Wszelkie strony internetowe oparte na interakcji z użytkownikiem wymagają wyrażenia zgody na przetwarzanie danych osobowych. Zazwyczaj odbywa się to poprzez zaznaczenie odpowiedniego okienka w pojawiającym się automatycznie formularzu. Czy takie działanie ma jednak sens, skoro większość użytkowników nie zadaje sobie w ogóle trudu przeczytania wyświetlającej się formuły? Czy może zostać uznane za skuteczne wyrażenie zgody?
Regulacje unijne oczywiście definiują pojęcie zgody, pod którym rozumie się dobrowolne, konkretne, świadome i jednoznaczne okazanie woli przez osobę, której dane dotyczą. Zgoda taka może przyjąć formę oświadczenia lub wyraźnego działania potwierdzającego aprobatę dla przetwarzania danych osobowych.
Co definicja ta oznacza jednak w praktyce i jak zaprojektować skuteczny formularz wyrażenia zgody?
Zgoda musi być dobrowolna.
Oznacza to, iż osoba, której dane dotyczą powinna mieć rzeczywistą możliwość wyboru. Co za tym idzie, jeżeli czuje się ona przymuszona do jej wyrażenia lub spodziewa się negatywnych konsekwencji w przypadku odmowy, zgoda taka nie będzie już dobrowolna. Kwestia ta ma istotne znaczenie zwłaszcza w relacjach, które ze swej istoty nie są równorzędne, tj. z organem administracji lub pracodawcą. W związku z występowaniem takiej dysproporcji, zgoda powinna stanowić podstawę przetwarzania danych jedynie w sytuacjach wyjątkowych. Ciężko wyobrazić sobie, aby pracownik nie obawiał się negatywnych konsekwencji odmówienia przetwarzania danych osobowych np. w przypadku zainstalowania monitoringu w miejscu pracy.
Podobnie za nieważną uznaje się zgodę na przetwarzanie danych osobowych wyrażoną przy okazji wykonywania lub zawierania jakiejś umowy. Takie powiązanie podważa bowiem jej dobrowolność. Osoba zainteresowana decyduje o swoich danych, mając na uwadze ryzyko odmowy uzyskania potrzebnej usługi, czy świadczenia. Powyższe ma miejsce zwłaszcza, gdy wraz z zawarciem umowy wymaga się wyrażenia zgody na przetwarzanie danych osobowych w zakresie szerszym niż jest to konieczne dla wykonania zobowiązania.
Za dobrowolne nie zostanie również uznane łączne wyrażenie zgody na przetwarzanie danych osobowych w kliku celach. Takiej zgodzie zarzuca się niewystarczający poziom szczegółowości. Osoba zainteresowana, będąc zmuszona do wyrażenia łącznej zgody na przetwarzanie danych osobowych, nie ma swobodnej możliwości decydowani – musi podjąć jednolite stanowisko w każdym z celów przetwarzania.
Zgoda musi być konkretna.
Ta cecha zgody na przetwarzanie danych osobowych pozostaje ściśle powiązana ze świadomością jej wyrażenia. Administrator danych powinien pamiętać o dokładnym określeniu wszystkich celów przetwarzania i wskazaniu przypisanych im typów danych. Jeżeli celów takich występuje kilka, do każdego z nich należy przyporządkować przetwarzane informacje nawet gdyby dotyczyło to tych samych danych. W przypadku pojawienia się nowego celu, administrator zmuszony jest ponownie uzyskać zgodę.
Zgoda musi być świadoma.
Aby zgoda została uznana za świadomie wyrażoną, administrator danych powinien dostarczyć osobie zainteresowanej zestaw niezbędnych informacji. Przede wszystkim winien on podać swoją tożsamość, a także cel każdej operacji przetwarzania, rodzaj danych oraz poinformować o prawie do wycofania zgody. Istotne znaczenie ma także język wykorzystywany przez administratora do przekazania ww. informacji. Powinien on wziąć pod uwagę grupę docelową i zadbać o dostosowanie do niej swojego komunikatu. Działanie takie jest wskazane zwłaszcza w przypadku dzieci.
Zgoda musi być jednoznacznie wyrażona.
Oznacza to, iż dla otoczenia powinno być jasne, że osoba zainteresowana aprobuje przetwarzanie jej danych osobowych. Nie musi to następować w formie pisemnej, znanej z polskiego prawa prywatnego, czyli za pomocą podpisu złożonego na papierze. Zgodę można wyrazić także ustnie, a administrator winien ją zarejestrować, aby w razie potrzeby mógł udowodnić jej uzyskanie. Ważne jest, aby zainteresowany podjął jakąś aktywność zmierzającą do wyrażenia swojej woli.
Jak zatem powyższe teoretyczne zagadnienia oddziałują na praktykę?
Przede wszystkim aplikacje i strony internetowe nie mogą ograniczać swoich funkcjonalności na podstawie wyrażonych zgód. Osoba zainteresowana aprobująca przetwarzanie jej danych osobowych nie może bowiem spodziewać się żadnych negatywnych konsekwencji, czy to w postaci wyłączenia pewnych funkcjonalności, czy też naliczenia kosztów. W innym wypadku zgoda jest nieważna. Zatem okienko zgody na przetwarzanie danych osobowych, które uniemożliwia nam wejście na stronę lub ukrywa niektóre funkcjonalności, skutkować będzie nieważnością takiego wyrażenia woli.
Co ciekawe dopuszczalne jest wprowadzenie zachęt do udostępnienia swoich danych osobowych, np. w postaci zniżki na produkty w sklepie internetowym. Takie działanie, a nawet odebranie zniżki z powodu niewyrażenia zgody na przetwarzanie danych, nie uważa się już za ograniczenie działania serwisu, a co za tym idzie potencjalne negatywne konsekwencje wpływające na dobrowolność zgody. Zniżka jest bowiem jedynie dodatkiem, niewpływającym na podstawowe funkcjonalności strony.
Samo wykorzystanie takich okienek, których kliknięcie oznacza zgodę na przetwarzanie danych uznaje się za akceptowalne. Jednakże wciąż wymaga to podjęcia jasnego i świadomego działania przez użytkownika. Jeżeli takie pole pozostaje zaznaczone automatycznie, a osoba zainteresowana może po prostu je pominąć lub pomylić z reklamą, wówczas zgoda będzie uznana za nieważną. Tymczasem w przypadku, gdy użytkownik samemu zaznaczy odpowiednie okienko, znajdujące się obok krótkiego oświadczenia aprobującego przetwarzanie danych, wówczas zgoda taka pozostanie ważna. Użytkownik wykonał przecież pewne działanie i zaznaczając stosowne okienko wyraził swoją wolę.
Należy pamiętać również, aby zgoda na przetwarzanie danych osobowych nie była ujawniana poprzez akceptację regulaminu lub ogólnych warunków serwisu. Zgoda taka musi być jasno wyodrębniona, tak aby użytkownik miał możliwość podjęcia decyzji w zakresie danych oddzielnie w stosunku do pozostałych warunków korzystania z usługi bądź serwisu.
Powyższe, dość surowe obostrzenia sprawiają wrażenie, iż bardzo łatwo przekroczyć niezbędne wymagania dotyczące wyrażania zgody na przetwarzanie danych osobowych. Jak bowiem można dopuścić użytkownika do korzystania z serwisu, skoro ten nie zgadza się na wykorzystanie jego danych, niezbędnych do funkcjonowania danej aplikacji? A z drugiej strony, skoro niektóre funkcjonalności zwyczajnie potrzebują pewnych danych do efektywnego działania i w przypadku ich nieudostępnienia użytkownik nie będzie mógł z nich korzystać, czy każda wyrażona zgoda jest nieważna?
Oczywiście, nie. Jeżeli bowiem pewne przetwarzanie danych jest konieczne dla danej aplikacji, prawdopodobnie i tak istnieje inna podstawa prawna do takiego działania. Może to być prawnie uzasadniony interes administratora, a więc właściciela serwisu, czy witryny lub konieczność wykonania umowy, jaką użytkownik zawiera wykorzystując dany program, czy też aplikację. Oznacza to, iż prośba administratora o wyrażenie zgody na przetwarzanie, dotyczy zazwyczaj dodatkowych danych, które nie są niezbędne do świadczenia umówionej usługi lub też nadprogramowych celów przetwarzania, np. marketingowych. O innych podstawach przetwarzania danych przeczytasz tutaj.
Podobnie pracodawca powinien znaleźć inną niż zgoda podstawę przetwarzania danych np. w przypadku zainstalowania monitoringu. Może to być jego prawnie uzasadniony interes. Zgodą pracodawca posłuży się jedynie w sytuacjach wyjątkowych, zazwyczaj niepowiązanych bezpośrednio z wykonywaniem obowiązków przez pracownika.
Jak wynika z powyższej analizy, zgoda jest najszerszą podstawą przetwarzania danych, gdyż osoba zainteresowana może dopuścić wykorzystanie dowolnych informacji w różnorakim celu. Nie dziwi zatem postawa unijnego prawodawcy, który obwarował ją szeregiem restrykcji, koniecznych w celu zapewnienia jej ważności. Wspomniane obostrzenia chronią obywateli przez nadużywaniem instytucji zgody przez administratorów i nadają jej pomocniczy charakter względem pozostałych podstaw przetwarzania danych.