Jak sprawić, aby zgoda była dobrowolna?

14 maja 2018 |

W świadomości wielu administratorów danych osobowych oraz podmiotów przetwarzających ugruntowało się przekonanie, że zgoda jest jedyną podstawą pozwalającą na posiadanie i korzystanie z zebranych danych. Nic bardziej mylnego! Zgoda nie jest jedyną przesłanką legalizującą przetwarzanie danych osobowych. Może nią być na przykład przepis prawa czy umowa wiążąca strony. Zdarzają się jednakże sytuacje, w których faktycznie jedyną możliwością przetwarzania danych jest pozyskanie zgody. Jeżeli zatem administratorzy są „skazani” na zgodę, to powinni oni  dostosować swoje działania w taki sposób, aby mogli wykazać, iż przy ich pozyskiwaniu spełnili warunki decydujące o ich ważności na gruncie RODO. Bo choć jest to najbardziej powszechnie wykorzystywana forma pozyskania danych, to jest ona równocześnie najbardziej „krucha” (z uwagi na możliwość jej wycofania) oraz „wymagająca” (z uwagi na konieczność spełnienia szeregu warunków determinujących jej ważność). Dziś zatem poświęcimy kilka słów jednej z przesłanek legalnej zgody – dobrowolności.

 

 

Kiedy zgoda jest dobrowolna?

 

Dobrowolność oznacza zagwarantowanie rzeczywistej możliwości dokonania wyboru, czy dana osoba wyraża wolę aby konkretny podmiot przetwarzał jej dane w konkretnym celu. RODO wskazuje, że brak dobrowolności ma miejsce wówczas, gdy osoba, której dane dotyczą, nie ma rzeczywistego wyboru, czuje się zmuszona do wyrażenia zgody lub poniesie negatywne konsekwencje, jeżeli nie wyrazi zgody. Brak dobrowolności zachodzi w szczególności wówczas, gdy osoba nie uzyskuje interesującej jej usługi czy informacji, jeżeli nie zaakceptuje narzuconych przez administratora klauzul zgód na cele które nie mają związku ze świadczoną usługą lub dostępem do pożądanej informacji. W związku z tym zgoda nie będzie uznana za dobrowolną, jeżeli osoba nie ma możliwości odmówienia lub wycofania swojej zgody bez niekorzystnych konsekwencji.

 

Skoro stosuję klauzulę, to dlaczego ważność zgody może być podważona?

 

Jest to jedno z najczęściej stawianych pytań przez administratorów, których pozyskane zgody zostały podważone po dokonaniu analizy stosowanych klauzul. Ku ich błędnemu przekonaniu, sam fakt zastosowania klauzuli zgody nie jest tożsamy ze spełnieniem warunku dobrowolności. Co więcej, brak dobrowolności zgody bardzo często wynika już z treści samej klauzuli, a jeszcze częściej z warunków jej wyrażenia które można „wyczytać” analizując konstrukcję sformułowanego formularza. Poniżej przedstawiamy najczęściej popełnianie błędy, które przekreślają dobrowolność zgody.

 

Łączenie celów

 

Częstą praktyką jest łącznie celów przetwarzania danych. Powszechnie spotykaną konstrukcją jest stosowanie klauzuli „nieograniczonego celu”, tj. zbieranie zgód w celu przetwarzania danych na potrzeby prowadzonej działalności gospodarczej, w szczególności w celu x, y, z. Takie działanie z całą pewnością nie pozwala ocenić, czy zgoda została wyrażona dobrowolnie. W przypadku przedstawiania gotowej „formułki” osoba zainteresowana wyłącznie celem x jest bowiem zmuszona zaakceptować także cel y i z, a także w zasadzie brzmiący dosyć enigmatycznie cel prowadzonej działalności gospodarczej. Tak skonstruowana klauzula narusza nie tylko wymóg dobrowolności RODO, ale także wymóg jednoznaczności zgody, który opiszemy w następnym artykule na Blogu.

 

Uzależnianie przedstawienia oferty od udzielenia zgody

 

Błędem jest także uzależnienie przedstawienia oferty od udzielenia zgody na cele, które nie są związane z konkretną ofertą. W pierwszej kolejności należy przede wszystkim wskazać, iż do przedstawienia konkretnej oferty, o którą zwraca się zainteresowany, nie jest potrzebna jakakolwiek zgoda – podstawą prawną przetwarzania danych jest wówczas art. 6 ust. 1 lit. b RODO będący przesłanką przetwarzania danych w celu podjęcia działań przed zawarciem umowy. Przepis ten jednakże limituje możliwość przetwarzania danych zainteresowanego ofertą – administrator jest uprawniony do korzystania z danych wyłącznie do czasu wykazywania przez zainteresowanego inicjatywy zawarcia umowy. W takich sytuacjach pojawia się pokusa przedłożenia formularza zawierającego klauzulę upoważniającą do przetwarzania danych w celach przyszłych ofert, informując równocześnie, iż złożenie pod nią podpisu jest konieczne w celu otrzymania tej konkretnej oferty w związku z którą zainteresowany skontaktował się z własnej inicjatywy z administratorem bądź nie udzielając żadnej informacji w tym zakresie pozwalając myśleć takiej osobie, iż musi ona udzielić takową zgodę. Takie działanie to istne pogwałcenie dobrowolności!

 

Uzależnienie wykonania umowy od zgody

 

RODO wyraźnie wskazuje, że uzależnienie wykonania umowy od podania dodatkowych danych w innych celach w zasadzie przekreśla legalność zgody. Jak wynika bowiem z art. 7 ust. 4 RODO „oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy”. Oczywiście pozyskanie zgód na wykorzystywanie danych w innych celach niż realizacja umowy  nie jest automatycznie wykluczone. Jakkolwiek strona umowy powinna być wyraźnie poinformowana, że nie jest zobowiązana do podawania szerszego zakresu danych niż ten, który jest niezbędny do realizacji umowy a udzielenie zgód w innych celach jest dobrowolne i że nie mają one żadnego wpływu na realizację umowy.

 

Brak checkboxów

 

Powszechnym zjawiskiem jest umieszczenie kilku klauzul bez opatrzenia każdej z osobna polami wyboru (powszechnie zwanych checkboxami), pozostawiając jedynie możliwość złożenia pod nimi podpisu. Działanie takie z całą pewnością nie pozwala stwierdzić, iż zgoda spełnia warunek dobrowolności – nie można w takim przypadku ustalić bowiem, czy osoba dokonała rzeczywistego wyboru.

 

Automatyczne zaznaczenie checkboxów

 

Praktyka automatycznego zaznaczenia checkboxów jest dosyć powszechna, co nie oznacza, że zgodna z prawem. Wręcz przeciwnie – z uwagi na koniczność zapewnienia możliwości wyboru, rozwiązania takie powinny zostać wyeliminowane, w przeciwnym razie administrator narażać się będzie na zarzut nielegalnej bazy danych.

 

 

Administratorzy powinni zatem położyć duży nacisk na dwa aspekty: świadomość i transparentność. Świadomość przepisów wobec siebie, a transparentność – wobec osób fizycznych, których danymi chcą się posługiwać.

 

 

 

Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa  oraz ma charakter wyłącznie  informacyjny. Stanowi  wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.

 


Skontaktuj się z doradcą

Porozmawiajmy

Ta strona wykorzystuje pliki cookies. Poprzez kliknięcie przycisku „Akceptuj", bądź „X", wyrażasz zgodę na wykorzystywanie przez nas plików cookies. Więcej o możliwościach zmiany ich ustawień, w tym ich wyłączenia, przeczytasz w naszej Polityce prywatności.
AKCEPTUJ