Zgoda na przetwarzanie danych osobowych – na tle opinii Grupy Roboczej Art. 29
17/09/2015
Zgoda w dyrektywie 95/46/WE jest jedną z kilku podstaw prawnych przetwarzania danych osobowych. Jeśli zostanie właściwie wykorzystana – stanowi narzędzie umożliwiające osobie, której dane dotyczą, kontrolę nad ich przetwarzaniem. W przeciwnym wypadku kontrola ze strony osoby, której dane dotyczą, staje się złudna, a sama zgoda stanowi nieodpowiednią podstawę przetwarzania.
Źródła definicji zgody w dyrektywie 95/46/WE
Z opinii 15/2011 w sprawie definicji zgody zaprezentowanej przez Grupę Roboczą ds. Ochrony Osób Fizycznych w Zakresie Przetwarzania Danych Osobowych (w skrócie: Grupa Robocza Art. 29) wynika, że zgoda osoby, której dane dotyczą, stanowi jedno z podstawowych pojęć w sferze ochrony danych. Należy jednak zauważyć, że nie zawsze jest oczywiste, kiedy niezbędna jest zgoda, i jakie warunki trzeba spełnić, aby zgoda była ważna.
Jak wynika z omawianej opinii, zgoda jest traktowana w dyrektywie 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych zarówno jako ogólna podstawa legalności – w art. 7 (dane osobowe mogą być przetwarzane tylko wówczas gdy osoba, której dane dotyczą, jednoznacznie wyraziła na to zgodę), ale także jako podstawa szczególna w konkretnych przypadkach, jak w art. 8 ust. 2 lit. a (Państwa Członkowskie zabraniają przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, opinie polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych, jak również przetwarzanie danych dotyczących zdrowia i życia seksualnego, chyba, że osoba, której dane dotyczą, udzieliła wyraźnej zgody na ich przetwarzanie) czy art. 26 ust. 1 lit. a dyrektywy (przekazywanie danych osobowych do państwa trzeciego, który nie zapewnia odpowiedniego stopnia ochrony może nastąpić pod warunkiem, że osoba, której dane dotyczą, jednoznacznie udzieli zgody na proponowane przekazanie danych).
Z pojęciem zgody mamy także do czynienia na tle dyrektywy 2002/58/WE o prywatności i łączności elektronicznej, gdzie wskazano pewne czynności przetwarzania danych, w przypadku których wymagana jest zgoda: dotyczą one głównie przetwarzania danych w związku ze świadczeniem publicznie dostępnych usług łączności elektronicznej. Jednakże wymagania warunkujące ważność zgody w dyrektywie 2002/58/WE są takie same, jak w dyrektywie 95/46/WE.
Zgoda jako jedna z podstaw legalności
W omawianej opinii Grupa Robocza Art. 29 zwraca uwagę na to, że niektóre państwa członkowskie traktują zgodę jako podstawę, zaś inne mogą z kolei postrzegać ją jako jedną z sześciu możliwości, która nie ma pierwszeństwa przed innymi opcjami.
Kontynuując wywód za Grupą Roboczą Art. 29, należy przyjąć, że kolejność, w jakiej wymieniono podstawy prawne w art. 7, jest istotna, ale nie oznacza, że zgoda jest zawsze najbardziej odpowiednią podstawą legalności przetwarzania danych osobowych.
Ponadto uzyskanie zgody nie zwalnia administratora danych z obowiązków na mocy art. 6 związanych z rzetelnością, koniecznością i proporcjonalnością, jak też jakością danych. W związku z tym nawet jeżeli użytkownik wyraził zgodę na przetwarzanie danych osobowych, nie czyni to legalnym gromadzenia danych nadmiernych w stosunku do określonego celu.
Co do zasady, zgody nie powinno się uważać za zwolnienie z wymogu przestrzegania pozostałych zasad ochrony danych, ale za zabezpieczenie. Jest ona przede wszystkim podstawą legalności i nie uchyla zastosowania innych zasad.
Przykład: kupno samochodu Administrator danych może być uprawniony do przetwarzania danych osobowych w różnych celach i na różnych podstawach: - danych niezbędnych w celu kupna samochodu – art. 7 lit. b); - w celu przetwarzania dokumentów samochodu: art. 7 lit. c); - w celu zarządzania klientami (np. aby zapewnić serwisowanie samochodu przez powiązane przedsiębiorstwa w UE): art. 7 lit. f); - w celu przekazania danych osobom trzecim dla ich własnych działań marketingowych: art. 7 lit. a). |
---|
Wyrażenie zgody
Ważna zgoda opiera się na założeniu zdolności osoby fizycznej do jej wyrażenia, a osoby, które wyraziły zgodę, powinny mieć możliwość jej odwołania.
W przekonaniu Grupy Roboczej Art. 29 należy mieć na uwadze kilka wytycznych:
- Aby zgoda była ważna, musi być dobrowolna. Oznacza to, że nie może zachodzić ryzyko wprowadzenia w błąd, zastraszenia lub znaczących negatywnych konsekwencji dla osoby, której dane dotyczą, jeżeli nie wyrazi ona zgody,
- Zgoda musi być konkretna. Wymogu tego nie spełnia ogólna zgoda bez określenia dokładnych celów przetwarzania,
- Zgoda musi być świadoma,
- Osoba, której dane dotyczą, musi podjąć konkretne działanie oznaczające zgodę i musi mieć możliwość jej nieudzielenia,
- W przypadku danych nienależących do szczególnie chronionych wymagana jest zgoda jednoznaczna,
- Zgoda bazująca na bezczynności lub milczeniu nie stanowi zazwyczaj ważnej zgody, zwłaszcza w kontekście internetowym.
Opinia 15/2011 w sprawie definicji zgody
Pobierz plik [492.24 KB]