Poradnik Przedsiębiorcy

Zgody na przetwarzanie danych osobowych - wymóg zbierania oświadczeń

Za dane osobowe uważa się wszelkie informacje umożliwiające zidentyfikowanie osoby. Każdy, kto ma zamiar zbierać dane musi wiedzieć o konieczności zbierania również zgody na przetwarzanie danych osobowych. Musi pamiętać o kilku istotnych sprawach. Decyzja o zgodzie na przetwarzanie danych osobowych musi być dobrowolna, konkretna, świadoma i jednoznaczna.

Zgody na przetwarzanie danych osobowych

Zgodnie z art. 7 pkt 5 ustawy o ochronie danych osobowych, przez zgodę osoby, której dane dotyczą, rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści,  może być też odwołana w każdym czasie.

Z treści zgody na przetwarzanie danych osobowych powinno więc w sposób niebudzący wątpliwości wynikać, w jakim celu, zakresie i przez kogo dane osobowe będą przetwarzane. Wyrażający zgodę musi mieć pełną świadomość tego, na co się godzi. Zgodnie z wyrokiem Naczelnego Sądu Administracyjnego z dnia 4 kwietnia 2003 r. (sygn. akt II SA 2135/2002), zgoda na przekazywanie danych musi mieć charakter wyraźny, a wszystkie  jej aspekty muszą być jasne dla podpisującego w momencie jej wyrażania. Nieważności takiej czynności nie uchyla późniejsze poinformowanie o treści regulaminu ani możliwość zgłoszenia zastrzeżeń wobec pewnych form przetwarzania danych. Ponadto w wyroku z 11 kwietnia 2003 r. (sygn. akt II SA 3942/2004), Naczelny Sąd Administracyjny stwierdził, że zgoda nie może mieć charakteru abstrakcyjnego, lecz winna odnosić się do skonkretyzowanego stanu faktycznego, obejmując tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania. Zatem zgody na przetwarzanie danych osobowych nie mogą być udzielane w całości, muszą obejmować tylko określone dane, konkretny sposób przetwarzania i cel oraz podmiot, który te dane będzie przetwarzał.

Należy zagwarantować opcjonalność zgody

Wielu przedsiębiorców wychodzi z założenia, że wystarczające będzie zawarcie w jednej zgodzie wszystkich interesujących go kwestii. Bardzo często więc przedsiębiorcy tak tworzą tekst zgody, aby druga strona podpisując lub klikając przycisk “Wyrażam zgodę” akceptowała wszystkie jej cele, na które składają się nie tylko “klasyczna” zgoda na przetwarzanie danych osobowych (czyli oświadczenia jako zgody na przetwarzanie danych dla celów partycypowania w danej czynności, np. udział w konkursie), ale także zgody na przetwarzanie danych osobowych w celach marketingowych czy zgoda na przesyłanie informacji handlowych drogą elektroniczną. Taka praktyka jest niezgodna z prawem, ponieważ osoba wyrażająca zgodę musi mieć zagwarantowaną opcjonalność , a więc możliwość wyrażenia bądź niewyrażenia zgody na któryś z wymienionych celów. Wszystkie trzy wyrazy zgody powinny być odrębne.

Potwierdził to Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 27 kwietnia 2011 r. (II SA/Wa 269/11), orzekając, iż umieszczenie zgody na dwa w istocie różne sposoby przetwarzania udzielonych danych osobowych w jednym zdaniu, bez ich rozdzielenia i wskazania, czego ta zgoda dotyczy, w niewątpliwy sposób powoduje, iż osoba wyrażająca zgodę nie wie dokładnie, na co wyraża taką zgodę. Sformułowanie oświadczenia może bowiem sugerować, że chodzi jedynie o przetwarzanie danych osobowych w celach przesyłania informacji handlowych drogą elektroniczną albo, że chodzi o przetwarzanie danych osobowych w celu przesyłania informacji handlowych drogą zwykłą, albo, że chodzi o przetwarzanie danych osobowych w celu przesyłania informacji handlowych drogą elektroniczną i przetwarzanie danych osobowych w celu przesyłania informacji handlowych drogą zwykłą.

Zgoda nie może być domniemana

Zgody na przetwarzanie danych osobowych nie można domniemywać z oświadczenia woli innej treści. Przykładowo, jeśli klient zgadza się skorzystać z danej usługi, testując ją, z tego oświadczenia nie można wnioskować, że została wyrażona przez niego również zgoda na przetwarzanie danych osobowych (oczywiście nie wyklucza to możliwości legalnego przetwarzania danych osobowych, jeśli została spełniona któraś przesłanka wyrażona w art. 23 ustawy o ochronie danych osobowych).

Zgoda na przetwarzanie danych osobowych nie może być uzależniona od dokonania konkretnej czynności

Nie można wymusić na drugiej stronie wyrażenia zgody poprzez uzależnienie jej np. od możliwości skorzystania z usługi, za którą użytkownik i tak płaci.

Przykładowo, warunkiem zakupu e-booka na stronie księgarni internetowej miałaby być zgoda na przetwarzanie danych osobowych w celach marketingowych. Sprzedawcy lub świadczeniodawcy usług niestety bardzo często sporządzają kwestionariusze czy formularze, które zawierają w swojej treści klauzulę zgody na przetwarzanie danych osobowych. Takie klauzule nie tylko obejmują zgodę na przetwarzanie danych w celu wykonania zawieranej umowy, a dodatkowo zgodę na wykonywanie innych operacji na danych osobowych np. ich przekazywanie innym podmiotom, udostępnianie, przekazywanie za granicę lub wykorzystywanie w celach marketingowych. Jeżeli klient nie zgodzi się na wykorzystywanie jego danych osobowych w sposób określony przez firmę w treści klauzuli, to tym samym nie zgodzi się na ich wykorzystywanie w celu wykonania umowy. Tymczasem, zgodnie z ustawą o ochronie danych osobowych, na wykorzystywanie danych w celu zawarcia lub wykonania umowy zgoda w ogóle nie jest potrzebna, dlatego powyższe działanie jest niezgodne z prawem. Klauzula zgody na przetwarzanie danych osobowych powinna być więc wyodrębniona i klient powinien mieć możliwość niewyrażenia na nią zgody, co nie powinno skutkować niezrealizowaniem zamówienia.

Podobnie nie jest możliwe zamieszczanie takiej zgody jako punkt w regulaminie korzystania z danej usługi, przy czym możliwość skorzystania z usługi miałaby być uzależniona od akceptacji wszystkich postanowień regulaminu.

Nie można więc odsyłać do treści innych dokumentów, np. ogólnych warunków umów, prospektów, reklam czy regulaminów. Zgody na przetwarzanie danych osobowych muszą być widoczne, jasne i klarowne.

Problemu nie będzie, jeśli w zamian za wyrażenie zgody na przetwarzanie danych osobowych (np. w celach marketingowych), użytkownik otrzyma ekwiwalentne świadczenie (np. darmowy dostęp do usługi). W tym wypadku ma się do czynienia z dobrowolnością, ponieważ dane osobowe są tu swoistą “zapłatą” za korzystanie z konkretnej usługi. Jeśli nie chcemy, nie musimy z tego korzystać.