Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Zgoda na przetwarzanie danych osobowych według RODO

W poprzednim artykule omówiliśmy podstawy prawne przetwarzania danych osobowych. Tym razem przyjrzymy się bliżej jednej z najczęściej stosowanych przesłanek legalizujących przetwarzanie danych osobowych – zgodzie osoby, której dane dotyczą.

 

 

 Jest to piąta część naszego cyklu. Zobacz również poprzednie artykuły:

Definicja zgody

Analizę zgody na przetwarzanie danych osobowych musimy oczywiście rozpocząć od samej definicji. Przyjrzyjmy się temu, w jaki sposób pojęcie to jest definiowane przez obecnie obowiązującą Ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (UODO) i ogólne rozporządzenie o ochronie danych osobowych (RODO).

UODO RODO
art. 7 pkt 5

oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie

art. 4 pkt 11

dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych

motyw 32 preambuły:

Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele.

motyw 42 preambuły

Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych.

Porównanie definicji zgody na gruncie UODO i RODO prowadzi do kilku wniosków. Po pierwsze, w świetle RODO zgoda może mieć formę nie tylko oświadczenia, ale również wyraźnego działania potwierdzającego (co jest niedopuszczalne przez Ustawę o ochronie danych osobowych z uwagi na sformułowanie, iż „zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści”). Stanowi to w istocie złagodzenie wymogów w stosunku do obecnych przepisów.

Po drugie, w RODO podano przykłady form wyrażenia zgody (pisemne, elektroniczne lub ustne oświadczenie). Bardzo ważne jest to, iż wprost wskazano, że milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny być interpretowane jako zgoda.

Po trzecie, RODO wyjaśnia, jaki minimalny zakres informacji o procesie przetwarzania danych należy przekazać osobie wyrażającej zgodę, aby była ona świadoma. Jest to tożsamość administratora i zamierzone cele przetwarzania. Dzięki temu zgoda nie ma charakteru abstrakcyjnego.

Po czwarte, jak wynika z nowych przepisów, możliwe będzie zbieranie jednej zgody na przetwarzanie danych osobowych w kilku różnych celach. Jest to mniej rygorystyczne podejście w porównaniu do dotychczasowej praktyki polegającej na zbieraniu odrębnej zgody na każdy cel przetwarzania.

Chcesz być RODO Ready?

Zapraszamy na praktyczne szkolenie poświęcone tematyce nowego Rozporządzenia.
  • Termin: 15/11/2017
  • Miejsce: Warszawa
  • Czas: 8 godzin
  • Cena: 750 zł netto
Więcej o szkoleniu

Warunki wyrażenia zgody według RODO

W praktyce bardzo istotne jest to, w jakich warunkach zgoda została udzielona i czy w związku z tym jest ona skuteczna. Jest to o tyle ważne, że w przypadku, gdy zgoda nie będzie wyrażona w odpowiedni sposób, nie wywoła skutku jakim jest zalegalizowanie procesu przetwarzania danych osobowych. Przyjrzyjmy się zatem temu, jakie warunki wyrażenia zgody przewiduje uodo i jak kwestię tę uregulowano w RODO.

1.Możliwość wycofania zgody

UODO RODO
art. 7 pkt 5

oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie.

art. 7 ust. 3

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.

Zarówno uodo, jak i RODO przewiduje prawo do wycofania zgody. Różnica w stosunku do obecnych przepisów polega na wprowadzeniu dwóch dodatkowych wymagań. Pierwsze z nich to obowiązek poinformowania – jeszcze przed wyrażeniem zgody – o możliwości jej wycofania oraz o tym, że  wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Jest to istotny wymóg, gdyż obecnie – pomimo, że takie uprawnienie również przysługuje na gruncie uodo, niewiele osób ma tego świadomość i czuje się związana bezterminowo udzieloną zgodą.

Drugie wymaganie dotyczy obowiązku zapewnienia przez administratora, aby wycofanie zgody było tak łatwe jak jej wyrażenie. Co w praktyce oznacza wskazany wymóg i jak go realizować? Otóż jeśli administrator planuje uzyskiwać zgodę, powinien już na tym wstępnym etapie przewidzieć mechanizm jej wycofania, a więc zastanowić się, jak zgodę tę będzie można odwołać. Dodatkowo, co warto podkreślić, wycofanie zgody ma być tak łatwe, jak jej wyrażenie. Przystępność wycofania zgody zazwyczaj odnoszona jest do środków komunikacji identycznych jak te, za pośrednictwem których zgoda została udzielana, np.: jeśli zgoda wyrażana jest na stronie internetowej poprzez tzw. checkboxy, na stronie powinna pojawić się również dodatkowa zakładka umożliwiająca wycofanie zgody. Jeśli zgodę można wyrazić w formie ustnej w trakcie rozmowy telefonicznej (np. za pośrednictwem infolinii), administrator powinien zagwarantować również analogiczną formę zakomunikowania mu chęci odwołania zgody. Istotą wskazanego wymogu jest bowiem to, aby nie dopuszczać do praktyk polegających przykładowo na tym, iż zgodę możemy wyrazić poprzez jedno kliknięcie na stronie internetowej, ale jeśli chcemy ją wycofać musimy wysłać tradycyjną pocztą pisemne oświadczenie.

2. Dobrowolność

UODO RODO
 

BRAK

art. 7 ust. 4

Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.

motyw 42 preambuły

Wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.

motyw 43 preambuły

Aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach. Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna.

RODO ogromny nacisk kładzie na dobrowolność wyrażanej zgody. Zwrócono uwagę na sytuacje, w których występuje brak równowagi pomiędzy pytającym o zgodę (administratorem), a osobą wyrażającą zgodę. Nie stanowi to jednak nowości. Sądy niejednokrotnie oceniając skuteczność zgody na gruncie Ustawy o ochronie danych osobowych, analizowały zależności pomiędzy stronami i to, czy zgoda rzeczywiście była udzielana w warunkach dobrowolności (np. wyrok NSA z dnia z dnia 6 września 2011 r., I OSK 1476/10, gdzie odniesiono się do relacji pracownik – pracodawca).

W RODO wprost wskazano również przykłady działań, skutkujących pozbawieniem zgody cechy dobrowolności, a mianowicie:

  • uzależnianie wykonania umowy od wyrażenia zgody na przetwarzanie danych, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy (np. administrator nie musi zbierać danych na potrzeby realizacji konkretnej umowy, ale pomimo to uzależnia jej wykonanie od wyrażenia zgody na przetwarzanie danych),
  • brak możliwości niewyrażenia zgody bez negatywnych konsekwencji – negatywne konsekwencje należałoby interpretować jako odnoszące się do sytuacji prawnej, a nie np. możliwości skorzystania z rabatów przyznawanych przez administratora,
  • brak możliwości wyrażenia zgody z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne (np. kandydat do pracy w spółce X musi obligatoryjnie wyrazić dodatkową zgodę na udostępnienie jego danych osobowych spółce Y),
  • uzależnianie wykonania umowy od wyrażenia zgody, mimo że do jej wykonania zgoda nie jest niezbędna – dotyczy to np. zbierania zgody w przypadku, gdy istnieje inna przesłanka umożliwiająca przetwarzanie danych (przykładowo zbieranie zgody, gdy przetwarzanie danych jest niezbędne do wypełnienia obowiązku prawnego spoczywającego na administratorze i osoba, której dane dotyczą nie ma w rzeczywistości możliwości zadecydowania o tym, czy jej dane będą przetwarzane czy też nie).

3.Zapytanie o zgodę

UODO RODO
BRAK art. 7 ust. 2

Jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Część takiego oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie niniejszego rozporządzenia nie jest wiążąca.

motyw 32 preambuły

Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.

motyw 42 preambuły

W szczególności w przypadku pisemnego oświadczenia składanego w innej sprawie powinny istnieć gwarancje, że osoba, której dane dotyczą, jest świadoma wyrażenia zgody oraz jej zakresu.

Teoretycznie RODO wprowadza nowe wymagania dotyczące tego, w jaki sposób należy pytać o zgodę. W rzeczywistości jednak wymogi te są nam dobrze znane. Wprawdzie nie przewiduje ich wprost Ustawa o ochronie danych osobowych, ale wynikają one z dotychczasowego orzecznictwa i decyzji GIODO. Np.:

  • wyodrębnienie oświadczenia o wyrażeniu zgody od innych treści (tzn. zgoda nie może być „wpleciona” w treść umowy, regulaminu itp.) – przykładowo wyrok NSA z dnia 4 kwietnia 2003 r., II SA 2135/02,
  • wyraźna zgoda – przykładowo decyzja GIODO z dnia 30 kwietnia 2004 r., GI- DEC-DIS-105/04/208,
  • zgoda nie może mieć charakteru abstrakcyjnego, osoba wyrażająca zgodę musi zrozumieć istotę zgody, jej cel i skutki, musi więc posiadać pełne rozeznanie, konkretnie przez kogo i w jakim celu jej dane będą przetwarzane – przykładowo – wyrok NSA z dnia 10 stycznia 2013 r., I OSK 2029/11.

W RODO podkreślono jednak, iż zapytanie o zgodę ma być zwięzłe i w przypadku, gdy odbywa się w formie elektronicznej nie może zakłócać niepotrzebnie korzystania z usługi. Pytania te nie mogą być zatem uciążliwe dla osób, do których są kierowane.

4. Rozliczalność

UODO RODO
BRAK art. 7 ust. 1

Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.

W Ustawie o ochronie danych osobowych nie znajdziemy przepisu odnoszącego się wprost do obowiązku zbierania dowodów potwierdzających uzyskanie zgody. W praktyce jednak, jeśli administrator nie jest w stanie tego wykazać, nie dysponuje podstawą prawną umożliwiającą mu przetwarzanie danych osobowych (jeśli powołuje się oczywiście właśnie na tej przesłance). Zatem również na gruncie obecnie obowiązujących przepisów, przestrzeganie zasady rozliczalności w tym względzie, jest wymagane. RODO obowiązek ten tylko dodatkowo podkreśla.

Warunki wyrażenia zgody przez dziecko

Jedną z najczęściej wskazywanych zmian jakie niosą za sobą nowe przepisy jest wprowadzenie odrębnych regulacji dotyczących warunków wyrażania zgody przez dzieci. Zgodnie z art. 8 ust. 1 RODO, jeżeli zastosowanie ma zgoda na przetwarzanie danych osobowych, w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Jeżeli natomiast dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody.

Podstawową kwestią jest wyjaśnienie pojęcia usług społeczeństwa informacyjnego. Definicję usługi społeczeństwa informacyjnego odnajdziemy w art. 4 pkt 25 RODO. Pojęcie to oznacza usługę w rozumieniu art. 1 ust. 1 lit. b) dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/1535, a więc „każdą usługę społeczeństwa informacyjnego, to znaczy każdą usługę normalnie świadczoną za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług”. Przykładem usługi społeczeństwa informacyjnego jest np. sprzedaż towarów za pośrednictwem strony internetowej (e-sklepy). A zatem w przypadku, gdy ze sklepu internetowego korzystać ma osoba poniżej 16 roku życia, zgodę na przetwarzanie jej danych osobowych musi wyrazić (lub zaaprobować) osoba sprawująca władzę rodzicielską lub opiekę.

Warto podkreślić, iż państwa członkowskie mogą przewidzieć w swoim prawie niższą granicę wiekową, która musi wynosić co najmniej 13 lat. Polska prawdopodobnie z tego uprawnienia skorzysta (przewiduje to projekt części przepisów nowej „ustawy o ochronie danych osobowych”, opublikowany przez Ministerstwo Cyfryzacji: https://mc.gov.pl/projekty/nowe-prawo-ochrony-danych-osobowych/projekt-przepisow – granica ta ma wynosić właśnie 13 lat).

Jakie mechanizmy ma zatem wprowadzić administrator, by zweryfikować czy ma do czynienia z osobą poniżej 16 roku życia? Zgodnie z art. 8 ust. 2 RODO, administrator, uwzględniając dostępną technologię, podejmuje rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała.

Każdy administrator musi w związku z tym indywidualnie ocenić, który mechanizm będzie w rzeczywisty, ale jednocześnie rozsądny sposób weryfikował wiek. Pytanie o wiek należałoby ocenić jako niosące za sobą stosunkowo wysokie ryzyko podawania przez dzieci nieprawdziwych informacji. Wskazanie pełnej daty urodzenia wydaje się bardziej rozsądne, lecz również nie daje 100 % pewności prawidłowości. Alternatywą wydaje się przykładowo uzyskiwanie numeru PESEL. Zbieranie dodatkowych informacji stoi jednak w sprzeczności z zasadą minimalizacji zakresu uzyskiwanych danych osobowych. W rezultacie efektem ubocznym realizacji wymogów dotyczących zgody zbieranej od dzieci byłoby osłabienie poziomu ochrony danych osobowych. W późniejszym czasie (po rozpoczęciu stosowania RODO), w ramach kształtowania się orzecznictwa i stanowisk Urzędu Ochrony Danych Osobowych (dzisiejszy GIODO), z pewnością pojawią się wskazówki i wytyczne w tym względzie. W ramach regulacji dotyczących warunków wyrażania zgody przez dziecko pojawia się jeszcze jedno zagadnienie – jeśli administrator danych ustali, iż osoba której dane dotyczą ma poniżej 16 (w Polsce prawdopodobnie 13) lat, to w jaki sposób ma uzyskać zgodę (lub aprobatę) osoby sprawującej władzę rodzicielską lub opiekę nad dzieckiem?  Możliwe jest np. zbieranie pisemnego oświadczenia (wysyłanego w formie skanu) czy też wysyłanie na adres poczty elektronicznej (wskazany przez dziecko) linku aktywacyjnego. Analogicznie jak w przypadku metody ustalania wieku, także i w tym przypadku decyzję o wyborze odpowiedniego mechanizmu uzyskiwania zgody (lub jej aprobaty) pozostawiono w gestii administratora.

Czy musimy zbierać nowe zgody?

Skoro wiemy już czym jest zgoda w świetle RODO i jakie warunki musi spełniać, pozostaje nam do omówienia ostatnia, kluczowa kwestia – co stanie się ze zgodami uzyskanymi na gruncie UODO, po rozpoczęciu stosowania RODO (25 maja 2018 r.)? Czy nadal będą one uprawniały nas do przetwarzania danych osobowych czy też musimy „od nowa” zbierać zgody?

Odpowiedź na to pytanie znajdziemy w motywie 171 preambuły. Wyjaśniono w nim, iż jeżeli przetwarzanie ma za podstawę zgodę uzyskaną na podstawie obecnych przepisów, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom RODO. Co to oznacza w praktyce? Po 25 maja 2018 r. możliwe będzie kontynuowanie przetwarzania danych w oparciu o zgody zebrane na podstawie UODO, pod warunkiem, iż spełniają one warunki ich wyrażenia przewidziane w nowych przepisach.

W rzeczywistości, jeśli już teraz administrator zbierał zgody zgodnie z wymaganiami UODO i uwzględniał stanowiska GIODO oraz orzecznictwo, nie będzie musiał zbierać nowych zgód.

Zazwyczaj brak możliwości kontynuowania przetwarzania w oparciu o dotychczasowe zgody będzie wynikał z:

  • niewyrażania zgody w sposób świadomy (np. oświadczenie „Wyrażam zgodę na przetwarzanie danych osobowych zgodnie z Ustawą o ochronie danych osobowych”, niewskazujące komu zgoda jest udzielana i w jakim celu dane będą przetwarzane),
  • braku dobrowolności,
  • okienek domyślnie zaznaczonych.

Podsumowanie

RODO nie wprowadza rewolucyjnych zmian w kwestii zgody na przetwarzanie danych osobowych. Nie ma w tym jednak nic dziwnego, skoro stanowi ona jedną z podstawowych przesłanek legalizujących przetwarzanie danych osobowych. Zmiany polegają przede wszystkim na potwierdzeniu dotychczas postulowanych warunków wyrażenia zgody. RODO uwzględnia zatem doświadczenie i zalecenia zarówno sądów, jak i przedstawicieli doktryny prawa. Za najistotniejszą zmianę należy uznać natomiast wprowadzenie wymogów dotyczących wyrażania zgody przez dzieci.

Czy RODO zaostrza wymagania dotyczące zgody na przetwarzanie danych osobowych? Z jednej strony tak. Nowe przepisy wprowadzają bowiem szczegółowe regulacje odnoszące się do warunków jej wyrażenia. Z drugiej jednak strony, RODO niesie za sobą również uelastycznienie i tym samym złagodzenie dotychczasowych wymogów, np. poprzez rezygnację z zakazu domniemania zgody. Zmiany mają zatem dwoisty charakter.

Stopień zmian40%

Moment do rozpoczęcia wdrażania zmian - przed 25.05.2018

Lista rzeczy do zrobienia


sprawdź czy w przypadku gdy zbierasz zgodę, jej wycofanie jest równie łatwe jak wyrażenie zgody;


sprawdź czy w przypadku stosowania tzw. checkboxów, nie są one domyślnie zaznaczone;


upewnij się, że twoja organizacja zapewnia wyrażenie zgody w sposób dobrowolny;


sprawdź czy w prawidłowy sposób formułowane jest zapytanie o zgodę;


sprawdź czy jesteś w stanie wykazać uzyskanie zgody osoby, której dane dotyczą;


ustal czy na podstawie zgody świadczone są usługi społeczeństwa informacyjnego skierowane do dzieci;


zweryfikuj czy obecnie zbierane zgody spełniają warunki wyrażenia zgody, o których mowa w art. 7 RODO;

 

Źródła:

 

 

Powiązane artykuły

Recenzujemy najnowszy projekt ustawy o ochronie danych osobowych!
Audyt RODO – czym jest w istocie?
Pozostał rok na dostosowanie się do systemu RODO/GDPR

8 Odpowiedzi

  1. Jan

    Witam,

    zastanawiam się, czy wskazanie ADO w obowiązku informacyjnym , który współwystępuje ze zgodą będzie wystarczającym zadośćuczynieniem potrzebie określenia podmiotu dla którego zgoda jest wyrażana?

    Pozdrawiam,
    Jan

    1. Kancelaria Lex Artist

      Dzień dobry,
      Nie widzimy tutaj przeciwwskazań dla połączenia zgody z obowiązkiem informacyjnym.
      Byle było to czytelne dla odbiorcy i spełniało RODOwe standardy obowiązku informacyjnego i zgody.
      Jakiś czas temu w ramach unijnych dyskusji nad reformą, padały nawet pomysły częściowego zastąpienia klauzul pisanych piktogramami (przekaz graficzny).
      Ale to raczej przyszłość.
      pozdrawiamy poniedziałkowo 🙂

  2. Marcin

    Dzień dobry,

    mam pewną wątpliwość, jeśli chodzi o zgody na przetwarzanie danych osobowych, otóż zgodnie z pkt 42 RODO “(…) administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania”. I właśnie te dwa ostatnie słowa wszystko burzą. W obecnych zgodach nigdzie nie spotkałem się z zapisem, że możemy przetwarzać dane przykładowo w celach marketingowych, z dopiskiem, że dane będą przeglądane, edytowane, itd. Co więcej na jednym ze szkoleń przygotowującym do wdrożenia RODO usłyszałem, że dla każdej operacji musi być osobna zgoda. Czy zatem jest konieczne rozbijanie zgód na operacje, czy nie?

    Serdecznie pozdrawiam

    1. Kancelaria Lex Artist

      Wszystko zależy od konkretnych przypadków. Według mnie, wskazanego motywu nie należy interpretować jako obowiązku wymieniania w treści zgody poszczególnych operacji wykonywanych na danych osobowych. Proszę zwrócić uwagę na treść motywu 43 RODO, zgodnie z którym “zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna”. W niektórych przypadkach zasadne będzie zatem wskazywanie, iż np. zgoda odnosi się wyłącznie do czynności usunięcia, a nie przeglądania danych. Ostatecznie jednak jak sądzę, wątpliwości te wyjaśnią wytyczne Grupy Roboczej Art. 29, które mają zostać wydane.

  3. Patryk

    Dzień dobry Państwu,

    zastanawiam się czy w związku z tym, iż “cofnięcie zgody musi być równie łatwe jak jej wyrażenie” dopuszczalne jest, aby mimo zaznaczenia zgody “checkboxem” poinformować podmiot danych, że w takiej sytuacji wystarczy skontaktować się z ADO pod adresem mailowy X lub zadzwonić pod numer Y, na podstawie czego zgoda oczywiście będzie mogła być wycofana bez przeszkód.

    1. Kancelaria Lex Artist

      Dzień Dobry,
      w opisanym przez Pana przypadku cofniecie zgody musi odbyć się w podobny sposób- zatem w przypadku zaznaczenia zgody “checkboxem”, jej odwołanie powinno polegać na cofnięciu zaznaczenia “checkboxa”. pozdrawiamy

  4. Paulina

    Dzień dobry,

    Jestem pracownikiem małej prywatnej przychodni medycznej, którą główną działalnością jest realizacja badań z zakresu medycyny pracy, a w drugiej kolejności porady specjalistów. Zaczęliśmy zbierać zgody na przetwarzanie danych osobowych (w kontekście gromadzenia informacji i ich przeglądania itp.). Czy zgłaszająca się do nas osoba może nie wyrazić zgody na przetwarzanie jej danych osobowych….?? A jeżeli tak, to jak odnieść decyzję tej osoby do dalszych procesów, które musimy realizować….?

    1. Kancelaria Lex Artist

      Dzień dobry, zgoda na przetwarzanie danych osobowych musi być wyrażona w sposób dobrowolny, zatem może zaistnieć sytuacja, że osoba, której dane dotyczą nie wyrazi jej. W opisanym przez Panią przypadku w pierwszej kolejności należy ustalić czy podanie danych osobowych nie jest przewidziane przepisami prawa i jest niezbędne do wykonania świadczonych przez przychodnię usług. Mam nadzieję, że udało mi się rozwiać Pani wątpliwości. Jeśli nie, zapraszam do skorzystania z naszego wsparcia https://blog-daneosobowe.pl/wsparcie/pozdrawiam

Zostaw odpowiedź