Zasada rozliczalności w kontekście odbierania zgód na przetwarzanie
danych osobowych

Podsumowanie 2018

W wydanej 10 września 2019 r. decyzji o nałożeniu kary na spółkę Morele.net sp. z o.o. Prezes UODO zwrócił uwagę na ważną kwestię, jaką jest sposób zbierania zgód w kontekście rozliczalności.

Przypomnijmy, że w myśl RODO jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych (art. 7 ust. 1).

Jak rozumieć rozliczalność w kontekście pozyskiwania zgody?

Stosownie do stanowiska zawartego we wspomnianej decyzji organu nadzorczego: „Za prawidłowe dla celów dowodowych, związanych ze spoczywającym na administratorze w myśl art. 7 ust. 1 rozporządzenia 2016/679 ciężarem dowodu, uznaje się zbieranie i utrwalanie informacji na temat tego, kto udzielił zgody i jaką miała ona treść, kiedy została ona udzielona, jakie informacje otrzymał podmiot danych przy składaniu oświadczenia o wyrażeniu zgody, jakie informacje zostały udzielone o sposobie wyrażenia zgody, oraz czy zgoda została wycofana i jeśli tak, to kiedy. Posiadanie przez administratora ww. informacji na temat zgody wyrażonej przez osobę, której dane dotyczą, stanowi uszczegółowienie ogólnej zasady rozliczalności sformułowanejw art. 5 ust. 2 rozporządzenia 2016/679. W przypadku gdy administrator nie jest w stanie wykazać, że i jaką zgodę na przetwarzanie danych wyraziła osoba, której dane dotyczą, zgoda ta może być kwestionowana” (decyzja Prezesa UODO z 10 września 2019 r., ZSPR.421.2.2019).

Strefa RODO

W wytycznych dotyczących zgody na mocy rozporządzenia 2016/679 Grupa Robocza Art. 29 podkreśliła, że administratorzy mogą swobodnie opracowywać metody zapewnienia zgodności z zasadą rozliczalności w sposób, który jest spójny z ich bieżącą działalnością. Równocześnie obowiązek wykazania, że administrator uzyskał ważną zgodę, nie powinien sam w sobie prowadzić do nadmiernego przetwarzania dodatkowych danych. Oznacza to, że administratorzy powinni mieć wystarczająco dużo danych, aby móc wykazać, że uzyskano zgodę, ale nie powinni zbierać więcej informacji, niż to konieczne (WP259 rev.01, s. 23).

Powyższe potwierdza też orzecznictwo z okresu obowiązywania „starych” przepisów o ochronie danych osobowych, tj. uchylonej ustawy o ochronie danych osobowych z 1997 r. W wyroku z 10 czerwca 2009 r. (sygn. akt: II SA/Wa 124/09) WSA w Warszawie stwierdza, że zgoda na przetwarzanie danych osobowych stanowi oświadczenie woli osoby, której dane mają być przetwarzane. Nie jest wystarczające samo powiadomienie o zamiarze przetwarzania danych osobowych oraz brak sprzeciwu zainteresowanej osoby. Wprawdzie ustawa o ochronie danych osobowych nie wymaga, aby taka zgoda udzielona została na piśmie, jednakże fakt udzielenia takiej zgody nie może budzić wątpliwości, a co za tym idzie, administrator danych osobowych winien wykazać, iż została ona faktycznie udzielona (teza, Legalis 237275).

Jak wdrożyć zasadę rozliczalności?

W RODO nie określono dokładnie, w jaki sposób należy wykazać uzyskanie ważnej zgody. Dopóki dane są przetwarzane, dopóty istnieje jednak obowiązek wykazania prawidłowo wyrażonej zgody. Po zakończeniu czynności przetwarzania dowód na wyrażenie zgody nie powinien być przechowywany dłużej, niż jest to bezwzględnie konieczne, m.in. do wywiązania się z prawnego obowiązku lub do ustalenia, dochodzenia lub obrony roszczeń.

Jak zatem można zapewnić rozliczalnośćw kontekście odbierania zgód? Przykładowe sposoby to:

  • archiwizacja formularzy służących do odebrania zgody na przetwarzanie danych osobowych (lub wykonanie skanu formularza),
  • zachowanie informacji na temat sesji, w ramach której udzielono zgody, wraz z dokumentacją obiegu zgody w czasie tej sesji, jak również wykonanie kopii informacji przedstawionych wówczas osobie, której dane dotyczą (jeżeli zgodę odebrano poprzez system informatyczny). Niewystarczające byłoby natomiast jedynie odniesienie się do prawidłowej konfiguracji strony internetowej,
  • archiwizacja wiadomości e-mail, jeżeli zgoda została wyrażona tym środkiem komunikacji,
  • utrwalenie rozmowy telefonicznej, w trakcie której odebrano zgodę na przetwarzanie danych osobowych, i archiwizacja nagrania.

Przykład:
Szpital organizuje program badań naukowych pod nazwą „projekt X”, do którego realizacji niezbędna jest dokumentacja dentystyczna prawdziwych pacjentów. Uczestników rekrutuje się telefonicznie spośród pacjentów, którzy dobrowolnie zgodzili się na wpisanie ich na listę kandydatów, do których można się zwrócić w tym celu. Administrator prosi osoby, których dane dotyczą, o wyraźną zgodę na wykorzystanie ich dokumentacji dentystycznej. Zgoda zostaje uzyskana w trakcie rozmowy telefonicznej przez nagranie ustnego oświadczenia osoby, której dane dotyczą, w którym osoba ta potwierdza, że zgadza się na wykorzystanie swoich danych do celów projektu X (wytyczne Grupy Roboczej Art. 29 dotyczące zgody na mocy rozporządzenia 2016/679, WP259 rev.01, s. 23).

Przedstawiciele doktryny (M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Warszawa 2018) podkreślają, że: "w literaturze wskazuje się, że administrator powinien archiwizować zgody wyrażane przez wszystkie osoby, do których kieruje zapytania. Jednocześnie przepisy RODO nie określają wymogu formy kwalifikowanej dla wyrażenia zgody, co pozwala przyjąć możliwość jej wyrażeniaw każdej formie.

Z tego też względu każdy środek, który będzie należycie udowadniał, że konkretna osoba udzieliła świadomej, dobrowolnej, konkretnej zgody, będzie wystarczający. Przy czym środki te powinny być adekwatne do tego, w jakich okolicznościach zapytanie o zgodę, jak i sama zgoda były złożone. Jeżeli odbywało się to w formie elektronicznej poprzez zaznaczenie okienka, to adekwatnym sposobem będzie zachowanie na serwerze administratora danych czy logów, które będą potwierdzały zaznaczenie okna dotyczącego zgody. W przypadku składania zgody poprzez e-maila dowodem jej złożenia będzie ten e-mail; podobnie w przypadku zgody wyrażanej na piśmie – adekwatne będzie zarchiwizowanie oryginału lub kopii takiego dokumentu (tak M. Mazewski, Prawo do wyrażenia, s. 53–54)".

Audyt RODO

W RODO nie określono ram czasowych, w których wyrażona zgoda jest ważna. Jeżeli operacje przetwarzania zmienią się w sposób znaczący, to należy uzyskać nową zgodę, a także ponownie zarejestrować fakt jej uzyskania i wymagany kontekst.

Podsumowując, administrator w każdej chwili powinien byćw stanie odpowiedzieć na pytania: kto, kiedy, jakiej treści zgodę wyraził i jakie informacje przekazał mu przy wyrażeniu zgody. Sposób spełnienia tego wymogu pozostaje jednak dowolny.

Więcej

-
Udostępnij na: -

Najpopularniejsze

Najnowsze


R.pr. Katarzyna Szczypińska
04 listopada 2019

Zapisz się na biuletyn

  • Najważniejsze informacje
  • Nowości, narzędzia, gratisy
  • Raz w miesiącu

Zapisz się