,,Zgoda” jest z całą pewnością w powszechnym odczuciu najpopularniejszą i (choć błędnie) jedyną podstawą przetwarzania danych osobowych zarówno zwykłych i szczególnych kategorii (tzw. danych wrażliwych). Jako jedna z autonomicznych podstaw prawnych (jedna z sześciu w kontekście danych zwykłych kategorii oraz jedna z dziesięciu w kontekście danych szczególnych kategorii tzw. danych wrażliwych) uprawnia administratora danych do przetwarzania określonych danych osobowych.
Należy pamiętać, że rzeczywiste jej odebranie od osoby, której dane dotyczą nie zawsze upoważnia nas do przetwarzania danych osobowych tego konkretnego podmiotu danych.
Czym jest zgoda na przetwarzanie danych osobowych?
To nic innego, jak dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym podmiot danych (osoba, której dane dotyczą), w formie oświadczenia lub wyraźnego działania potwierdzającego przyzwala na przetwarzanie jego danych osobowych.
Ważne, aby podczas odbierania ,,zgody” spełnione zostały łącznie wszystkie powyższe przesłanki, a brak którejkolwiek z nich będzie przesądzał o tym, że chociaż formalnie (fizycznie) będziemy nią dysponowali to w świetle prawa będzie ona najzwyczajniej nieważna a administrator danych naruszy zasadę legalności przetwarzania danych osobowych (zgodności z prawem).
Przy odbieraniu ,,zgody” administrator danych musi także pamiętać o wszystkich pozostałych zasadach przetwarzania danych, a w szczególności aby nie odbierał tych oświadczeń ,,na zapas” czy też zbierał danych osobowych, które nie będą mu do niczego potrzebne.
Zgoda jako podstawa prawna przetwarzania.
Chociaż RODO wprost wskazuje nam, że każda z podstaw prawnych przetwarzania danych osobowych (zarówno zwykłych jak i szczególnych kategorii) jest niezależna od pozostałych i posiadanie choćby jednej uprawnia nas do przetwarzania, to w praktyce przyjmuje się, że ,,zgoda” znajduje zastosowanie jedynie w przypadku, gdy naszego procesu przetwarzania nie możemy oprzeć na żadnej z pozostałych przesłanek przetwarzania danych osobowych. Wobec tego wystarczy stwierdzenie, że ,,zgoda” to ostateczność, choć może się okazać, że i tak będzie niewystarczająca (niedopuszczalna).
Sytuacje w których odebranie zgody jest niemożliwe lub znacznie ograniczone.
Oprócz sytuacji, gdy w naszym procesie przetwarzania zastosowanie znajdzie inna podstawa prawna, RODO oraz dotychczasowa praktyka ukształtowały sytuacje, w których ze względu na określone relacje podmiotów (czy też ich sytuację prawną, gospodarczą etc.), odebranie ,,zgody” będzie przeczyło jej dobrowolności. Przede wszystkim mowa tutaj o przypadkach nadrzędności jednego podmiotu względem drugiego, gdzie podmiot nadrzędny może najzwyczajniej ,,wymusić” od podmiotu podległego zgodę na określone procesy przetwarzania poprzez zagrożenie jakimiś konsekwencjami w przypadku braku jej wyrażenia.
Oczywistymi przykładami nadrzędności jednego podmiotu względem drugiego są relacje organ administracji publicznej – obywatel czy też pracodawca – pracownik.
Powoływanie się przez te podmioty na ,,zgodę” jest ograniczone jedynie do ściśle określonych przypadków, kiedy podległe podmioty mają rzeczywisty wolny wybór i w konsekwencji (a właściwie wobec ich braku) mogą udzielić lub później ją wycofać bez jakiejkolwiek szkody dla ich życia prywatnego czy też zawodowego.
Podsumowanie.
Zgoda nie jest jedyną przesłanką uprawniającą nas do przetwarzania danych osobowych, zaś jej zastosowanie nadejdzie wyłącznie w przypadku, gdy nie będziemy mogli powołać się na żadną z pozostałych przesłanek określonych w RODO. Podczas jej odbierania musimy zadbać o to, aby wszystko odbywało się na zasadach dobrowolności i jednoznaczności, a osoba która wyraża zgodę wiedziała o tym na co ją wyraża i przede wszystkim po co. Niespełnienie tych zasad podczas odbierania zgody skutkowało będzie w rzeczywistości jej nieważnością, co będzie mogło nas narazić na konsekwencje w postaci postępowania administracyjnego przed organem nadzorczym.
Kwestia oparcia procesu przetwarzania na podstawie zgody, powinna być każdorazowo oceniania przez Administratora we współpracy z Inspektorem Ochrony Danych lub osobą specjalizującą się w prawie ochrony danych osobowych, aby uniknąć przez Administratora dotkliwych konsekwencji.
Źródła:
https://uodo.gov.pl/pl/138/1638