Jak powinna wyglądać zgoda na przetwarzanie danych osobowych

W dzisiejszych czasach przetwarzanie danych osobowych jest nieodłącznym elementem prowadzenia działalności gospodarczej. Niemal każdy przedsiębiorca w mniejszym lub większym zakresie jest zmuszony do gromadzenia i przetwarzania informacji, z których część stanowią dane osobowe. Niezależnie od przeznaczenia i zakresu danych, ich ilości czy wykonywanych na nich operacji, przedsiębiorca będący administratorem danych musi sprostać wymaganiom, jakie stawia przed nim ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. nr 101, poz. 926, dalej: u.o.d.o.).

Wedle jednej z podstawowych zasad u.o.d.o., zwanej zasadą legalizmu, przetwarzanie danych osobowych jest możliwe wyłącznie wtedy, gdy prawo na to zezwala. Regułę stanowi więc zakaz przetwarzania danych, który może być jednak uchylony w sytuacjach przewidzianych ustawą. Istotny jest tu art. 23 u.o.d.o., wskazujący, w jakich sytuacjach dopuszcza się przetwarzanie danych zwykłych, oraz art. 27 u.o.d.o., w wymienionych w nim przypadkach legalizujący operacje na tzw. danych wrażliwych (czyli takich, które ujawniają między innymi poglądy polityczne czy też stan zdrowia lub karalność). Wymienione w tych artykułach przesłanki mają charakter autonomiczny i niezależny. Wystarczy więc wystąpienie jednej z nich, by przetwarzanie danych uznać za zgodne z prawem.

Obydwa przywołane artykuły u.o.d.o. na pierwszym miejscu wymieniają zgodę osoby, której dane dotyczą, jako okoliczność usprawiedliwiającą przetwarzanie danych. W praktyce właśnie zgoda zainteresowanego jest najczęściej wykorzystywaną przesłanką. Uzyskanie zgody wydaje się zatem prostym rozwiązaniem, które legalizuje w zasadzie każdy proces przetwarzania danych. Stąd też powszechne jest odbieranie jej "na wszelki wypadek", mimo że zachodzą okoliczności wyłączające taką potrzebę. Często też sam sposób udzielenia czy treść zgody może budzić poważne wątpliwości co do jej skuteczności. W rezultacie podczas przetwarzania danych osobowych na podstawie zgody wielokrotnie dochodzi do naruszenia przepisów u.o.d.o.

Niniejszy artykuł przybliża wybrane zagadnienia związane z przetwarzaniem danych osobowych na podstawie zgody oraz wskazuje na sytuacje, w których zgoda wcale nie jest najlepszym rozwiązaniem. Często może się bowiem zdarzyć, że mimo jej uzyskania przetwarzanie danych będzie niedopuszczalne.

Na jakiej podstawie

Wspomnieliśmy już, że zgodnie z artykułem 23 u.o.d.o. zgoda osoby, której dane dotyczą, uchyla zakaz ich przetwarzania. Przepis ten należy czytać łącznie z art. 7 pkt 5 u.o.d.o., który stanowi, że przez zgodę należy rozumieć oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa to oświadczenie. Dodatkowo u.o.d.o. zastrzega, że nie może być ona domniemana lub dorozumiana z oświadczenia woli o innej treści oraz że wolno ją odwołać w każdym czasie.

Sposoby wyrażenia

Z treści art. 23 ust. 1 pkt 1 u.o.d.o. nie wynika, w jaki sposób ma zostać udzielona zgoda na przetwarzanie danych osobowych. Należy więc przyjąć, że skoro sam ustawodawca nie sformułował żadnych wymagań co do formy zgody, to wolno ją wyrazić w sposób dowolny, a więc również ustnie czy też elektronicznie, poprzez kliknięcie odpowiedniego pola wyboru. Zalecane jest jednak, aby dla celów dowodowych administratorzy danych tam, gdzie jest to możliwe, odbierali zgodę w formie pisemnej. W przypadku zgody udzielanej online powinni wprowadzić funkcjonalności pozwalające w przyszłości jednoznacznie określić, czy użytkownik udzielił zgody na przetwarzanie danych osobowych, a jeżeli tak, to kiedy i w jakim zakresie (o ile mógł on być różny). Trzeba bowiem pamiętać, że w razie sporu z osobą, której dane dotyczą, co do faktu udzielenia zgody to administrator danych będzie musiał wykazać, że taką zgodę uzyskał.

Nie pozostawia natomiast żadnych wątpliwości, co do formy zgody, art. 27 ust. 1 pkt 1 u.o.d.o., dotyczący przetwarzania tzw. danych wrażliwych. W tym przypadku ustawodawca jednoznacznie wymaga, aby została ona udzielona w formie pisemnej. Wymóg pisemności sprawia, że nie jest praktycznie możliwe (z wyjątkiem podpisu elektronicznego, który nie jest jednak powszechnie stosowany) udzielenie zgody na przetwarzanie danych wrażliwych za pośrednictwem internetu.

Właściwy moment

Mimo że u.o.d.o. nie formułuje w tym zakresie żadnych wskazówek, to oczywiste jest, że zgoda na przetwarzanie danych osobowych musi zostać udzielona, zanim jeszcze do niego dojdzie. W przypadku zgody udzielanej online odpowiednie pole wyboru powinno być zamieszczone na tej samej stronie, na której użytkownik podaje informacje na swój temat. Jeżeli administrator zaczął przetwarzać dane (np. zapisał je na swoim serwerze), a dopiero później zwrócił się do zainteresowanych o wyrażenie zgody, to nawet jej udzielenie nie będzie konwalidowało zaistniałego naruszenia.

Odwołanie

Obecne brzmienie art. 7 pkt 5 u.o.d.o. jednoznacznie przyznaje każdej osobie, której dane są przetwarzane na podstawie zgody, prawo do jej odwołania. Jednak jeszcze do niedawna, zanim ustawodawca jednoznacznie potwierdził istnienie takiego prawa, dopuszczalność odwołania zgody była przedmiotem sporów w doktrynie. Niemniej aktualne pozostaje pytanie o prawo odwołania zgody na przetwarzanie danych osobowych w przypadku, w którym jest ona jedynym świadczeniem wzajemnym na rzecz administratora (na przykład dostawcy usługi darmowego konta poczty elektronicznej). O ile bowiem w przypadku świadczenia usług bezpłatnej poczty elektronicznej można przyjąć, że zainteresowanemu przysługuje prawo do odwołania udzielonej zgody, to stwierdzenie to nie będzie już tak oczywiste przy świadczeniach, które ze swojej natury mają charakter jednorazowy i nie podlegają zwrotowi, jak choćby umożliwienie użytkownikowi nieodpłatnego pobrania programu komputerowego w zamian za udzielenie zgody na przetwarzanie danych osobowych. W przypadku cofnięcia zgody przez osobę korzystającą z darmowego konta poczty elektronicznej administrator danych może zaprzestać dalszego świadczenia tych usług. Jak jednak powinien zachować się administrator danych w sytuacji wycofania zgody, biorąc pod uwagę, że spełnione przez niego na rzecz użytkownika świadczenie nie może zostać zwrócone?

Najczęściej popełniane błędy

Analiza decyzji GIODO dotyczących klauzuli zgody wskazuje, że jednym z najczęściej popełnianych błędów w tym zakresie jest jej niewłaściwe formułowanie. Kwestionowane przez GIODO klauzule albo nie zawierały pełnego katalogu informacji, których podania wymaga u.o.d.o., albo też niejasno precyzowały cel przetwarzania danych, przez co obejmowały swoim zakresem de facto kilka różnych zgód, a w rezultacie nie można było mówić o ich konkretnym charakterze.

Kolejnym grzechem administratorów jest odbieranie zgody tam, gdzie nie jest to konieczne, gdyż zachodzi inna ustawowa przesłanka uchylająca zakaz przetwarzania danych. Wydaje się, że praktyka ta wynika z braku umiejętności właściwej oceny, czy w konkretnym przypadku zachodzi któraś z innych ustawowych przesłanek. Zwróćmy jednak uwagę, że odbieranie zgody tam, gdzie zachodzi inna przesłanka pozwalająca na ich przetwarzanie, wprowadza w błąd co do podstawy prawnej przetwarzania danych. Zainteresowany może bowiem zakładać, że skoro operacje na jego danych osobowych odbywają się na podstawie wyrażonej zgody, to jest on dysponentem całego procesu przetwarzania i w każdym momencie zgodę taką może wycofać. Tymczasem okazuje się, że w przypadku złożenia oświadczenia odwołującego zgodę jego dane będą nadal przetwarzane na podstawie na przykład konieczności realizacji umowy, której ta osoba jest stroną. Taka sytuacja to prosta droga do tego, aby dysponent danych złożył do GIODO skargę na przetwarzanie jego danych osobowych niezgodnie z prawem. Jak pokazuje zaś praktyka, przeprowadzane przez GIODO kontrole najczęściej są właśnie rezultatem wniesionej skargi.

Nie tylko zgoda

Ustawa w sposób jednoznaczny wskazuje na zgodę jako przesłankę uchylającą zakaz przetwarzania danych. Niemniej należy pamiętać, że nie zawsze jest to najbardziej odpowiednia podstawa przetwarzania. Inne przesłanki wymienione w art. 23 i 27 u.o.d.o. powinny być wykorzystywane w pierwszej kolejności. O zgodę należy wystąpić dopiero wówczas, gdy po szczegółowej analizie określonego przypadku przedsiębiorca uzna, że dane osobowe można przetwarzać wyłącznie w oparciu o tą podstawę. Pamiętajmy również, że uzyskanie zgody nie uchyla innych obowiązków administratora, jak np. obowiązek ograniczenia zbieranych danych wyłącznie do tych, które są konieczne do realizacji celu przetwarzania.

Przykład klauzuli niespełniającej wymagań ustawowych

Składając niniejsze zamówienie, oświadczam, że wyrażam zgodę na przetwarzanie przez XYZ Sp. z o.o. moich danych osobowych, podanych w niniejszym formularzu, w celach promocyjno-handlowych oraz na udostępnianie tych danych podmiotom trzecim z zapewnieniem dobrowolności, prawa dostępu do treści danych oraz ich poprawiania, kontroli i wnoszenia sprzeciwu.

W powyższej sytuacji osoba składająca zamówienie nie ma możliwości, aby nie udzielić zgody na przetwarzanie jej danych w celach marketingowych oraz na ich przekazanie podmiotom trzecim. Również sformułowanie o przekazaniu danych podmiotom trzecim, bez wskazania chociażby kategorii tych podmiotów, nie spełnia wymagań u.o.d.o.

Przykład klauzuli spełniającej wymagania ustawowe

Wyrażam zgodę na otrzymywanie od XYZ Polska Sp. z o.o. z siedzibą w Warszawie, ul. Marszałkowska 1, 00-695 Warszawa, informacji handlowych drogą elektroniczną, w tym pocztą elektroniczną, na udostępniony przeze mnie adres poczty elektronicznej.

TAK NIE

Wyrażam zgodę na przekazywanie przez XYZ Polska Sp. z o.o. z siedzibą w Warszawie, ul. Marszałkowska 1, 00-695 Warszawa moich danych osobowych zawartych w niniejszym formularzu spółkom z grupy XYZ w celu marketingu produktów tych podmiotów.

TAK NIE

Blankietowe oświadczenie nie wystarczy

Zgoda na przetwarzanie danych osobowych udzielana przez zainteresowanego jest przyzwoleniem, aby jego dane osobowe były wykorzystywane w określonym przez administratora danych celu. Ustawodawca, posługując się zwrotem "oświadczenie woli", odwołuje się do postanowień kodeksu cywilnego (k.c.), w którym unormowane zostało to zagadnienie. Analiza przepisów k.c. dotyczących oświadczenia woli pozwala z kolei na wskazanie dodatkowych, niewynikających wprost z u.o.d.o. cech zgody. Jest to jej dobrowolny oraz świadomy charakter.

Dobrowolność

Dobrowolność powinna być rozumiana jako brak przymusu (np. finansowego lub psychologicznego), nacisku lub obawy wystąpienia negatywnych konsekwencji w przypadku odmowy udzielenia zgody. Innymi słowy osoba, której dane dotyczą, musi mieć rzeczywistą możliwość niewyrażania zgody na przetwarzanie jej danych osobowych i nie powinna z tego tytułu ponosić jakichkolwiek ujemnych konsekwencji. Wyrażenie zgody musi nastąpić z inicjatywy zainteresowanego. Przykładem sytuacji, gdy zgoda na przetwarzanie danych osobowych jest udzielana dobrowolnie, będzie kontynuowanie rozmowy telefonicznej z konsultantem biura obsługi konsumenta po uprzednim wysłuchaniu komunikatu informującego, że rozmowa jest nagrywana, a jej kontynuowanie jest równoznaczne z wyrażeniem zgody na przetwarzanie danych osobowych dzwoniącego. Wymóg dobrowolności nabiera szczególnego znaczenia we wszelkiego rodzaju stosunkach hierarchicznych, jak np. relacja pracodawca - pracownik, organ władzy państwowej - interesant etc. W tych układach, gdzie występuje silny element podporządkowania, przetwarzanie danych powinno się odbywać na innej podstawie niż zgoda.

O zgodzie udzielonej dobrowolnie nie sposób również mówić w częstym w praktyce przypadku, kiedy osoba chcąca zarejestrować się w serwisie internetowym nie może tego zrobić bez jednoczesnego wyrażenia zgody na przetwarzanie jej danych osobowych. Dodajmy, że chodzi tu wyłącznie o takie sytuacje, w których w zamian za udzielenie zgody użytkownik serwisu nie otrzymuje od jego właściciela żadnego świadczenia dodatkowego. Opisany przypadek należy odróżnić od takiego, gdy co prawda użytkownik również nie może odmówić zgody na przetwarzanie danych, ale z drugiej strony zgoda taka jest jego jedynym świadczeniem na rzecz usługodawcy (vide przywołany powyżej przykład dostawcy usługi darmowego konta poczty elektronicznej). Wówczas mamy bowiem doczynienia ze swoistą wymianą świadczeń, czyli zgoda na przetwarzanie danych jest udzielana w zamian za nieodpłatnie świadczoną usługę poczty elektronicznej. Dlatego też zgodę taką uznać należy za dobrowolną. Użytkownik ma bowiem możliwość skorzystania z odpłatnej usługi tego samego rodzaju, nie udzielając jednocześnie zgody na przetwarzanie swoich danych.

Charakter świadomy...

Świadomy charakter zgody oznacza, że jest ona udzielona po tym, jak zainteresowana osoba w sposób jasny i zrozumiały została poinformowana o konkretnych okolicznościach towarzyszących przetwarzaniu danych. Informacje stanowiące podstawę do udzielenia zgody na przetwarzanie danych muszą być dokładne i pełne. W szczególności powinny one wskazywać administratora danych (poprzez podanie jego pełnej nazwy i adresu siedziby), określać cel przetwarzania danych (np. marketing produktów i usług partnerów biznesowych administratora albo udział w konkursie), a także odbiorcę lub kategorie odbiorców, którym dane będą przekazywane (np. XYZ Sp. z o.o. - w przypadku gdy jest to jeden konkretny i znany administratorowi odbiorca danych - albo spółki z grupy - gdy podmiotów tych jest więcej lub mogą się zmieniać). Powyższą listę należy uzupełnić o informację o przysługującym osobie, której dane dotyczą, prawie dostępu do treści swoich danych oraz prawie ich poprawiania. Z uwagi na to, że przetwarzanie danych na podstawie zgody musi mieć charakter dobrowolny, warto uzupełnić powyższe informacje o stwierdzenie, że podanie danych osobowych czy wyrażenie zgody na ich przetwarzanie jest dobrowolne. W sytuacjach gdzie z jednej strony podanie danych jest dobrowolne, z drugiej zaś jest niezbędne (na przykład do wzięcia udziału w konkursie), trzeba wskazać na tę okoliczność. Przykładowo można się posłużyć stwierdzeniem: "Podanie danych osobowych jest dobrowolne, ale niezbędne do...".

Nie mniej niż treść przekazywanych informacji istotny jest sposób ich przekazania. Zwłaszcza w przypadku odbierania zgody na przetwarzanie danych osobowych za pośrednictwem internetu (np. różnego rodzaju formularze online, pojawiające się okienka informacyjne) należy zadbać o to, aby odpowiednie informacje były komunikowane użytkownikom przy użyciu czcionki o odpowiednim rozmiarze i kolorze. Treść klauzuli zgody powinna być sformułowana w sposób zrozumiały dla przeciętnego użytkownika. Nie powinna więc być napisana żargonem prawniczym lub technicznym. Wreszcie informacje o okolicznościach towarzyszących operacjom na danych muszą być dostępne (widoczne) dla osoby udzielającej zgody w momencie, w którym podejmuje ona swoją decyzję. Informacje te nie mogą być na przykład umieszczone w treści jednego dokumentu, podczas gdy osoba wyraża zgodę na przetwarzanie danych osobowych, składając swój podpis na innym.

Często zdarza się, że administratorzy serwisów internetowych - dla zwiększenia ich popularności - chcą maksymalnie uprościć procedurę rejestracji. W tym celu niezbędne informacje dotyczące przetwarzania danych osobowych umieszczają w regulaminie serwisu lub innym podobnym dokumencie, dostępnym dla rejestrującego się użytkownika poprzez link. Sama procedura rejestracji nie wymaga jednak zapoznania się z informacjami, do których ów link odsyła. W efekcie jedyne, co musi zrobić użytkownik, aby zarejestrować się w serwisie, to wpisanie swoich danych osobowych oraz kliknięcie przycisku "zapisz", zaś sama klauzula niezwykle lakoniczna, na przykład "Wyrażam zgodę na przetwarzanie moich danych osobowych przez XYZ Sp. z o.o. w zakresie i celach opisanych w regulaminie serwisu". W takim przypadku nie jest spełniony warunek dostępności odpowiednich informacji w momencie wyrażania zgody. Nawet jeżeli w regulaminie serwisu internetowego, do którego klauzula zgody odsyła, zostaną zamieszczone wszystkie informacje, pozwalające zainteresowanej osobie na podjęcie świadomej decyzji co do przetwarzania jej danych osobowych, to fakt, że nie są one widoczne w momencie udzielania zgody, przesądza, że nie będzie ona udzielona świadomie, a jej skuteczność może być kwestionowana. Administrator danych odbierający za pośrednictwem internetu zgodę na przetwarzanie musi pamiętać, że powszechną wśród większości internautów praktyką jest klikanie (zaznaczanie) niezbędnych do rejestracji pól bez zapoznawania się z treścią dokumentów czy informacji, do których są oni jednocześnie odsyłani. Dlatego musi on dołożyć szczególnej staranności, aby zapewnić, że tekst stosownej klauzuli informacyjnej będzie widoczny dla użytkowników w momencie wyrażania zgody.

Podsumowaniem rozważań na temat świadomego charakteru zgody może być teza jednego z orzeczeń NSA. W wyroku z 4 kwietnia 2003 r. (sygn. II SA 2135/02) sąd wskazał jednoznacznie, że osoba udzielająca zgody na przetwarzanie danych osobowych musi mieć w momencie jej udzielania świadomość tego, co kryje się pod tym pojęciem. Sąd zaznaczył również, że zgoda musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania.

...i konkretny zarazem

Ustawodawca wskazuje, że zgoda musi być udzielona na konkretnie określoną operację przetwarzania danych lub kategorię takich operacji. Z tego względu nieskuteczna, z prawnego punktu widzenia, będzie tzw. zgoda blankietowa o treści: "Wyrażam zgodę na przetwarzanie moich danych osobowych". Nieskuteczna będzie również taka o charakterze ogólnym, w której konkretna osoba pozwala na przykład na przetwarzanie wszystkich danych osobowych zebranych przez administratora, bez jednoczesnego wskazania, o jakie konkretnie dane chodzi. Tak więc konkretny charakter zgody jest nierozerwalnie związany z wymogiem, aby została ona udzielona świadomie. Tylko w sytuacji, kiedy zainteresowana osoba została w należyty sposób poinformowana o wszystkich aspektach związanych z przetwarzaniem jej danych, możemy mówić, że jej zgoda ma charakter konkretny, a zarazem świadomy.

Omawiając zagadnienie konkretnego charakteru zgody na przetwarzanie danych osobowych, należy odnieść się do wyrażonej w u.o.d.o. zasady celowości. Zgodnie z nią administrator danych osobowych jest zobowiązany zapewnić, aby były one zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami. Jeżeli więc osoba, której dane dotyczą, udzieliła administratorowi zgody na ich przetwarzanie w konkretnym celu (np. udział w organizowanym konkursie), a ten cel się zmienił albo administrator będzie chciał przetwarzać zgromadzone dane również w innym niż pierwotny celu (oczywiście przy założeniu, że przetwarzanie zebranych danych osobowych w tym innym celu nie może się odbywać na podstawie innej przesłanki niż zgoda), to będzie zobowiązany do ponownego uzyskania od danej osoby jej zgody na przetwarzanie danych w tym nowym celu. Podobnie będzie w sytuacji, gdy administrator zamierza rozszerzyć katalog odbiorców danych, którym przekazuje je na podstawie zgody.

W przypadku gdy administrator planuje przetwarzać dane w kilku odrębnych celach, a każdy z nich wymaga uzyskania zgody na przetwarzanie, musi on odebrać od zainteresowanego odrębne zgody na każdy cel przetwarzania. Naczelny Sąd Administracyjny w orzeczeniu z 11 kwietnia 2003 r. (sygn. II SA 3942/02) wskazał, że zgoda na przetwarzanie danych osobowych nie może mieć charakteru abstrakcyjnego, lecz musi się odnosić do skonkretyzowanego stanu faktycznego, obejmującego tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania. W sprawie będącej podstawą do sformułowania przez sąd powyższej tezy, spółka w deklaracji członkostwa w klubie posługiwała się klauzulą zgody, gdzie jako wspomniany cel wskazano obsługę tego członkostwa. Faktycznie zaś, jak wynikało to z zapisów regulaminu klubu, zgoda udzielana przez osobę przystępującą do klubu obejmowała swoim zakresem również przesyłanie na adresy członków klubu materiałów promocyjnych i bezpłatnych publikacji innych podmiotów, czyli zgodę na przetwarzanie danych w celach marketingowych i handlowych. W uzasadnieniu wydanego orzeczenia NSA podkreślił, że w przypadku oświadczenia woli dotyczącego różnych celów przetwarzania (dodajmy, że każdy z tych celów może być realizowany wyłącznie po wyrażeniu zgody przez osobę przystępującą do klubu), zgoda musi być udzielona oddzielnie na każdy z celów przetwarzania.

Jakie wskazówki praktyczne dla administratorów danych wynikają z powyższego orzeczenia? Stanowisko zajęte przez NSA nie nakłada na przedsiębiorców konieczności formułowania rozbudowanych klauzul zgody. Niezbędne jest jednak zapewnienie, aby osoba, której dane dotyczą, miała praktyczną możliwość wyrażenia zgody na przetwarzanie danych w jednym celu bez konieczności jednoczesnego udzielania jej w innym, np. poprzez zaznaczanie wybranych przez siebie pól.

Jednoznaczność

Zgoda na przetwarzanie danych osobowych musi być udzielona w sposób jednoznaczny. Wymóg jednoznaczności oznacza, że w konkretnej sytuacji nie może być wątpliwości, co do tego, że wolą dysponenta danych było wyrażenie zgody na ich przetwarzanie. W przywołanym powyżej orzeczeniu z 4 kwietnia 2003 r. NSA podkreślił, iż wymogu jednoznacznego charakteru zgody nie spełnia podpisanie oświadczenia o wyrażeniu zgody, stanowiącego dodatkowy element innego zobowiązania niezawierającego informacji o celach i zakresie przetwarzania tych danych.

Ustawa stanowi wprost, że zgoda na przetwarzanie danych osobowych nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Restrykcyjna wykładnia tego zapisu wymaga, aby każdorazowy akt udzielenia zgody był wyraźny. Zgodnie z takim podejściem samo udostępnienie danych osobowych zawartych w CV przesłanym do firmy zajmującej się rekrutacją pracowników, bez jednoznacznego zakomunikowania zgody na przetwarzanie zawartych w tym CV danych osobowych, nie będzie wystarczające do zakwalifikowania tej czynności jako zgody na przetwarzanie danych osobowych. Dotychczasowe podejście GIODO do wymogu jednoznacznego charakteru zgody było również niezwykle restrykcyjne. Jednak ponad rok temu GIODO zapowiedział zmianę tej praktyki, oczywiście w zakresie, w jakim pozwalają mu na to przepisy u.o.d.o. Asumptem do zapowiedzi złagodzenia dość rygorystycznego do tej pory podejścia stała się opinia Grupy Roboczej Art. 29 (niezależny europejski organ doradczy w zakresie ochrony danych i prywatności, stanowiący forum współpracy dla organów ochrony danych osobowych ze wszystkich państw Unii Europejskiej) z 13 lipca 2011 r. w sprawie definicji zgody. Otóż Grupa Robocza Art. 29 dopuszcza możliwość udzielenia zgody na przetwarzanie danych w sposób dorozumiany, czyli wynikający z czynności, która jednoznacznie wskazuje na to, jaka była wola danej osoby. Zastosowanie takiego podejścia do powyższego przykładu przesyłania przez kandydata swojego CV do firmy rekrutacyjnej pozwala więc przyjąć, że wolą jego jest wyrażenie zgody na przetwarzanie jego danych osobowych zawartych w przekazywanych dokumentach dla celów związanych z prowadzonymi przez tą firmę procesami rekrutacji. Zmiana stanowiska GIODO pozwala więc przyjąć, że zgoda na przetwarzanie danych osobowych może być wyrażona w sposób dorozumiany. Pod warunkiem - co w konkretnym przypadku wymaga szczególnie wnikliwej analizy - że czynność dysponenta danych nie pozostawia żadnych wątpliwości co do tego, iż było to jego wolą. Czym innym jest bowiem udzielenie zgody na przetwarzanie danych w sposób dorozumiany, na przykład poprzez przekazanie komuś swojej wizytówki, a czym innym przyjęcie przez administratora, że osoba zgodziła się na przekazanie jej danych zawartych w treści umowy podmiotom trzecim, poprzez sam fakt zawarcia umowy. Mimo zmiany podejścia GIODO należy więc pamiętać o brzmieniu art. 7 pkt 5 u.o.d.o., jednoznacznie stanowiącego, że zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.

Tak jak trzeba

Podsumowując rozważania dotyczące cech zgody, możemy sformułować modelową klauzulę zgody na przetwarzanie danych osobowych w celach marketingowych:

Zgodnie ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, niniejszym wyrażam zgodę na przetwarzanie moich danych osobowych obejmujących: imię i nazwisko, numer telefonu, adres e-mail oraz adres zamieszkania, przez XYZ Sp. z o.o. z siedzibą w Warszawie, ul. Marszałkowska 1, 00-695 Warszawa, w celach marketingu produktów i usług partnerów biznesowych XYZ Sp. z o.o. Zostałem/-am poinformowany/-na, że podanie wyżej wymienionych danych osobowych jest dobrowolne oraz że przysługuje mi prawo dostępu do treści moich danych oraz prawo ich poprawiania.

TAK NIE

Podana powyżej klauzula zgody zawiera wszystkie elementy pozwalające przyjąć, że jest ona skuteczna i może stanowić podstawę przetwarzania danych osobowych. Po pierwsze, udzielający zgody ma możliwość odmowy wyrażania zgody, co czyni zadość wymaganiu dobrowolności. Świadomy charakter zgody wyraża się w treści samej klauzuli, która w jasny i nieskomplikowany sposób przekazuje wymagane przez u.o.d.o. informacje. O tym, że zgoda udzielona w oparciu o powyższą klauzulę będzie uznana za konkretną, przesądza wskazanie jednoznacznego celu przetwarzania danych osobowych, jakim jest marketing produktów i usług partnerów biznesowych administratora danych. Wreszcie, przyjmując, że powyższa klauzula jest wyodrębnionym spośród innych oświadczeniem woli osoby, która jej udziela, spełniony zostaje wymóg jednoznaczności.

Przykład klauzuli, która nie może stanowić podstawy przetwarzania danych osobowych, z uwagi na niespełnianie powyższych wymagań, jest następujący:

Niniejszym wyrażam zgodę na przetwarzanie moich danych osobowych podanych w formularzu rejestracyjnym przez XYZ Sp. z o.o. z siedzibą w Warszawie, ul. Marszałkowska 1, 00-695 Warszawa, na potrzeby obsługi mojego członkostwa w programie lojalnościowym, w tym również na ich przekazanie do ABC Sp. z o.o. oraz na otrzymywanie informacji handlowych na wskazany powyżej adres poczty elektronicznej. Zgodnie z treścią art. 24 ust. 1 ustawy o ochronie danych osobowych XYZ Sp. z o.o. poinformowała mnie, że wyrażenie niniejszej zgody jest dobrowolne, a także że mogę żądać dostępu do treści swoich danych oraz ich uzupełniania i poprawiania.

TAK NIE

Ponieważ osoba udzielająca powyższej zgody nie ma możliwości, aby zgodzić się na przykład na otrzymywanie informacji handlowych bez jednoczesnego udzielania zgody na przekazanie jej danych do podmiotu trzeciego, nie został spełniony warunek dobrowolnego charakteru zgody.

@RY1@i02/2012/196/i02.2012.196.215000400.805.jpg@RY2@

Ewa Kacperek, radca prawny, Hogan Lovells

Ewa Kacperek

radca prawny, Hogan Lovells

@RY1@i02/2012/196/i02.2012.196.215000400.806.jpg@RY2@

Łukasz Czynienik, aplikant radcowski, Hogan Lovells

Łukasz Czynienik

aplikant radcowski, Hogan Lovells