Jak wykazać prawidłowość zbierania zgód

Kolejnym obowiązkiem, który ciąży na administratorze danych, jest obowiązek prawidłowego zbierania zgód na przetwarzanie danych osobowych w sytuacjach, gdy przetwarzanie odbywa się na podstawie zgody. Przepisy RODO szczegółowo precyzują, jak powinien wyglądać proces zbierania zgód na przetwarzanie danych osobowych.

Zgodnie z art. 7 ust. 2 RODO jeżeli osoba, której dane doty­czą, wyraża zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Natomiast w motywie 32 RODO doprecyzowano, że zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytua­cji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Ponadto wskazano, że wyrażenie zgody może polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Jednocześnie w powołanym motywie RODO wskazano, że milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny oznaczać zgody.
 

Ważne!

Administrator danych powinien bardzo dokładnie przygotować proces zbierania zgód na przetwarzanie danych. Przede wszystkim należy określić wszystkie cele, w jakich dane osobowe będą przetwarzane na podstawie zgody.

Należy również zadbać o to, żeby przygotować odpowiednie klauzule informacyjne spełniające wszystkie wymogi przepisów RODO, w szczególności należy pamiętać, żeby formułować klauzule zgody jasnym, prostym językiem, jeśli to możliwe dostosowanym do osób, od których będą zbierane zgody. Przykładowo, jeśli administrator danych wie, że będą to osoby młode, bo do nich kieruje swoją usługę, może pozwolić sobie na nieformalny język. Jeśli natomiast usługa kierowana jest do osób w różnym wieku, zapytania o zgodę powinny być sformułowane bardziej oficjalnym językiem, ale ciągle w miarę prostym. Nie ma potrzeby używania prawniczego języka, a czasem może to być wręcz zbędne.

Osoba, która będzie wyrażała zgodę na przetwarzanie jej danych osobowych w określonych celach, musi mieć świadomość, na co się zgadza, na jaki konkretny sposób przetwarzania danych wyraża zgodę. W motywie 32 RODO wprost wskazano, że jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.


Dodatkowo w motywie 42 RODO przyjęto, że administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania. W szczególności w przypadku pisemnego oświadczenia składanego w innej sprawie powinny istnieć gwarancje, że osoba, której dane dotyczą, jest świadoma wyrażenia zgody oraz jej zakresu. Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych.
 

Ważne!

Przygotowując formularze papierowe czy też elektroniczne, w których administrator danych będzie pytać o zgodę na przetwarzanie danych osobowych, należy zadbać przede wszystkim o to, żeby klauzule zgody były odpowiednio wyeksponowane, tak aby osoba, która będzie zaznaczała „okienko” czy to w formularzu papierowym, czy też na stronie internetowej, wiedziała, że przez swoje działanie wyraża zgodę na określony sposób przetwarzania danych osobowych.

Dodatkowo należy zadbać, aby w klauzuli zgody (lub w jej treści) pojawiły się też inne informacje wymagane przepisami RODO, w szczególności tożsamość administratora danych, cel przetwarzania danych, a także informacja o tym, iż osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę, a wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, powinna otrzymać te informacje, zanim wyrazi zgodę, dlatego odpowiednie sformułowanie klauzuli zgody jest tak ważne.

 

Wskazówka!

W trakcie kontroli Urząd Ochrony Danych Osobowych będzie weryfikował przede wszystkim prawidłowość pozyskanych zgód na przetwarzanie danych osobowych. Stąd tak istotne jest, żeby zadbać o prawidłową treść klauzul zgód, zgodnie z powyższymi wytycznymi oraz pamiętać, że jeżeli przetwarzanie służy różnym
celom, potrzebna jest zgoda na wszystkie te cele.

Proces wyrażania zgody należy tak zaprojektować, aby klauzule zgody i związane z nimi informacje wyświetlały się w taki sposób osobom, których dane dotyczą, aby umożliwić im zapoznanie się z nimi przed wyrażeniem zgody.

Co więcej, wycofanie zgody musi być równie łatwe, jak jej wyrażenie, a zatem również w tym zakresie należy tak zaprojektować sposób pozyskania zgód, zwłaszcza jeśli administrator danych korzysta w tym celu z systemu lub narzędzi informatycznych, aby osoba, której dane dotyczą, mogła w taki sam sposób wycofać zgodę, w jaki tę zgodę wyraziła, np. wysyłając maila.

Niezależnie do tego, czy zgody na przetwarzanie danych zbierane są w formie papierowej, czy też elektronicznej, należy tak przygotować proces ich zbierania oraz zastosować takie rozwiązania i narzędzia, które pozwolą administratorowi danych wykazać w momencie kontroli, że zebrał zgody w sposób zgodny z przepisami RODO, a w przypadku złożenia skargi w tym zakresie, że osoba skarżąca wyraziła zgodę na przetwarzanie danych osobowych w celu, w jakim przetwarzał je administrator danych.