Masz prawo przetwarzać dane osobowe w sytuacji, gdy osoba której dane przetwarzasz wyraziła na to zgodę. Nie oznacza to jednak, że zawsze zgoda na przetwarzanie danych osobowych jest potrzebna. Może to być dla Ciebie zaskoczeniem, ale zgoda jest (a przynajmniej powinna być) stosowania tylko w wyjątkowych sytuacjach.
Kiedy trzeba zbierać zgody na przetwarzanie danych osobowych?
RODO dokładnie określa, kiedy możesz przetwarzać dane osobowe. W przypadku danych ZWYKŁYCH jest 6 przesłanek do przetwarzania danych osobowych.
Wśród nich jest zgoda. Wydaje się, że najłatwiej jest przetwarzać dane w oparciu o zgodę i należałoby zbierać ją za każdym razem.
W rzeczywistości jest to błąd. Zgoda jest przesłaną wyjątkową i tak ją traktuj. Najbezpieczniej jest przyjąć zasadę, że zgody zbierasz wtedy, gdy nie masz innej podstawy do przetwarzania danych osobowych.
Wzór zgody na przetwarzanie danych osobowych – nie tędy droga
Jeśli potrzebny Ci wzór zgody na przetwarzanie danych osobowych, to… tu go nie znajdziesz.
Treść klauzuli zgody nie jest skomplikowana, ale po prostu powinna być pisana indywidualnie.
Nie dostaniesz zatem „gotowca”, bo tekst zgody musi być dostosowany do Twojej sytuacji.
Oprócz zawartości ważny jest też sposób, w jaki je zbierasz.
Jeśli zastosujesz się do poniższych wskazówek, to samodzielnie stworzysz prawidłową treść zgody na przetwarzanie danych osobowych i użyjesz jej zgodnie z zasadami.
Prawidłowa zgoda na przetwarzanie danych osobowych – jak to zrobić?
Jeśli chcesz prawidłowo zbierać zgody na przetwarzanie danych osobowych, to musisz wiedzieć, czym właściwie jest zgoda. RODO definiuje ją tak:
„zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
Kluczem do prawidłowego stosowania tej definicji jest jej zrozumienie.
Zgoda na przetwarzanie danych musi być wyrażona dobrowolnie
Dobrowolność oznacza, że osoba, która wyrażą zgodę nie jest do tego w żaden sposób zmuszona. Ma wolny wybór wyrażając ją i nie ponosi konsekwencji, jeśli ją odwołuje.
Zgoda nie będzie dobrowolna np. wtedy, gdy:
- uzależniasz wykonania umowy od wyrażenia zgody na przetwarzanie danych, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy, np. masz sklep internetowy z obuwiem i żądasz od swoich Klientów zgody na przetwarzanie ich daty urodzenia, bo inaczej nie będą mogli dokonać zakupu;
- jeśli ktoś nie wyrazi zgody, albo ją odwoła, to czekają go negatywne konsekwencje, np. pracownik wycofuje zgodę na wykorzystanie jego wizerunku w celach marketingowych i pracodawca daje mu naganę, albo pomija przy przyznawaniu premii;
- zawarcie w jednej klauzuli zgody na różne cele lub różne operacje na danych, przez co osoba nie ma możliwość zgodzenia się tylko na to, na co rzeczywiście chce, np. „Wyrażam zgodę na przetwarzanie moich danych osobowych w celu przesyłanie mi ofert handlowych przez spółkę X i spółkę Y oraz w celu….”
Od razu rozwieję Twoje obawy – zgoda na przetwarzanie danych do celu realizacji umowy w ogóle nie jest potrzebna. Ale o tym za chwilę.
Zgoda musi być konkretna
Zgoda jest konkretna, kiedy ma jasno określony cel przetwarzania. Jeśli zbierasz od kogoś zgodę, musisz ten cel określić w jej treści. DNie możesz przetwarzać danych do innych celów na podstawie tej zgody. Jeśli masz dodatkowe cele, musisz zebrać dodatkowe zgody (lub mieć inne podstawy prawne przetwarzania).
Prócz skonkretyzowanego celu zgoda musi dotyczyć zakresu przetwarzania (co będziesz robić z danymi) i zakresu danych (jakie dane będziesz przetwarzać).
Zgoda musi być wyrażona świadomie
Osoba, której dane dotyczą musi wiedzieć na co się godzi.
Aby była tego świadoma i miała kontrolę nad swoimi danych i ich przetwarzaniem, musisz dostarczyć jej informacji.
Europejskie wytyczne mówią, że w celu zapewnienia świadomości, trzeba informować osobę o tym:
- kim jesteś (kto jest administratorem danych) i jakie są Twoje dane kontaktowe,
- jaki jest cel przetwarzania (o tym już wspominaliśmy),
- jakie dane będziesz przetwarzać,
- że ma prawo do wycofania zgody,
- że jej dane podlegają zautomatyzowanemu przetwarzaniu (w tym profilowaniu),
- że jej dane będą przekazywane do państw trzecich, które nie zapewniają odpowiedniej ochrony i o zagrożeniach z tym związanych.
Jak dostarczyć tego typu informacje?
Większość z nich obowiązkowo znajdzie się w klauzulach służących spełnieniu obowiązku informacyjnego. Pozostałe możesz umieścić w klauzuli zgody.
Zgoda musi być wyrażona jednoznacznie
Jednoznaczna zgoda, to wyrażona w taki sposób, aby nie było żadnych wątpliwości, że:
- osoba godzi się na przetwarzanie danych, i
- wie dokładnie, na co się godzi.
Zgoda musi być aktywnym działaniem osoby. Jeśli zbierasz np. zgody przy formularzu na stronie, to check-box musi być domyślnie odznaczony. Zaznaczyć go musi osoba, która wyrażą zgodę!
Zgoda na przetwarzanie danych osobowych – podsumowanie
Jak widzisz, zgoda na przetwarzanie danych osobowych to nie tylko krótka klauzula, która załatwia sprawę. Trzeba włożyć trochę wysiłku, aby zrobić to zgodnie ze sztuką.
Jeśli chcesz zebrać wszystkie informacje dotyczące zgody, to skorzystaj z tej grafiki. Niech będzie dla Ciebie ściągą w stosowaniu tej przesłanki do przetwarzania danych osobowych.
Ekspert ochrony danych osobowych z 10 letnim doświadczeniem. Realizował projekty związane z ochroną danych osobowych dla takich marek jak eObuwie.pl, Shoper, KKS Lech Poznań, Carry, Akademickie Inkubatory Przedsiębiorczości. Członek Stowarzyszenia Inspektorów Ochrony Danych (SABI) i Stowarzyszenia Praktyków Ochrony Danych (SPOD). Absolwent Politechniki Poznańskiej. Informatyk, inżynier systemów zarządzania. Absolwent studiów podyplomowych z zakresu systemów zarządzania opartych o normy ISO (Politechnika Poznańska) oraz bezpieczeństwa danych w systemach komputerowych (Collegium DaVinci). Współtwórca autorskiej metody wdrażania RODO.