Zgoda ma być konkretna – czyli tak właściwie to jaka? 😉 Oczywista, określona, czytelna, definitywna, jasna, zrozumiała? Dziś drugi artykuł z cyklu – „W zgodzie z RODO”, a więc i druga przesłanka zgody wymagana przy odbieraniu od osób fizycznych, których dane przetwarzamy – konkretność.

Pojęcie konkretności ma wiele synonimów. Jednak jego znaczenie na tle Rozporządzenia Unijnego o ochronie danych osobowych sprowadza się de facto do celu, w jakim zbierane są dane osobowe od osoby fizycznej. Zgoda musi być bowiem wyrażona „w jednym lub większej ilości określonych”  celów, na co wskazuje art 6 ust 1 lit a RODO.

Czego konkretność zgody wymaga od Administratora?

Mylnie można sądzić, że przesłanka konkretności odnosi się do świadomości osoby fizycznej komu właściwie udziela zgody. Otóż nic bardziej mylnego 😉. W przesłance tej chodzi zupełnie o coś innego. Administrator jest zobowiązany zastosować trzy elementy, aby móc stwierdzić, że uzyskana przez niego zgoda jest konkretna:

1. Określić cel

2. Skonstruować szczegółowe zapytanie o zgodę

3. Wyraźne oddzielić informacje związane z uzyskaniem zgody na przetwarzanie danych od informacji dotyczących innych kwestii.

Bez obaw, już wyjaśniamy każdy z tych elementów 😉

(1) Określenie celu

Aby móc mówić o konkretnej decyzji osoby fizycznej, której dane dotyczą, zgodnie z art. 5 ust. 1 lit.  b RODO, uzyskanie zgody zawsze musi być poprzedzone ustaleniem konkretnego, wyraźnego oraz prawnie uzasadnionego celu przetwarzania danych osobowych a przetwarzanie tych danych musi być zgodne i niezbędne do realizacji tego celu.

Grupa Robocza Art. 29 w opinii 3/2013 w sprawie ograniczenia celu (WP203) wskazała, że „cel, który jest niejasny lub ogólny, jak na przykład ‚poprawienie doświadczenia użytkowników’, ‚cele marketingowe’, ‚cele bezpieczeństwa IT’ lub ‚przyszłe badania’, zazwyczaj nie będzie – bez dalszych szczegółów- spełniał kryteriów konkretności”.

Konkretność zgody w zestawieniu z zasadą ograniczenia celu (art. 5 ust 1 lit. b RODO) oznacza faktycznie zabezpieczenie dla osoby fizycznej chroniące przez rozszerzaniem lub rozmyciem celów przetwarzania, zarówno przed jak i po udzieleniu zgody. Osoba ta wie jaki jest cel, ocenia czy te dane są faktycznie niezbędne do jego realizacji – tym samym wyraża konkretną zgodę na te a nie inne operacje przetwarzania.

Administrator nie ma zatem innego wyjścia i musi on określić konkretny, , cel dla jakiego zbiera i przetwarza dane osobowe. Cel będzie wówczas konkretny, gdy zostanie on określony w możliwie precyzyjny sposób, który nie pozostawia cienia wątpliwości – mówiąc kolokwialnie – po co i jak dane będą przetwarzane. Zgoda nie może być tym samym blankietowa!

Zgoda powinna odnosić się do przetwarzania niezbędnego z punktu widzenia celu.  Oznacza to, że nie jest dopuszczalne przetwarzanie danych na podstawie zgody poza zakresem wskazanego celu ani przetwarzanie, które nie jest niezbędne do jego realizacji.

Nie można jednak zapominać o tym, że wymóg konkretności nie odnosi się wyłącznie do wskazania celu przetwarzania, ale dotyczy także innych jego aspektów – zwłaszcza zakresu danych zbieranych do jego realizacji.

(2) Szczegółowość zapytania

Oczywiście powyższe nie oznacza, że cel konkretny to cel jeden jedyny 😉. Możliwym jest zbieranie danych osobowych w różnych celach – jednak osoba fizyczna musi z osobna uzyskać informację o każdym celu z osobna. Tym samym administrator  prosząc o zgodę dla kilku celów, musi zapewnić odrębną możliwość wyrażenia zgody na każdy z nich (mechanizm opt-in). Wtedy tylko osoba fizyczna jest w stanie konkretnie wyrazić zgodę dla poszczególnych, konkretnych celów.

Jeżeli administrator przetwarza dane na podstawie zgody, jednak chciałby to robić także w nowym celu, niestety będzie to dla niego możliwe po uzyskaniu zgody od osoby fizycznej na ten nowy cel. Musi  się zatem zwrócić do osoby fizycznej z prośbą o wyrażenie zgody, ponieważ pierwotna zgoda nie stanowi podstawy legitymizującej do przetwarzania dla celów nie znanych osobie w momencie jej udzielenia. 

Dla przykładu – Dostawca portalu filmowego przedstawia swoim użytkownikom, w oparciu o wyrażoną przez nich zgodę, propozycje filmów które mogą im się spodobać, biorąc pod uwagę ich preferencje i aktywność na portalu. Chcąc jednak umożliwić swoim kontrahentom wyświetlanie na stronie reklamy ukierunkowanej i dopasowanej dla każdego z użytkowników w oparciu o ich upodobania filmowe- musi uzyskać od nich zgodę.

Cel jest inny, nowy, nieznany wcześniej w momencie zbierania, dlatego potrzebna jest nowa konkretna zgoda.

(3) Informowanie

Osoba fizyczna musi mieć świadomość, na temat skutków swoich działań, udzielanej zgody i operacji przetwarzania jej danych. Na administratorze ciąży zatem obowiązek przekazania konkretnych informacji na temat zbieranych danych z uwzględnieniem każdego z celów, aby umożliwić osobie fizycznej dokonania wyboru.

Z przesłanką konkretności, zwłaszcza w tym trzecim elemencie, łączy się nierozerwalnie przesłanka świadomości – o której przeczytacie już w jutrzejszym wpisie z cyklu ” W zgodzie z RODO” 😉

Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa  oraz ma charakter wyłącznie  informacyjny. Stanowi  wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.