fbpx

Zgoda RODO – czym jest i jak ją rozumieć?

zgoda w RODO

Zgoda RODO na przetwarzanie jej danych osobowych jest jedną z najczęściej wykorzystywanych przez Administratorów Danych Osobowych (ADO).  W tym artykule pomożemy Ci zrozumieć i wdrożyć jedną z podstaw prawnych przetwarzania danych osobowych jaką wyróżnia RODO.

Spis treści:

1. Czym jest i co oznacza zgoda w RODO?
Dobrowolność zgody
Konkretność zgody
Świadomość zgody
Jednoznaczność zgody
2. Sposoby wyrażenia zgody, na przetwarzanie danych
3. W jakim przypadku zgody nie można uznać za dobrowolne, konkretne, świadome i jednoznaczne okazanie woli?
4. Zgoda RODO na pozyskanie i przetwarzanie danych dziecka
Zgoda dotycząca danych dziecka, które ukończyło 16 rok życia
poniżej 16 roku życia
5. Wycofanie zgody RODO osoby, której dane dotyczą
6. Zgoda RODO na przetwarzanie danych – jak powinna wyglądać?
7. Przykłady zgód RODO

zgoda w RODO - podstawa prawna przetwarzania

Jeżeli wykonujesz jakiekolwiek czynności na danych osobowych (np. swoich klientów, kontrahentów) np. zbierasz je, przechowujesz, udostępniasz, opracowujesz (analizujesz), zmieniasz (inaczej mówiąc przetwarzasz te dane) to musisz mieć ku temu podstawę prawną. Artykuł 6 ust. 1 RODO określa 6 takich podstaw prawnych, są to:

  1. Zgoda osoby, której dane dotyczą;
  2. Strona w umowie;
  3. Obowiązek prawny;
  4. Ochrona żywotnych interesów osób;
  5. Zadnia realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej;
  6. Prawnie uzasadniony interes administratora.

W tym artykule omówimy pierwszą z nich – zgodę osoby, której dane dotyczą (zgoda RODO).

Czym jest i co oznacza zgoda w RODO?

Zgoda to: art. 4 pkt 11

Dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”

Omówimy teraz poszczególne elementy tej definicji.

Dobrowolność zgody –

  • Zgoda RODO musi zostać wyrażona przez osobę, której dane dotyczą w drodze dobrowolnej czynności (np. poprzez kliknięcie przycisku „zapisz mnie na newsleter”).
  • Zgoda ta nie może być domyślnie zaznaczona.

Przykład:

Niedozwolone jest aby zgody były automatycznie (domyślnie) zaznaczone (np. w okienku tzw. checkboxie) i nie było możliwości ich odznaczenie (nie wyrazić zgody).  

Nie wyrażenie zgody nie może skutkować negatywnymi konsekwencjami dla osoby która tej zgody nie wyrazi.

Przykład:

Brak wyrażenia zgody informacje marketingowe nie może skutkować brakiem zawarcia umowy kupna-sprzedaży

Osoba, która wyraża zgodę na przetwarzanie swoich danych osobowych nie może być do tego w żaden sposób zmuszana (powinna mieć wybór czy chce taką zgodę wyrazić czy też nie).

Konkretność zgody –

Zgoda musi wskazywać konkretny cel przetwarzania danych osobowych w jakim została zebrana. Oznacza to, że nie możesz zbierać zgód na „ogólne cele”, ani „na zapas” czy „na wszelki wypadek”. Cel przetwarzania danych musi być jasno sprecyzowany i zrozumiały dla odbiorcy. Synonimy słowa „konkretny” to np.: jasny, czytelny, jednoznaczny, rzeczowy, zrozumiały, sensowny, tak też powinna być zgoda.

Ponadto, jako administrator danych osobowych musisz kierować się zasadą:

     Jedna zgoda na jeden cel

Zgoda RODO na dany cel powinna zostać wyraźnie oddzielona od zgód pozyskiwanych w innym celu. Oznacza to, że nie można łączyć kilku odrębnych celów w jednej zgodzie. Jeśli postanowisz tak zrobić uniemożliwisz rezygnację z tej części zgody na którą klient nie koniecznie wyraża zgodę.

Przykład 1 :

Klient zgadza się z regulaminem strony, ale nie chce aby na jego konto pocztowe wpływały oferty firmy u której właśnie dokonuje zakupu. Brak możliwości odznaczenia może zniechęcić klienta do zakupów i przejście do konkurencyjnej firmy.

Przykład 2:

Zapoznaj się z dwoma poniższymi treściami zgód. Jak myślisz, który zapis dotyczący celu przetwarzania danych nie będzie zgodny z zasadami RODO?

  • Wyrażam zgodę na przetwarzanie moich danych osobowych w celach marketingowych…..  
  • Wyrażam zgodę na przetwarzanie moich danych osobowych do celów marketingowych oraz na potrzeby rekrutacji w firmie xyz……

Dlaczego drugi zapis nie będzie poprawny? Wymusza on na odbiorcy wyrażenie zgody RODO od razu na dwa zupełnie inne od siebie cele – innymi słowami chcąc wziąć udział w rekrutacji w firmie xyz oddajemy również swoje dane na potrzeby marketingu, firma mogłaby np. zadzwonić na nasz numer telefonu w celu poinformowania nas o przebiegu rekrutacji jak i w celu do przedstawienia swojej oferty handlowej.

Świadomość zgody –

W motywie 42 preambuły RODO można przeczytać:

„Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych.”

Dlatego ważne jest, aby osoba, która wyraża zgodę na konkretne działanie (np. poprzez wpisanie swoich danych i kliknięcie „zapisz mnie na newsleter) wiedziała kto będzie administratorem jej danych osobowych (będzie znała tożsamość administratora) oraz zna zamierzone cele przetwarzania swoich danych osobowych.

Zgoda RODO musi zostać wyrażona prostym i jasnym (zrozumiałym) językiem. Jeśli zawieramy w zgodzie sformułowania, które nie są powszechnie znane należy je wyjaśnić.

Jednoznaczność zgody –

Jako Administrator Danych Osobowych (w skrócie ADO) musisz wykazać, że osoba której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w sposób jednoznaczny (tzn. bez przymusu i w pełni świadomie). W najprostszy sposób możesz tego dokonać poprzez np. monitoring zgód. W przypadku pozyskiwania zgody na newsletter np. poprzez zastosowanie systemu do wysyłki newsletterów, który pokazuje (rejestruje) kiedy dana zgoda została pozyskana oraz kiedy została wycofana, a także kogo (jakiego adresu mailowego) zgoda ta dotyczyła.

Dlaczego musisz o to zadbać?

Jest to związane z tzw. zasadą rozliczalności. Udowodnienie działania zgodnie z RODO, chroni przed ewentualnymi roszczeniami osób, które wyraziły zgodę oraz umożliwia wykazanie przed organem nadzorczym (np. na wypadek kontroli), posiadania zgód, które zostały zebrane zgodnie z prawem.

Sposoby wyrażenia zgody, na przetwarzanie danych

Zgoda może zostać wyrażona w następujące sposoby:
– pisemnie
– ustnie
– poprzez wykonanie konkretnego działania, które jasno wskazuje, że osoba której dane dotyczą, zaakceptowała przetwarzanie jej danych osobowych, np. poprzez zaznaczenie tzw. checkboxa (okienka pojawiającego się przy opisie zgody, poprzez zmianę określonych ustawień technicznych.

W jakim przypadku zgody nie można uznać za dobrowolne, konkretne, świadome i jednoznaczne okazanie woli?

Za zgodę na przetwarzanie danych osoby nie można uznać w przypadku, gdy:

– osoba milczy,
– osoba nie podjęła, żadnego działania,
– okienka zgód są domyślnie zaznaczone (bez możliwości odznaczenia tych zgód),
– wyrażenie takiej zgody byłoby uzależnione od wykonania umowy lub wiązałoby się z korzystniejszymi warunkami np. niższymi kosztami, rabatami,
– w formularzu nie było możliwości wyrażenia odrębnej zgody na każdy cel, lub cel zgody nie był zdefiniowany,
– tożsamość administratora nie jest znana przed wyrażeniem zgody (brak świadomości kto będzie przetwarzał dane osoby, która wyraziła na to zgodę, może np.  utrudnić skorzystanie z przysługujących jej praw do swoich danych osobowych, np. wycofania zgody),
– w sytuacji, gdy zapytanie o zgodę nie było wyraźnie odróżnione, np. było zawarte jako punkt w treści umowy/ regulaminu – zgoda została „ukryta” w regulaminie, który należało zaakceptować przed np. dokonaniem zakupu w sklepie internetowym lub utworzeniu konta w serwisie.

Zgoda RODO na pozyskanie i przetwarzanie danych dziecka

Jako administrator możesz przetwarzać dane osobowe dzieci, po spełnieniu warunków określonych w RODO dotyczących przetwarzania takich danych.

Zgoda dotycząca danych dziecka, które ukończyło 16 rok życia

Można przetwarzać dane osobowe o ile dziecko wyraziło na to zgodę, ale tylko wtedy, gdy zgoda dotyczy usług społeczeństwa informacyjnego, które są bezpośrednio oferowane dziecku.

Usługa społeczeństwa informacyjnego to każda usługa świadczona elektronicznie na odległość, za wynagrodzeniem, która została indywidualnie zamówiona przez odbiorcę.

Przykłady usług społeczeństwa informacyjnego:
– korzystanie z gier online,
– oglądanie filmów,
– słuchanie muzyki za pomocą aplikacji.

Zgoda dotycząca danych dziecka poniżej 16 roku życia  

Jest wymagana dodatkowa zgoda osoby, która sprawuje opiekę nad dzieckiem.

Aby potwierdzić wiek dziecka, potrzebna jest weryfikacja jego wieku przed wyrażeniem zgody.  Niezbędny, może okazać się również odpowiedni zapis w regulaminie strony od jakiego wieku jest przeznaczona i informację, a także informacja, że poniżej 16 roku życia wymagana jest zgoda np. opiekuna prawnego (w niektórych sytuacjach może być to np. nauczyciel).

Wycofanie zgody RODO osoby, której dane dotyczą

W art. 7 pkt. 3 czytamy:

 „Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.”

Wycofanie zgody, przez osobę której dane dotyczą musi dotyczyć tylko tej zgody, którą cofnęła. Jeśli osoba wycofuje zgodę np. na wysyłkę newslettera, ale w między czasie dokona zakupu w Twoim sklepie internetowym, jako administrator masz prawo wysłać mailowo wszystkie informacje związane z dokonaną transakcją (np. potwierdzenie, przelewu, status wysyłki towaru). W takim przypadku podstawą prawną do przesyłania informacji dotyczących dokonanego zakupu będzie strona w umowie.  jednak po anulowaniu subskrypcji newslettera nie możesz wysłać do tej osoby informacji np. o aktualnych ofertach. 

Wycofanie zgody w tym przypadku nie jest równoznaczne z usunięciem wszystkich danych tej osoby.  

Zgoda RODO na przetwarzanie danych – jak powinna wyglądać?

Nie ma jednego, uniwersalnego wzorca zgody na przetwarzanie danych osobowych.

Treść zgody (która będzie znajdować się np. przy checkboksie na Twojej stronie internetowej w miejscu gdzie Twój klient składa zamówienie) uzależniona jest od celu na jaki pozyskujesz tą zgodę. Ponadto treść zgody powinna zostać dostosowana pod daną firmę i jej działalność.

Dobrze sporządzona zgoda powinna zawierać, następujące elementy:
– jasno określony cel w jakim zgoda jest zawierana (np. marketingowym, do wysyłania informacji handlowych),
– zakres danych jakie będą przetwarzane w  związku z wyrażeniem zgody (np. imię, nazwisko, adres mailowy),
– informację o administratorze danych(tożsamość administratora), zazwyczaj nazwę oraz adres siedziby firmy w celu spełnienia obowiązku informacyjnego,
– oraz informację o prawach przysługujących osobie, która wyraża zgodę na przetwarzanie jej danych. Obowiązkowo powinna znaleźć się informacja o prawie do wycofania zgody w każdej chwili.

Może również zawierać zapis: „Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.”

Pamiętaj! Każdy przypadek powinien być rozpatrywany indywidualnie, czasem wystarczy jedno słowo (lub sformułowanie) czy np. prośba o podanie bardziej szczegółowych danych niż same imię i adres mailowy które kwalifikuje do użycia dodatkowych zgód, lub zmiany zapisów.

Przykłady zgód RODO

Na jakie działania musisz zebrać zgodę na przetwarzanie danych osobowych, od osoby której dane dotyczą?  

  • newsletter – temu zagadnieniu poświęciliśmy osobny artykuł, który przeczytasz tutaj (link)
  • przetwarzanie danych w celach marketingowych
  • informację handlowe
  • na wykorzystanie wizerunku
  • na zautomatyzowane przetwarzanie danych (np. profilowanie)

Uzyskanie zgody to nie koniec Twoich obowiązków jako ADO

Poznałeś kilka przypadków jak mogą zostać wykorzystane zgody RODO oraz kiedy należy je zamieścić a kiedy nie ma takiego obowiązku. Na tym niestety Twój obowiązek się nie kończy musisz zadbać o :

– spełnienie obowiązku informacyjnego,
– umożliwienie i realizację żądań związanych z  prawami osób, których dane dotyczą wynikających z RODO (jakie są to prawa i na czym polegają przeczytasz tutaj link),
– informowanie o ewentualnych zmianach, które są powiązane z wyrażoną zgodą

Podsumowując – pozyskanie zgody na przetwarzanie danych osobowych legalnie z prawem może wywołać liczne wątpliwości. Należy pamiętać, aby w interpretacji RODO kierować się również logicznym myśleniem a nie tylko ścisłą interpretacją przepisów.

Czy da się to wszystko jakoś ominąć? Niestety nie. Jeśli chcemy aby nasza firma działa zgodnie z obowiązującym prawem w tym zgodnie z przepisami o ochronie danych osobowych.

Tag:, , , , , , ,

author avatar
Ewelina Frączewska

Może Ci się spodobać

ewidencja upoważnień
Ewidencja upoważnień – czym jest i jak ją prowadzić?
29 września, 2023
Kopia do artykułów — kopia (13)
Kursy RODO online: droga do profesjonalnej wiedzy o ochronie danych
7 września, 2023
Kopia do artykUpoważnienie do przetwarzania danychułów — kopia (12)
Upoważnienie do przetwarzania danych osobowych – jak je poprawnie wystawić?
24 sierpnia, 2023