Dobrowolna, konkretna, jednoznaczna i świadoma
W jednym z ostatnio opublikowanych przeze mnie artykułów wskazałem, że dane osobowe przedsiębiorca może przetwarzać wyłącznie wtedy, gdy istnieje podstawa prawna przetwarzania tychże danych. Omawiając typowe podstawy prawne umożliwiające przetwarzanie danych osobowych konkretnemu podmiotowi wskazałem jako pierwszą zgodę osoby, której te dane osobowe dotyczą. Kwestia ta jednak, mimo, iż wydawać się może początkowo oczywista, wymaga krótkiego omówienia.
Zgodnie z przepisami RODO zgoda na przetwarzanie danych osobowych może zostać wyrażona przed jednostkę w dowolnej formie. Oznacza to, iż ustawodawca unijny wbrew powszechnemu mniemaniu nie zastrzegł rygoru formy pisemnej dla tego rodzaju zgody. Jednostka może więc wyrazić zgodę także ustnie, czy nawet w sposób dorozumiany (tzw. konkludentne oświadczenie woli). Zazwyczaj jednak w praktyce, spotkamy się z koniecznością wyrażenia zgody w formie pisemnej.
Uzyskiwanie zgody na przetwarzanie danych osobowych w taki sposób ma na celu ochronę administratora danych (a więc podmiotu posiadającego uprawnienie do decydowania o celach i sposobach przetwarzania danych osobowych w danej jednostce organizacyjnej). To bowiem właśnie na administratora danych osobowych RODO nałożyło ciężar wykazania, w razie wątpliwości, faktu wyrażenia zgody na przetwarzanie danych osobowych przed konkretną jednostkę, a więc faktu posiadania podstawy prawnej do przetwarzania jej danych. W obliczu ww. obowiązku, decyzja o tym, jaki konkretnie sposób zbierania i archiwizowania zgód zastosować, powinna być niezwykle przemyślana
i świadoma. Należy postępować tak, by mimo rzetelnego wywiązywania się z niego, nie narazić się na problemy związane z udowodnieniem realizacji tego obowiązku w sposób prawidłowy.
Niezależnie jednak od tego w jakiej formie zgoda na przetwarzanie danych osobowych zostanie wyrażona, musi ona zawsze (i zaznaczam, że dotyczy to każdej zgody, a więc także zgód wyrażanych w sposób dorozumiany) charakteryzować się następującymi cechami:
- musi być dobrowolna – co oznacza, że zgoda jest ważna tylko jeżeli osoba, której dane osobowe dotyczą, ma możliwość dokonania rzeczywistego wyboru co do udzielenia bądź odmowy wyrażenia zgody, przy czym nie może zachodzić ryzyko wprowadzenia w błąd, zastraszenia, przymusu lub znaczących negatywnych konsekwencji, w przypadku odmowy wyrażenia przez nią zgody. Jeżeli więc konsekwencje wyrażenia zgody nie dają się pogodzić ze swobodą wyboru, zgoda nie jest dobrowolna.
- musi być konkretna – oznacza to, że aby zgoda na przetwarzanie danych osobowych była ważna, musi być konkretna. Innymi słowy, niedopuszczalna jest ogólna zgoda bez określenia dokładnego celu przetwarzania przekazywanych przez jednostkę danych przedsiębiorcy.
- musi być jednoznaczna – zgoda musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne i w pełni zrozumiałe dla każdej jednostki, której dane mają być przetwarzane w momencie jej wyrażania.
- musi być świadoma – zgoda na przetwarzanie danych osobowych nie może mieć charakteru abstrakcyjnego. Zawsze musi ona odnosić się do skonkretyzowanego stanu faktycznego, a w ten sposób obejmować tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania.
Wszystkie w/w cechy muszą w stosunku do każdej wyrażanej zgody występować łącznie. Oznacza to, że brak jakiejkolwiek z nich skutkuje nieważnością wyrażonej przez danych podmiot zgody, a zatem niemożliwością przetwarzania danych przez przedsiębiorcę, który to w takiej sytuacji nie posiada wymaganej do tego podstawy prawnej.