Zgoda jako podstawa prawna RODO

W dzisiejszym cyfrowym świecie, ochrona danych osobowych stała się tematem niezwykle istotnym. Rozporządzenie o Ochronie Danych Osobowych, znane powszechnie jako RODO, wprowadziło szereg regulacji mających na celu wzmocnienie kontroli osób fizycznych nad ich danymi. Jednym z kluczowych aspektów RODO jest podstawa prawna przetwarzania danych osobowych. Administrator danych osobowych (ADO) musi zawsze wskazać, na jakiej podstawie prawnej opiera się przetwarzanie danych. Jedną z tych podstaw, a zarazem tematem tego artykułu, jest zgoda osoby, której dane dotyczą.

Podstawa prawna RODO: Zgoda jako fundament legalności

RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, jest aktem prawnym, który reguluje zasady przetwarzania danych osobowych w Unii Europejskiej. Artykuł 6 ust. 1 RODO wymienia podstawowe przesłanki legalizujące przetwarzanie danych osobowych. Jedną z nich, wymienioną na pierwszym miejscu, jest zgoda. Oznacza to, że w wielu przypadkach, aby przetwarzać dane osobowe zgodnie z prawem, administrator musi uzyskać zgodę osoby, której dane dotyczą.

Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781 t.j. ze zm.) doprecyzowuje niektóre aspekty RODO w kontekście polskiego prawa, jednak fundamentem pozostaje rozporządzenie unijne. Zgoda, jako podstawa prawna, jest szczególnie istotna w sytuacjach, gdy administrator nie może powołać się na inne przesłanki legalności przetwarzania, takie jak wykonanie umowy, obowiązek prawny czy prawnie uzasadniony interes.

Rodzaje danych osobowych i zgoda

RODO wprowadza rozróżnienie na dane osobowe zwykłe i dane osobowe szczególnych kategorii. To rozróżnienie ma wpływ na sposób uzyskiwania zgody i jej znaczenie. Dane osobowe zwykłe, zdefiniowane w art. 4 pkt 1 RODO, to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Przykłady to imię i nazwisko, adres e-mail, numer telefonu, adres IP.

Dane osobowe szczególnych kategorii, wymienione w art. 9 ust. 1 RODO, są bardziej wrażliwe i obejmują dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne (w celu jednoznacznego zidentyfikowania osoby fizycznej) oraz dane dotyczące zdrowia, seksualności lub orientacji seksualnej. Przetwarzanie tych danych jest co do zasady zabronione, chyba że zachodzi jedna z przesłanek wymienionych w art. 9 ust. 2 RODO, w tym wyraźna zgoda osoby, której dane dotyczą.

Zgoda na przetwarzanie danych osobowych zwykłych jest regulowana przez art. 6 ust. 1 lit. a RODO, natomiast zgoda na przetwarzanie danych osobowych szczególnych kategorii przez art. 9 ust. 2 lit. a RODO. Kluczowa różnica polega na tym, że w przypadku danych szczególnych kategorii, zgoda musi być wyraźna, co oznacza, że wymogi dotyczące jej uzyskania są bardziej rygorystyczne.

Cechy prawidłowo wyrażonej zgody

Artykuł 4 pkt 11 RODO definiuje zgodę jako dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Każda z tych cech ma fundamentalne znaczenie dla ważności zgody.

• Dobrowolność: Zgoda musi być udzielona dobrowolnie, bez jakiegokolwiek przymusu czy nacisku. Osoba musi mieć realną możliwość wyboru, czy chce wyrazić zgodę, czy nie, oraz możliwość jej wycofania w późniejszym czasie. Relacja nierównorzędna, jak np. pracodawca-pracownik, może utrudniać uznanie zgody za dobrowolną, chyba że pracownik ma realną swobodę wyboru.
• Jednoznaczność: Zgoda musi być jednoznaczna. Powinna być wyrażona w sposób, który nie pozostawia wątpliwości co do intencji osoby udzielającej zgody. Może to być oświadczenie woli lub wyraźne działanie potwierdzające, takie jak zaznaczenie pola wyboru (checkbox), kliknięcie przycisku „zgadzam się”, wysłanie e-maila potwierdzającego zgodę. Milczenie, brak działania, czy domyślnie zaznaczone okienka nie są uznawane za jednoznaczną zgodę.
• Konkretność: Zgoda musi być konkretna, co oznacza, że cel przetwarzania danych osobowych musi być jasno i precyzyjnie określony. Osoba udzielająca zgody powinna wiedzieć, na co dokładnie się zgadza i w jakim celu jej dane będą przetwarzane. Jeśli przetwarzanie danych ma służyć różnym celom, zgoda powinna być uzyskana na każdy z tych celów oddzielnie.
• Świadomość: Zgoda musi być świadoma. Osoba udzielająca zgody powinna być poinformowana o istotnych aspektach przetwarzania danych, takich jak tożsamość administratora, cele przetwarzania, kategorie danych osobowych, odbiorcy danych, prawa osoby, której dane dotyczą. Realizacja obowiązku informacyjnego, wynikającego z art. 13 i 14 RODO, jest kluczowa dla zapewnienia świadomości zgody.

Formy wyrażenia zgody: Wyraźne działanie potwierdzające

Zgoda może być wyrażona na dwa sposoby: poprzez oświadczenie woli lub wyraźne działanie potwierdzające. Wyraźne działanie potwierdzające to czynność, która w sposób jednoznaczny wskazuje na przyzwolenie osoby na przetwarzanie danych osobowych. Przykłady to zaznaczenie okna wyboru na stronie internetowej (checkbox), wybór ustawień prywatności, czy aktywne potwierdzenie zgody poprzez kliknięcie przycisku. Ważne jest, aby działanie to było aktywne i świadome, a nie wynikało z bierności czy domyślnych ustawień.

Motyw 32 preambuły RODO wyraźnie wskazuje, że „Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny oznaczać zgody”. Wszelkie modele oparte na bierności osoby, jej nieuwadze, czy domyślnych ustawieniach są niedopuszczalne. Potwierdza to również orzecznictwo, w tym wyrok Trybunału Sprawiedliwości Unii Europejskiej (sygn. akt. C-673/17), który podkreśla konieczność aktywnego działania osoby wyrażającej zgodę.

Zgoda jako warunek zawarcia umowy: Niedopuszczalna praktyka

Częstą, lecz nieprawidłową praktyką jest uzależnianie zawarcia umowy od wyrażenia zgody na przetwarzanie danych osobowych w celach marketingowych lub innych, które nie są niezbędne do wykonania umowy. Taka zgoda nie jest dobrowolna i tym samym jest nieważna. Jeśli przetwarzanie danych jest niezbędne do wykonania umowy, to podstawą prawną przetwarzania powinien być art. 6 ust. 1 lit. b RODO (wykonanie umowy), a nie zgoda.

Prezes Urzędu Ochrony Danych Osobowych (PUODO) wielokrotnie podkreślał, że nikt nie ma prawa wymuszać zgody na przetwarzanie danych osobowych. Zgoda powinna być wyrazem wolnej woli osoby, a nie warunkiem skorzystania z usługi czy zawarcia umowy. Wymuszanie zgody narusza zasadę dobrowolności i rzetelności przetwarzania danych.

Przykłady prawidłowego i nieprawidłowego zastosowania zgody

Aby lepiej zrozumieć, kiedy zgoda jest właściwą podstawą prawną, warto przeanalizować przykłady prawidłowego i nieprawidłowego jej zastosowania.

Przykłady nieprawidłowego zastosowania zgody:

• Zgoda ukryta w regulaminie lub umowie: Klauzula zgody na przetwarzanie danych osobowych umieszczona pomiędzy innymi postanowieniami umowy, bez możliwości oddzielnego jej wyrażenia.
• Domyślnie zaznaczone okienka zgody: Okienka zgody na stronie internetowej zaznaczone domyślnie, wymagające od użytkownika aktywnego odznaczenia, jeśli nie chce wyrazić zgody.
• Zbiorcze zgody na różne cele: Łączenie zgody na komunikację marketingową różnymi kanałami (e-mail, SMS, telefon) w jednej, niepodzielnej zgodzie.
• Uzależnianie usługi od zgody marketingowej: Warunkowanie dostępu do usługi wyrażeniem zgody na przetwarzanie danych w celach marketingowych, które nie są niezbędne do świadczenia usługi.

Przykłady prawidłowego zastosowania zgody:

• Przetwarzanie danych szczególnych kategorii bez innej podstawy: Uzyskanie wyraźnej zgody na przetwarzanie danych o zdrowiu w celu świadczenia usług rehabilitacyjnych, jeśli nie ma innej podstawy prawnej z art. 9 ust. 2 lit. b-j RODO.
• Przetwarzanie danych pracowniczych wykraczających poza Kodeks Pracy: Uzyskanie zgody pracownika na przetwarzanie danych osobowych, które nie są wymagane przepisami Kodeksu Pracy (art. 22^1a § 1 k.p.), np. w celach rekrutacyjnych wykraczających poza standardowy proces.
• Zgoda marketingowa na konkretne działania: Uzyskanie oddzielnej, dobrowolnej zgody na przesyłanie informacji handlowych drogą elektroniczną, z możliwością łatwego wycofania zgody.
• Zaznaczenie checkboxa na stronie internetowej: Umożliwienie użytkownikowi aktywnego zaznaczenia okienka wyboru, potwierdzającego zgodę na przetwarzanie danych w określonym celu, np. zapis na newsletter.

Marketing bezpośredni a zgoda: Kluczowe aspekty

Działania marketingowe, zwłaszcza marketing bezpośredni, często opierają się na zgodzie jako podstawie prawnej przetwarzania danych osobowych. W przypadku marketingu bezpośredniego, istotne jest rozróżnienie na działania marketingowe w ogólnym rozumieniu i marketing bezpośredni w świetle prawa telekomunikacyjnego i ustawy o świadczeniu usług drogą elektroniczną.

W przypadku marketingu bezpośredniego elektronicznego, oprócz podstawy prawnej przetwarzania danych osobowych wynikającej z RODO (np. zgody z art. 6 ust. 1 lit. a lub prawnie uzasadnionego interesu administratora z art. 6 ust. 1 lit. f), konieczne jest uzyskanie dodatkowych zgód, wynikających z przepisów sektorowych:

• Zgoda na przesyłanie informacji handlowej drogą elektroniczną: Art. 10 ustawy o świadczeniu usług drogą elektroniczną wymaga uzyskania zgody na przesyłanie informacji handlowych do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej.
• Zgoda na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego: Art. 172 ustawy Prawo telekomunikacyjne wymaga zgody na wykorzystywanie telefonów, automatów telefonicznych i innych urządzeń do marketingu bezpośredniego.

Warto pamiętać, że nawet jeśli administrator powołuje się na prawnie uzasadniony interes jako podstawę przetwarzania danych w celach marketingu bezpośredniego (art. 6 ust. 1 lit. f RODO), to i tak musi uzyskać zgody na komunikację elektroniczną, jeśli zamierza wykorzystywać e-mail, SMS czy telefon w celach marketingowych.

Łączenie zgód marketingowych: Wyrok NSA III OSK 161/21

Wyrok Naczelnego Sądu Administracyjnego (NSA) z dnia 20 kwietnia 2021 r., sygn. akt: III OSK 161/21, dotyczy kwestii łączenia zgód marketingowych. NSA orzekł, że niedopuszczalne jest łączenie w jednym oświadczeniu zgody na przetwarzanie danych w celach marketingu bezpośredniego różnych podmiotów oraz zgody na używanie telekomunikacyjnych urządzeń końcowych. Sąd podkreślił, że osoba wyrażająca zgodę musi mieć pełną swobodę w dysponowaniu swoimi danymi i musi rozumieć istotę zgody, jej cel i skutki, oraz wiedzieć, przez kogo i w jakim konkretnie celu jej dane będą przetwarzane.

Wyrok NSA jasno wskazuje, że zgody marketingowe powinny być oddzielne, konkretne i precyzyjne. Nie można zmuszać osoby do wyrażenia zgody na przetwarzanie danych przez wiele podmiotów lub na różne kanały komunikacji w ramach jednej, zbiorczej zgody.

Podsumowanie: Zgoda jako ważna, ale nie jedyna podstawa prawna

Zgoda jest istotną podstawą prawną przetwarzania danych osobowych w RODO, szczególnie w sytuacjach, gdy nie można powołać się na inne przesłanki legalności. Jednak, aby zgoda była ważna, musi spełniać szereg wymogów: być dobrowolna, jednoznaczna, konkretna i świadoma. Administratorzy danych powinni pamiętać, że zgoda nie jest uniwersalną podstawą prawną i nie powinna być wykorzystywana „na zapas” lub w sytuacjach, gdy istnieją inne, bardziej adekwatne przesłanki, takie jak wykonanie umowy czy prawnie uzasadniony interes. Prawidłowe stosowanie zgody wymaga zrozumienia jej charakterystyki i kontekstu, w jakim jest ona uzyskiwana.

Pamiętajmy, że ochrona danych osobowych to nie tylko obowiązek prawny, ale także budowanie zaufania i transparentności w relacjach z klientami i użytkownikami. Stosowanie się do zasad RODO, w tym prawidłowe uzyskiwanie zgody, jest kluczowe dla budowania pozytywnego wizerunku firmy i zapewnienia zgodności z przepisami prawa.

Jeśli chcesz poznać inne artykuły podobne do Zgoda jako podstawa prawna RODO, możesz odwiedzić kategorię Rachunkowość.