Czym jest zgoda na przetwarzanie danych osobowych?
Zbierasz dane osobowe od swoich klientów i zastanawiasz się, czy potrzebujesz na to zgody? Zastawiasz się w jaki sposób prawidłowo skonstruować klauzulę zgody? Osoba z twojej bazy danych cofnęła zgodę na przetwarzanie i nie wiesz, jak postąpić? A może nie wiesz, czy wcześniej udzielone zgody zachowują ważność? Z niniejszego artykułu dowiesz się:
- Czym jest zgoda na przetwarzanie danych,
- W jaki sposób prawidłowo konstruować klauzulę zgody,
- Czy uzyskanie zgody jest wymagane,
- Jakie skutki niesie za sobą cofnięcie zgody,
- Czy zgody udzielone przed 25 maja 2018 r. są ważne.
Jak prawidłowo zbierać zgodę na przetwarzanie danych osobowych?
Zgoda osoby fizycznej na przetwarzanie danych, które jej dotyczą, aby była w świetle prawa ważna, musi spełniać kilka niżej wskazanych warunków. Powinieneś uwzględnić je w swoich klauzulach służących do jej wyrażania. Zgoda musi być zatem wyrażona:
- dobrowolnie – nie możesz zatem wymuszać wyrażenia zgody, a w szczególności uzależniać wykonania umowy lub usługi od jej udzielenia, chyba że jest ona bezwzględnie do tego potrzebna,
- konkretnie – klauzula powinna obejmować zgodę na przetwarzanie danych osobowych w konkretnym celu, który sformułowany będzie w sposób jasny i zrozumiały dla osoby udzielającej zgody. Pamiętaj, jeżeli pragniesz odebrać zgodę na różne cele, osoba jej udzielająca musi mieć możliwość wyrażenia jej odrębnie na każdy z nich (np. przez odrębne checkbox’y),
- świadomie – nie powinieneś ukrywać zgody w treści umów, bądź regulaminów. Klauzula zgody musi być wyraźnie wyodrębniona, a osoba jej udzielająca musi mieć tego świadomość. Nie będzie zatem prawidłowe, jeżeli klauzula zgody na przetwarzanie zostanie zamieszczona w regulaminie strony www, a odwiedzający będzie poproszony jedynie o zaakceptowanie tego regulaminu. Zgoda na przetwarzanie danych osobowych powinna być odebrana odrębnie,
- jednoznacznie – osoba musi udzielić zgody w sposób widoczny, aby nie było co do tego wątpliwości. Pamiętaj, że zgodnie z zasadą rozliczalności, to na administratorze danych będzie ciążył obowiązek udowodnienia, że posiada zgodę danej osoby na przetwarzanie jej danych osobowych. Co ważne jednakże, zgoda może mieć formę nie tylko oświadczenia woli (np. podpisu, zaznaczenia opcji w formularzu, itp.) ale również wyraźnego działania potwierdzającego, że konkretna osoba przyzwala na przetwarzanie dotyczących jej danych osobowych. Ta druga sytuacja wystąpi przykładowo, gdy osoba dobrowolnie prześle swoje dane osobowe z prośbą o kontakt.
Zwróć uwagę, że jeżeli odbierasz zgodę na przetwarzanie danych, to musisz osobie, która jej udziela przekazać informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
Czy zgoda jest konieczna do przetwarzania danych osobowych?
Zgoda osoby, której dane dotyczą stanowi tylko jedną z przesłanek legalizujących przetwarzanie jej danych osobowych. Dotyczy to również danych osobowych szczególnych (wrażliwych). Abyś legalnie przetwarzał dane osobowe wystarczające jest spełnienie chociażby jednego z warunków, do których należą m.in. następujące okoliczności:
- przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, w tym zakresie mieszczą się nie tylko umowy cywilnoprawne ale także umowy o pracę, jak również prowadzone na żądanie klienta negocjacje poprzedzające zawarcie umowy, a także rozpatrywanie oferty – także pracy – nadesłanej dobrowolnie przez osobę fizyczną,
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, pod tą przesłanką kryje się przetwarzanie danych osobowych na potrzeby rozliczeń podatkowych (np. przechowywanie faktur VAT po zakończeniu współpracy do czasu przedawnienia zobowiązania podatkowego), przechowywanie akt osobowych byłych pracowników (obecnie pracodawca ma obowiązek przechowywania ich przez 50 lat od ustania stosunku pracy, a względem osób zatrudnionych od 01.01.2019 r. przez lat 10), przechowywanie na cele ubezpieczenia społecznego, sprawozdawcze, rachunkowe, itp.
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora, do najczęściej wymienianych celów kryjących się pod tym kryterium zalicza się przechowywanie danych osobowych na potrzeby dochodzenia roszczeń albo obrony przed roszczeniami zarówno obecnych, jak i byłych klientów i kontrahentów, przechowywanie w związku z udzieloną gwarancją, a także wykorzystywanie danych osobowych na cele marketingowe.
Możnaby zatem zapytać, skoro najczęstsze sytuacje, w których dane osobowe są przetwarzane, można przyporządkować do innych przesłanek, to czy musimy odbierać zgodę? W tym miejscu należy przywołać zasady celowości i minimalizacji danych osobowych. Zgodnie z nimi, określone dane osobowe mogą być przetwarzane wyłącznie w związku z realizacją konkretnego celu. Przetwarzanie zatem danych osobowych zarówno w zakresie szerszym (tj. także danych, które nie są niezbędne dla danego celu), jak i w innych celach niż wynikające z danej przesłanki, wymagać może odebrania zgody – o ile nie może to się odbywać na jeszcze innej przesłance przetwarzania danych osobowych.
Przykładem konieczności odebrania zgody będzie pozostawienie, po zakończonym postępowaniu rekrutacyjnym, CV kandydata który nie został wybrany, na potrzeby przyszłych rekrutacji. Czy też przetwarzanie danych osobowych na potrzeby wysyłki firmowego newslettera. Innymi słowy, zgoda będzie potrzeba, gdy nie będziesz w stanie uzasadnić przetwarzania określonych danych, bądź danych w określonym celu inną przesłanką legalizującą.
Czym skutkuje cofnięcie zgody na przetwarzanie?
Jak już wiesz, zgoda jest tylko jedną z przesłanek uprawniających do legalnego przetwarzania danych osobowych. Jeżeli zatem w twoim przypadku istnieje również inna przesłanka zezwalająca tobie na przetwarzanie danych, to cofnięcie zgody nie pozbawi cię możliwości korzystania z danych osobowych. Przykładowo, jeżeli odebrałeś zgodę od klienta z którym masz zawartą umowę, to cofnięcie przezeń zgody nie będzie stanowić przeszkody dla dalszego ich przetwarzania w celu wykonania umowy. Jedynie w przypadku, gdy wyłączną przesłanką przetwarzania danych jest zgoda, to jej cofnięcie skutkować będzie – po twojej stronie – koniecznością usunięcia danych osobowych, względnie ich anonimizacją – czyli pozbawieniu ich cech pozwalających na identyfikację osoby fizycznej (np. usunięcie części danych osobowych z bazy, przez co nie jest możliwe dotarcie do tej osoby).
Ważność zgód udzielonych przed RODO
Jeżeli uzyskałeś zgody na przetwarzanie danych osobowych przed dniem 25 maja 2018 r., tj. przed wejściem w życie RODO, to powinieneś zweryfikować ich ważność. Pozostaną one aktualne, jeżeli spełniają wymogi ważności zgody przewidziane w tym rozporządzeniu, a zatem były udzielone dobrowolnie, konkretnie, świadomie i jednoznacznie.
Problem może wystąpić zatem zwłaszcza w przypadku zgód umieszczonych w treści innych dokumentów (np. umów lub regulaminów), co do których druga strona nie mogła się wprost wypowiedzieć. Podobnie oceniać należy zgody zbiorcze, gdy w treści jednej klauzuli zamieszczono zgodę na przetwarzanie danych, a także inne zgody marketingowe, bądź wymagane przepisami szczególnymi.