Wiem, iż temat zgody jako podstawy legalności przetwarzania danych osobowych powielany jest nieustannie, ale nie wiem czemu administratorzy tak bardzo sobie ją upodobali. Wybór adekwatnej podstawy przetwarzania danych osobowych w danym celu jest jednym z ważniejszych elementów zgodności z RODO. Zgoda nie jest i w większości przypadkach nie będzie adekwatną podstawą legalności przetwarzania danych osobowych. Dlaczego, ponieważ konstrukcja zgody jako dobrowolnego oświadczenia woli wiąże się z licznymi późniejszymi konsekwencjami dla Administratora. Podstawowym warunkiem uzyskania legalnej zgody na gruncie RODO jest jej skuteczne wyrażenie. Zdefiniowano to w art. 7 i doprecyzowane w motywie 32 RODO. Zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna.
Dobrowolność zgody
Aby uzyskać dobrowolną zgodę, musi ona być wyrażona na zasadzie dobrowolności. Element „dobrowolności” oznacza rzeczywisty wybór osoby, której dane dotyczą. Każdy element niewłaściwego nacisku lub wpływu, który mógłby wpłynąć na wynik tego wyboru, powoduje nieważność zgody. Należy również zwrócić uwagę na zgodę jako podstawę przetwarzania danych w stosunkach, gdzie występuj nierówność stron. Taki stan występuje na przykład na linii pracownik-pracodawca. Pracownik może obawiać się, iż odmowa wyrażenia zgody może mieć poważne negatywne konsekwencje dla jego stosunku pracy. W związku z czym zgoda może stanowić podstawę przetwarzania tylko w kilku wyjątkowych okolicznościach wskazanych przez prawodawcę. Ponadto obowiązuje tak zwany „zakaz łączenia” lub „zakaz łączenia lub wiązania”. Tym samym wykonanie umowy nie może być uzależnione od wyrażenia zgody na przetwarzanie dalszych danych osobowych, które nie są potrzebne do wykonania tej umowy. Więcej o dobrowolności zgody pisaliśmy w naszym artykule: Dobrowolność zgody na gruncie RODO
Zgoda świadoma i konkretna
Aby zgoda była świadoma i konkretna, osobę, której dane dotyczą, należy poinformować o tożsamości administratora, jakie dane będą przetwarzane, w jaki sposób będą wykorzystywane oraz o celu operacji przetwarzania. Osoba, której dane dotyczą, należy poinformować o przysługującym jej prawie do wycofania zgody w dowolnym momencie. Wycofanie musi być tak proste, jak wyrażenie zgody. W stosownych przypadkach administrator musi również poinformować o wykorzystaniu danych do zautomatyzowanego podejmowania decyzji. Także o możliwym ryzyku związanym z przekazaniem danych w związku z brakiem decyzji stwierdzającej odpowiedni stopień ochrony lub innymi odpowiednimi zabezpieczeniami. Zgoda można związać z jednym lub kilkoma określonymi celami, które następnie należy odpowiednio uzasadnić. Jeżeli zgoda ma legitymizować przetwarzanie szczególnych kategorii danych osobowych, informacja dla osoby, której dane dotyczą, musi się do tego wyraźnie odnosić. Zawsze musi istnieć wyraźne rozróżnienie między informacjami potrzebnymi do wyrażenia świadomej zgody, a informacjami dotyczącymi innych kwestii umownych.
Jednoznaczność wyrażenia zgody
Wreszcie zgoda musi być jednoznaczna, co oznacza, iż wymaga oświadczenia lub wyraźnego aktu potwierdzającego. Zgoda nie może być dorozumiana i zawsze wyrażona w formie oświadczenia lub czynnego działania. Tak aby nie było nieporozumień, iż osoba, której dane dotyczą, wyraziła zgodę na określone przetwarzanie. Nie ma wymogu uzyskiwania zgody w formie pisemnej, choćby jeżeli zaleca się tą formę ze względu na odpowiedzialność administratora. Zgody można udzielić również jako czynność np. przez przesunięcie suwaka. Szczególnym przypadkiem w tym zakresie jest zgoda dzieci i młodzieży w odniesieniu do usług społeczeństwa informacyjnego. W przypadku osób poniżej 16 roku życia wymaga się dodatkowej zgody lub upoważnienie osoby sprawującej władzę rodzicielską. Drugą szczególną sytuacją jest wyrażenie zgody na przetwarzanie szczególnych kategorii danych osobowych np. informacji o stanie zdrowia. Gdzie wprost wskazano konieczność uzyskania wyraźnej zgody osoby, której dane dotyczą.
Nie tylko zgoda
Jak widać zgoda nie jest złotym środkiem, jeżeli chodzi o przetwarzanie danych osobowych. Zwłaszcza biorąc pod uwagę, iż Europejski Organ Ochrony Danych (EROD) wyjaśnił, „że jeżeli administrator zdecyduje się polegać na zgodzie na jakąkolwiek część przetwarzania, musi być przygotowany na uszanowanie tego wyboru i zaprzestanie tej części przetwarzania, jeżeli dana osoba wycofa zgodę”. W ścisłej interpretacji oznacza to, iż administrator nie może zmienić podstawy prawnej ze zgody na prawnie uzasadniony interes, gdy osoba, której dane dotyczą, wycofa swoją zgodę. Ma to zastosowanie choćby wtedy, gdy początkowo istniał ten interes.
W związku z tym zgodę jako podstawę przetwarzania danych osobowych w danym celu, należy zawsze wybierać jako ostateczną opcję na przykład w sytuacji, gdy danego procesu przetwarzania danych osobowych nie można oprzeć na pozostałych 5 podstawach wskazanych w art. 6 ust. 1 RODO. Pozostałe to: umowa, zobowiązania prawne, żywotne interesy osoby, której dane dotyczą, interes publiczny oraz prawnie uzasadniony interes.