Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Wyrażam zgodę … na co? Czyli klauzula zgody na przetwarzanie danych osobowych

zgoda na przetwarzanie danych podpis banner
Warunkiem zgodnego z prawem przetwarzania danych osobowych przez Administratora Danych jest spełnienie jednej z przesłanek legalizujących wskazanych w art. 23 ust. 1 UODO. Wśród pięciu przesłanek wymienionych we wskazanym przepisie znajduje się zgoda osoby, której dane dotyczą i właśnie ta przesłanka będzie przedmiotem niniejszego artykułu.

Często przed Administratorem Danych, który zamierza przetwarzać dane osobowe określonej grupy osób pojawiają się pytania: Jak prawidłowo sformułować klauzulę zgody? Czy wyrażenie zgody jest obowiązkowe? W jakim zakresie i do jakich celów można przetwarzać dane osób, które wyraziły zgodę na ich przetwarzanie?

Zapraszamy do zapoznania się z naszym poradnikiem video dotyczącym zgody na przetwarzanie danych osobowych (materiał poniżej)

Kiedy zgoda jest konieczna?

Zgoda osoby, której dane są przetwarzane jest jedną z przesłanek legalizujących ich przetwarzanie przez Administratora Danych Osobowych, ale nie jedyną. Nie zawsze, jako Administrator Danych, mamy obowiązek taką zgodę uzyskać. Przesłanki mają charakter autonomiczny i niezależny, czyli innymi słowy wystarczy jedna, aby dane były przetwarzane zgodnie z prawem. Jeżeli na przykład przetwarzanie danych opieramy w przepisach prawa, czy wiążemy je z realizacją umowy z klientem – o zgodę prosić nie musimy. Kiedy jednak okaże się, że zgodę musimy uzyskać, bo nie zaistniała żadna inna przesłanka?

Forma wyrażenia zgody – na papierze, czy ustnie?

Jak prawidłowo sformułować klauzulę zgody? Ustawa nie precyzuje jak powinna wyglądać klauzula zgody, w związku z tym jej forma jest dowolna (UWAGA! ta zasada dotyczy zbierania zgody na przetwarzanie danych osobowych zwykłych. W przypadku danych wrażliwych zgoda musi być wyrażona na piśmie!). Zgoda ma charakter swobodnego oświadczenia woli, może być zarówno wyrażona w formie ustnej, jak i pisemnej, czy też za pomocą elektronicznych środków przekazu (np. “checkboxa” w internetowym formularzu). Teoretycznie więc przy zbieraniu zgody na przetwarzanie danych osobowych mamy całkowitą dowolność co do jej formy. W praktyce jednak podczas np. kontroli GIODO mielibyśmy bardzo duży problem przy udowodnieniu zgody zebranej w sposób niesformalizowany (np. podczas rozmowy)

Dlatego też, dla celów dowodowych zdecydowanie zaleca się, żeby po zgodzie zawsze pozostał ślad. Jeśli więc zgoda zbierana jest na piśmie – przechowujmy dokument z podpisem osoby wyrażającej zgodę. Jeśli zgoda jest zbierana ustnie (np. podczas rozmowy z telemarketerem), to musimy dysponować nagraniem w którym taka zgoda została wyrażona. Jeśli zgoda jest zbierana za pośrednictwem elektronicznych środków przekazu (mail/checkbox), również powinniśmy móc wskazać systemowy zapis umożliwiający udowodnienie, że zgoda została wyrażona.

Jedna zgoda = jeden cel

Mimo opisanej w poprzednim akapicie dowolności formy, sama treść klauzuli zgody powinna zawierać pewne elementy, które wpływają na jej ważność, tj. określać cel przetwarzania danych, ich zakres oraz wskazywać podmiot, który do przetwarzania danych będzie na jej podstawie uprawniony.

Tworząc klauzule zgody jako żelazną zasadę trzeba przyjąć: jedna zgoda = jeden cel. Niedopuszczalne jest umieszczanie w treści jednej klauzuli kliku celów przetwarzania, np. „wyrażam zgodę na przetwarzanie moich danych w celu przeprowadzenia konkursu, działań marketingowych oraz udostępniania danych innym odbiorcom” – jest to klauzula niedozwolona. Mówiąc żartobliwie: „zgoda do wszystkiego jest do niczego”. Odrębny cel wymaga odrębnego oświadczenia woli, jest to gwarancja dobrowolności. Należy również pamiętać, że niedozwolone jest wykorzystywanie danych w innym celu niż zawarty w treści klauzuli. Uczestnik konkursu wyraził tylko zgodę „konkursową” – nie kierujemy do niego akcji marketingowej, nie udostępniamy jego danych partnerom.

Zgoda + obowiązek informacyjny

Formułując klauzulę zgody należy pamiętać o obowiązku informacyjnym. Osoba, która wyraża zgodę wyraża ją dla określonego podmiotu, dlatego wskazujemy w klauzuli nazwę administratora danych, adres siedziby oraz informujemy o dobrowolności (obowiązku) podania danych i prawie dostępu do ich treści i poprawiania. Jeżeli zgoda dotyczy udostępnienia danych, np. partnerom Administratora Danych – wskazujemy wówczas te podmioty.

Ograniczenia w formułowaniu klauzuli zgody

Istotne jest, że zawarcie umowy, np. rachunku bankowego, nie może być uzależnione od wyrażenia zgody na przetwarzanie danych w innych celach, np. marketingowych. Jest to działanie niezgodne z prawem! Jedyny przypadek, kiedy możemy “wymóc” wyrażenie zgody na przetwarzanie danych osobowych w celach marketingowych to gdy oferujemy klientowi jakąś usługę bezpłatnie. Legalnym będzie np. wymuszenie zgody na przesyłanie informacji marketingowych przez firmę oferującą darmową skrzynkę pocztową.

Pamiętajmy też o jeszcze jednym niezwykle ważnym ograniczniu! Musimy w pełni respektować odwołanie zgody przez osobę, która ją wyraziła. Takie odwołanie może zostać złożone w dowolnej formie i musimy się do niego natychmiast zastosować.

Zapraszamy do zapoznania się z artykułem opisującym zgodę na przetwarzanie danych osobowych w świetle kodeksu cywilnego.

Powiązane artykuły

Zgoda na przetwarzanie danych osobowych według RODO
RODO a legalność przetwarzania danych osobowych
Baza danych marketingowych a ochrona danych osobowych cz. II

19 Odpowiedzi

  1. GoKa

    W materiale mówi Pan o tym, że wymagane jest uzyskanie od klienta zgody przetwarzanie danych w celu marketingowym. Jak się to ma do art. art. 23 ust. 4 pkt. 1, który wskazuje, że usprawiedliwiony cel administratora danych to marketing bezpośredni własnych produktów lub usług administratora?

  2. admin

    Bardzo dobre pytanie.Teoretycznie jeśli Administrator Danych chce przetwarzać dane osobowe w celu marketingowym, może to robić bez pytania o zgodę, opierając się na przesłance tzw. prawnie usprawiedliwionych celów. W praktyce jednak, jeśli Administrator Danych chce do marketingu wykorzystywać środki elektronicznej komunikacji (mail, sms, a od 25.12.2014 również telefon), i tak musi na to uzyskać zgodę użytkownika. Prawnie usprawiedliwiony cel bez zgody pozwalałby zatem wyłącznie na wysyłkę materiałów marketingowych za pośrednictwem metod tradycyjnych (poczta, osobiste wręczanie ulotek). Abstrahując od powyższego, z naszego doświadczenia wynika też, że konsumenci są coraz bardziej wyczuleni na przetwarzanie ich danych w celach marketingowych bez uzyskania uprzednio zgody. Często wysyłka takiego “niezamówionego” mailingu może wywołać więcej straty (wizerunek firmy jako “spamerskiej”, konieczność wypłaty odszkodowań) niż korzyści.

  3. Jan

    W bibliotece posiadamy druki dot. zapisania się do biblioteki. Czy wystarczy, że spełniając obowiązek informacyjny i formułując klauzulę zgody, jako cel wpiszemy realizacja zadań statutowych określonych w Ustawie o bibliotekach?

    1. Kancelaria Lex Artist

      Dopuszczalne i poprawne jest wskazanie jako cel przetwarzania danych realizację zadań statutowych określonych w ustawie o bibliotekach. Na pewno formułując np. w klauzuli zgody cel przetwarzania danych warto określić przykładowo jakie zadania statutowe mają zostać wypełnione.

  4. Tomek

    Witam,
    chciałbym uzyskać odpowiedz na pewne pytanie dotyczące treści zgody na przetwarzanie danych osobowych, a mianowicie czy w jego treści musi znaleźć się odwołanie do Ustawy o ochronie danych osobowych? Treściach wzorów zgód w program “Kapitał ludzki” nie występuje ono a i ustawa nie mówi, że trzeba się do niej odwołać np.

    W związku z przystąpieniem do Projektu …………. wyrażam zgodę na przetwarzanie
    moich danych osobowych.
    Oświadczam, iż przyjmuję do wiadomości, że:
    1)
    administratorem tak zebranych danych osobowych jest………………………………..

    2) moje dane osobowe będą przetwarzane wyłącznie w celu ………………………
    i

    3)
    moje dane osobowe mogą zostać udostępnione innym podmiotom wyłącznie
    w celu ………………………………….

    4)
    podanie danych jest dobrowolne

    5) mam prawo dostępu do treści swoich danych i ich poprawiania.

    Czy taka treść zgody jest zgodna z Ustawą czy też muszę ja uzupełnić o powołanie się na ustawę?

    Z góry dziękuje za odpowiedź.

    1. Kancelaria Lex Artist

      W treści klauzuli zgody na przetwarzanie danych osobowych nie jest wymagane umieszczenie odwołania do ustawy o ochronie danych osobowych. Dodatkowo należy pamiętać o obowiązku informacyjnym (art. 24 ustawy o ochronie danych osobowych) wobec osób, od których pozyskiwane są zgody na przetwarzanie danych osobowych, czyli o przekazaniu informacji, które wskazał Pan w pkt 1,2,3,4,5. Ponadto cel określony w pkt 3 nie powinien zostać określony w sposób bardzo ogólny.

  5. Klaudia

    Witam,
    Mam pytanie o otrzymaną ze szkoły kartę uczestnika półkoloni zimowej. Nie rozumiem zasadności wyrażenia zgody na przetwarzanie danych, bo… w karcie podaję imię i nazwisko, adres zamieszkania, tel. Kontaktowy, pesel, choroby, alergie, leki. Wszystkie te dane są w dokumentacji szkolnej, ale ok teraz zbierane są w innym celu. Na końcu jest klauzula: wyrażam zgodę na przetwarzanie danych …. I podpis rodzica.

    W jakim celu udzielam zgody? Bo co jeżeli nie podpiszę tej klauzuli? Moje dziecko nie weźmie udziału w półkoloni? Druga sprawa przecież wypełniamy kartę i jak nie podpisze klauzuli, to co ma zrobić szkoła?

    Zbieranie takich danych ma chyba jakąś podstawę prawną, bo opierając się tylko na zgodzie rodzica, to przecież ona nie będzie dobrowolna?

    Jak to jest? Że najpierw podaję dane, a później decyduję czy podpisać się pod zgodą? A jeżeli nie podpisze?

    1. Łukasz Zegarek

      W sytuacji o której Pani pisze ma Pani bardzo dużo racji. ZAWSZE jeśli jakiś podmiot (w tym szkoła) prosi kogokolwiek o wyrażenie zgody na przetwarzanie danych osobowych, ma obowiązek poinformować osobę od której dane są zbierane o celu przetwarzania. Jeśli szkoła w formularzu takiego celu nie podała, to sformułowała zgodę w sposób niewłaściwy. Nie dziwię się Pani, że może mieć Pani obawy co do tego, w jakim następnie celu te dane będą przetwarzane.

      Natomiast dobrze, że szkoła zatroszczyła się o pozyskanie od rodziców zgody (chociaż oczywiście sama treść klauzuli nie jest do końca właściwa). Jest to bowiem najlepsza przesłanka legalizująca przetwarzanie danych osobowych w opisanym przez Panią przypadku.

      Oczywiście może Pani nie wyrazić zgody na przetwarzanie danych zawartych w formularzu (zgoda zawsze jest dobrowolna), natomiast szkoła w takim przypadku ma prawo odmówić możliwości udziału dziecka w półkolonii.

      Zbieranie danych np. o alergiach, lekach czy chorobach dziecka jest w tym wypadku uzasadnione i ma na celu zapewnienie jego bezpieczeństwa.

      Pozdrawiam serdecznie,
      Łukasz Zegarek

  6. Magda

    Jak należy rozumieć formę pisemną wyrażenia zgody na przetwarzanie danych osobowych? Czy konieczny jest własnoręczny podpis czy może wystarczające będzie jeżeli osoba wyrażająca zgodę na przetwarzanie danych zaznaczy checkbox na stronie internetowej?

    1. Łukasz Zegarek

      Zgodnie z ustawą o ochronie danych osobowych zgoda na przetwarzanie danych osobowych musi być wyrażona na piśmie w dwóch sytuacjach – w przypadku przetwarzania danych wrażliwych (art. 27 ust. 2 pkt 1) oraz w przypadku przekazania danych osobowych do państwa trzeciego (art. 47 ust. 3 pkt 1). W literaturze wskazuje się, że zgoda na przetwarzanie wrażliwych danych osobowych udzielona w formie innej niż pisemna jest nieskuteczna, a przepisy Kodeksu Cywilnego o formie czynności prawnych nie znajdują zastosowania. Zgoda na piśmie oznacza oświadczenie woli w formie własnoręcznego podpisu. Wymagania te spełnia bez wątpienia złożenie odpowiedniego oświadczenia opatrzonego podpisem elektronicznym weryfikowanym za pomocą ważnego certyfikatu (ustawa z 5 września 2016 roku o usługach zaufania oraz identyfikacji elektronicznej).
      W przypadku zgody na przetwarzanie danych zwykłych forma może być dowolna i wyrażona np. za pomocą maila, zaznaczenia checkboxa. Jednakże zgodę na przetwarzanie danych zwykłych warto zbierać w taki sposób, aby można było udowodnić, że została w przeszłości wyrażona.

        1. Łukasz Zegarek

          Szanowny Panie Michale,

          Podpis palcem na ekranie w świetle dzisiejszych regulacji nie spełnia wymogu zachowania formy pisemnej wyrażenia zgody na przetwarzanie danych wrażliwych.
          Zgoda na piśmie oznacza oświadczenie woli w formie własnoręcznego podpisu lub ewentualnie złożenie odpowiedniego oświadczenia opatrzonego podpisem elektronicznym weryfikowanym za pomocą ważnego certyfikatu (ustawa z 5 września 2016 roku o usługach zaufania oraz identyfikacji elektronicznej).
          Na dzień dzisiejszy w polskim systemie prawnym nie istnieją regulacje, które zrównywałyby złożenie oświadczenia woli w formie np. podpisu palcem na ekranie telefonu z formą pisemną.

          Pozdrawiam serdecznie,

  7. Łukasz

    Szanowny Panie Łukaszu

    Czy dobrze wnioskuję, że w przypadku wizyty w serwisie samochodowym (pozostawiając tam pojazd) nie muszę wyrażać zgody na przetwarzanie moich danych osobowych, aby firma mogła wprowadzić do swojego systemu informatycznego moje dane osobowe: imię i nazwisko, nr telefonu, adres. Serwis wykorzystuje nr telefonu lub adres do komunkacji o przebiegu i zakończeniu usługi serwisowej? Rozumiem, że taka zgoda nie jest wymagana, bo moje dane są niezbędne do realizacji umowy naprawy stąd moja zgoda nie jest wymagana? Ale już wysłanie do mnie smsa czy wykonanie telefonu, aby zaprosić na kolejny przegląd już tak? Co w sytuacjikiedy serwis nie wystawia żadnego dokumentu, a prosi o moje dane np. kontaktowe. Wygląda to jakby wykonywał nieformalnie zlecenie naprawy czyli pobiera moje dane nie w celu realizacji umowy, bo jej w ogóle nie ma. Dobrze to rozumiem?

    serdeczności

    1. Kancelaria Lex Artist

      Co prawda nie Pan Łukasz ale mam nadzieję, że też dam radę 🙂
      Zgoda zasadniczo nie jest wymagana, tak jak Pan napisał.

      Z zaproszeniem na kolejny przegląd to jest trochę taka typowa prawnicza odpowiedź “to zależy”. Bo jeśli jest to elementem usługi i ma Pan tego świadomości i możliwość wyboru wariantu bez przypominajki – to jest według nas ok!
      Natomiast jeśli wszystko jest niejasne i niedomówione i nagle dostaje Pan zaproszenie smsowe czy telefoniczne na przegląd – to już nie jest w porządku.

      Proszę pamiętać o jeszcze jednej ważnej rzeczy. To że nie ma między stronami umowy w formie pisemnej, to nie znaczy, że taka umowa nie została zawarta. Umowę sprzedaży można zawrzeć nawet nic nie mowiąc i nie pisząc! Przykład? Przychodzę do kiosku, pokazuję gazetę palcem. Płacę. I voila… umowa sprzedaży została zawarta.

      Mam nadzieję, że udało się pomóc 🙂

      miłego poniedziałku!

  8. Łukasz

    Panie Łukaszu,
    Dziękuję za odpowiedź, domyślam się, że “świat” przepisów kieruje się zasadą: “to zależy” – dlatego właśnie pytam. ten świat keiruje się także zwyczajem, że ten kto pyta jest traktowany jak intruz albo pieniacz, a ja po prostu jestem ciekaw jak kształtuje takie sytuacje prawo.
    Nadal mam pewną wątpliwość, więc dopytam jeszcze: jeśli moja zgoda zasadniczo nie jest wymagana do realizacji jednorazowej usługi naprawy samochodu (po to jak twierzi serrwis, aby mnie ponformować w razie czego, że coś jeszcze trzeba naprawić lub o ukończeniu naprawy), to na jakiej podstawie moje dane są przez serwis przechowywane także po zakończu naprawy? Serwis na zleceniu serwisowym ma regułkę “zgody” która podpisuję, a następnie te dane przechowuje w systemie informatycznym. Czy tak może być? Uzykałem od nich najpierw info, że zgoda jest potrzebna do kontaktu ze mną w trakcie naprawy (teraz wiem, że niekoniecznie jeśli wręcz: nie jest potrzebna w ogóle) to, co moje dane robią nadal w ich systemie? Nie informują mnie, że będę otrzymywał jakieś smsy o promocjach czy przypomnienia, że np. powinienem przyjechac i sprawdzić klocki. Jeśli naprawa się zakończyła (nie żadnych dodatkowych wizyt ect) to serwis ma prawo do pozostawienia moich danych w systemie informatycznym po wykonaniu umowy?

    1. Kancelaria Lex Artist

      Po zakończeniu naprawy pewne Pana dane nadal mogą być przechowywane przez serwis – na przykład dane potrzebne do wystawienia rachunku czy faktury. Data Pana wizyty czy zakres robót. Serwis też potrzebuje mieć pewne informacje, które w razie potrzebny potwierdzą, że usługa serwisowa została wykonana.

      Do kontaktu telefonicznego w trakcie naprawy zgoda nie jest potrzebna – ale oczywiście można ją zebrać, dla poczucia bezpieczeństwa wiele serwisów tak robi.

      Po zakończeniu naprawy dane telefonicze powinny zostać faktycznie usunięte.
      Ale tutaj tez dużo zależy od serwisu. Jeśli korzysta Pan z usług autoryzowanych serwisów – to takie serwisy czasem prowadzą np. akcję wymiany jakiejś wadliwej części. Dzięki szybkiemu kontaktowi z Panem, mogą w wielu sytuacjach zapobiec niebezpieczeństwu.

      Ale oczywiście działa to też czasem w drugą stronę, niektóre serwisy wyłudzają dane pod pretekstem kontaktu, a później spamują nas smsami czy nawet telefonami. Takie sytuacje są oczywiście niezgodne z prawem.

      PS. na część komentarzy odpowiadał faktycznie Łukasz więc oczywiście rozumiem 🙂

  9. Łukasz

    I przepraszam: ponownie zwrociłem się do pana: Łukasz – jakoś ta mi się skojarzyło z osobą, która na forum pisała posty jako Łukasz Z. 🙂

  10. Jerzy

    Czy prawnie wiążące jest zamieszczenie w CV informacji o dacie wygaśnięcia zgody na przetwarzanie danych osobowych podanych przez wysyłającego aplikację?

    1. Łukasz Zegarek

      Krótko i na temat: TAK:)

      Abstrahując od takiej klauzuli (swoją drogą bardzo ciekawy pomysł!), proszę też pamiętać, że domyślnie zgoda jest wyrażana na przetwarzanie danych wyłącznie na potrzeby aktualnego procesu rekrutacji.

      Jeśli Administrator Danych nie zebrał od kandydata DODATKOWEJ zgody, to po ukończonej rekrutacji, powinien usunąć jego CV.

Zostaw odpowiedź