji przetwarzania, dla której prosi się o zgodę30,
- jakie dane (jaki rodzaj danych) będą zbierane i wykorzystywane,31
- istnienie prawa do wycofania zgody,32
- informacje na temat wykorzystywania danych do decyzji opartych jedynie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, zgodnie z artykułem 22 ust. 233, oraz
- jeżeli zgoda dotyczy przekazywania – informacje na temat możliwych zagrożeń związanych z przekazywaniem danych do krajów trzecich w przypadku braku decyzji stwierdzającej odpowiedni stopień ochrony oraz odpowiednich zabezpieczeń (artykuł 49 ust. 1 lit. a).34
W odniesieniu do punktu (i) oraz (iii) GR Art. 29 zauważa, że w przypadku, gdy na wnioskowanej zgodzie ma bazować wielu (wspólnych) administratorów lub gdy dane mają być przekazane innym administratorom lub przetwarzane przez innych administratorów, którzy chcą polegać na pierwotnej zgodzie, wszystkie te organizacje powinny być wymienione. W ramach wymogów zgody nie trzeba wymieniać przetwarzających, aczkolwiek w celu zapewnienia zgodności z artykułami 13 i 14 RODO administratorzy będą musieli przedstawić pełną listę odbiorców lub kategorii odbiorców, w tym przetwarzających. Na zakończenie GR Art. 29 zauważa, że w zależności od okoliczności i kontekstu sprawy, może być potrzebnych więcej informacji, aby pozwolić osobie, której dane dotyczą, rzeczywiście zrozumieć operacje przetwarzania.
3.3.2. Jak zapewnić informacje
Rozporządzenie o ochronie danych nie określa formy ani kształtu, w jakim informacje muszą być przekazywane w celu spełnienia wymogu świadomej zgody. Oznacza to, ze ważne informacje mogą być przedstawione na różne sposoby, na przykład jako oświadczenia pisemne lub ustne, bądź też jako wiadomości w formacie audio lub wideo. Jednak Rozporządzenie o danych osobowych wprowadza kilka wymogów świadomej zgody, szczególnie w artykule 7 ust. 2 oraz motywie 32. Przyczynia się to do wyższego standardu jasności i dostępności informacji.
Prosząc o zgodę, administratorzy powinni upewnić się, że używają jasnego i prostego języka we wszystkich przypadkach. Oznacza to, że wiadomość powinna być zrozumiała dla przeciętnej osoby, a nie tylko dla prawników. Administratorzy nie mogą stosować nieczytelnych polityk prywatności lub oświadczeń pełnych żargonu prawnego. Zgoda musi być jasna i dać się odróżnić od pozostałych kwestii oraz musi być przedstawiona w zrozumiałej i łatwo dostępnej formie. Wymóg ten oznacza zasadniczo, że informacje istotne dla podejmowania świadomych decyzji, czy wyrazić zgodę czy nie, nie mogą być ukryte w ogólnych warunkach.35
Administrator musi zapewnić, że zgoda jest zapewniona na podstawie informacji, które pozwalają osobom, których dane dotyczą, łatwo określić, kto jest administratorem, i zrozumieć, na co wyrażają zgodę. Administrator musi jasno opisać cel przetwarzania danych, na które prosi o zgodę.36
Inne konkretne wytyczne dotyczące dostępności przedstawiono w wytycznych GR Art. 29 w sprawie przejrzystości. Jeżeli zgoda ma być wyrażona drogą elektroniczną, zapytanie musi być jasne i zwięzłe. Warstwowe i szczegółowe informacje mogą być odpowiednim sposobem realizacji podwójnego obowiązku bycia precyzyjnymi i kompletnymi z jednej strony oraz zrozumiałymi z drugiej strony.
Administrator musi ocenić, jaki rodzaj odbiorców przekazuje dane osobowe do jego organizacji. Na przykład w przypadku gdy wśród docelowych odbiorców znajdują się osoby nieletnie, administrator powinien zapewnić, że informacje będą zrozumiałe dla nieletnich.37 Po określeniu swoich odbiorców administratorzy muszą ustalić, jakie informacje powinni zapewnić i, w konsekwencji, jak przedstawią informacje osobom, których dane dotyczą.
Artykuł 7 ust. 2 odnosi się do uprzednio sformułowanych deklaracji zgody, która dotyczy także innych kwestii. Gdy o zgodę prosi się w ramach umowy (papierowej), zapytanie o zgodę powinno dać się wyraźnie odróżnić od pozostałych kwestii. Jeżeli umowa papierowa obejmuje wiele aspektów, które nie są związane z kwestią zgody na wykorzystywanie danych osobowych, kwestia zgody powinna zostać przedstawiona w wyraźnie odróżniający się sposób lub w odrębnym dokumencie. Podobnie, jeżeli o zgodę prosi się drogą elektroniczną, zapytanie o zgodę musi być odrębne i oddzielne, nie może po prostu stanowić ustępu w warunkach, zgodnie z ustępem 32.38 W celu dostosowania się do małych ekranów lub sytuacji, w których jest ograniczone miejsce na informacje, można rozważyć warstwowy sposób przedstawienia informacji, gdy to właściwe, aby uniknąć nadmiernego wpływu na funkcjonalność albo projekt produktu.
Administrator, który bazuje na zgodzie osoby, której dane dotyczą, musi również przestrzegać odrębnych obowiązków informacyjnych określonych w artykułach 13 i 14, aby zapewnić zgodność z RODO. W praktyce przestrzeganie obowiązków informacyjnych i zgodność z wymogiem świadomej zgody mogą prowadzić do zintegrowanego podejścia w wielu przypadkach. Jednak ta część jest napisana z uwzględnieniem faktu, że może istnieć ważna „świadoma” zgoda, nawet gdy nie wszystkie elementy artykułów 13 i/lub 14 są wspomniane w procesie uzyskiwania zgody (te punkty powinny oczywiście być wskazane w innych miejscach, takich jak informacje przedsiębiorstwa o prywatności). GR Art. 29 wydała odrębne wytyczne dotyczące wymogu przejrzystości.
[Przykład 9]
Firma X jest administratorem, który otrzymał skargi, że nie jest jasne dla osób, których dane dotyczą, na jakie rodzaje wykorzystywania danych są proszeni o zgodę. Firma widzi potrzebę weryfikacji, czy jej informacje zawarte w zapytaniu o zgodę są zrozumiałe dla osób, których dane dotyczą. Firma X organizuje dobrowolne panele testowe wśród konkretnych kategorii swoich klientów i przedstawia nowe zaktualizowane informacje dotyczące zgody tym testowym odbiorcom przed ogłoszeniem ich na zewnątrz. Wybór kategorii klientów dokonywany jest zgodnie z zasadą niezależności, na podstawie standardów zapewniających reprezentatywny, bezstronny wynik. Klienci otrzymują kwestionariusz i wskazują, co zrozumieli z informacji i jak by je ocenili pod względem zrozumiałych i istotnych informacji. Administrator kontynuuje testy do czasu, gdy grupy wskażą, że informacje są zrozumiałe. Firma X sporządza raport z testu i umożliwia dostęp do niego w przyszłości. Przykład ten pokazuje możliwy sposób wykazania przez firmę X, że osoby, których dane dotyczą, otrzymywały jasne informacje przed wyrażeniem zgody na przetwarzanie danych osobowych przez firmę X.
[Przykład 10]
Firma prowadzi przetwarzanie danych na podstawie zgody. Firma wykorzystuje warstwowe informacje o prywatności obejmujące zapytanie o zgodę. Firma ujawnia wszystkie podstawowe informacje na temat administratora i planowanych działań w zakresie przetwarzania danych. Jednak nie wskazuje w informacjach, jak można się skontaktować z jej inspektorem ochrony danych.39 Aby mieć ważną legalną podstawę w rozumieniu artykułu 6, administrator ten uzyskał ważną „świadomą” zgodę, nawet jeżeli dane kontaktowe inspektora ochrony danych nie zostały podane osobie, której dane dotyczą w (pierwszej warstwie) informacji o prywatności, zgodnie z artykułem 13 ust. 1 lit. b) lub artykułem 14 ust. 1 lit. b) RODO.
3.4. Jednoznaczne okazanie woli
Rozporządzenie o ochronie danych jasno wskazuje, że zgoda wymaga oświadczenia od osoby, której dane dotyczą, lub wyraźnego działania potwierdzającego, co oznacza, że musi być zawsze udzielona poprzez aktywne działanie lub deklarację. Musi być oczywiste, że osoba, której dane dotyczą, zgodziła się na określone przetwarzanie.
Artykuł 2 lit. h) dyrektywy 95/46/WE opisał zgodę jako „wskazanie przez osobę, której dane dotyczą na to, że wyraża przyzwolenie na przetwarzanie odnoszących się do niej danych osobowych”. Artykuł 4 ust. 11 Rozporządzenia o danych osobowych bazuje na tej definicji, wyjaśniając, że ważna zgoda wymaga jednoznacznego okazania w formie oświadczenia lub wyraźnego działania potwierdzającego, zgodnie z poprzednimi wytycznymi wydanymi przez GR Art. 29.
„Wyraźne działanie potwierdzające” oznacza, że osoba, której dane dotyczą, musiała podjąć celowe działanie w celu wyrażenia zgody na określone przetwarzanie.40 Motyw 32 określa dodatkowe wytyczne w tej kwestii. Zgodę można uzyskać w formie pisemnego lub (zarejestrowanego) ustnego oświadczenia, w tym drogą elektroniczną.
Być może najbardziej dosłownym sposobem spełnienia kryterium „pisemnego oświadczenia” jest zapewnienie, że osoba, której dane dotyczą, napisze list lub napisze wiadomość e-mail, wyjaśniając, na co dokładnie wyraża zgodę. Jednak często jest to nierealne. Pisemne oświadczenia mogą przybrać różne kształty i rozmiary, które mogłyby być zgodne z Rozporządzeniem o ochronie danych.
Bez uszczerbku dla istniejącego (krajowego) prawa o umowach, zgoda może być uzyskana w formie zarejestrowanego ustnego oświadczenia, choć należy wziąć pod uwagę informacje dostępne dla osoby, której dane dotyczą, przed wskazaniem zgody. Zastosowanie wcześniej zaznaczonych pól ze zgodą nie jest ważne na mocy RODO. Milczenie lub bezczynność po stronie osoby, której dane dotyczą, jak również po prostu kontynuowanie usługi nie mogą być uznane za aktywne wskazanie wyboru.
[Przykład 11]
Przy instalowaniu oprogramowania aplikacja prosi osobę, której dane dotyczą, o zgodę na wykorzystywanie niezanonimizowanych raportów z awarii w celu usprawnienia oprogramowania. Warstwowe informacje o prywatności zapewniające niezbędne informacje towarzyszą zapytaniu o zgodę. Aktywnie zaznaczając opcjonalne pole stwierdzające „Wyrażam zgodę”, użytkownik jest w stanie dokonać ważnego ‘wyraźnego działania potwierdzającego’ w celu wyrażenia zgody na przetwarzanie.
Administrator musi również być świadomy faktu, że zgoda nie może być uzyskana poprzez takie samo działanie jak zgoda na umowę lub akceptacja ogólnych warunków usługi. Ukryta akceptacja ogólnych warunków nie może być uznana za jasne działanie potwierdzające w celu wyrażenia zgody na wykorzystanie danych osobowych. RODO nie pozwala administratorom danych na oferowanie wcześniej zaznaczonych pól lub mechanizmów opt-out (możliwość rezygnacji), które wymagają ingerencji ze strony osoby, której dane dotyczą, w celu uniemożliwienia zgody (na przykład ‘pola opt-out’).41
3.4.1. Zgoda wyrażona drogą elektroniczną
Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.42 Aktywne działanie potwierdzające, za pomocą którego osoba, której dane dotyczą, wyraża zgodę, może być konieczne, gdy mniej naruszający lub zakłócający sposób powodowałby niejednoznaczność. Zatem może być konieczne, że zapytanie o zgodę zakłóci w określonym stopniu korzystanie z usługi w celu zapewnienia skuteczności zapytania.
Jednak w ramach wymogów Rozporządzenia o ochronie danych administratorzy mają swobodę co do opracowania procedury zgody, która jest odpowiednia dla ich organizacji. W tym zakresie działania fizyczne można zakwalifikować jako jasne działania potwierdzające zgodnie z RODO.
[Przykład 12]
Przesunięcie palca po ekranie, machnięcie przed inteligentną kamerą, obrócenie smartfona zgodnie z ruchem wskazówek zegara lub zataczanie ósemek mogą stanowić możliwości wyrażenia zgody, o ile zapewnione są jasne informacje, i jasne jest, że dany ruch oznacza zgodę w odpowiedzi na konkretne zapytanie (np. jeżeli przesuniesz ten pasek w lewo, zgadzasz się na wykorzystanie informacji X w celu Y. Powtórz ruch w celu potwierdzenia). Administrator musi być w stanie wykazać, że zgodę uzyskano w ten sposób, a osoby, których dane dotyczą, muszą być w stanie wycofać zgodę tak łatwo, jak ją wyrazili.
[Przykład 13]
Przewijanie w dół lub przesuwanie warunków, które obejmują deklaracje zgody (gdzie oświadczenie pojawia się na ekranie, aby ostrzec osobę, której dane dotyczą, że dalsze przewijanie w dół będzie stanowiło zgodę), nie spełnia wymogu wyraźnego, potwierdzającego działania, ponieważ osoba, której dane dotyczą, może przegapić ostrzeżenie, jeżeli szybko przewija duże ilości tekstu i takie działanie nie jest wystarczająco jednoznaczne.
W kontekście cyfrowym wiele usług potrzebuje danych osobowych do funkcjonowania i w związku z tym osoby, których dane dotyczą, codziennie otrzymują wiele zapytań o zgodę, na które odpowiada się kliknięciem lub przesunięciem. Może to doprowadzić do zmęczenia klikaniem; gdy ma się z nim do czynienia zbyt często, przez co faktyczny skutek ostrzeżenia o mechanizmie zgody zmniejsza się.
Prowadzi to do sytuacji, w której zapytania o zgodę nie są już czytane. Stanowi to szczególne ryzyko dla osób, których dane dotyczą, ponieważ zazwyczaj zapytania o zgodę dotyczą działań, które co do zasady są nielegalne bez uzyskania zgody. Rozporządzenie o danych osobowych nakłada na administratorów obowiązek opracowania sposobów radzenia sobie z tą kwestią.
Często wspominanym przykładem, jak to zrobić w kontekście online, jest uzyskanie zgody użytkowników Internetu poprzez ich ustawienia przeglądarki. Takie ustawienia powinny być opracowane zgodnie z warunkami ważnej zgody w RODO, na przykład żeby zgoda była szczegółowa dla każdego z zamierzonych celów oraz aby informacje, które mają być przekazane, obejmowały informacje o administratorach.
W każdym przypadku zgoda musi być zawsze uzyskana zanim administrator rozpocznie przetwarzanie danych osobowych, na które potrzebna jest zgoda. GR Art. 29 konsekwentnie twierdziła w poprzednich opiniach, że zgoda powinna być wyrażona przed rozpoczęciem przetwarzania.43 Mimo że RODO w artykule 4 ust. 11 nie przewiduje dosłownie, że zgoda musi być wyrażona przed rozpoczęciem przetwarzania, jest to jasno dane do zrozumienia. Nagłówek artykułu 6 ust. 1 oraz termin „wyraziła” w artykule 6 ust. 1 wspierają tę interpretację. Z artykułu 6 i motywu 40 wynika logicznie, że ważna podstawa prawna musi istnieć przed rozpoczęciem przetwarzania danych. W związku z tym zgoda powinna być wyrażona przed rozpoczęciem przetwarzania. Co do zasady, wystarczające może być jednorazowe zapytanie o zgodę osoby, której dane dotyczą. Jednak administratorzy muszą uzyskać nową, konkretną zgodę, jeżeli cele przetwarzania danych zmienią się po uzyskaniu zgody lub jeżeli planowany jest dodatkowy cel przetwarzania.
4. Uzyskanie wyrażnej zgody
Wyraźna zgoda jest wymagana w określonych sytuacjach, gdy pojawia się poważne zagrożenie ochrony danych, zatem gdy wysoki poziom kontroli osoby fizycznej nad danymi osobowymi jest uważany za odpowiedni. Zgodnie z RODO wyraźna zgoda odgrywa rolę w artykule 9 dotyczącym przetwarzania szczególnych kategorii danych, przepisach dotyczących przekazywania danych do państw trzecich lub organizacji międzynarodowych w przypadku braku odpowiednich zabezpieczeń w artykule 4944 oraz w artykule 22 dotyczącym zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach, w tym profilowania.45
RODO przewiduje, że „wyraźne potwierdzające działanie” jest warunkiem wstępnym ‘zwykłej’ zgody. W związku z tym, że wymóg ‘zwykłej’ zgody w RODO jest już podniesiony do wyższego standardu w porównaniu z wymogiem zgody w dyrektywie 95/46/WE, należy wyjaśnić, jakie dodatkowe wysiłki powinien podjąć administrator w celu uzyskania wyraźnej zgody osoby, której dane dotyczą, zgodnie z RODO.
Termin wyraźna odnosi się do sposobu, w jaki zgoda jest wyrażana przez osobę, której dane dotyczą. Oznacza to, że osoba, której dane dotyczą, musi wyrazić oświadczenie zgody. Oczywistym sposobem zapewnienia, aby zgoda była wyraźna, byłoby wyraźne potwierdzenie zgody w pisemnym oświadczeniu. Gdy to właściwe, administrator mógłby zapewnić, aby pisemne oświadczenie było podpisane przez osobę, której dane dotyczą, w celu usunięcia wszelkich możliwych wątpliwości i możliwego braku dowodów w przyszłości.46
Jednak takie podpisane oświadczenie nie jest jedynym sposobem uzyskania wyraźnej zgody i nie można powiedzieć, że RODO przewiduje pisemne i podpisane oświadczenia we wszystkich przypadkach, które wymagają ważnej wyraźnej zgody. Na przykład w kontekście cyfrowym lub online osoba, której dane dotyczą, może być w stanie wydać wymagane oświadczenie, wypełniając formularz elektroniczny, wysyłając wiadomość e-mail, przesyłając zeskanowany dokument opatrzony podpisem osoby, której dane dotyczą, lub używając podpisu elektronicznego. W teorii wykorzystanie oświadczeń ustnych również być wystarczające do uzyskana ważnej wyraźnej zgody, jednak administratorowi trudno może być udowodnić, że spełniono wszystkie warunki ważnej wyraźnej zgody, gdy przyjmowano oświadczenie.
[Przykład 14]
Klinika chirurgii estetycznej prosi o wyraźną zgodę pacjenta na przekazanie jego dokumentacji medycznej do eksperta, do którego klinika zwraca się o drugą opinię na temat stanu pacjenta. Dokumentacja medyczna jest w formie pliku cyfrowego. Z uwagi na szczególny charakter tych informacji klinika prosi o podpis elektroniczny osobę, której dane dotyczą, w celu uzyskania ważnej wyraźnej zgody oraz aby móc wykazać, że uzyskano wyraźną zgodę.47
Dwuetapowa weryfikacja zgody również może być sposobem na zapewnienie, że zgoda będzie ważna. Na przykład osoba, której dane dotyczą, otrzymuje wiadomość e-mail z zawiadomieniem o zamiarze administratora przetwarzania rejestru zawierającego dane medyczne. Administrator wyjaśnia w wiadomości e-mail, że zwraca się o zgodę na wykorzystywanie określonego zestawu informacji w określonym celu. Jeżeli osoba, której dane dotyczą, zgodzi się na wykorzystanie jej danych, administrator prosi ją o odpowiedź w formie wiadomości e-mail zawierającej oświadczenie ‘Wyrażam zgodę’. Po wysłaniu odpowiedzi, osoba, której dane dotyczą, otrzymuje link weryfikacyjny, w który należy kliknąć, lub wiadomość SMS z kodem weryfikacyjnym, w celu potwierdzenia zgody.
Należy pamiętać, że wyraźna zgoda nie jest jedynym sposobem legitymizacji przetwarzania szczególnych kategorii danych, określonych operacji przetwarzania danych, etc. Wyraźna zgoda może nie być odpowiednia w konkretnej sytuacji, a Rozporządzenie o danych osobowych wymienia kilka innych możliwości zapewnienia, aby te działania były prowadzone w sposób zgodny z prawem. Na przykład artykuł 9 ust. 2 wskazuje dziewięć innych podstaw prawnych do zniesienia zakazu przetwarzania szczególnych kategorii danych.
5. Dodatkowe warunki uzyskania ważnej zgody
RODO wprowadza dla administratorów wymogi zapewnienia dodatkowych rozwiązań w celu zapewnienia, że uzyskają i zachowają oraz będą w stanie wykazać ważną zgodę. Artykuł 7 RODO określa te dodatkowe warunki ważnej zgody, w tym konkretne przepisy dotyczące prowadzenia ewidencji zgody i prawa do łatwego wycofania zgody. Artykuł 7 również odnosi się do zgody, o której mowa w innych artykułach RODO, np. artykule 8 i 9. Wytyczne dotyczące dodatkowego wymogu wykazania ważnej zgody oraz wycofania zgody przedstawiono poniżej.
5.1. Wykazanie zgody
Art. 7 ust. 1 RODO wskazuje konkretny obowiązek wykazania, że osoba, której dane dotyczą, wyraziła zgodę. Zgodnie z tym art. ciężar udowodnienia tego faktu spoczywa na administratorze.
Motyw 42 stanowi, że: „Jeśli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania.”
Administratorzy mają swobodę opracowywania metod zapewnienia zgodności z tym wymogiem, w sposób odpowiadający ich codziennym operacjom. Jednocześnie obowiązek wykazania, że zgoda została uzyskana przez administratora w sposób ważny, nie powinien sam w sobie prowadzić do nadmiernego dodatkowego przetwarzania danych. Oznacza to, że administratorzy powinni mieć wystarczającą ilość danych, aby pokazać związek z przetwarzaniem (aby pokazać, że zgoda została uzyskana), ale nie powinni gromadzić więcej danych niż to konieczne.
Do administratora należy udowodnienie, że osoba, której dane dotyczą, wyraziła ważną zgodę. RODO nie określa dokładnie, w jaki sposób należy to zrobić, jednakże administrator musi być w stanie udowodnić, że osoba, której dane dotyczą, w danym przypadku wyraziła zgodę. Dopóki dane są przetwarzane, istnieje obowiązek wykazania prawidłowo wyrażonej zgody. Po zakończeniu czynności przetwarzania, dowód na wyrażenie zgody nie powinien być przechowywany dłużej niż jest to wymagane do wywiązania się z obowiązku prawnego, ustalenia, dochodzenia lub obrony roszczeń, zgodnie z art. 17 ust. 3b i 3e).
Dla przykładu, administrator może prowadzić rejestr oświadczeń o wyrażeniu zgody, aby móc wykazać, w jaki sposób uzyskano zgodę, kiedy uzyskano zgodę i jakie informacje przekazano osobie, której dane dotyczą w momencie uzyskania zgody.
Administrator danych musi również być w stanie wykazać, że osoba, której dane dotyczą, była poinformowana, a procedura zastosowana przez administratora spełnia wszystkie istotne kryteria dotyczące ważnej zgody. Argumentem za takim wymogiem w przepisach RODO jest fakt, że to administrator jest odpowiedzialny za prawidłowe uzyskanie zgody i stworzone mechanizmy pozyskiwania zgody. Na przykład, w kontekście usług społeczeństwa informacyjnego, administrator może przechowywać informację o sesji, w której uzyskano zgodę wraz z dokumentacją obiegu zgody w czasie tej sesji, jak również informacje, które zostały przedstawione osobie, której dane dotyczą. Niewystarczające byłoby natomiast jedynie odniesienie się do prawidłowej konfiguracji strony internetowej.
[Przykład 15]
Szpital organizuje program badań naukowych, zwany projektem X, dla którego potrzebne będą prawdziwe informacje pacjentów z rejestru dentystycznego. Uczestnicy są rekrutowani drogą telefoniczną spośród pacjentów, którzy dobrowolnie zgodzili się być na liście kandydatów, do których można się zwrócić w tym celu. Administrator potrzebuje wyraźnej zgody ze strony osób, których dane dotyczą, w celu wykorzystania ich dokumentacji dentystycznej. Zgoda jest uzyskiwana podczas rozmowy telefonicznej przez nagranie ustnego oświadczenia osoby, której dane dotyczą, w którym osoba ta potwierdza, że zgadza się na wykorzystanie swoich danych dla celów projektu X.
W RODO nie ma określonego limitu czasowego dla terminu ważności zgody. Jak długa ważna jest zgoda, będzie zależało od kontekstu, zakresu pierwotnej zgody i oczekiwań osób, których dane dotyczą. Jeśli operacje przetwarzania zmienią się lub ewoluują w sposób znaczący, wówczas pierwotna zgoda nie będzie dalej ważna. W takim przypadku należałoby uzyskać nową zgodę.
Grupa Robocza Art. 29 zaleca, jako dobrą praktykę, by zgoda była aktualizowana w odpowiednich odstępach czasu. Ponowne dostarczenie wszystkich informacji pomaga zapewnić, że osoby, których dane dotyczą, pozostaną dobrze poinformowane, w jaki sposób wykorzystywane są ich dane i jak mogą korzystać ze swoich praw.48
5.2. Wycofanie zgody
Wycofanie zgody zajmuje ważne miejsce w RODO. Przepisy i motywy dotyczące wycofania zgody można uznać za kodyfikację interpretacji tej kwestii, istniejącej w opiniach GR Art. 29.49
W art. 7 ust. 3 RODO określono, że administrator danych musi zapewnić możliwość wycofania zgody przez osobę, której dane dotyczą, tak samo łatwo, jak udzielenie zgody i w dowolnym momencie. RODO nie wskazuje, że udzielenie i cofnięcie zgody musi odbywać się w ten sam sposób.
Jednak w praktyce, gdy zgoda jest uzyskiwana za pomocą środków elektronicznych przy pomocy jednego kliknięcia myszą, ruchu lub naciśnięcia klawisza, osoby, których dane dotyczą, muszą mieć możliwość równie łatwego wycofania zgody. Tam gdzie zgoda jest uzyskiwana za pomocą interfejsu użytkownika, specyficznego dla danej usługi (na przykład za pośrednictwem strony internetowej, witryny aplikacja, konta logowania, interfejsu urządzenia IoT lub za pomocą e-mail), nie ma wątpliwości, że osoba, której dane dotyczą musi mieć możliwość wycofania zgody za pośrednictwem tego samego interfejsu elektronicznego, gdyż przejście na inny interfejs, jedynie w celu wycofania zgody wymagałoby zbędnego wysiłku. Ponadto osoba, której dane dotyczą, powinna mieć możliwość wycofania swojej zgody bez uszczerbku. Oznacza to między innymi, że administrator musi umożliwić wycofanie zgody bezpłatnie lub bez obniżenia poziomu usługi.50
[Przykład 16]
Festiwal muzyczny sprzedaje bilety za pośrednictwem platformy sprzedaży biletów online. Każdej sprzedaży biletów online towarzyszy zapytanie o zgodę na wykorzystanie danych kontaktowych w celach marketingowych. Aby wyrazić zgodę w tym celu, klienci mogą wybrać opcję Nie lub Tak. Administrator informuje klientów, że mają możliwość wycofania zgody. W tym celu mogą skontaktować bezpłatnie się z centrum obsługi telefonicznej w dni robocze w godzinach od 8:00 do 17:00. Administrator w tej przykładowej sytuacji nie zapewnił zgodności z art. 7 ust. 3 RODO. Wycofanie zgody w tym przypadku wymaga połączenia telefonicznego w godzinach pracy, co jest bardziej uciążliwym niż jedno kliknięcie myszki potrzebne do wyrażenia zgody za pośrednictwem platformy sprzedaży biletów online, dostępnej 24 godziny na dobę.
Wymóg łatwego wycofania zgody wymieniony jest jako niezbędny aspekt ważnej zgody w RODO. Jeżeli prawo wycofania nie spełnia wymogów, to mechanizm uzyskiwania zgody u administratora nie jest zgodny z RODO. Jak wspomniano w sekcji 3.1. pod warunkiem uzyskania świadomej zgody, administrator musi poinformować osobę, której dane dotyczą, o prawie do wycofania zgody przed faktycznym wyrażeniem zgody, zgodnie z art. 7 ust. 3 RODO. Dodatkowo administrator musi, w ramach obowiązku przejrzystości, poinformować osoby, których dane dotyczą, o sposobie korzystania z przysługujących im praw.51
Zasadniczo, jeśli wycofano zgodę, wszystkie operacje przetwarzania danych oparte na tej zgodzie, które miały miejsce przed jej wycofaniem – jeśli były zgodne z Rozporządzeniem o ochronie danych – pozostają legalne, jednakże zgodnie z prawem administrator danych musi zaprzestać przetwarzania tych danych. Jeśli nie ma innej zgodnej z prawem podstawy uzasadniającej przetwarzanie danych (np. dalsze przechowywanie), powinny one zostać usunięte lub zanonimizowane przez administratora.52
Jak wspomniano wcześniej w niniejszych wytycznych, bardzo ważne jest, aby administratorzy oceniali cele, dla których dane są faktycznie przetwarzane oraz legalne podstawy tego przetwarzania, przed pozyskaniem danych. Często firmy potrzebują danych osobowych do różnych celów, a przetwarzanie opiera się na więcej niż jednej podstawie prawnej, np. dane klientów mogą być przetwarzane na podstawie umowy i zgody. Oznacza to, że cofnięcie zgody nie jest jednoznaczne z obowiązkiem usunięcia danych przetwarzanych w określonym celu wynikającym z umowy z osobą, której dane dotyczą. W związku z tym administratorzy powinni od samego początku jasno określić, jaki jest cel przetwarzania konkretnych danych i podstawa takiego przetwarzania.
Poza tym, że administrator zobowiązany jest do usunięcia danych, które były przetwarzane na podstawie zgody, gdy zgoda zostaje wycofana, to osoba, której dane dotyczą, ma również możliwość zażądania usunięcia innych dotyczących jej danych, które nadal znajdują się u administratora, np. na podstawie art. 6 ust. 1b. W tym celu osoba, której dane dotyczą, powinna skorzystać z prawa do usunięcia danych, zgodnie z art. 17 ust. 1b i motywem 65. GR Art. 29 zaleca administratorom dokonanie oceny, czy dalsze przetwarzanie danych wskazanych powyżej jest właściwe, nawet w przypadku braku żądania usunięcia danych przez osobę, której dane dotyczą.
W sytuacji gdy osoba, której dane dotyczą, wycofuje zgodę, a administrator planuje kontynuować przetwarzać dane osobowe na innej podstawie, nie może on w milczeniu przejść ze zgody (która jest wycofana) na tę inną podstawę prawną. Ponadto, o każdej zmianie podstawy przetwarzania osoba, której dane dotyczą, powinna zostać poinformowana przez administratora, zgodnie z wymogami dotyczącymi informacji zawartymi w art. 13 oraz 14 i zgodnie z ogólną zasadą przejrzystości.
6. Zależność między zgodą a innymi podstawami przetwarzania danych w artykule 6 Roporządzenia o danych osobowych
Artykuł 6 ustala warunki legalnego przetwarzania danych osobowych i opisuje sześć legalnych przesłanek, na których administrator może polegać. Zastosowanie jednego z tych sześciu warunków musi zostać ustalone przed przetwarzaniem i w odniesieniu do określonego celu. Co do zasady przetwarzanie dla jednego konkretnego celu nie może opierać się na wielu legalnych podstawach. Niemniej jednak można polegać na więcej niż jednej przesłance do legalizacji przetwarzania, w przypadku gdy dane są wykorzystywane do różnych celów, a każdy cel musi być połączony z którąś z podstaw. Jednak to administrator musi z wyprzedzeniem zidentyfikować cele i ich odpowiednie, zgodne z prawem podstawy przetwarzania danych. Podstawa nie może być modyfikowana w toku przetwarzania. W związku z tym administrator nie może dokonywać zmian między przesłankami. Na przykład nie będzie możliwe retroaktywne zastosowanie przesłanki uzasadnionego interesu, w sytuacji powstania wątpliwości co do ważności zgody. Dlatego zgodnie z RODO administratorzy, którzy uzyskują zgodę na przetwarzanie danych osobowych, zasadniczo nie powinni polegać na innych legalnych podstawach określonych w art. 6 jako "zapasowych", jeżeli nie są w stanie wykazać, że osoba, której dane dotyczą, udzieliła zgody spełniającej warunki z Rozporządzenia o danych osobowych lub jeśli nastąpiło jej wycofanie. Ze względu na obowiązek wykazania podstawy przetwarzania danych, na której opiera się administrator w momencie zbierania danych, istotne jest uprzednie zdecydowanie, która podstawa będzie najwłaściwsza.
7. Szczególnie istotne obszary w RODO
7.1. Dzieci - artykuł 8
W porównaniu z obecną dyrektywą, RODO tworzy dodatkowy poziom ochrony w przypadku gdy przetwarzane są dane osób fizycznych, które mogą być szczególnie narażone, w szczególności dzieci. Artykuł 8 wprowadza dodatkowe obowiązki w celu zapewnienia wyższego poziomu ochrony danych dzieci w odniesieniu do usług społeczeństwa informacyjnego. Przyczyny zwiększonej ochrony określono w motywie 38: „[..]mogą one być mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych [..]. W motywie tym przeczytamy również, że „taka szczególna ochrona powinna mieć zastosowanie przede wszystkim do wykorzystywania danych osobowych dzieci do celów marketingowych lub do tworzenia profili osobowych lub profili użytkownika oraz do zbierania danych osobowych dotyczących dzieci, gdy korzystają one z usług skierowanych bezpośrednio do nich.” Sformułowanie „przede wszystkim” sugeruje, że ta ochrona nie jest ograniczona jedynie do marketingu albo profilowania lecz zawiera szersze
„zbieranie danych osobowych dotyczących dzieci”.
W art. 8 ust. 1 stwierdza się, że tam, gdzie zgoda ma zastosowanie, w odniesieniu do usług społeczeństwa informacyjnego kierowanych bezpośrednio wobec dziecka, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Jeżeli dziecko ma mniej niż 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadku, gdy zgoda została udzielona lub zatwierdzona przez osobę sprawującą władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody.53 Jeśli chodzi o dolną granicę wieku, RODO zapewnia elastyczność i państwa członkowskie mogą ustanowić z mocy prawa inny wiek, ale wiek ten nie może być niższy niż 13 lat.
Jak wspomniano w sekcji 3.1. wytycznych dotyczącej świadomej zgody, informacje powinny być zrozumiałe dla osób będących odbiorcami, ze szczególnym uwzględnieniem pozycji dzieci. W celu uzyskania "świadomej zgody" od dziecka, administrator musi wyjaśnić, jak ma zamiar przetwarzać zgromadzone dane, przy użyciu języka, który jest jasny i zrozumiały dla dzieci. 54 Z powyższego wynika, że art. 8 ma zastosowanie tylko wtedy, gdy spełnione są następujące warunki:
- przetwarzanie dotyczy usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku.55 56
- przetwarzanie jest oparte na zgodzie.
7.2. Usługi społeczeństwa informacyjnego
Żeby określić zakres pojęcia "usługi społeczeństwa informacyjnego" w art. 4 ust. 25 RODO dokonano odniesienia do dyrektywy 2015/1535.
Oceniając zakres tej definicji, GR Art. 29 odwołuje się również do orzecznictwa ETS.57 ETS orzekł, że usługi społeczeństwa informacyjnego obejmują umowy i inne usługi, które są zawierane lub przekazywane online. W sytuacjach, w których usługa ma dwa niezależne ekonomicznie komponenty, z których jeden występuje online, taki jak oferta i akceptacja oferty w kontekście zawarcia umowy lub informacji dotyczących produktów lub usług, w tym działań marketingowych, komponent ten jest zdefiniowany jako usługa społeczeństwa informacyjnego, a drugi składnik będący fizyczną dostawą lub dystrybucją towarów nie będzie objęty pojęciem usługi społeczeństwa informacyjnego. Świadczenie usługi w trybie online wchodzi w zakres pojęcia usługi społeczeństwa informacyjnego określonego w art. 8 Rozporządzenia o ochronie danych.
7.1.2. Usługi oferowane bezpośrednio dziecku
Sformułowanie "oferowane bezpośrednio dziecku" wskazuje, że art. 8 ma zastosowanie dla niektórych, ale nie dla wszystkich usług społeczeństwa informacyjnego. W tym względzie, jeśli administrator usługi społeczeństwa informacyjnego wyjaśnia potencjalnym użytkownikom, że oferuje usługi wyłącznie osobom w wieku 18 lat lub starszym i fakt ten nie jest podważany przez inne dowody (takie jak treść strony lub plan marketingowy), wówczas usługa nie będzie uważana za "oferowaną bezpośrednio dziecku", a art. 8 nie będzie miał zastosowania.
7.1.3. Wiek
RODO stanowi, że „Państwa członkowskie mogą przewidzieć w swoim prawie niższą granicę wiekową, która musi wynosić co najmniej 13 lat.” Administrator musi być świadomy różnic w przepisach krajowych, biorąc pod uwagę osoby, do których skierowane są jego usługi. W szczególności należy zauważyć, że administrator świadczący usługi transgraniczne nie zawsze może polegać wyłącznie na zgodności z prawem państwa członkowskiego, w którym ma swoją główną siedzibę, ale może być zobowiązany do przestrzegani odpowiednich przepisów krajowych każdego państwa członkowskiego, w którym oferuje usługi społeczeństwa informacyjnego. Zależy to od tego, czy państwo członkowskie zdecyduje się na wykorzystanie miejsca głównej jednostki administratora jako punktu odniesienia w prawie krajowym czy raczej miejsca zamieszkania osób, których dane dotyczą. Państwa członkowskie, przy podejmowaniu tej decyzji, powinny brać pod uwagę przede wszystkim najlepszy interes dziecka. GR Art. 29 zachęca państwa członkowskie do poszukiwania zharmonizowanego rozwiązania w tej sprawie.
Świadcząc usługi społeczeństwa informacyjnego dla dzieci na podstawie zgody, od administratorów oczekuje się podjęcia racjonalnych działań w celu sprawdzenia, czy użytkownik jest w wieku uprawniającym do udzielenia zgody online, a działania te powinny proporcjonalne do charakteru i ryzyka związanego z przetwarzaniem.
Jeśli użytkownicy oznajmią, że są w wieku uprawniającym do wyrażenia zgody online, wówczas administrator może wykonać odpowiednie czynności kontrolne w celu sprawdzenia, czy to stwierdzenie jest prawdziwe. Chociaż potrzeba weryfikacji wieku nie jest wyraźne wskazana w Rozporządzeniu 2016/679, to jest to domniemane, ponieważ jeśli dziecko wyraża zgodę, a nie jest wystarczająco dorosłe, by samodzielnie wyrazić ważną zgodę, to spowoduje to niezgodność z prawem przetwarzania danych.
Jeśli użytkownik stwierdzi, że jest poniżej wieku uprawniającego do wyrażenia zgody online, administrator może to oświadczenie zaakceptować bez dalszych kontroli, ale będzie musiał przejść do uzyskania autoryzacji rodzicielskiej i weryfikacji, że osoba udzielająca takiej zgody sprawuje władzę rodzicielską.
Weryfikacja wieku nie powinna prowadzić do nadmiernego przetwarzania danych. Mechanizm wybrany do weryfikacji wieku osoby, której dane dotyczą, powinien obejmować ocenę ryzyka związanego z proponowanym przetwarzaniem. W niektórych sytuacjach niskiego ryzyka, może być właściwe zobowiązanie nowego użytkownika usługi do ujawnienia roku urodzenia lub wypełnienia deklaracji potwierdzającej, że nie jest osobą nieletnią.58 Jeśli pojawią się wątpliwości w danym przypadku, administrator powinien przeanalizować mechanizmy weryfikacji wieku i rozważyć, czy alternatywne sposoby weryfikacji nie są konieczne.59
7.1.4. Zgoda dziecka i władza rodzicielska
W odniesieniu do potwierdzenia przez osobę posiadającą władzę rodzicielską, RODO nie zapewnia praktycznych sposobów uzyskania zgody rodzica lub ustalenia, że konkretna osoba jest uprawniony do takiego działania.60 W związku z tym GR Art. 29 zaleca przyjęcie proporcjonalnego podejścia zgodnego z art. 8 ust. 2 i art. 5 ust. 1c RODO (minimalizacja danych). Możliwe jest, że proporcjonalne podejście skupi się na uzyskaniu ograniczonej ilości informacji, takich jak dane kontaktowe rodzica lub opiekuna.
To, co będzie uzasadnione, zarówno pod względem weryfikacji wieku użytkownika uprawnionego do samodzielnego wyrażenia zgody, jak i w zakresie weryfikacji, czy osoba wyrażająca zgodę w imieniu dziecka jest osobą posiadającą władzę rodzicielską, może zależeć od ryzyka związanego z przetwarzaniem i dostępnej technologii. W sytuacjach niskiego ryzyka weryfikacja posiadania władzy rodzicielskiej za pośrednictwem poczty elektronicznej może być wystarczająca. Odwrotnie, w przypadkach wysokiego ryzyka, może być konieczne, aby poprosić o więcej dowodów, tak aby administrator był w stanie zweryfikować i zachować informacje zgodnie z art. 7 ust. 1 RODO.61 Podmiot trzeci oferujący usługi weryfikacyjne może stworzyć rozwiązania, które zminimalizują ilość danych osobowych wymaganych przez administratora w celu weryfikacji wieku.
[Przykład 17]
Platforma gier online chce mieć pewność, że nieletni klienci subskrybują jej usługi tylko za zgodą ich rodziców lub opiekunów. Administrator podejmuje następujące kroki:
Krok 1: Zapytaj użytkownika, czy ma mniej niż 16 lat (lub alternatywny wiek zgody online) Jeśli użytkownik stwierdzi, że jest poniżej wieku zgody online:
Krok 2: Platforma informuje dziecko, że rodzic lub opiekun musi wcześniej wyrazić zgodę lub zezwolić na przetwarzanie danych dziecka, nim nastąpi świadczenie usługi dziecku. Użytkownik jest proszony o podanie adresu e-mail rodzica lub opiekuna.
Krok 3: Platforma kontaktuje się z rodzicem lub opiekunem, uzyskuje zgodę za pośrednictwem poczty elektronicznej do przetwarzania danych dziecka i podejmuje rozsądne kroki w celu potwierdzenia, że dorosły posiada władzę rodzicielską.
Krok 4: W przypadku skargi platforma podejmuje dodatkowe kroki w celu weryfikacji wieku subskrybenta. Jeśli platforma spełniła inne wymagania dotyczące zgody, platforma może spełnić dodatkowe kryteria wskazane w artykule 8 RODO, wykonując te kroki.
Przykład pokazuje, że administrator może postawić się w pozycji, w której będzie w stanie wykazać, że uzasadnione działania zostały dokonane w celu zapewnienia legalności zgody w przypadku usług społeczeństwa informacyjnego oferowanych dzieciom. W szczególności art. 8 ust. 2 stanowi, że „administrator, uwzględniając dostępną technologię, podejmuje rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała.”
Do administratora należy ustalenie, jakie środki są odpowiednie w konkretnym przypadku. Należy przyjąć ogólną zasadę, że administratorzy powinni unikać rozwiązań weryfikacyjnych, które same w sobie wiążą się z nadmiernym przetwarzaniem danych osobowych.
GR Art. 29 przyznaje, że mogą istnieć sytuacje, w których weryfikacja stanowić będzie wyzwanie (np. dzieci, które wyraziły na to zgodę, nie utworzyły wcześniej „śladu tożsamości”, lub gdy utrudnionym będzie potwierdzenie władzy rodzicielskiej). Można to wziąć pod uwagę przy podejmowaniu decyzji o tym, jakie działania są rozsądne, ale od administratorów również oczekuje się, że będą poddawać procesy przetwarzania i dostępną technologię ciągłym przeglądom.
W odniesieniu do autonomii w wyrażeniu zgody przez osoby, której dane dotyczą i pełnej kontroli nad przetwarzaniem danych osoby, zgoda osoby sprawującej władzę rodzicielską wygasa w momencie osiągnięcia wieku wymaganego do samodzielnego wyrażenia zgody przez dziecko. W tym momencie po stronie administratora powstaje obowiązek uzyskania nowej zgody od osoby, której dane dotyczą. W praktyce może to oznaczać, że administrator opierający się na zgodzie użytkowników, może być zmuszony do regularnego przypominania użytkownikom, że zgoda wyrażona za dzieci wygasa po ukończeniu 16 lat i musi zostać potwierdzona przez osobę, której dane dotyczą osobiście.
Należy podkreślić, że zgodnie z motywem 38 zgoda rodzica lub opiekuna nie jest wymagana w kontekście usług profilaktycznych lub doradczych oferowanych bezpośrednio dziecku. Na przykład świadczenie usług pomocy dzieciom oferowanych za pośrednictwem czatu online nie wymagałoby uprzedniej autoryzacji rodzicielskiej.
Ponadto, RODO stanowi, że przepisy dotyczące wymogów w zakresie aprobowania zgody przez rodziców nie ingerują w „ogólne przepisy prawa umów państw członkowskich, takie jak zasady dotyczące ważności, tworzenia lub skutków umowy w stosunku do dziecka". Dlatego wymagania dotyczące ważności zgody na przetwarzanie danych o dzieciach jest częścią ram prawnych, które należy uznać jako oddzielne od krajowego prawa umów. Dlatego niniejszy poradnik nie odpowiada na pytanie, czy małoletni może zawierać umowy online. Zastosowanie mają oba systemy prawne jednocześnie, a zakres RODO nie obejmuje harmonizacji przepisów krajowych prawa umów.
7.2. Badania naukowe
Definicja przetwarzania do celów badań naukowych ma istotne konsekwencje dla zakresu operacji przetwarzania danych, które administrator może podjąć po uzyskaniu ważnej zgody.
Jest to szczególnie istotne, gdy do czynienia mamy z przetwarzaniem szczególnych kategorii danych do celów naukowych, na przykład w dziedzinie medycyny.
Termin "badania naukowe" nie jest zdefiniowany w Rozporządzeniu 2016/679. Motyw 159 stanowi, że: "(...) W niniejszym rozporządzeniu przetwarzanie danych osobowych do celów badań naukowych należy interpretować szeroko (...)", jednak GR Art. 29 uważa, że pojęcia nie można rozciągnąć poza jego powszechne znaczenie i uważa, że "badania naukowe" w tym kontekście oznaczają: projekt badawczy utworzony zgodnie z odpowiednią metodologią sektorową i etycznymi standardami.
Wydaje się, że motyw 33 wprowadza pewną elastyczność w zakresie specyfikacji i szczegółowości zgody w kontekście badań naukowych. Motyw 33 stanowi, że: „W momencie zbierania danych często nie da się w pełni zidentyfikować celu przetwarzania danych osobowych na potrzeby badań naukowych. Dlatego osoby, których dane dotyczą, powinny móc wyrazić zgodę na niektóre obszary badań naukowych, o ile badania te są zgodne z uznanymi normami etycznymi w zakresie badań naukowych. Osoby, których dane dotyczą, powinny móc wyrazić zgodę tylko na niektóre obszary badań lub elementy projektów badawczych, o ile umożliwia to zamierzony cel.”
Po pierwsze, należy zauważyć, że motyw 33 nie uchyla obowiązków w odniesieniu do wymogu uzyskania konkretnej zgody. Oznacza to zasadniczo, że projekty badań naukowych mogą przetwarzać dane osobowe tylko na podstawie zgody, jeśli mają one dobrze określony cel. Gdy cele nie są jasne na początku programu badań naukowych, administrator będzie miał trudności w realizacji programu zgodnie z RODO.
W przypadkach, w których nie da się w pełni zidentyfikować celu przetwarzania danych osobowych na potrzeby badań naukowych, motyw 33 zezwala w drodze wyjątku, że cel ten można opisać na bardziej ogólnym poziomie. Biorąc pod uwagę surowe warunki określone w art. 9 RODO, dotyczące przetwarzania danych szczególnych kategorii danych, GR Art. 29 zauważa, że przy przetwarzaniu szczególnych kategorii danych, stosowanie elastycznego podejście zawartego w motywie 33 będzie podlegało surowszej interpretacji i wymaga wysokiego stopnia kontroli. W ujęciu ogólnym RODO nie może być interpretowane w sposób umożliwiający administratorom poruszanie dookoła kluczowych zasad dotyczących wskazywania celu, dla którego zgoda ma być udzielona.
Kiedy cele badań nie mogą być w pełni zidentyfikowane, administrator musi szukać innych sposobów, aby zapewnić, że istota wymagań dotyczących zgody jest zapewniona jak najlepiej, na przykład, poprzez umożliwienie osobom, których dane dotyczą, wyrażenia zgody w celach badawczych na bardziej ogólnych zasadach i w stosunku do określonych etapów projektu badawczego, które znane są już na początku. W miarę postępu badań, zgodę na kolejne kroki w projekcie można uzyskać przed rozpoczęciem każdego etapu. Jednak taka zgoda powinna nadal być spójna z obowiązującymi normami etycznymi w zakresie badań naukowych.
Ponadto administrator może w takich przypadkach stosować dodatkowe zabezpieczenia. Artykuł 89 ust. 1 podkreśla potrzebę zabezpieczenia w zakresie przetwarzania danych dla celów badań naukowych, historycznych lub do celów statystycznych. Cele te muszę podlegać "odpowiednim zabezpieczeniom dla praw i wolności osoby, której dane dotyczą, zgodnie z niniejszym rozporządzeniem." Minimalizacja danych, anonimizacja i bezpieczeństwo danych są wymieniane jako możliwe zabezpieczenia.62 Preferowanym rozwiązaniem jest anonimizacja w momencie, w którym cel badań można osiągnąć bez przetwarzania danych osobowych.
Przejrzystość jest dodatkowym zabezpieczeniem, gdy okoliczności badań nie zezwalają na konkretną zgodę. Brak zidentyfikowania celu może zostać zrekompensowany regularnym podawaniem informacji o rozwoju celu, w miarę postępu projektu badawczego, tak aby z czasem zgoda była tak konkretna, jak to tylko możliwe. W takim przypadku osoba, której dane dotyczą, ma co najmniej podstawowe zrozumienie stanu faktycznego, pozwalające jej ocenić np. czy wykorzystać prawo do cofnięcia zgody zgodnie z art. 7 ust. 3.63
Ponadto, posiadanie kompleksowego planu badań naukowych, dostępnego dla osób, których dane dotyczą mogłoby pomóc zrekompensować brak zidentyfikowanego celu.64 Ten plan badań powinien określać pytania badawcze i metody pracy przewidziane w sposób jak najbardziej jasny. Plan badań mógłby również przyczynić się do zapewnienia zgodności z art. 7 ust. 1, ponieważ administratorzy mają obowiązek wykazania jakie informacje były dostępne dla osób, których dane dotyczą w chwili wyrażenia zgody, tak aby móc wykazać, że zgoda jest ważna.
Ważne jest, aby pamiętać, że jeśli zgoda jest używana jako legalna podstawa przetwarzania to musi istnieć możliwość wycofania tej zgody przez osobę, której dane dotyczą. GR Art. 29 zauważa, że wycofanie zgody może podważyć te rodzaje badań naukowych, które wymagają danych powiązanych z konkretnymi osobami, jednak RODO stanowi w sposób jasny, że zgoda może zostać wycofana, a administratorzy muszą odpowiednio reagować na takie działanie - rozporządzenie nie przewiduje zwolnienia z tego w przypadku badań naukowych.65 Jeśli administrator otrzyma wycofanie zgody powinien natychmiast usunąć lub zanonimizować dane osobowe, jeśli chce nadal korzystać z tych danych do celów badań.66
7.3. Prawa osób, których dane dotyczą
Działanie związane z przetwarzaniem danych opierające się na zgodzie osoby, której dane dotyczą, będzie miało wpływ na prawa tej osoby. Osoba, której dane dotyczą, będzie mogła mieć prawo do przenoszenia danych (art. 20), gdy przetwarzanie opiera się na zgodzie. Natomiast prawo do sprzeciwu (art. 21) nie będzie miało zastosowania w przypadku zgody, jednak prawo do wycofania zgody w dowolnym momencie powodować będzie mogło podobne skutki.
Artykuły od 16 do 20 RODO wskazują, że w przypadku przetwarzania danych na podstawie zgody osoba, której dane dotyczą, ma prawo do usunięcia danych, prawo do bycia zapomnianym w przypadku cofnięcia zgody i prawo ograniczenia, sprostowania i dostępu.
8. Zgoda uzyskana na mocy dyrektywy 95/46/WE
Od administratorów, którzy obecnie przetwarzają dane na podstawie zgody zgodnie z krajowym prawem ochrony danych, nie wymaga się automatycznie całkowitego odświeżenia wszystkich istniejących relacji z osobami, których dane dotyczą, w zakresie zgody w ramach przygotowań do wdrożenia RODO. Zgoda, którą uzyskano do tego czasu, nadal będzie obowiązywać, o ile jest zgodna z warunkami określonymi w Rozporządzeniu o ochronie danych.
Ważne jest, aby administratorzy dokonali szczegółowego przeglądu obecnego procesu pracy i rejestrów przed 25 maja 2018 r., (patrz motyw 171 RODO67). W praktyce Rozporządzenia 2016/679 podnosi poprzeczkę w odniesieniu do wdrożenia mechanizmów zgody i wprowadza kilka nowych wymogów, które wymagają, aby administratorzy raczej zmienili mechanizmy zgody, a nie tylko dokonali przeredagowania polityk prywatności.
Na przykład, jako że RODO wymaga, iż administrator musi być w stanie wykazać, że uzyskano ważną zgodę, wszystkie domniemane zgody, o których nie są przechowywane żadne informacje, automatycznie nie będą spełniać standardu zgody na mocy RODO i będą musiały być odnowione. Podobnie, jako że RODO wymaga „oświadczenia lub wyraźnego działania potwierdzającego”, wszystkie domniemane zgody, które były oparte na bardziej dorozumianej formie działania osoby, której dane dotyczą (np. zignorowanie domyślnie zaznaczonego okienka), również nie będą spełniać standardu zgody na mocy Rozporządzenia o danych osobowych.
Ponadto, aby być w stanie wykazać, że uzyskano zgodę, lub umożliwić bardziej szczegółowe okazanie woli, operacje i systemy informatyczne mogą wymagać rewizji. Muszą być także dostępne mechanizmy służące osobom, których dane dotyczą, do łatwego wycofania ich zgody, oraz muszą być zapewnione informacje na temat tego, jak wycofać zgodę. Jeżeli istniejące procedury uzyskania zgody i zarządzania zgodą nie spełniają standardów RODO, administratorzy będą musieli uzyskać nową zgodę zgodną z RODO.
Z drugiej strony, jako że nie wszystkie elementy wymienione w artykułach 13 i 14 muszą zawsze występować jako warunek świadomej zgody, rozszerzone obowiązki informacyjne na mocy RODO niekoniecznie przeciwstawiają się ciągłości zgody wyrażonej przed wejściem w życie RODO (patrz strona 15* powyżej). Na mocy dyrektywy 95/46/WE nie było wymogu informowania osób, których dane dotyczą, o podstawie, w oparciu o którą prowadzono przetwarzanie.
Jeżeli administrator ustali, że wcześniej uzyskana zgoda na mocy starego ustawodawstwa nie będzie spełniać standardu zgody na mocy RODO, wówczas administratorzy muszą ocenić, czy przetwarzanie może być oparte na innej podstawie prawnej, biorąc pod uwagę warunki określone przez Rozporządzenia 2016/679. Jednak jest to jednorazowa sytuacja, ponieważ administratorzy przechodzą od stosowania dyrektywy do stosowania RODO. Na mocy RODO niemożliwe jest zamienianie jednej podstawy prawnej na inną. Jeżeli administrator nie jest w stanie odnowić zgody w sposób zgody z prawem i nie jest także w stanie przejść do zachowania zgodności z RODO, opierając przetwarzanie danych na innej podstawie prawnej, przy jednoczesnym zapewnieniu, że kontynuowane przetwarzanie będzie rzetelne i rozliczalne, czynności przetwarzania muszą być wstrzymane. W każdym przypadku administrator musi przestrzegać zasad zgodnego z prawem, rzetelnego i przejrzystego przetwarzania.
9. Często zadawne pytania
Zostaną opracowane po konsultacjach publicznych w sprawie tych wytycznych.
1 Artykuł 9 RODO przedstawia listę możliwych wyłączeń od zakazu przetwarzania szczególnych kategorii danych. Jednym z wymienionych wyłączeń jest sytuacja, w której osoba, której dane dotyczą, wyrazi wyraźną zgodę na wykorzystywanie tych danych.
2 Patrz także opinia 15/2011 w sprawie definicji zgody (WP187), str. 6-8 i/lub opinia 06/2014 w sprawie pojęcia uzasadnionych interesów administratora danych zawartego w art. 7 dyrektywy 95/46/WE (WP217), str. 9, 10, 13 i 14.
3 Szczególnie opinia 15/2011 w sprawie definicji zgody (WP187).
4 Opinia 15/2011, strona dotycząca definicji zgody (WP187), str. 8.
5 Patrz także opinia 15/2011 w sprawie definicji zgody (WP187) oraz artykuł 5 RODO.
6 Zgodnie z artykułem 9 projektu rozporządzenia w sprawie prywatności i łączności elektronicznej zastosowanie mają definicja i warunki zgody przewidziane w art. 4 ust. 11 i art. 7 Rozporządzenia o ochronie danych.
7 Patrz opinia 03/2016 w sprawie ewaluacji i przeglądu dyrektywy o prywatności i łączności elektronicznej (WP240).
8 Patrz artykuł 94 RODO.
9 W dyrektywie 95/46/We zgodę zdefiniowano jako „konkretne i świadome, dobrowolne wskazanie przez osobę, której dane dotyczą na to, że wyraża przyzwolenie na przetwarzanie odnoszących się do niej danych osobowych”, które musi być „wyrażone jednoznacznie”, aby przetwarzanie danych osobowych było prawnie uzasadnione (artykuł 7 lit. a) dyrektywy 95/46/WE). Przykłady odpowiedniości zgody jako legalnej podstawy - patrz opinia 15/2011 GR Art. 29 w sprawie definicji zgody (WP187). W opinii tej GR Art. 29 przedstawiła wytyczne w celu odróżnienia sytuacji, gdy zgoda jest odpowiednią legalną podstawą, od sytuacji, gdy poleganie na podstawie w formie prawnie uzasadnionego interesu (być może z możliwością rezygnacji - ‘opt out’) jest wystarczające lub zalecany byłby stosunek umowny. Patrz także opinia GR Art. 29 06/2014, ust. III.1.2, str. 14 i następne. Wyraźna zgoda jest również jednym z wyłączeń od zakazu przetwarzania szczególnych kategorii danych: patrz artykuł 9 RODO.
10 W sprawie wytycznych dotyczących trwających czynności przetwarzania opartych na zgodzie przewidzianej w dyrektywie 95/46/WE patrz rozdział 7 niniejszego dokumentu i motyw 171 RODO.
11 W kilku opiniach Grupa Robocza Artykułu 29 analizowała ograniczenia zgody w sytuacjach, gdy nie może być ona wyrażona dobrowolnie. Miało to szczególnie miejsce w opinii 15/2011 w sprawie definicji zgody (WP187), dokumencie roboczym w sprawie przetwarzania danych dotyczących zdrowia w elektronicznej dokumentacji zdrowotnej (WP131), opinii 8/2001 w sprawie przetwarzania danych osobowych w kontekście zatrudnienia (WP48) oraz drugiej opinii 4/2009 dotyczącej przetwarzania danych przez Światową Agencję Antydopingową (WADA) (międzynarodowego standardu ochrony prywatności i danych osobowych, odnośnych postanowień kodeksu WADA oraz innych kwestii dotyczących prywatności w kontekście walki WADA i innych (krajowych) organizacji antydopingowych z dopingiem w sporcie (WP 162).
12 Patrz opinia 15/2011 w sprawie definicji zgody (WP187), str. 12.
13 Patrz motywy 42, 43 Rozporządzenia o ochronie danych i opinia 15/2011 w sprawie definicji zgody przyjęta 13 lipca 2011 r. (WP187), str. 12.
14 Motyw 43 RODO stanowi: „Aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach. (…)”
15 Patrz artykuł 6 RODO, szczególnie ust. 1 lit. c) i ust. 1 lit. e).
16 Na potrzeby tego przykładu szkoła publiczna oznacza szkołę finansowaną ze środków publicznych lub każdą placówkę edukacyjną, która kwalifikuje się jako organ publiczny na mocy prawa krajowego.
17 Patrz także artykuł 88 Rozporządzenia o danych osobowych, w którym podkreślona jest potrzeba ochrony określonych interesów pracowników i stworzona jest możliwość wyłączeń w prawie państwa członkowskiego.
18 Patrz opinia 15/2011 w sprawie definicji zgody (WP187), str. 12-14, opinia 8/2001 w sprawie przetwarzania danych osobowych w kontekście zatrudnienia (WP48), rozdział 10, dokument roboczy w sprawie nadzorowania komunikacji elektronicznej w miejscu pracy (WP55), ust. 4.2, oraz opinia 2/2017 w sprawie przetwarzania danych w pracy (WP249), ust. 6.2.
19 Patrz opinia 2/2017 w sprawie przetwarzania danych w pracy, str. 6-7.
20 Patrz także opinia 2/2017 w sprawie przetwarzania danych w pracy (WP249), ust. 6.2.
21 Artykuł 7 ust. 4 Rozporządzenia o danych osobowych: „Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy”. Patrz także motyw 43 RODO, który stanowi: „[…] Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna.”
22 Dodatkowe informacje i przykłady – patrz opinia 06/2014 w sprawie pojęcia uzasadnionych interesów administratora danych zawartego w art. 7 dyrektywy 95/46/WE , str. 16-17 (WP217).
23 Patrz również artykuł 9 ust. 2 RODO.
24 Patrz także artykuł 7 ust. 1 Rozporządzenia o danych osobowych, który stanowi, że administrator musi wykazać, że zgoda osoby, której dane dotyczą, była dobrowolna.
25 Do pewnego stopnia wprowadzenie w tym paragrafie jest kodyfikacją istniejących wytycznych GR Art. 29. Jak opisano w opinii 15/2011, gdy osoba, której dane dotyczą, jest w sytuacji zależności od administratora danych ze względu na charakter relacji lub szczególne okoliczności, może istnieć silne przekonanie, że dobrowolność zgody jest w takich kontekstach ograniczona (np. w stosunku pracy lub jeżeli gromadzenie danych prowadzone jest przez organ publiczny). Gdy będzie obowiązywał artykuł 7 ust. 4, administratorowi trudniej będzie udowodnić, że zgoda została dobrowolnie wyrażona przez osobę, której dane dotyczą. Patrz: opinia 15/2011 w sprawie definicji zgody (WP187), str. 12-17.
26 Dalsze wytyczne dotyczące określenia ‘celów’ dostępne są w opinii 3/20113 w sprawie ograniczenia celu (WP203).
27 Motyw 43 Rozporządzenia o danych osobowych stanowi, że odrębna zgoda na różne operacje przetwarzania będzie potrzebna, gdy to właściwe. Należy zapewnić możliwości zgody szczegółowej, aby umożliwić osobom, których dane dotyczą, wyrażać odrębne zgody na odrębne cele.
28 Patrz opinia GR Art. 29 3/2013 w sprawie ograniczenia celu (WP203), str. 16: „Z tych względów cel, który jest niejasny lub ogólny, jak na przykład ‘poprawienie doświadczenia użytkowników’, ‘cele marketingowe’, ‘cele bezpieczeństwa IT” lub ‘przyszłe badania’, zazwyczaj nie będzie – bez dalszych szczegółów – spełniał kryterium bycia ‘konkretnym’.”
29 Jest to zgodne z opinią GR Art. 29 15/2011 w sprawie definicji zgody (WP187), na przykład na str. 17.
30 Patrz także motyw 42 RODO.
31 Patrz także opinia 15/2011 w sprawie definicji zgody (WP187), str. 19-20
32 Patrz na przykład motyw 42 RODO: „ […] Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych. […].”
33 Patrz także Wytyczne GR Art. 29 dotyczące zautomatyzowanego indywidualnego podejmowania decyzji i profilowania do celów rozporządzenia 2016/679 (WP 251), paragraf IV.B, str. 20 i następne.
34 Patrz także opinia Gr Art. 29 15/2011 w sprawie definicji zgody (WP187), str. 19,
35 Oświadczenie o wyrażeniu zgody musi być określone jako takie. Zapis taki jak „Wiem że …” nie spełnia wymogu jasnego języka.
36 Patrz artykuły 4 ust. 11 i 7 ust. 2 Rozporządzenia o ochronie danych.
37 Patrz także motyw 58 dotyczący informacji zrozumiałych dla dzieci.
38 Zobacz także motyw 42 i dyrektywę 93/13 / WE, w szczególności art. 5 (prosty i zrozumiały język i w razie wątpliwości - interpretacja będzie na korzyść konsumenta) i art. 6 (nieuczciwe warunki w umowach zawieranych przez sprzedawców lub dostawców z konsumentami nie będą wiążące dla konsumenta, a umowa w pozostałej części będzie nadal obowiązywała strony, jeżeli jest to możliwe po wyłączeniu z niej nieuczciwych warunków).
39 Proszę zauważyć, że gdy tożsamość administratora lub cel przetwarzania nie wynikają ewidentnie z pierwszej warstwy informacyjnej warstwowej informacji o prywatności (i znajdują się kolejnych warstwach), administratorowi trudno będzie wykazać, że osoba, której dane dotyczą, wyraziła świadomą zgodę, chyba że administrator danych może wykazać, że określona osoba, której dane dotyczą, uzyskała dostęp do tej informacji przed wyrażeniem zgody.
40 Patrz dokument roboczy służb Komisji, Ocena wpływu, załącznik 2, str. 20 oraz str. 105-106: „Jak również wskazano w opinii przyjętej przez GR Art. 29 w sprawie zgody, wydaje się niezbędne wyjaśnienie, że ważna zgoda wymaga wykorzystania mechanizmów, które nie pozostawiają wątpliwości co do zamiaru wyrażenia zgody osoby, której dane dotyczą, jednocześnie wyraźnie wskazując, że – w kontekście środowiska on-line – wykorzystanie opcji domyślnych, które osoba, której dane dotyczą, musi zmienić, aby odmówić przetwarzania (‘zgoda oparta na milczeniu’) samo w sobie nie stanowi jednoznacznej zgody. Dałoby to osobom większą kontrolę nad ich danymi, zawsze gdy przetwarzanie oparte jest na ich zgodzie. Jeżeli chodzi o wpływ na administratorów danych, nie miałoby to dużego wpływu, ponieważ jedynie wyjaśnia i lepiej wyraża implikacje obecnej dyrektywy w odniesieniu do warunków ważnej i znaczącej zgody ze strony osoby, której dane dotyczą.
41 Patrz artykuł 7 ust. 2. Patrz także dokument roboczy 02/2013 przedstawiający wytyczne w sprawie pozyskiwania zgody na zapisywanie plików cookie (WP208), str. 3-6.
42 Patrz motyw 32 Rozporządzenia 2016/679.
43 GR Art. 29 konsekwentnie stała na tym stanowisku od czasu opinii 15/2011 w sprawie definicji zgody (WP187), str. 30-31.
44 Zgodnie z artykułem 49 ust. 1 lit. a) RODO wyraźna zgoda może znieść zakaz przekazywania danych do krajów, których prawo nie zapewnia odpowiedniego stopnia ochrony. Patrz także dokument roboczy dotyczący jednolitej wykładni artykułu 26 ust. 1 dyrektywy 95/46/WE z dnia 24 października 1995 r. (WP 114), str. 11, w którym GR Art. 29 wskazała, że zgoda na przekazywanie danych odbywające się okresowo lub stale jest nieodpowiednia.
45 W artykule 22 RODO wprowadza przepisy mające na celu ochronę osób, których dane dotyczą, przed podejmowaniem decyzji opartym wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu. Podejmowanie decyzji na tej podstawie jest dozwolone pod określonymi prawnymi warunkami. Zgoda odgrywa kluczową rolę w tym mechanizmie ochrony, ponieważ artykuł 22 ust. 2 lit. c) RODO wyraźnie wskazuje, że administrator może prowadzić zautomatyzowane podejmowanie decyzji, w tym profilowania, które może istotnie wpływać osobę fizyczną, za wyraźną zgodą osoby, której dane dotyczą. Grupan Robocza Art. 29 opracowała odrębne wytyczne w sprawie tej kwestii: Wytyczne GR Art. 29 w sprawie zautomatyzowanego podejmowania decyzji i profilowania do celów rozporządzenia 2016/679, 3 października 2017 (WP 251).
46 Patrz także opinia GR Art. 29 15/2011 w sprawie definicji zgody 9WP 1870. Str. 25.
47 Przykład ten jest bez uszczerbku dla rozporządzenia (UE) Nr 910/2014 dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym.
48 Zobacz wytyczne Grupa Robocza Art. 29 dotyczące przejrzystości. [przypis zostanie sfinalizowany, gdy będzie to możliwe] 49 Grupa Robocza Art. 29 przedyskutowała ten temat w swojej Opinii w sprawie zgody (zob. Opinia 15/2011 w sprawie definicji zgody (WP 187), s. 9, 13, 20, 27 i 32-33) oraz, między innymi, opinię na temat wykorzystania danych o lokalizacji. (patrz Opinia 5/2005 w sprawie wykorzystywania danych dotyczących lokalizacji w celu świadczenia usług tworzących wartość dodaną (WP 115), s. 7)
50 Zobacz także opinię GR Art. 29 Opinia 4/2010 na temat europejskiego kodeksu postępowania Europejskiej Federacji Stowarzyszeń Marketingu Bezpośredniego (FEDMA) w sprawie ochrony danych osobowych wykorzystywanych w marketingu bezpośrednim (WP 174) oraz Opinia w sprawie wykorzystywania danych dotyczących lokalizacji w celu świadczenia usług tworzących wartość dodaną (WP 115)
51 Motyw 39, który odnosi się do art. 13 i 14 RODO stanowi, że: „osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem.”
52 Zobacz art. 17 ust. 1 lit. b i ust. 3.
53 Bez uszczerbku dla możliwości dokonania odstępstwa przez państwo członkowskie od ograniczenia wieku, zob. Art. 8 ust. 1.
54 Motyw 58 preambuły ponownie potwierdza ten obowiązek, stwierdzając, że w stosownych przypadkach administrator powinien upewnić się, że podane informacje są zrozumiałe dla dzieci
55 Zgodnie z art. 4 ust. 25 RODO usługa społeczeństwa informacyjnego oznacza usługę określoną w lit. b) artykułu 1 ust. 1 dyrektywy 2015/1535: „usługa” oznacza każdą usługę społeczeństwa informacyjnego, to znaczy każdą usługę normalnie świadczoną za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług. Do celów niniejszej definicji: (i) „na odległość” oznacza, że usługa świadczona jest bez równoczesnej obecności stron; (ii) „drogą elektroniczną” oznacza, iż usługa jest wysyłana i odbierana w miejscu przeznaczenia za pomocą sprzętu elektronicznego do przetwarzania (włącznie z kompresją cyfrową) oraz przechowywania danych, i która jest całkowicie przesyłana, kierowana i otrzymywana za pomocą kabla, fal radiowych, środków optycznych lub innych środków elektromagnetycznych; (iii) „na indywidualne żądanie odbiorcy usług” oznacza, że usługa świadczona jest poprzez przesyłanie danych na indywidualne żądanie.
56 Możliwe odniesienie do definicji "dziecka" w Konwencji ONZ o ochronie dzieci. Artykuł 1 Konwencji o prawach dziecka stwierdza, że "[...] dziecko oznacza „każdą istotę ludzką w wieku poniżej osiemnastu lat, chyba że zgodnie z prawem odnoszącym się do dziecka uzyska ono wcześniej pełnoletność", zob. Organizacja Narodów Zjednoczonych, Zgromadzenie Ogólne, Rezolucja 44/25 z 20 listopada 1989 r. (Konwencja o prawach dziecka).
57 Patrz Europejski Trybunał Sprawiedliwości, 2 grudnia 2010 r. Sprawa C-108/09, (Ker-Optika), pkt 22 i 28. W odniesieniu do "Usługi złożone", grupa robocza WP 29 również odnosi się do opinii Rzecznika Generalnego w sprawie C-434/15 (Asociacion Profesional Elite Taxi v Uber Systems Spain SL. (pkt 30-), pkt 17) i 3. W swojej opinii Rzecznik Generalny, uważa, że w przypadkach, w których dwa elementy opisane powyżej stanowią część nierozerwalnej całości, usługa złożona będzie podlegać definicji usługa społeczeństwa informacyjnego, o ile główny składnik (lub wszystkie istotne elementy) usługi spełniają warunki definicji. Obejmuje to przypadek internetowej sprzedaży towarów.
58 Chociaż nie zawsze może to być rozwiązaniem pozbawionym wad, jest to jednak przykład tego jak dopełnić wymogu z tego przepisu.
59 Zobacz Opinię GR Art. 29 5/2009 w sprawie portali społecznościowych (WP 163).
60 GR Art. 29 stwierdza, że nie zawsze zdarza się, że osoba sprawująca władzę rodzicielską jest naturalnym rodzicem dziecka i odpowiedzialność rodzicielska może spoczywać na wielu stronach, które mogą obejmować zarówno osoby prawne, jak i fizyczne.
61 Na przykład rodzic lub opiekun może zostać poproszony o dokonanie płatności w wysokości 0,01 EUR na rzecz administratora za pośrednictwem transakcji bankowej, w tym krótkie potwierdzenie w opisie transakcji, że posiadacz rachunku jest rodzicem lub opiekunem dziecka. W stosownych przypadkach należy zapewnić alternatywną metodę weryfikacji by zapobiec nieuprawnionemu dyskryminowaniu osób, które nie mają rachunku bankowego.
62 Zobacz na przykład w motywie 156: „Przetwarzanie danych osobowych do celów naukowych powinno też być zgodne z innymi odpowiednimi przepisami, takimi jak przepisy o próbach klinicznych”, zob. motyw 156, w którym wymieniono Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 536/2014 z dnia 16 kwietnia 2014 r. w sprawie badań klinicznych produktów leczniczych stosowanych u ludzi oraz uchylenia dyrektywy 2001/20/WE. Zobacz także Opinię GR Art. 29 15/2011 w sprawie definicji zgody (WP 187), str. 7: "Ponadto uzyskanie zgody nie zwalnia administratora danych z obowiązków na mocy art. 6 związanych z rzetelnością, koniecznością i proporcjonalnością, jak też jakością danych. Na przykład nawet jeżeli użytkownik wyraził zgodę na przetwarzanie danych osobowych, nie czyni to legalnym gromadzenia danych nadmiernych w stosunku do określonego celu. "[...] Co do zasady, zgody nie powinno się uważać za zwolnienie z wymogu przestrzegania pozostałych zasad ochrony danych, ale za zabezpieczenie. Jest ona przede wszystkim podstawą legalności i nie uchyla zastosowania innych zasad. "
63 Istotne mogą być również inne przykłady zapewnienia przejrzystości. Gdy administratorzy zajmują się przetwarzaniem danych dla celów badań naukowych, to choć całość informacji niejednokrotnie nie może być podana na samym początku, to warto np. wyznaczyć konkretną osobę do celów kontaktowych w sprawie pytań związanych z przetwarzaniem danych.
64 Taką możliwość można znaleźć w art. 14 ust. 1 obecnej ustawy o danych osobowych Finlandii (Henkilötietolaki, 523/1999)
65 Nie należy tego mylić z art. 17 RODO ("prawo do bycia zapomnianym"), w którym obowiązuje zwolnienie z obowiązku do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1. Jednak administratorzy będą nadal potrzebować legalnej podstawy zgodnie z art. 6 RODO w celu przechowania danych.
66 Zobacz Opinia GR Art. 29, 5/2014 w sprawie technik anonimizacji (WP 216)
67 Motyw 171 RODO stanowi: „Niniejszym rozporządzeniem należy uchylić dyrektywę 95/46/WE. Przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów. Jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia. Decyzje przyjęte przez Komisję oraz zezwolenia wydane przez organy nadzorcze na podstawie dyrektywy 95/46/WE pozostają w mocy do czasu ich zmiany, zastąpienia lub uchylenia.”
Źródło: tłumaczenie GIODO www.giodo.gov.pl
docx
Wytyczne dotyczące zgody WP 25
Pobierz plik [163.85 KB]Wytyczne dotyczące zgody WP 25
Pobierz plik [1.12 MB]