Zgoda na przetwarzanie danych osobowych - na czym polega?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Ochrona danych osobowych jest bardzo ważna. Świadczy o tym np. wprowadzenie tak ważnej regulacji prawnej, jakim jest RODO oraz polska ustawa o ochronie danych osobowych. W praktyce każdy, kogo dane mają być w jakikolwiek sposób wykorzystane, musi udzielić swojej zgody na przetwarzanie danych osobowych – ale czy na pewno tak jest we wszystkich sytuacjach?

 

Dane osobowe

Zgodnie z zapisami RODO przez dane osobowe powinniśmy rozumieć wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Z kolei przetwarzanie danych osobowych oznacza operację lub zestaw operacji wykonywanych na danych osobowych bądź zestawach danych osobowych w sposób zautomatyzowany albo niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Dane osobowe należą do tzw. danych poufnych, które powinny być chronione w sposób szczególny. Ich wykorzystywanie musi odbywać się wg ściśle oznaczonych zasad, od których przewiduje się nieliczne odstępstwa.

Zgoda na przetwarzanie danych osobowych

Każda osoba, której dane mają być przetworzone (tj. w jakikolwiek sposób wykorzystane przez zewnętrzny podmiot) powinna wyrazić na to stosowną zgodę. RODO definiuje, w jaki sposób musi się to odbyć. Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie tych danych i która ma np. formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, domyślnie zaznaczone okienka lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, musi być ono jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.

W momencie zbierania danych często nie da się w pełni zidentyfikować celu przetwarzania danych osobowych na potrzeby badań naukowych. Dlatego osoby, których dane dotyczą, powinny móc wyrazić zgodę na niektóre obszary badań, o ile badania te są zgodne z uznanymi normami etycznymi w zakresie badań naukowych. Osoby, których dane dotyczą, powinny móc wyrazić zgodę tylko na niektóre obszary badań lub elementy projektów badawczych, o ile umożliwia to zamierzony cel.

Kiedy potrzebna jest zgoda na przetwarzanie danych osobowych?

Wydawałoby się, że zgoda na przetwarzanie danych osobowych jest potrzebna w każdej sytuacji, gdy następuje przekazanie dostępu do tak ważnych informacji. W rzeczywistości taka zgoda musi być udzielona, gdy zajdzie co najmniej jedna z poniższych okoliczności:

  • osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

  • przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Nie trzeba zbierać zgody od klienta składającego zamówienie w sklepie internetowym. Przetwarzanie danych osobowych odbywa się w celu realizacji umowy sprzedaży, która została zawarta z klientem sklepu;

  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Taka sytuacja będzie miała miejsce np. podczas przetwarzania danych osobowych pracownika przez zakład pracy;

  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej (ochrona życia i zdrowia). Przykładem może być przetwarzanie danych podczas sytuacji kryzysowych, kataklizmów, katastrof;

  • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. Interesy te nie mogą jednak być nadrzędne wobec interesów lub podstawowych praw i wolności osoby, której dotyczą, w szczególności dziecka.

Każda inna sytuacja, która nie mieści się w powyższym katalogu, pozwala na ominięcie nakazu uzyskiwania zgody na przetwarzanie danych osobowych.

Pamiętajmy, że wymuszona lub uzyskana podstępem zgoda jest nieważna. Niestety do takich praktyk dochodzi bardzo często, co jest szczególnie widoczne w internecie, gdzie możliwość dostępu do informacji zawartych na danym portalu jest uzależniona od udzielenia pełnej zgody na wykorzystywanie danych osobowych konkretnego użytkownika. Takie sytuacje pojawiają się również w różnego rodzaju formularzach, np. o charakterze pożyczkowym lub kredytowym.

Ochrona danych osobowych

Osoba, która uważa, że jej dane zostały naruszone lub zebrane w wyniku zgody udzielonej pod przymusem, ew. za pomocą podstępu, może domagać się ich pełnej ochrony. Zgodnie z treścią art. 79 RODO bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego zgodnie z art. 77 RODO każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania jej danych osobowych z naruszeniem niniejszego rozporządzenia.

Postępowanie przeciwko administratorowi lub podmiotowi przetwarzającemu wszczyna się przed sądem państwa członkowskiego, w którym administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną. Ewentualnie postępowanie takie może zostać wszczęte przed sądem państwa członkowskiego, w którym osoba, której dane dotyczą, ma miejsce zwykłego pobytu, chyba że administrator lub podmiot przetwarzający są organami publicznymi państwa członkowskiego wykonującymi swoje uprawnienia publiczne.

W przypadku postępowania przeciwko administratorowi lub podmiotowi przetwarzającemu skarżący powinien mieć możliwość wybrania, do którego sądu chce wnieść skargę: do sądu w państwie członkowskim, w którym administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną czy do sądu w państwie członkowskim, w którym osoba, której dane dotyczą, ma miejsce zamieszkania, o ile administrator nie jest organem publicznym państwa członkowskiego działającym w ramach wykonywania swoich uprawnień publicznych.

Podsumowanie

Zgoda na przetwarzanie danych osobowych jest niezbędnym elementem do tego, aby obca osoba mogła korzystać z cudzych danych poufnych. Pamiętajmy jednak, że taka zgoda nie może być udzielona pod przymusem lub przy wykorzystaniu podstępu, ponieważ będzie ona wówczas nieważna. RODO dokładnie określa, w jakich sytuacjach należy wyrazić zgodę na przetwarzanie danych osobowych i w jakiej formie powinna ona się pojawić.

Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów