Jedną z podstaw przetwarzania danych jest zgoda.

Już w dyrektywie  95/46/WE było zdefiniowane pojęcie zgody. Jednak każde z państw członkowskich dokonywało modyfikacji tego pojęcia. I tak w Niemczech oraz Włoszech zgoda musiała być wyrażona na piśmie (!) Natomiast w Polsce zgodą było oświadczenia, które nie mogło być domniemane czy dorozumiane. A jeszcze, aby było ciekawiej, w Portugalii oraz Szwecji przyjęto, że zgoda musi być precyzyjna, a w Luksemburgu – wyraźna.

RODO wprowadza spójne podejście do tego, jaka to ma być zgoda i jakie ma spełniać kryteria.

 

#01 Wykazanie zgody

Administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.

Co to oznacza w praktyce?

To, że na pytanie organu kontrolującego będzie musiał pokazać formularze jakie stosuje, gdzie przechowuje dane, jak je zbiera. Jeśli była zgoda na piśmie to gdzie przechowuje takie udzielone zgody. Czy są one w miejscu niedostępnym dla osób nieupoważnionych? Kto poza administratorem ma dostęp do tych danych? Na jakiej podstawie (do okazania upoważnienia, umowy powierzenia danych).

RODO nie mówi w jaki sposób masz udowodnić prawidłowe zbieranie zgód. Jednak musisz to zbierać w sposób możliwy do zweryfikowania. Przykładowo, jeżeli zbierasz zgody elektronicznie to adekwatnym sposobem będzie  zachowanie tego na serwerze, a w przypadku papierowej zgody – archiwizacja tego dokumentu.

Uwaga! Milczenie oraz brak działania zmierzającego do wyrażenia zgody nie może być traktowane jako zgoda.

Eliminuje to domyślnie zaznaczone okienka, gdyż w takiej sytuacji osoba nie miała realnego i wolnego wyboru wyrażenia zgody. Jeżeli zatem poprzez błąd  lub inną nieprawidłowość wyrażona zgoda nie będzie spełniała kryteriów RODO, przetwarzanie ich będzie niedopuszczalne.

 

#02 Forma udzielenia zgody

Jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

W sytuacji pisemnego oświadczenia składanego w innej sprawie powinny istnieć gwarancje, że osoba, której dane dotyczą, jest świadoma wyrażenia zgody oraz jej zakresu.

Chodzi tutaj o ochronę klienta przed „zgadzaniem się na wszystko”, bo „coś tam zaznaczał”.

Równoznaczną z pisemną zgodą jest zgoda udzielona w środowisku internetowym przez zaznaczenie odpowiedniej opcji.
Natomiast taka zgoda na przetwarzanie to nie to samo co komunikat, że osoba przyjmuje do wiadomości, iż jej dane będą przetwarzane. Zgoda nie może budzić wątpliwości co do faktu jej udzielenia.

 

#03 Wycofanie zgody

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę.

Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.

Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie. Oczywiście wycofanie zgody powoduje, że należy jej wszystkie dane usunąć z naszej bazy, gdyż brak zgody uniemożliwia dalsze ich przetwarzanie.

RODO wprowadza zasadę ograniczenia przechowywania w myśl, której nie można przechowywać danych dłużej niż jest to niezbędne dla celów. Jeżeli zatem przetwarzasz dane dla zrealizowania umowy (np. wysyłki zakupionej u ciebie książki) i zrealizujesz transakcję – wystawisz dowód zakupu, spakujesz, wyślesz, powiadomisz mailem o wysyłce towaru, klient odbierze i nie skorzysta z prawa odstąpienia od umowy, czy nie zareklamuje wady towaru, to nie ma potrzeby aby dłużej trzymać danych tego konkretnego klienta.

Chyba, że wyrazi zgodę na przetwarzanie danych osobowych w innym celu. Wówczas dla celu realizacji umowy sprzedaży książki dane są już niepotrzebne (umowa została zrealizowana), ale dla tego innego celu dane nadal będą przetwarzane.

 

#04 Dobrowolność zgody

Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.

Nie można wymuszać zgody pod warunkiem dokonania zakupu w sklepie internetowym. Możesz kupić buty, ale pod warunkiem że wyrazisz także zgodę na wysyłkę ofert handlowych??!!

Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie tej konkretnej osoby, której dane dotyczą.

Zgoda nie będzie dobrowolna, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji. Czy też jeżeli nie nie można jej wyrazić osobno na różne operacje lub cele przetwarzania danych osobowych lub gdy uzależnia ona zawarcie bądź wykonanie umowy.

Niedopuszczalne jest obejmowanie  jednym oświadczenie kilku celów.

 

#05 Przystępna forma

Oświadczenie o wyrażeniu zgody powinno mieć zrozumiałą i łatwo dostępną formę, być sformułowane jasnym i prostym językiem i nie powinno zawierać nieuczciwych warunków.

Dlatego proponuję, abyś nie silił się na wysoce specjalistyczny, prawniczy język, ale komunikuj się ze swoim klientem w sposób zrozumiały dla niego.

 

 Jeśli spodobał ci się artykuł, koniecznie podziel się nim ze znajomymi