Audyt legalności pozyskanych zgód

W celu upewnienia się, czy organizacja posiada odpowiednie zgody na przetwarzanie danych osobowych, należy najpierw sprawdzić, czy w ogóle do danego procesu przetwarzania danych osobowych potrzebna jest zgoda. Nie wszystkie bowiem operacje przetwarzania wymagają zgody.

Zgodnie z art. 6 ust. 1 RODO przetwarzanie danych osobowych może m.in. opierać się na:

  1. prawnym obowiązku (np. obowiązek tworzenia i długo­letniego przechowywania akt osobowych pracowników wynika z przepisów prawa);
     
  2. prawnie uzasadnionym interesie administratora (np. marketing produktów do własnych klientów, względy bezpieczeństwa IT, dochodzenie roszczeń);
     
  3. umowie – gdy przetwarzanie danych jest niezbędne do realizacji umowy albo komunikacji przed trans­akcją (przetwarzanie przedkontraktowe może nastąpić jedynie na żądanie klienta, tzn. gdy sam klient zwraca się o udzielenie informacji lub oferty e-mailowo/telefonicznie/poprzez komunikator);
     
  4. konieczności wykonania zadania w interesie publicznym.

W tych przypadkach nie jest konieczne pozyskiwanie zgody osoby, której dane dotyczą, na przetwarzanie jej danych. Oczywiście zakres danych podlegających przetwarzaniu w powyższych przypadkach powinien być ograniczony do minimum, tj. jedynie do tego, co jest niezbędne do osiągnięcia celu przetwarzania w danym przypadku. Jeśli administrator chciałby przetwarzać większą ilość danych – wówczas musi uzyskać na to zgodę podmiotu danych.
 

WAŻNE!

Jeśli prowadzi się sklep internetowy, nie trzeba w formularzu zamówienia (ani w regulaminie, ani w żadnym innym miejscu) umieszczać zgody o treści Wyrażam zgodę na przetwarzanie moich danych osobowych na cele realizacji zamówienia. Realizacja zamówienia jest bowiem wykonaniem umowy zawieranej z konsumentem. Zgodnie z art. 6 ust. 1 lit. b RODO wykonywanie umowy stanowi samodzielną przesłankę przetwarzania danych osobowych.


Jeśli ustali się już, że przetwarzanie nie może się odbywać na żadnej innej podstawie niż zgoda, wówczas RODO w art. 4 pkt 11 stanowi, że zgoda taka powinna być:

  • dobrowolna,
  • konkretna,
  • świadoma,
  • jednoznaczna.

Przepis ten wskazuje również, że zgoda na gruncie RODO nie musi mieć postaci oświadczenia (pisemnego lub elektronicznego), ale może zostać wyrażona przez każde odpowiednio „wyraźne działanie potwierdzające”.

Z kolei w art. 7 RODO wskazuje, że ponadto:

  • Administrator musi być w stanie wykazać, że została udzielona zgoda. Musi być zatem ona utrwalona – w formie pisemnej lub pisemnego oświadczenia elektronicznego, w formie odpowiedniego logu informatycznego (np. potwierdzającego, że dany użytkownik zaznaczył odpowiedni checkbox lub wykonał jakąś inną akcję), w formie ustnej (wówczas rozmowa musi być nagrana).
  • Jeśli zgoda wyrażana jest w pisemnym (lub elektronicznym) oświadczeniu, które zawiera też informacje w innych kwestiach (np. regulamin usługi, a w nim zawarte postanowienia o danych osobowych), to należy wyraźnie oddzielić kwestię zgody od innych treści. Zapytanie o zgodę musi być łatwo dostępne (a nie zamieszczone
  • na końcu wielostronicowego dokumentu) i łatwo zrozumiałe. Ogólnie nie zaleca się umieszczania zgód w regulaminach internetowych, gdyż wówczas może się okazać, że zgoda nie została udzielona przez użytkownika w sposób świadomy (mało kto czyta regulaminy). Natomiast jeśli klient podpisywałby jakiś regulamin pisemny, to można pod tekstem regulaminu umieścić miejsce na podpis, a następnie (po oddzieleniu poziomą linią) umieścić tekst dotyczący zgody na przetwarzanie danych osobowych i tutaj umieścić miejsce na kolejny podpis.
  • Zgodę musi się dać łatwo wycofać. Wycofać zgodę powinno być tak samo łatwo, jak ją wyrazić. Na przykład jeśli jednym kliknięciem można zapisać się na news­letter, wówczas jednym kliknięciem powinno być możliwe wypisanie się z listy, jeśli zgoda została wyrażona ustnie przez telefon, wówczas jednym krótkim tele­fonem można ją odwołać.

Zgoda dobrowolna

Nie można uzależniać zawarcia czy wykonania umowy od wyrażenia zgody na przetwarzanie danych, które nie jest niezbędne do wykonania tej umowy. Jeśli umowa składa się z nienegocjowalnych ogólnych warunków umów lub regulaminu, wówczas nie powinno się w tych dokumentach „ukrywać” zgód na przetwarzanie danych osobowych.

Przykładowo, jeśli sprzedaje się meble kuchenne, nie można uzależniać dokonania transakcji (sprzedaży kompletu mebli) od zgody klienta na przekazanie jego danych osobowych do firmy z sektora AGD w celu dobrania odpowiedniego dla niego zestawu sprzętów kuchennych.

Nie ma natomiast problemu, jeśli oferuje się jakiś prezent (e-book, nagranie wideo) czy rabat w zamian za zapisanie się na listę e-mailingową. Trzeba jedynie jasno okreś­lić, o jakie dane się prosi, w jakim celu i co oferuje się w zamian.

RODO wskazuje, że w niektórych sytuacjach dochodzi do zachwiania równowagi pomiędzy stronami i wówczas prośba podmiotu „silniejszego” o wyrażenie przez podmiot „słabszy” zgody na przetwarzanie danych osobowych może nie być postrzegana jako dająca dobrowolność wyboru. Przykładem może być pracodawca, który prosi pracowników o wyrażenie zgody na monitoring w miejscu pracy. Od razu nasuwa się konstatacja, że podjęcie decyzji w tej kwestii przez pracowników może być podyktowane obawą utraty pracy, jeśli nie wyrażą zgody. Taka zgoda nie będzie zatem postrzegana jako dobrowolna w świetle RODO.
 

Zgoda musi być dobrowolna. Nie wolno uzależniać zawarcia umowy od wyrażenia zgody na przetwarzanie danych osobowych, które nie jest konieczne do wykonania tej umowy.

Oferowanie prezentu (lead magnet) w zamian za podanie danych osobowych na konkretny cel (np. zapis do newslettera) jest dozwolone. RODO nie zmienia tej kwestii. Trzeba pamiętać jednak, że subskrybent musi być poinformowany i świadomy, komu i na jaki cel przekazuje swoje dane.


Zgoda świadoma

Zgoda musi być świadoma, czyli wymagane jest konkretne pozytywne działanie użytkownika. Domyślnie zaznaczone checkboxy czy jakiekolwiek milczenie nie jest zgodą. Nie można przyjmować zgody na zasadzie opt-out, tzn. domyślnie uważać, że zgoda została wyrażona, a tylko w razie sprzeciwu zaprzestać przetwarzania danych.

W świetle RODO trzeba odpowiednio ostrożnie zaplanować proces zbierania zgód. Przepisy wskazują, że (przykładowo) zbyt nachalne ukazywanie okienka nakłaniającego do wyrażenia zgody w czasie korzystania z usługi, które w efekcie ją zakłóca, może nie być uznane za świadome, ani za dobrowolne wyrażenie zgody. Ktoś, kto zaznaczy zgodę tylko po to, by pozbyć się tego okienka, nie będzie działał w sposób w pełni świadomy i dobrowolny.

Ponadto wymóg „świadomej zgody” oznacza również konieczność udzielenia niektórych informacji użytkownikowi. Nie chodzi tutaj o udzielenie wszystkich informacji, które są wymienione w art. 13 i 14 RODO (czym innym jest bowiem spełnienie obowiązku informacyjnego, a czym innym zadbanie o to, by zgoda była świadoma).

Grupa Robocza Art. 29 wskazuje w swoich wytycznych[1], że aby zgodę można było uznać za świadomą, podmiot danych musi być poinformowany co najmniej o:

  • tożsamości administratora danych,
  • celu lub celach przetwarzania (kilka celów jest dopuszczalnych, jeśli są ze sobą związane i zostały odpowiednio przejrzyście opisane),
  • jakie dane będą podlegały przetwarzaniu (np. w e-mail marketingu nie tylko dana w postaci adresu e-mail, lecz również „zachowanie” subskrybenta w reakcji na otrzymywane e-maile (historia otwieralności itp.),
  • możliwości odwołania zgody,
  • stosowaniu wobec niego profilowania,
  • przekazywaniu danych do państw trzecich (jeśli ma to miejsce).
     

Zgoda musi być świadoma. Wymagane jest aktywne działanie użytkownika.

Milczenie nigdy nie może być uznane za zgodę. Zgoda nie będzie dobrowolna, jeśli będzie ukryta w nienegocjowanym załączniku.

Świadomie można wyrazić zgodę, tylko posiadając pewne informacje. Administrator musi zatem przekazać podmiotowi danych informacje, na podstawie których będzie mogła być podjęta świadoma decyzja (o udzieleniu zgody bądź nie).


Zgoda konkretna

RODO wskazuje także, że zgoda musi być konkretna. Oznacza to, że musi spełniać kilka warunków:

  • Użytkownik musi wiedzieć, komu udziela zgody. Należy podać swoje dane w treści zgody. Jeśli ma się zamiar przekazywać dane podmiotom trzecim, to one też powinny być wymienione w treści zgody. Nie wystarczy blankietowe sformułowanie „i partnerów”.
  • Użytkownik musi wiedzieć, na co konkretnie wyraża zgodę. Najlepiej jest podać, o które dane chodzi (np. czy tylko adres e-mail, czy adres pocztowy, numer telefonu, historię zakupów).
  • Użytkownik musi wiedzieć, na jaki cel przekazuje dane. Jeśli ma się zamiar przetwarzać dane na kilka celów, najlepiej byłoby odbierać odrębną zgodę na każdy cel. Czasami może być dopuszczalne zgromadzenie kilku celów w jednej zgodzie, jeśli są one ze sobą mocno powiązane i nie ma wątpliwości, co konkretnie administrator będzie z tymi danymi czynił.

Zgoda może dotyczyć wielu operacji przetwarzania naraz, byleby dotyczyły one tego samego celu przetwarzania.
 

PRZYKŁAD

Przykład poprawnej treści zgody:

Zgadzam się na przetwarzanie wyżej podanych moich danych osobowych (imię i adres e-mail) przez spółkę XYZ Sp. z o.o. na cele marketingowe.

 

PRZYKŁAD

Przykład niepoprawnej treści zgody:

Wyrażam zgodę na przetwarzanie moich danych osobowych zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz. Urz. UE nr L/119/1) na cele administracyjne, statystyczne i marketingowe przez właś­ciciela portalu i jego partnerów.


Co jest nieprawidłowego w przytoczonym przykładzie zgody:

  • Nie podano podmiotu, który będzie przetwarzał dane (wskazano tylko „właściciela portalu”, ale nie wiadomo, kto to taki).
  • Nie podano, jakich danych osobowych dotyczy zgoda.
  • Wskazano enigmatycznych „partnerów”, a więc bliżej nieokreślony krąg podmiotów.
  • Podano kilka celów przetwarzania jednocześnie, przy czym nie wiadomo, co oznaczają „cele administracyjne”. Lepiej byłoby użyć tylko sformułowania „cele marketingowe”, bo cele statystyczne mieszczą się w tych pierwszych.
  • Niepotrzebnie powoływany jest tytuł RODO. To tylko zaciemnia treść zgody (jest trudna do przeczytania). W treści zgody nie trzeba powoływać żadnych aktów prawnych, numerów artykułów ani numerów dziennika ustaw.
     

Zgoda musi być konkretna. Należy podać w jasny sposób, prostym językiem, o jakie konkretnie dane się prosi, w jakim celu i kto będzie je wykorzystywał.

Zgoda jednoznaczna

Zgoda w świetle RODO musi też być jednoznaczna. Chodzi o to, by z danego zachowania użytkownika dało się bez wątpliwości wywnioskować, że udzielił zgody. Nie ma w tym stwierdzeniu pomyłki, bo zgoda nie musi być zawsze „tekstem”. Nie musi być zaznaczeniem checkboxa obok jakiegoś tekstu. Samo podanie adresu e-mail może być uznane za zgodę na wykorzystanie tej danej do celów przesyłania newslettera, jeśli tylko odpowiednio dobrze skonstruuje się formularz.

Prośba o zgodę może też pojawić się jako wyskakujące okienko na stronie czy powiadomienie. Jeśli tekst będzie odpowiednio sformułowany, to samo kliknięcie będzie mogło być uważane za zgodę.

Nie można jednak z pojedynczych zachowań wnioskować o zgodzie na inne cele. Przykładowo, nie można z samego faktu, że ktoś zarejestrował się na webinar lub pobrał e-booka, wnioskować, że wyraził również zgodę na otrzymywanie informacji handlowych (może chciał tylko wziąć udział w tym jednym webinarze) – taki zapis na webinar czy pobranie e-booka nie jest jednoznaczne z subskrypcją do listy e-mailingowej.

Należy też zwrócić uwagę na treści zgód umieszczane w regulaminach czy innych dłuższych tekstach, które użytkownik ma do wglądu. Blankietowa akceptacja terms & conditions nie jest jednoznaczna z wyrażeniem zgody na dopisanie adresu e-mail do newslettera czy innej bazy marketingowej ani zgodą na przetwarzanie do jakich­kolwiek innych celów oprócz realizacji zamówienia.

Czasami zgodę można wyrazić w sposób dorozumiany, pod warunkiem że dane zachowanie ewidentnie wskazuje na intencję wyrażenia zgody, mimo iż nie będzie zawierało żadnego pisemnego czy ustnego oświadczenia. Jako przykład można wskazać wręczenie wizytówki albo wrzucenie jej do pojemnika, w którym losuje się nagrody (np. podczas konferencji branżowej). Przekazanie wizytówki jest jednoznaczne z udzieleniem zgody na przetwarzanie danych na niej zawartych w celach kontaktu biznesowego. Nie należy jednak rozumieć takiego zachowania jako zgody na dodanie do ogólnej bazy marketingowej i np. przesyłanie tej osobie masowo SMS-ów.
 

Zgoda musi być jednoznaczna. Nie można domniemywać zgody z innego zachowania, np. akceptacji regulaminu lub zapisu na webinar.


Zgody pozyskane przed 25 maja 2018 r.

RODO nie wprowadza ogólnej reguły, że po dniu 25 maja 2018 r. trzeba „odświeżyć” wszystkie swoje dotychczasowe zgody. Nie nakazuje też wysłania w tym dniu jakiegoś masowego e-mailingu/wysyłki wiadomości informacyjnych do wszystkich baz marketingowych.

Zgody pozyskane wcześniej będą zachowywały ważność, jeżeli odpowiadają warunkom RODO, tzn. zostały wyrażone w sposób dobrowolny, konkretny, świadomy i jednoznaczny. Jeśli któregoś z tych elementów zabrakło (np. pozyskano adresy do bazy e-mail wskutek bardzo krótkiego komunikatu Chcesz pobrać e-book? Podaj e-mail, co nie spełnia przesłanki świadomości, konkretności ani jednoznaczności, zgoda będzie nieważna w świetle RODO.

Obowiązkiem wypływającym z RODO jest jednak udowodnienie, że posiada się stosowne zgody od osób, które znajdują się w bazie klientów. Jeśli się nie zadbało o takie „dowody rzeczowe” wcześniej, to, niestety, bazy stracą zupełnie wartość. Trzeba będzie pozyskać zgody na nowo.

Obowiązek informacyjny a zgoda

Grupa Robocza Art. 29 w swoich wytycznych dotyczących zgód wskazuje, że kompleksowe wypełnienie obowiązków informacyjnych wynikających z art. 13 i 14 RODO nie jest elementem koniecznym w procesie pozyskiwania zgody. Innymi słowy, nie trzeba przekazać wszystkich informacji wymienionych w art. 13 i 14 RODO, aby pozyskać skuteczną zgodę.

Jedynie niektóre informacje są niezbędne do tego, by zgoda została wyrażona w sposób świadomy. Podanie wszelkich wymaganych przez art. 13 i 14 RODO informacji jest natomiast odrębnym obowiązkiem administratora, który powinien być wypełniony w każdym przypadku rozpoczęcia przetwarzania danych (na podstawie umowy, obowiązku prawnego, uzasadnionego interesu czy zgody).

Wycofanie zgody

RODO nakłada nowy obowiązek dotyczący zgód pobieranych od użytkowników. Dawniej należał on do dobrych praktyk marketingu, obecnie zaś będzie wymogiem prawnym. Mowa o obowiązku zapewnienia, by zgodę można było tak samo łatwo wycofać, jak została udzielona.

Najłatwiej spełnić nowy obowiązek, jeśli umożliwi się użytkownikom wycofanie zgody tym samym kanałem komunikacji, w którym nastąpiła zgoda. Przykładowo, jeśli odbierało się zgodę telefonicznie, trzeba podać na stronie www numer telefonu, pod którym można odwołać zgodę. Jeśli pozyskało się zgodę na korespondencję e-mailową, należy podać na dole każdej wiadomości link dezaktywujący. Trzeba zadbać o to, by link do wypisania się z listy był wyraźny.

O prawie do wycofania zgody należy poinformować użytkownika już w momencie odbierania jego zgody. Może to być zwykłe zdanie typu:

Pamiętaj, że zawsze możesz odwołać swoją zgodę, klikając tutaj.
 

Zgoda musi być łatwa do wycofania. Link dezaktywujący, który przedtem był dobrą praktyką, teraz staje się obowiązkiem.


Podsumowanie

Przeprowadzając audyt legalności pozyskanych wcześniej zgód z RODO, należy upewnić się, czy:

  • analizowane czynności przetwarzania wymagają zgody, czy może można ich dokonywać na podstawie innych przesłanek,
  • zgody są dobrowolne,
  • zgody są konkretne (udzielone konkretnemu administratorowi, w konkretnym celu, dotyczą konkretnych danych),
  • zgody są świadome (a nie ukryte w regulaminie; nie „wyłudzone” hasłami typu „pobierz e-book” bez udzielenia informacji towarzyszącej, iż pobranie e-booka wiąże się z dopisaniem na listę e-mailingową),
  • zgody są jednoznaczne (nie można danemu zachowaniu przypisać innego znaczenia),
  • zapewnia się możliwość odwołania zgody (np. wypisania się z bazy e-mailingowej) w sposób tak samo prosty jak jej udzielenie,
  • wykorzystuje się dane osobowe na ten cel, na który użytkownicy udzielili zgody (nie zmienia się, ani nie rozszerza celu).

 

[1]  Dostępne pod adresem: //ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611232 . Do dnia 23 stycznia 2018 r. podlegają konsultacjom społecznym. Potem powinien ukazać się ich ostateczny tekst.