Zgoda na przetwarzanie danych osobowych

Jak zbierać zgodę na przetwarzanie danych osobowych?

Każda zgoda na przetwarzanie danych powinna charakteryzować się następującymi cechami:
a) dobrowolność – zgoda może być ważna tylko jeżeli osoba, której dane dotyczą, ma możliwość dokonania rzeczywistego
wyboru, przy czym nie zachodzi ryzyko wprowadzenia w błąd, zastraszenia, przymusu lub znaczących
negatywnych konsekwencji, jeśli nie wyrazi zgody. Jeżeli konsekwencje wyrażenia zgody nie dają się pogodzić ze
swobodą wyboru, zgoda nie jest dobrowolna (Opinia WP 187 w sprawie definicji zgody),
b) konkretność – aby zgoda była ważna, musi być konkretna. Innymi słowy, niedopuszczalna jest ogólna zgoda bez
określenia dokładnego celu przetwarzania (Opinia WP 187 w sprawie definicji zgody),
c) świadomość – zgoda na przetwarzanie danych osobowych na podstawie art. 23 ust. 1 pkt 1 ustawy z dnia 29
sierpnia 1997 r. o ochronie danych osobowych nie może mieć charakteru abstrakcyjnego, lecz winna odnosić się
do skonkretyzowanego stanu faktycznego, obejmując tylko określone dane oraz sprecyzowany sposób i cel ich
przetwarzania (zob. wyrok NSA z 11.04.2003 r., II SA 3942/02),
d) jednoznaczność – zgoda musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego
w momencie jej wyrażania (zob. wyrok NSA z 4.4.2003 r., II SA 2135/02).
Zgoda może zostać wyrażona w dowolnej formie – ale zawsze w razie wątpliwości to administrator danych powinien
wykazać, że zgoda została udzielona. Decyzja o tym, jaki konkretnie sposób zbierania – i archiwizowania – zgód zastosować
powinna być podjęta świadomie przez administratora danych.

Jakie informacje przekazywać przy zbieraniu zgody na przetwarzanie
danych osobowych?

RODO nakazuje, aby przy gromadzeniu danych przekazywać osobie, której dane dotyczą, szereg informacji:
• o tożsamości administratora danych i o jego danych kontaktowych,
• jeżeli administrator danych powołał Inspektora Ochrony Danych (IOD) – o danych kontaktowych IOD,
• o celach i podstawie przetwarzania danych, a jeżeli przetwarzanie odbywa się na tej podstawie, że jest niezbędne
do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub
przez stronę trzecią – o tych prawnie uzasadnionych interesach,
• o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją
• gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego,
• o okresie czasu, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania
tego okresu,
• o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą,
ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania,
a także o prawie do przenoszenia danych,
• jeżeli przetwarzanie odbywa się na podstawie zgody – o prawie do cofnięcia zgody w dowolnym momencie,
• o prawie wniesienia skargi do organu nadzorczego,
• o tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia
umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje
niepodania danych,

• jeżeli dochodzi do tzw. zautomatyzowanego podejmowania decyzji lub profilowania – należy poinformować
o tym fakcie oraz podać istotne informacje o zasadach automatycznego podejmowania decyzji, a także o znaczeniu
i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Co bardzo istotne, odbiorcy danych to także podmioty przetwarzające dane osobowe na zlecenie administratora danych.
Stąd konieczność poinformowania o tych podmiotach.
Te – bardzo rozbudowane – obowiązki informacyjne w przypadku zgody na przetwarzanie danych osobowych przybierają
najczęściej postać tzw. klauzuli zgody na przetwarzanie danych.

Podstawa prawna – art. 6, art. 12 i 13 RODO. Opracowanie: Ministerstwo Przedsiębiorczości i Technologii