Na łamach „Prawdziwego oblicza RODO” dotarliśmy właśnie do tego miejsca, w którym czas przyjrzeć się zagadnieniom związanym z podstawami prawnymi przetwarzania. W związku z tym wyjaśnię najpierw Państwu, jakie rodzaje danych można wyróżnić na gruncie RODO i jak ma to się do podstaw ich przetwarzania, a także wezmę na tapet zgodę jako podstawę prawną przetwarzania. Zgodę, którą do dziś wielu administratorów odbiera od osób, których dane są przetwarzane, w obawie, że jej brak narazi ich na zarzut przetwarzania danych osobowych bez podstawy prawnej. Czy tak jest w istocie? Przekonajmy się.
Rodzaje danych i podstawy prawne
Wszelkie rozważania na temat podstaw prawnych pozwalających na przetwarzanie danych osobowych należy zacząć od wyjaśnienia, że na gruncie RODO można wyróżnić trzy rodzaje danych osobowych. Są to:
- dane zwykłe, których przetwarzanie odbywa się na podstawie 6 RODO – są to dane, które nie zaliczają się do żadnej z dwóch pozostałych kategorii i należą do nich między innymi: imię i nazwisko, numer PESEL, adres zamieszkania, numer telefonu, itp.;
- szczególne kategorie danych (dane szczególne), których przetwarzanie odbywa się na podstawie 9 RODO – jest to zamknięty katalog danych, do których zaliczają się dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby;
- dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa, których przetwarzanie odbywa się na podstawie 10 RODO.
Prawidłowe zakwalifikowanie określonych danych osobowych do jednej ze wskazanych wyżej kategorii jest zatem niezbędne w celu ustalenia, czy i jaka podstawa prawna ich przetwarzania istnieje w danej sytuacji. Niezmiernie istotne jest to w przypadku szczególnych kategorii danych oraz danych dotyczących wyroków skazujących, co do których istnieją dodatkowe obostrzenia i nieco inne reguły pozwalające na ich przetwarzanie.
Zgoda – zawsze i wszędzie czy nie?
Problem zgody jako podstawy prawnej przetwarzania danych osobowych ujawnił się w zasadzie już w dniu wejścia w życie omawianego rozporządzenia. Wielu administratorów pozostawało w przekonaniu, że jest to najważniejsza z podstaw przetwarzania i należy zawsze bezwzględnie o nią zabiegać. Czy słusznie?
Aby odpowiedzieć na to pytanie, spójrzmy najpierw na przepis art. 6 ust. 1 RODO[1], zgodnie z którym przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (…).
Już samo brzmienie omawianego przepisu wskazuje, że aby przetwarzanie danych osobowych było zgodne z prawem, wystarczające jest zaistnienie tylko jednej z powołanych w nim podstaw. W związku z tym, jeżeli administrator jest w stanie wykazać istnienie innej podstawy prawnej przetwarzania, to nie musi pozyskiwać zgody.
Przykład: Zgodnie z art. 221 § 1 Kodeksu pracy pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 1) imię (imiona) i nazwisko; 2) datę urodzenia; 3) dane kontaktowe wskazane przez taką osobę; 4) wykształcenie; 5) kwalifikacje zawodowe; 6) przebieg dotychczasowego zatrudnienia. Oznacza to, że przy zbieraniu tych danych pracodawca nie musi pytać o zgodę osoby ubiegającej się o zatrudnienie, ponieważ podstawą przetwarzania jest dla niego przepis prawa (art. 6 ust. 1 lit c RODO w zw. z art. 221 § 1 Kodeksu pracy).
Co więcej, w interpretacji art. 6 ust. 1 RODO pomaga motyw czterdziesty preambuły, w którym wskazano, że „aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem”, a także motyw czterdziesty trzeci, w którym wprost wyłączono możliwość stosowania zgody jako podstawy prawnej przetwarzania przez organy publiczne.
Warto też nadmienić, że Prezes Urzędu Ochrony Danych Osobowych niejednokrotnie otrzymywał skargi i wnioski o wszczęcie postępowania od osób niezadowolonych z faktu przetwarzania ich danych osobowych pomimo braku zgody. W decyzjach odmawiających uwzględnienia tych wniosków z uwagi na istnienie innej podstawy prawnej PUODO wyjaśniał, że każda z przesłanek legalizujących proces przetwarzania danych osobowych wskazanych w art. 6 ust. 1 RODO ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z RODO również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek, niezależnie od zgody osoby, której dane dotyczą[2]. Nadto w jednej z ostatnich aktualizacji PUODO odniósł się do kwestii zgody pracownika na przetwarzanie jego danych osobowych w dokumentacji pracowniczej. Wyjaśnił, że pracodawca będący administratorem danych zawartych w aktach osobowych jest związany art. 6 ust. 1 lit c RODO oraz przepisami rozporządzenia Ministra Rodziny Pracy i Polityki Społecznej z 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej, a nie wolą pracownika[3].
No dobrze, a czy mimo istnienia innej podstawy prawnej, warto dodatkowo zbierać zgodę na przetwarzanie danych osobowych, co do których ta inna podstawa istnieje czy też nie? Osobiście bym tego unikał, a wynika to z dwóch powodów. Po pierwsze, istnienie innej niż zgoda podstawy prawnej przetwarzania danych osobowych powoduje, że zbieranie zgody będzie pewną nadgorliwością ze strony administratora. Jej odebranie nie spowoduje, że podstawa prawna przetwarzania stanie się lepsza czy pewniejsza. Może natomiast skutkować podaniem osobie, której dane osobowe są przetwarzane nieprawidłowej informacji o podstawie prawnej przetwarzania, do czego później mógłby mieć zastrzeżenia Urząd Ochrony Danych Osobowych podczas ewentualnej kontroli czy podmiot wykonujący audyt. Po drugie, głębsza analiza zgody prowadzi do wniosku, że może być ona bardzo kłopotliwą podstawą przetwarzania.
Zgoda – bardziej problematyczna niż się wydaje
Zacznijmy na początek od definicji zgody. Zgodnie z art. 4 pkt 11 RODO „zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Przepis ten należy jednak interpretować z uwzględnieniem motywu trzydziestego drugiego, trzydziestego trzeciego, czterdziestego drugiego i czterdziestego trzeciego preambuły rozporządzenia oraz wespół z art. 7 RODO – warunki wyrażenia zgody. Dokonując łącznej analizy tych przepisów można przyjąć, że aby dana zgoda była zgodą wymaganą przez RODO, to oprócz wymogów z art. 4 pkt 11 należy mieć jeszcze na względzie, że:
- milczenie, domyślnie zaznaczone okienka lub brak działania nie mogą być traktowane jako zgoda (motyw trzydziesty drugi zdanie trzecie);
- zgoda powinna dotyczyć wszystkich czynności przetwarzania w tym samym celu lub w tych samych celach (motyw trzydziesty drugi zdanie czwarte);
- jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele (motyw trzydziesty drugi zdanie piąte);
- oświadczenie o wyrażeniu zgody powinno mieć zrozumiałą i łatwo dostępną formę, być sformułowane jasnym i prostym językiem i nie powinno zawierać nieuczciwych warunków (motyw czterdziesty drugi zdanie trzecie);
- aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych (motyw czterdziesty drugi zdanie czwarte);
- wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji (motyw czterdziesty drugi zdanie piąte);
- zgoda nie powinna stanowić ważnej podstawy przetwarzania w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem (motyw czterdziesty trzeci zdanie pierwsze);
- zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych (motyw czterdziesty trzeci zdanie drugie);
- zgody nie uważa się za dobrowolną, jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna (motyw czterdziesty trzeci zdanie drugie i art. 7 ust. 4 RODO);
- zapytanie o zgodę lub oświadczenie o jej wyrażeniu musi być wyraźnie wyodrębnione i odróżniać się od innych zagadnień, a część oświadczenia obejmującego zgodę, naruszająca ten lub inne przepisy rozporządzenia, nie jest wiążąca (art. 7 ust. 2 RODO);
- przed wyrażeniem zgody osoba, której dane dotyczą, musi być informowana o prawie jej wycofania w dowolnym momencie, a samo wycofanie musi być równie łatwe jak jej wyrażenie (art. 7 ust. 3 RODO).
Ponadto administrator musi być w stanie wykazać, że osoba, której dane dotyczą wyraziła zgodę na przetwarzanie danych osobowych (art. 7 ust. 1 RODO). Będzie na nim spoczywał również obowiązek wykazania, że odebrana zgoda spełnia opisane wyżej wymogi, a to z uwagi na omówioną w poprzednim artykule zasadę rozliczalności[4].
Przy podejmowaniu decyzji o stosowaniu zgody jako podstawy prawnej przetwarzania danych osobowych trzeba wziąć zatem pod uwagę o wiele więcej czynników niż może się na początku wydawać po lekturze art. 4 pkt 11 i art. 6 ust. 1 lit a RODO. Nadto niektóre przepisy wciąż rodzą problemy interpretacyjne.
Przykład: Odbieranie zgody na przetwarzanie danych osobowych na potrzeby newslettera odbywa się zazwyczaj poprzez zaznaczenie odpowiedniej kratki na określonym formularzu lub komunikacie na danej stronie internetowej. Jej cofnięcie wymaga przeważnie bądź odnalezienia odpowiedniej zakładki na tejże stronie i zaznaczenia właściwej opcji, bądź wysłania maila do administratora o rezygnacji z newslettera, bądź kliknięcia w odpowiedni odnośnik zawarty w przesyłanych wiadomościach. Czy w takiej sytuacji można uznać, że wycofanie zgody jest równie łatwe, jak jej wyrażenie?
Na koniec warto też przypomnieć omówiony w poprzednim artykule przypadek szkoły, która zbierała dane biometryczne uczniów. Pamiętacie Państwo, że szkoła podczas kontroli broniła się argumentem, iż rodzice dzieci wyrazili zgodę na pobieranie od nich odcisków palców? PUODO w wydanej decyzji wskazał, że zgoda stanowi podstawę legalizującą przetwarzanie danych osobowych jedynie wtedy, gdy nie istnieją inne podstawy przetwarzania[5]. Moim zdaniem stanowisko to pozwala na wniosek, iż odbieranie zgody jako dodatkowego zabezpieczenia może okazać się nie tylko nadgorliwe, ale zwyczajnie bezcelowe.
Reasumując
Zgoda, choć wydaje się najbardziej oczywistą i najpewniejszą podstawą prawną przetwarzania, wcale taką nie jest. Ponadto pobieżna czy niedokładna analiza odnoszących się do niej przepisów może spowodować, że będzie wadliwie odebrana. W związku z tym dobrze by było, żeby administrator rozważył najpierw, czy nie może danym przypadku skorzystać z innej podstawy prawnej. Zgoda nie jest bowiem ani lepszą od innych podstawą przetwarzania, ani nie czyni samego przetwarzania bardziej prawidłowym. Przeciwnie. Okazuje się, że jeżeli w jakiejś sytuacji przetwarzanie powinno odbywać się na innej podstawie prawnej niż zgoda, to odebranie zgody nie uchroni nas od odpowiedzialności za ewentualne nieprawidłowe przetwarzanie danych.
[1] W tym artykule skupię się na omówieniu zgody jako podstawy przetwarzania danych zwykłych. Jest ona również wymieniona w art. 9 ust. 2 lit. a RODO jako podstawa przetwarzania danych szczególnych, jednakże z uwagi na obszerność tej tematyki, zostanie ona poruszona w artykule dotyczącym przetwarzania szczególnych kategorii danych.
[2] Vide: https://uodo.gov.pl/decyzje/ZSZZS.440.727.2018, https://uodo.gov.pl/decyzje/ZSZZS.440.793.2018, https://uodo.gov.pl/decyzje/ZSPU.440.705.2018
[3] Vide: https://uodo.gov.pl/pl/138/1600
[4] Dodatkowymi obostrzeniami obwarowane jest odbieranie zgody od dzieci i przetwarzanie ich danych osobowych na tej podstawie. Z uwagi na ramy artykułu, analiza warunków, jakim powinna odpowiadać zgoda w tej sytuacji, zostanie pominięta, niemniej jednak zainteresowanych odsyłam do art. 8 RODO oraz motywu trzydziestego ósmego preambuły rozporządzenia.
[5] Vide: https://uodo.gov.pl/decyzje/ZSZZS.440.768.2018
RADCA PRAWNY KRZYSZTOF ŻABIŃSKI
ukończył studia prawnicze na Uniwersytecie Szczecińskim. Następnie odbył aplikację radcowską w Okręgowej Izbie Radców Prawnych w Koszalinie, a w 2017 r. uzyskał uprawnienia do wykonywania zawodu.
Przed wpisem na listę radców prawnych i otwarciem własnej kancelarii pracował w kancelarii notarialnej, w sądzie jako asystent sędziego, a później w kancelarii innego radcy prawnego. W roku akademickim 2018/2019 ukończył studia podyplomowe z ochrony danych osobowych na Uniwersytecie Gdańskim.
Obecnie specjalizuje się w sprawach z zakresu ochrony danych osobowych, kredytów walutowych, odszkodowania i zadośćuczynienia wskutek wypadków komunikacyjnych, sporów gospodarczych miedzy przedsiębiorcami, sporów dotyczących współwłasności, a także prawa rodzinnego. Posługuje się również językiem angielskim na poziomie C1.
Więcej: klik.
Inne wpisy w ramach cyklu PRAWDZIWE OBLICZE RODO: klik.
1 komentarz
[…] lekturze poprzedniego artykułu w ramach cyklu „Prawdziwe oblicze RODO” pt. „ZGODA” wiecie Państwo, że na gruncie RODO można wyróżnić trzy rodzaje danych osobowych, a […]