Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Zgoda na przetwarzanie danych osobowych – na tle opinii Grupy Roboczej Art. 29

17/09/2015

Zgoda w dyrektywie 95/46/WE jest jedną z kilku podstaw prawnych przetwarzania danych osobowych. Jeśli zostanie właściwie wykorzystana – stanowi narzędzie umożliwiające osobie, której dane dotyczą, kontrolę nad ich przetwarzaniem. W przeciwnym wypadku kontrola ze strony osoby, której dane dotyczą, staje się złudna, a sama zgoda stanowi nieodpowiednią podstawę przetwarzania.


Źródła definicji zgody w dyrektywie 95/46/WE

 

Z opinii 15/2011 w sprawie definicji zgody zaprezentowanej przez Grupę Roboczą ds. Ochrony Osób Fizycznych w Zakresie Przetwarzania Danych Osobowych (w skrócie: Grupa Robocza Art. 29) wynika, że zgoda osoby, której dane dotyczą, stanowi jedno z podstawowych pojęć w sferze ochrony danych. Należy jednak zauważyć, że nie zawsze jest oczywiste, kiedy niezbędna jest zgoda, i jakie warunki trzeba spełnić, aby zgoda była ważna.

 

Jak wynika z omawianej opinii, zgoda jest traktowana w dyrektywie 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych zarówno jako ogólna podstawa legalności – w art. 7 (dane osobowe mogą być przetwarzane tylko wówczas gdy osoba, której dane dotyczą, jednoznacznie wyraziła na to zgodę), ale także jako podstawa szczególna w konkretnych przypadkach, jak w art. 8 ust. 2 lit. a (Państwa Członkowskie zabraniają przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, opinie polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych, jak również przetwarzanie danych dotyczących zdrowia i życia seksualnego, chyba, że osoba, której dane dotyczą, udzieliła wyraźnej zgody na ich przetwarzanie) czy art. 26 ust. 1 lit. a dyrektywy (przekazywanie danych osobowych do państwa trzeciego, który nie zapewnia odpowiedniego stopnia ochrony może nastąpić pod warunkiem, że osoba, której dane dotyczą, jednoznacznie udzieli zgody na proponowane przekazanie danych).

 

Z pojęciem zgody mamy także do czynienia na tle dyrektywy 2002/58/WE o prywatności i łączności elektronicznej, gdzie wskazano pewne czynności przetwarzania danych, w przypadku których wymagana jest zgoda: dotyczą one głównie przetwarzania danych w związku ze świadczeniem publicznie dostępnych usług łączności elektronicznej. Jednakże wymagania warunkujące ważność zgody w dyrektywie 2002/58/WE są takie same, jak w dyrektywie 95/46/WE.

 

Zgoda jako jedna z podstaw legalności 

 

W omawianej opinii Grupa Robocza Art. 29 zwraca uwagę na to, że niektóre państwa członkowskie traktują zgodę jako podstawę, zaś inne mogą z kolei postrzegać ją jako jedną z sześciu możliwości, która nie ma pierwszeństwa przed innymi opcjami.

 

Kontynuując wywód za Grupą Roboczą Art. 29, należy przyjąć, że kolejność, w jakiej wymieniono podstawy prawne w art. 7, jest istotna, ale nie oznacza, że zgoda jest zawsze najbardziej odpowiednią podstawą legalności przetwarzania danych osobowych.

 

Ponadto uzyskanie zgody nie zwalnia administratora danych z obowiązków na mocy art. 6 związanych z rzetelnością, koniecznością i proporcjonalnością, jak też jakością danych. W związku z tym nawet jeżeli użytkownik wyraził zgodę na przetwarzanie danych osobowych, nie czyni to legalnym gromadzenia danych nadmiernych w stosunku do określonego celu.

 

Co do zasady, zgody nie powinno się uważać za zwolnienie z wymogu przestrzegania pozostałych zasad ochrony danych, ale za zabezpieczenie. Jest ona przede wszystkim podstawą legalności i nie uchyla zastosowania innych zasad.

 

 

Przykład: kupno samochodu

Administrator danych może być uprawniony do przetwarzania danych osobowych

w różnych celach i na różnych podstawach:

- danych niezbędnych w celu kupna samochodu – art. 7 lit. b);

- w celu przetwarzania dokumentów samochodu: art. 7 lit. c);

- w celu zarządzania klientami (np. aby zapewnić serwisowanie samochodu przez

powiązane przedsiębiorstwa w UE): art. 7 lit. f);

- w celu przekazania danych osobom trzecim dla ich własnych działań

marketingowych: art. 7 lit. a).

 

Wyrażenie zgody

 

Ważna zgoda opiera się na założeniu zdolności osoby fizycznej do jej wyrażenia, a osoby, które wyraziły zgodę, powinny mieć możliwość jej odwołania.

 

W przekonaniu Grupy Roboczej Art. 29 należy mieć na uwadze kilka wytycznych:

 

  1. Aby zgoda była ważna, musi być dobrowolna. Oznacza to, że nie może zachodzić ryzyko wprowadzenia w błąd, zastraszenia lub znaczących negatywnych konsekwencji dla osoby, której dane dotyczą, jeżeli nie wyrazi ona zgody,
  2. Zgoda musi być konkretna. Wymogu tego nie spełnia ogólna zgoda bez określenia dokładnych celów przetwarzania,
  3. Zgoda musi być świadoma,
  4. Osoba, której dane dotyczą, musi podjąć konkretne działanie oznaczające zgodę i musi mieć możliwość jej nieudzielenia,
  5. W przypadku danych nienależących do szczególnie chronionych wymagana jest zgoda jednoznaczna,
  6. Zgoda bazująca na bezczynności lub milczeniu nie stanowi zazwyczaj ważnej zgody, zwłaszcza w kontekście internetowym.

 

 


 

pdf

Opinia 15/2011 w sprawie definicji zgody

Pobierz plik [492.24 KB]
Pojęcie konieczności i proporcjonalności oraz ochrony danych w sektorze egzekwowania prawa – na tle opinii Grupy Roboczej Art. 29
Pojęcie konieczności i proporcjonalności oraz ochrony danych w sektorze egzekwowania prawa – na tle opinii Grupy Roboczej Art. 29
Zagrożenia wypływające z cloud computingu – na tle opinii Grupy Roboczej Art. 29
Zagrożenia wypływające z cloud computingu – na tle opinii Grupy Roboczej Art. 29
Prawnie uzasadnione interesy administratora danych na mocy artykułu 7 dyrektywy 95/46/WE – na tle opinii Grupy Roboczej Art. 29
Prawnie uzasadnione interesy administratora danych na mocy artykułu 7 dyrektywy 95/46/WE – na tle opinii Grupy Roboczej Art. 29