Poproś o zgodę, czyli jak legalnie gromadzić dane osobowe

Jedną z podstaw do tego, aby w ogóle móc przetwarzać dane osobowe jest uzyskanie na to zgody od właściciela tych danych. Funkcjonuje tu dokładnie ta sama zasada, która jest obecna w naszym życiu na co dzień. Nie tylko w kontekście danych osobowych, ale w każdym jego aspekcie. Chodzi mi o zasadę, zgodnie z którą zanim skorzystasz z rzeczy należącej do kogoś innego, to zawsze pytasz tę osobę o pozwolenie. Robisz to zanim weźmiesz sobie coś, co nie jest Twoją własnością. Widzisz analogię?

Jeśli miałabyś zapamiętać jedną rzecz z tego artykułu, to chciałabym, aby był to fakt, że dane osobowe, które gromadzisz na swojej stronie internetowej mają już swojego właściciela. Ty nim nie jesteś, a jedynie korzystasz z tych danych osobowych jako ich administrator.

Jeśli jednak chciałabyś dowiedzieć się więcej o tym jak legalnie przetwarzać dane osobowe na podstawie zgody ich właściciela, to zachęcam Cię do przeczytania całości artykułu. Przekonasz się w nim, że zgoda nie jest jedyną legalną podstawą do przetwarzania danych, ale najbardziej powszechną. Dowiesz się też jakie są konsekwencje przetwarzania danych osobowych bez wymaganej zgody oraz jakie warunki musi ta zgoda spełniać, aby była zgodna z obowiązującym prawem. Na końcu znajdziesz też przykład prawidłowego opracowania treści zgody, na którym będziesz mogła się wzorować, żeby zrobić to poprawnie na swojej stronie internetowej.

Zgoda nie zawsze jest konieczna

Jak już wspomniałam, wyrażenie zgody  na przetwarzanie danych osobowych przez osobę, której te dane dotyczą to nie jedyna legalna podstawa do tego, aby te dane przetwarzać. Wynika to z art. 6 ust. 1 RODO.

Przetwarzać cudze dane osobowe można również wtedy, gdy:

jest to niezbędne do wykonania umowy, którą zawarłaś z właścicielem danych. Dlatego też nie potrzebujesz zgody na to, aby wystawiać faktury swoim klientom, na rzecz których realizujesz zlecenia. Nie potrzebujesz jej też od swoich pracowników lub współpracowników, aby się z nimi kontaktować w celach służbowych czy robić im przelewy z wynagrodzeniem za pracę.

realizujesz swoje obowiązki prawne jako administrator danych. Na przykład nie musisz pytać o zgodę swoich klientów, czy możesz przesłać do nich klauzulę informacyjną na temat ich danych osobowych, bo obowiązek informacyjny względem nich wynika z obowiązującego prawa, tj. RODO.

przetwarzanie określonych danych osobowych jest niezbędne do ochrony interesów, które mają znaczenie dla życia osoby, której dane dotyczą lub innej osoby fizycznej. Zatem udostępnienie policji danych osobowych, które gromadzisz, w związku z prowadzonym przez tę policję śledztwem nie wymaga zgody właścicieli tych danych.  

przetwarzanie danych osobowych jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Może to być na przykład przekazywanie danych swoich klientów lub kontrahentów do Urzędu Skarbowego w związku z koniecznością zapłaty podatku.

przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. Takim prawnie uzasadnionym interesem może być zastosowanie na Twojej stronie internetowej rozwiązań, które mają na celu zapobieganie niewłaściwemu korzystaniu z usług, które świadczysz lub zapewnienie bezpieczeństwa użytkowników Twojej strony.

W każdym innym, niż wymienione wyżej przypadki, zgoda jest konieczna, aby przetwarzanie danych osobowych było legalne.

Co, jeśli przetwarzam dane osobowe bez zgody właściciela?

Przetwarzanie danych osobowych bez podstawy prawnej, czyli mówiąc wprost nielegalne przetwarzanie danych niesie za sobą konsekwencje zarówno prawne, jak i wizerunkowe.

Ustawa o ochronie danych osobowych z 2018 roku mówi wprost, że za nieuprawnione przetwarzanie danych osobowych grozi kara grzywny, ograniczenia albo pozbawienia wolności w wymiarze nawet do 2 lat. Jeśli natomiast dotyczy to danych szczególnej kategorii, takich jak pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, dotyczące zdrowia, seksualności lub orientacji seksualnej, to maksymalny wymiar kary pozbawienia wolności to 3 lata.

Art. 107 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych

1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.

Pamiętaj też, że dbając o legalne przetwarzanie danych osobowych swoich klientów/odbiorców dbasz nie tylko o to, aby realizować prawne zobowiązania, ale też o swój wizerunek. Nie pytając o zgodę na przetwarzanie danych osobowych, które gromadzisz, dajesz sygnał ich właścicielom, że ich prawa Cię nie obchodzą. Używając analogii ze wstępu do tego artykułu, to jest dokładnie tak, jakbyś zabrała komuś rower, nie pytając go wcześniej o pozwolenie na skorzystanie z niego. Nawet jeśli nie masz złych intencji, to jednak korzystasz z czegoś, co nie należy do Ciebie. Szanując zdanie naszych klientów w kwestii ich własnych danych osobowych pokazujemy, że można nam zaufać, a chyba właśnie o to chodzi w naszej działalności internetowej, prawda?

Zgoda musi być dobrowolna

Pamiętaj, że nie możesz nikogo zmuszać do tego, aby wyraził zgodę na przetwarzanie jego danych osobowych. To musi być dobrowolna decyzja.

Art. 4 RODO pkt. 11)
„zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;

Dlatego dobrowolnym wyrażeniem zgody nie jest formularz, w którym okienko zgody jest zaznaczone domyślnie. Ono zawsze powinno być puste do momentu, aż ktoś świadomie w nie kliknie i je zaznaczy. To warunek konieczny każdego formularza. Także milczenie oraz niepodjęcie działania ze strony właściciela danych nie stanowi dobrowolnej zgody na ich przetwarzanie.

Co więcej, zgody nie można uznać za dobrowolną jeśli ktoś musiałby ją wyrazić na wszystkie założone przez Ciebie cele jednocześnie. Tzn., że nie możesz w jednej formułce zapytać o zgodę na przetwarzanie danych osobowych np. w celu założenia konta użytkownika, zapisu na kurs internetowy oraz zapisu do newslettera. Każdy z tych celów powinien być osobnym okienkiem z możliwością zaznaczenia.

Co powinno być zawarte w treści zgody?

Treść zgody powinna:

być napisana łatwym do zrozumienia językiem, a jej treść nie powinna budzić wątpliwości.

zawierać jasno określony cel przetwarzania danych. Jeśli zbierasz dane, aby wysyłać newsletter, to ten cel powinien być jasno wskazany w treści zgody. Jeśli zbieranie danych jest konieczne, aby założyć konto użytkownika na Twojej platformie zakupowej, to ten cel również musi być zawarty w treści formułki pod formularzem rejestracyjnym.

informować o tym, że zbierane przez Ciebie dane są adekwatne do celu, w jakim je gromadzisz. W uproszczeniu oznacza to, że jeśli zbierasz dane osobowe, aby wysyłać newsletter, to aby osiągnąć ten cel wystarczy Ci adres e-mail oraz imię tej osoby, aby wiadomości od Ciebie mogły być bardziej spersonalizowane. Zbieranie w tym celu takich danych, jak nazwisko, adres zamieszkania, czy numer PESEL byłoby dużym nadużyciem. Nie potrzebujesz bowiem tych dodatkowych danych, aby móc w pełni zrealizować swój cel. Jeśli natomiast potrzebujesz danych osobowych swojego klienta, aby podpisać z nim umowę, to uzasadnione jest, abyś w tym celu poprosiła o imię i nazwisko, adres zamieszkania, a w zależności od rodzaju umowy także o numer NIP/PESEL i numer dokumentu tożsamości. Nieuzasadniona byłaby jednak prośba o poglądy polityczne lub kolor skóry. Jest to tak zwana minimalizacja danych.  

zawierać odniesienie do polityki prywatności, obowiązującej na Twojej stronie internetowej lub do innego miejsca, w którym spełniasz swój obowiązek informacyjny wobec właścicieli danych osobowych. (Zobacz też: Polityka prywatności – jak ją dobrze opracować?).

zawierać informację, że właściciel danych osobowych w każdej chwili może wycofać swoją zgodę. Na marginesie, jeśli to nastąpi, wówczas tracisz prawo do przetwarzania tych konkretnych danych i jesteś zobowiązana usunąć je ze swojej bazy, ewentualnie zarchiwizować w celach dowodowych na przyszłość. Poinformowanie o prawie do cofnięcia zgody jest konieczne, ale możesz to zrobić nie w samej treści zgody, ale np. w treści polityki prywatności i podlinkować ją, tak jak napisałam w punkcie wyżej. Chodzi o to, żeby osoby, które zostawiają Ci swoje dane osobowe np. poprzez formularz miały szansę zapoznać się ze swoim prawem do cofnięcia zgody zanim wyślą do Ciebie wypełniony formularz.

zawierać oświadczenie, że osoba, która przekazuje Ci dane osobowe ukończyła 16 lat.

Zgoda w kontekście przetwarzania szczególnych kategorii danych osobowych

Przetwarzanie szczególnych kategorii danych osobowych jest zabronione, chyba że spełniasz jeden z warunków wymienionych w art. 9 RODO. Jednym z nich jest posiadanie na to zgody, wyrażonej przez osobę, której te dane dotyczą. Różnica w stosunku do pozostałych kategorii danych w tym przypadku polega na tym, że zgoda ta ma być wyraźna. RODO nie definiuje co oznacza wyraźna zgoda, ale tym stwierdzeniem sugeruje, że w przypadku danych szczególnych kategorii bezpieczeństwo ma jeszcze większe znaczenie.

Pozostałe podstawy przetwarzania szczególnych kategorii danych zostaną omówione w odrębnym artykule.

Zobacz też: Co kryje się pod pojęciem „dane osobowe”?

Czy zgoda dziecka na przetwarzanie jego danych osobowych jest skuteczna?

Ze względu na fakt, że dzieci z natury mogą być mniej świadome ryzyka, konsekwencji, zabezpieczeń, a także praw przysługujących im w związku z przetwarzaniem ich danych osobowych, grupa ta wymaga szczególnej ochrony. Dotyczy to przede wszystkim danych wykorzystywanych „do celów marketingowych lub do tworzenia profili osobowych lub profili użytkownika oraz do zbierania danych osobowych dotyczących dzieci, gdy korzystają one z usług skierowanych bezpośrednio do nich” (Preambuła RODO, pkt. 38). W tych przypadkach zgoda dziecka jest ważna wtedy, gdy ukończyło ono 16 lat.

Jeżeli dziecko ma mniej niż 16 lat, wówczas wymagana jest zgoda osoby sprawującej władzę rodzicielską lub opiekę nad dzieckiem. Jeśli więc zbierasz dane w powyższych celach i istnieje ryzyko, że formularz mogą wypełnić również osoby poniżej 16 roku życia (a umówmy się, że w sieci to ryzyko istnieje zawsze), to powinnaś się przed tym zabezpieczyć. Ponieważ zastosowanie mechanizmu pytania o zgodę rodziców może być trudne i kosztowne, warto w treści zgody, o czym już wspominałam wcześniej, umieścić oświadczenie, że osoba rejestrująca się ukończyła 16 lat. Chyba, że zależy Ci na odbiorcach poniżej tego wieku. Wtedy musisz zadbać o szczególne zabezpieczenia i rozwiązania.

Zgoda rodziców, nawet w przypadku młodszych dzieci, nie jest konieczna wtedy, gdy gromadzenie danych osobowych dotyczy usług profilaktycznych lub doradczych oferowanych dziecku. Np. telefon zaufania dla dzieci i młodzieży.

Jakich błędów powinnaś unikać?

Uff… to na tyle teorii. Teraz czas na praktyczne rozwiązania. Podsumowując to, co już przeczytałaś, chciałabym dać Ci kilka wskazówek jakich błędów unikać w kontekście pozyskiwania zgody na przetwarzanie danych osobowych.

Po pierwsze, unikaj zbierania danych osobowych do kilku różnych celów za pomocą jednej formułki. Zastosuj zasadę, że jedna formuła zgody dotyczy danych zbieranych w jednym, ściśle określonym celu.

Po drugie, nie zbieraj więcej danych, niż faktycznie potrzebujesz, aby osiągnąć swój cel. Zawsze zachowaj zasadę minimalizmu danych.

Po trzecie, pod żadnym pozorem nie ustawiaj w formularzach domyślnie zaznaczonych okienek, służących do pozyskania zgody. Ustawiaj je tak, aby na starcie były puste, z możliwością odhaczenia. Umożliwisz wtedy dobrowolne wyrażenie zgody.

Po czwarte, nie zapominaj, że osoby poniżej 16 roku życia w większości przypadków (patrz wyżej) nie mogą samodzielnie wyrażać zgody na przetwarzanie ich danych osobowych. Wymagana jest zgoda rodziców lub opiekunów prawnych. Wtedy w formule zgody warto dodać oświadczenie, którym osoba przekazująca dane potwierdza, że ukończyła 16 lat.

Po piąte, nie uniemożliwiaj osobom, których dane gromadzisz cofnięcia wyrażonej przez nich zgody. Mają one prawo się wycofać i nie wolno Ci tego podważać. Zadbaj o taki mechanizm, który zapewni im taką możliwość i sprawi, że cofnięcie zgody będzie równie łatwe, jak jej wyrażenie. 

Po szóste, nie zapominaj o tym, aby gromadzić wszystkie potwierdzenia zgody, na podstawie których przetwarzasz dane osobowe. Jako administrator musisz być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie tych danych.

Przykład, czyli jak w praktyce powinna wyglądać treść zgody

Na koniec chciałabym Ci pokazać jak powinna wyglądać treść zgody, spełniająca wszystkie powyższe wymagania. Mój przykład opiera się na najbardziej powszechnym celu, dla którego internetowi twórcy zbierają dane osobowe, tj. newsletterze. Mając wzór, w łatwy sposób będziesz mogła dostosować go do swoich potrzeb i rzeczywistych celów.

„Zapisując się na newsletter oświadczasz, że ukończyłaś 16 lat i wyrażasz zgodę na przesyłanie Ci informacji o nowościach, promocjach, produktach i usługach związanych z blogiem poPrawnie w sieci. Zgodę możesz wycofać w każdej chwili. Więcej na temat przetwarzania danych na blogu poPrawnie w sieci znajdziesz w polityce prywatności”.

Mam nadzieję, że artykuł okaże się dla Ciebie pomocny i bez większych problemów poradzisz sobie sama z opracowaniem prawidłowej zgody. Gdybyś mimo wszystko potrzebowała wsparcia, to pisz na kontakt@poprawniewsieci.pl, a ja chętnie Ci w tym pomogę.

Trzymam kciuki!

Karo