Zasada rozliczalności w kontekście odbierania zgód na przetwarzanie danych osobowych

Jak rozumieć rozliczalność w kontekście pozyskiwania zgody?

Stosownie do stanowiska zawartego we wspomnianej decyzji organu nadzorczego: „Za prawidłowe dla celów dowodowych, związanych ze spoczywającym na administratorze w myśl art. 7 ust. 1 rozporządzenia 2016/679 ciężarem dowodu, uznaje się zbieranie i utrwalanie informacji na temat tego, kto udzielił zgody i jaką miała ona treść, kiedy została ona udzielona, jakie informacje otrzymał podmiot danych przy składaniu oświadczenia o wyrażeniu zgody, jakie informacje zostały udzielone o sposobie wyrażenia zgody, oraz czy zgoda została wycofana i jeśli tak, to kiedy. Posiadanie przez administratora ww. informacji na temat zgody wyrażonej przez osobę, której dane dotyczą, stanowi uszczegółowienie ogólnej zasady rozliczalności sformułowanejw art. 5 ust. 2 rozporządzenia 2016/679. W przypadku gdy administrator nie jest w stanie wykazać, że i jaką zgodę na przetwarzanie danych wyraziła osoba, której dane dotyczą, zgoda ta może być kwestionowana” (decyzja Prezesa UODO z 10 września 2019 r., ZSPR.421.2.2019).

W wytycznych dotyczących zgody na mocy rozporządzenia 2016/679 Grupa Robocza Art. 29 podkreśliła, że administratorzy mogą swobodnie opracowywać metody zapewnienia zgodności z zasadą rozliczalności w sposób, który jest spójny z ich bieżącą działalnością. Równocześnie obowiązek wykazania, że administrator uzyskał ważną zgodę, nie powinien sam w sobie prowadzić do nadmiernego przetwarzania dodatkowych danych. Oznacza to, że administratorzy powinni mieć wystarczająco dużo danych, aby móc wykazać, że uzyskano zgodę, ale nie powinni zbierać więcej informacji, niż to konieczne (WP259 rev.01, s. 23).

Powyższe potwierdza też orzecznictwo z okresu obowiązywania „starych” przepisów o ochronie danych osobowych, tj. uchylonej ustawy o ochronie danych osobowych z 1997 r. W wyroku z 10 czerwca 2009 r. (sygn. akt: II SA/Wa 124/09) WSA w Warszawie stwierdza, że zgoda na przetwarzanie danych osobowych stanowi oświadczenie woli osoby, której dane mają być przetwarzane. Nie jest wystarczające samo powiadomienie o zamiarze przetwarzania danych osobowych oraz brak sprzeciwu zainteresowanej osoby. Wprawdzie ustawa o ochronie danych osobowych nie wymaga, aby taka zgoda udzielona została na piśmie, jednakże fakt udzielenia takiej zgody nie może budzić wątpliwości, a co za tym idzie, administrator danych osobowych winien wykazać, iż została ona faktycznie udzielona (teza, Legalis 237275).

Zgoda, aby była ważna, musi także spełniać określone przesłanki. Zgoda taka musi być:

• dobrowolna – co oznacza, że osoba, która zgodę wyraża, nie może czuć się do tego zmuszona oraz nie może ponosić negatywnych konsekwencji w przypadku jej niewyrażenia (nie można na przykład uzależniać wykonania umowy od wyrażenia zgody),
• konkretna – wyrażona w jednym lub większej liczbie określonych celów, co stanowi zabezpieczenie przed stopniowym rozszerzaniem lub zacieraniem celów, w których dane są przetwarzane, już po wyrażeniu pierwotnej zgody (nie można na przykład zbierać zgody na przetwarzanie danych w celu przedstawiania spersonalizowanych propozycji filmów, a następnie wykorzystywać danych do wysyłania reklamy ukierunkowanej podmiotów trzecich),
• świadoma – osoba, która zgodę wyraża, musi posiadać wszelkie informacje m.in. o tym komu i w jakim celu jest ona wyrażana, jak długo dane będą wykorzystywane, oraz o możliwości wycofania zgody w każdym momencie, jeszcze przed wyrażeniem zgody,
• jednoznaczna – musi być zawsze udzielona przez aktywne działanie lub oświadczenie (nie może być na przykład wyrażona poprzez zaakceptowanie domyślnie zaznaczonego okienka wyboru).

Jak wdrożyć zasadę rozliczalności?

W RODO nie określono dokładnie, w jaki sposób należy wykazać uzyskanie ważnej zgody. Dopóki dane są przetwarzane, dopóty istnieje jednak obowiązek wykazania prawidłowo wyrażonej zgody. Po zakończeniu czynności przetwarzania dowód na wyrażenie zgody nie powinien być przechowywany dłużej, niż jest to bezwzględnie konieczne, m.in. do wywiązania się z prawnego obowiązku lub do ustalenia, dochodzenia lub obrony roszczeń.

Jak zatem można zapewnić rozliczalnośćw kontekście odbierania zgód? Przykładowe sposoby to:

• archiwizacja formularzy służących do odebrania zgody na przetwarzanie danych osobowych (lub wykonanie skanu formularza),
• zachowanie informacji na temat sesji, w ramach której udzielono zgody, wraz z dokumentacją obiegu zgody w czasie tej sesji, jak również wykonanie kopii informacji przedstawionych wówczas osobie, której dane dotyczą (jeżeli zgodę odebrano poprzez system informatyczny). Niewystarczające byłoby natomiast jedynie odniesienie się do prawidłowej konfiguracji strony internetowej,
• archiwizacja wiadomości e-mail, jeżeli zgoda została wyrażona tym środkiem komunikacji,
• utrwalenie rozmowy telefonicznej, w trakcie której odebrano zgodę na przetwarzanie danych osobowych, i archiwizacja nagrania.

Przykład:
Szpital organizuje program badań naukowych pod nazwą „projekt X”, do którego realizacji niezbędna jest dokumentacja dentystyczna prawdziwych pacjentów. Uczestników rekrutuje się telefonicznie spośród pacjentów, którzy dobrowolnie zgodzili się na wpisanie ich na listę kandydatów, do których można się zwrócić w tym celu. Administrator prosi osoby, których dane dotyczą, o wyraźną zgodę na wykorzystanie ich dokumentacji dentystycznej. Zgoda zostaje uzyskana w trakcie rozmowy telefonicznej przez nagranie ustnego oświadczenia osoby, której dane dotyczą, w którym osoba ta potwierdza, że zgadza się na wykorzystanie swoich danych do celów projektu X (wytyczne Grupy Roboczej Art. 29 dotyczące zgody na mocy rozporządzenia 2016/679, WP259 rev.01, s. 23).

Przedstawiciele doktryny (M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Warszawa 2018) podkreślają, że: "w literaturze wskazuje się, że administrator powinien archiwizować zgody wyrażane przez wszystkie osoby, do których kieruje zapytania. Jednocześnie przepisy RODO nie określają wymogu formy kwalifikowanej dla wyrażenia zgody, co pozwala przyjąć możliwość jej wyrażeniaw każdej formie.

Z tego też względu każdy środek, który będzie należycie udowadniał, że konkretna osoba udzieliła świadomej, dobrowolnej, konkretnej zgody, będzie wystarczający. Przy czym środki te powinny być adekwatne do tego, w jakich okolicznościach zapytanie o zgodę, jak i sama zgoda były złożone. Jeżeli odbywało się to w formie elektronicznej poprzez zaznaczenie okienka, to adekwatnym sposobem będzie zachowanie na serwerze administratora danych czy logów, które będą potwierdzały zaznaczenie okna dotyczącego zgody. W przypadku składania zgody poprzez e-maila dowodem jej złożenia będzie ten e-mail; podobnie w przypadku zgody wyrażanej na piśmie – adekwatne będzie zarchiwizowanie oryginału lub kopii takiego dokumentu (tak M. Mazewski, Prawo do wyrażenia, s. 53–54)".

W RODO nie określono ram czasowych, w których wyrażona zgoda jest ważna. Jeżeli operacje przetwarzania zmienią się w sposób znaczący, to należy uzyskać nową zgodę, a także ponownie zarejestrować fakt jej uzyskania i wymagany kontekst. Podsumowując, administrator w każdej chwili powinien byćw stanie odpowiedzieć na pytania: kto, kiedy, jakiej treści zgodę wyraził i jakie informacje przekazał mu przy wyrażeniu zgody. Sposób spełnienia tego wymogu pozostaje jednak dowolny.