BEZPIECZEŃSTWO DANYCH

Next Article

SZKOL ENIA

Zgoda, czyli kiedy można przetwarzać dane osobowe?

Zgoda osoby, której dane dotyczą, jest jedną z określonych w RODO przesłanek legalizujących przetwarzanie danych osobowych. Niestety często jest ona wykorzystywana jako przesłanka legalizująca w procesach, w których nie ma to uzasadnienia.

Karolina Szuścik , CISA, Inspektor Ochrony Danych, KAMSOFT S.A.

W codziennej pracy Inspektora Danych Osobowych często spotykam się z błędną opinią, że jeżeli zgoda na przetwarzanie danych osobowych nie została wyrażona, administrator nie może przetwarzać danych, co sugerowałoby, że istnieje wyłącznie jedna właściwa prze- słanka legalizująca. Rzecz ma się jednak zgoła inaczej, bowiem zgoda może być podstawą do przetwarzania danych, wyłącznie wtedy, gdy nie występują inne przesłanki legalizujące, które są określone w art. 6 ust. 1 RODO. Przepis ten, oprócz zgody, określa, że dane mogą być przetwarzane m.in. gdy jest to niezbędne do wykonania umowy, do wypełnienia obowiązku prawnego ciążącego na administratorze, do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a także gdy administrator musi zrealizować cel wynikający z prawnie uzasadnionych interesów. Zgoda zebrana w przypadku istnienia innych przesłanek legalizujących może prowadzić do naruszenia zasady rzetelności i przejrzystości, o których mowa w RODO, gdyż osoba udzielająca zgody byłaby przekonana, że to na tej podstawie przetwarzane są jej dane, więc gdy zgłosi chęć wycofania zgody – administrator zaprzestanie dalszego przetwarzania. Administrator zaś może mieć wręcz obowiązek przetwarzania danych, gdy mają zastosowanie inne wyżej przedstawione przesłanki, stąd usuwając dane

na podstawie żądania wycofania zgody mógłby np. naruszyć przepisy prawa zobowiązujące go do gromadzenia danych, jeżeli właściwą podstawą prawną dla tego procesu byłoby wypełnienie obowiązku prawnego ciążącego na administratorze. Wróćmy zatem do najważniejszego pytania – kiedy zgoda może stać się przesłanką legalizującą? Administrator każdorazowo jest zobowiązany do analizy procesu przetwarzania danych i dopiero gdy nie mają zastosowania wszystkie inne przesłanki, to podstawą do przetwarzania danych osobowych może być zgoda. Gdy jednak zgoda ma zastosowanie, musi ona spełniać określone warunki, by rzeczywiście mogła być podstawą przetwarzania. Definicja zgody określona w art. 4 pkt 11 RODO wskazuje, że jest to „dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba,

» Obowiązkiem Administratora jest umożliwienie wycofanie zgody w tak samo łatwy sposób jak jej wyrażenie. «

której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”. Definicja wskazuje, że zgoda nie może być przez administratora wymuszona, powinna być wyrażona wprost i musi okre- ślać osobę, która zgody udziela. Osoby te muszą wiedzieć także, komu udzielają zgody, jaki jest cel i zakres przetwarzania, a także przez jaki okres ich dane osobowe te będą przetwarzane. Administrator musi pamiętać o prawie do wycofania zgody w dowolnym momencie przez osobę, która zgodę wyraziła. Ponadto administrator został zobowiązany do poinformowania osoby o tym prawie, zanim wyrazi ona zgodę. Obowiązkiem Administratora jest także wdrożenie mechanizmów, które umożliwiają wycofanie zgody w tak samo łatwy sposób jak jej wyrażenie. Przykładem może być sytuacja, w której osoba wyraziła zgodę poprzez mechanizm zaimplementowany na stronie internetowej. W takim przypadku, na tejże stronie powinien istnieć analogiczny mechanizm do jej wycofania, a mechanizm taki powinien być łatwo dostępny i w żaden sposób nie powinien być ukryty. 

r e k l a m a

Uwolnij się od dokonywania zawiłych obliczeń dotyczących przysługującej ilości leku! Asystent e-recepty wyliczy odpowiednią ilość dla Ciebie!