Zgoda na przetwarzanie danych osobowych stanowi istotny aspekt obowiązującej polityki prywatności w Polsce. Bez zgody osoby, której dane dotyczą, działania związane z gromadzeniem, przechowywaniem lub wykorzystywaniem jej danych mogą stanowić naruszenie prawa. W tym artykule omówimy dokładnie, czym jest zgoda na przetwarzanie danych osobowych, kiedy jest ona potrzebna, jak ją prawidłowo archiwizować i jakie błędy najczęściej popełniane są przy jej zbieraniu.
Zgoda na przetwarzanie danych osobowych – definicja
Zgoda na przetwarzanie danych osobowych to swobodne, świadome i jednoznaczne okazanie woli, której jednostka wyraża, umożliwiając przetwarzanie swoich danych osobowych. Jest to jedno z sześciu przesłanek legalności przetwarzania danych, które wynikają z Rozporządzenia o Ochronie Danych Osobowych (RODO). Zgoda powinna być potwierdzona oświadczeniem lub czynnością jednoznacznie wskazującą na zgodę na przetwarzanie danych osobowych.
Kiedy potrzebna jest zgoda na przetwarzanie danych osobowych?
Zasady RODO określają, że zgoda na przetwarzanie danych osobowych jest wymagana, gdy nie występują inne przesłanki umożliwiające przetwarzanie danych, takie jak konieczność przetwarzania danych do wykonania umowy, spełnienie obowiązku prawnego ciążącego na administratorze, ochrona żywotnych interesów osoby, której dane dotyczą, wykonywanie zadań realizowanych w interesie publicznym, ochrona prawnie uzasadnionych interesów realizowanych przez administratora.
Jak powinna wyglądać zgoda na przetwarzanie danych osobowych?
Zgoda na przetwarzanie danych powinna zawierać kilka kluczowych elementów, aby była zgodna z przepisami RODO. Po pierwsze, powinna być zgoda wydzielona od innych oświadczeń – nie może być „ukryta” wśród innych informacji lub warunków. Po drugie, musi być wyraźnie stwierdzone, kto jest administratorem danych. Po trzecie, powinna zawierać informacje na temat celu przetwarzania danych. Po czwarte, zgoda powinna być dobrowolna i możliwa do wycofania w dowolnym momencie. Po piąte, powinna być zawarta informacja o prawach osoby, której dane dotyczą.
Cechą charakteryzującą zgodę na przetwarzanie danych osobowych musi być jej dobrowolność. Oznacza to, że osoba, której dane dotyczą, nie może być poddawana żadnej formie nacisku czy manipulacji, skłaniających do wyrażenia zgody. Istotne znaczenie ma również możliwość wycofania zgody w dowolnym momencie.
Przetwarzanie danych osobowych bez zgody
Są sytuacje, kiedy przetwarzanie danych osobowych jest możliwe bez zgody. Jest to przewidziane w przypadkach określonych w RODO, takich jak realizacja obowiązków prawnych administratora, ochrona żywotnych interesów osoby, której dane dotyczą, lub też interes publiczny. Najlepszym przykładem może być przetwarzanie danych w celu zapewnienia bezpieczeństwa publicznego, prewencji i wykrywania przestępstw.
Co zrobić, gdy zgoda na przetwarzanie danych osobowych zostanie wycofana?
Gdy zgoda na przetwarzanie danych osobowych zostanie wycofana, administrator danych musi niezwłocznie zaprzestać przetwarzania danych na podstawie tej zgody. Warto jednak pamiętać, że wycofanie zgody nie wpływa na legalność przetwarzania, które było prowadzone na podstawie zgody przed jej wycofaniem.
Jak prawidłowo archiwizować zgodę na przetwarzanie danych osobowych?
Ważnym elementem procesu zbierania zgod na przetwarzanie danych jest ich prawidłowa archiwizacja. Trzeba pamiętać, że w przypadku kontroli GIODO czy w sytuacji roszczeń ze strony klienta, to administrator musi wykazać, że uzyskał zgodę na przetwarzanie danych. Najlepszym rozwiązaniem jest digitalizacja zgód i przechowywanie ich w bezpiecznym, chronionym miejscu.
Podstawowe prawa w zakresie przetwarzania danych osobowych
Prawo do bycia poinformowanym stanowi jedno z podstawowych praw w zakresie ochrony danych osobowych. Oznacza to, że osoba, która wyraża zgodę na przetwarzanie danych, powinna zostać poinformowana o tym, jakie są jej prawa, jakie dane są gromadzone, kto jest administratorem, do kogo mogą być przekazywane dane, jak długo będą przechowywane, czy też jakie są cele przetwarzania.
Prawo dostępu do danych polega na udostępnieniu osobie, której dane dotyczą, informacji o przetwarzanych danych, w tym o celu przetwarzania, kategoriach przetwarzanych danych, odbiorcach danych, okresie przechowywania danych, źródle pozyskania danych, oraz o prawach przysługujących osobie, której dane dotyczą.
Prawo do sprostowania danych daje możliwość żądania od administratora niezwłocznego sprostowania nieprawidłowych danych osobowych. Gdy dane są niekompletne, osoba, której dane dotyczą, ma prawo żądania ich uzupełnienia.
Prawo do usunięcia danych, zwane też „prawem do bycia zapomnianym”, polega na możliwości żądania usunięcia swoich danych osobowych przez osobę, której dane dotyczą. Administrator jest zobowiązany do niezwłocznego usunięcia danych, jeśli wystąpią określone przesłanki, na przykład, gdy dane nie są już niezbędne do celów, w których zostały zebrane.
Prawo do ograniczenia przetwarzania daje osobie, której dane dotyczą, możliwość żądania ograniczenia przetwarzania danych osobowych, np. na okres sprawdzenia prawidłowości danych lub zgłoszenia sprzeciwu wobec przetwarzania. Zawieszenie operacji na danych, zabezpieczenie danych lub ograniczenie ich dostępności to przykłady działań, które administrator powinien podjąć na żądanie osoby, której dane dotyczą.
Najczęstsze błędy przy zbieraniu zgód na przetwarzanie danych osobowych
Najczęstszymi błędami przy zbieraniu zgód na przetwarzanie danych osobowych są: zbieranie zgód „na zapas”, zbieranie zgód, gdzie nie są one potrzebne, łączenie zgody z innymi oświadczeniami (np. regulaminem), niewłaściwa formuła zgody (np. zgoda domyślna), brak informacji o możliwości wycofania zgody, niewłaściwa archiwizacja zgód.
Wzorowa zgoda na przetwarzanie danych osobowych – co powinna zawierać?
Zgodnie z wymaganiami RODO, wzorowa zgoda na przetwarzanie danych osobowych powinna zawierać: pełne informacje o administratorze danych, cel przetwarzania danych, informacje o prawach osoby, której dane dotyczą, zwłaszcza o prawie do wycofania zgody, informacje o dobrowolności wyrażenia zgody. Ważne jest również, aby zgoda była wyraźnie wyodrębniona od innych oświadczeń lub warunków, oraz aby była zrozumiała i łatwa do zidentyfikowania. Ostatni element to wyraźne potwierdzenie zgody – oświadczenie lub czynność jednoznacznie wskazująca na zgodę na przetwarzanie danych osobowych.