Czym jest zgoda na przetwarzanie i jakie prawa się z nią wiążą?
Dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Danymi osobowymi będzie zatem imię i nazwisko, adres czy numer PESEL, ale także dane o lokalizacji lub adres IP. Wszystkie dane, które potencjalnie pozwalają innym zidentyfikować konkretną osobę, należą do kategorii danych osobowych.
Kto jest właścicielem danych osobowych? Osoba, której dane dotyczą. To ona jest dysponentem danych i może decydować, jakie operacje będą na przedmiotowych danych wykonywane. To ona zatem podejmuje decyzję, czy i komu chce je udostępnić.
Czasami udostępnienie danych jest nieuniknione. Jeżeli potrzebujemy załatwić sprawę w urzędzie, lub składamy powództwo w sądzie, jesteśmy zobligowani z mocy prawa do ujawnienia naszych danych. Jeżeli odmówimy ich ujawnienia, musimy liczyć się z tym, że organ nie będzie w stanie przyjąć i rozpatrzyć naszej sprawy. Inaczej wygląda kwestia w przypadku podmiotów, z którymi nawiązujemy relację w sposób dobrowolny. Działamy na zasadzie nieprzymuszonej woli i na takiej samej zasadzie udostępniamy podmiotowi dane. Wówczas mówimy o wyrażeniu zgody na przetwarzanie danych osobowych. Dlaczego to takie ważne? Artykuł 6 RODO stanowi, że przetwarzać dane, a więc dokonywać na nich wszelkiego rodzaju operacji, można tylko i wyłącznie jeżeli są ku temu podstawy prawne. W paragrafie pierwszym czytamy:
Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Innymi słowy, podmiot, któremu zostaną powierzone nasze dane, będzie przetwarzał je legalnie tylko wtedy, gdy zajdzie jedna z przesłanek z art. 6 RODO, w tym m.in. będzie posiadał zgodę osoby, której dane przetwarza. Nie oznacza to jednak, że staje się właścicielem danych. Osoba, której dane dotyczą, nadal pozostaje ich dysponentem. Przysługuje jej szereg praw, z których może skorzystać w całym procesie przetwarzania. Są to:
prawo dostępu do danych,
prawo do sprostowania danych,
prawo do ograniczenia przetwarzania danych osobowych,
prawo do przenoszenia danych osobowych,
prawo sprzeciwu wobec przetwarzania,
prawo do bycia zapomnianym (usunięcia danych).
Możliwość skorzystania z prawa do sprzeciwu wobec przetwarzania, do ograniczenia przetwarzania czy do usunięcia danych sugeruje, że nie istnieje możliwość, aby raz wyrażona zgoda wiązała nas na wieczność. Mamy prawo, aby w dowolnym momencie, bez niepotrzebnego utrudniania tej operacji ze strony podmiotu, cofnąć udzieloną zgodę i oczekiwać, że nasze dane zaprzestaną być wykorzystywane.
W praktyce możemy nie chcieć dalej udostępniać naszych danych z kilku powodów. Po pierwsze, na etapie dokonywania transakcji zwykle ochoczo zgadzamy się na przetwarzanie naszych danych. Wielu przedsiębiorców stosuje metody, które nie pozwalają klientowi przejść do dalszych etapów transakcji, jeżeli ten nie wyrazi zgody na przetwarzanie danych lub po prostu faktycznie transakcja bez podania tych danych jest niemożliwa (np. podstawowych danych osobowych, numeru NIP). Z czasem jednak przetwarzanie naszych danych przez dany podmiot zaczyna nas męczyć lub wręcz niepokoić.
Zauważamy, że podmiot wykorzystuje nasze dane w sposób sprzeczny z treścią zgody lub w sposób całkowicie odrębny od tego, na jaki się godziliśmy. Innym kazusem są osoby, które w ogóle nie czytają zgód, godząc się na wszystko, odhaczając kolejne okienka i tak naprawdę nie mamy pojęcia – aż do czasu – co dzieje się z ich danymi. Tymczasem w dzisiejszych czasach wiele firm traktuje dane osobowe niczym cenne aktywa – oznaczają możliwość spersonalizowania swojego klienta, czy przekazywania mu materiałów marketingowych. W ich interesie nie będzie leżało zatem to, aby klienci cofali zgody na przetwarzanie.
Wycofanie zgody na przetwarzanie danych osobowych – jak to zrobić?
Art. 7 ust. 3 RODO wyznacza przetwarzającemu dane obowiązek informowania osób, których dane gromadzi, o przysługujących im prawach, w tym o prawie do cofnięcia zgody. Każda z osób przed wyrażeniem zgody powinna mieć świadomość, że w dowolnej chwili może ją wycofać. Może zrobić to także częściowo, zachować zgodę na przetwarzanie danych w celu świadczenia usługi, ale np. cofnąć zgody marketingowe. W ten prosty sposób można uwolnić się od niechcianych newsletterów lub telefonów.
Ten sam przepis stanowi także, że cofnięcie zgody pozostaje bez wpływu na legalność przetwarzania, w czasie kiedy zgoda jeszcze obowiązywała. Krótko mówiąc, cofnięcie zgody działa ex nunc. Jeżeli chcemy, aby nasze dane zostały całkowicie wycofane z baz danych przetwarzającego, powinniśmy również wystąpić o ich usunięcie na podstawie art. 17 RODO. Osoba, której dane dotyczą, ma bowiem prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z okoliczności wskazanych w art. 17 ust. 1 RODO.
Zacznijmy jednak od podstaw. Jak zabrać się za cofnięcie zgody? Cóż w praktyce wystarczy po prostu ją… złożyć. Co do zasady nie ma bowiem sztywnych reguł dotyczących formy, terminu czy sposobu cofnięcia zgody. Tak właściwie, do zakończenia przetwarzania naszych danych powinna wystarczyć jakakolwiek informacja z naszej strony dotycząca odwołania zgody. W praktyce jednak przedsiębiorcy mogą stosować drobne formalności związane z cofaniem zgód i np. prosić, aby kierować je na konkretny adres mailowy, czy wręcz umożliwiać to poprzez zakładkę na swojej stronie internetowej.
Ponadto generalna zasada stanowi, że cofnięcie zgody powinno być dla osoby, której dane dotyczą, tak samo bezproblemowe jak jej wyrażenie. Wskazuje na to o również art. 7 ust. 3 RODO. Przedsiębiorcy, w których interesie – jak zostało wskazane powyżej – nie leży wyzbywanie się danych, często podejmują się praktyk mających na celu obejście tej zasady. Wieloetapowa weryfikacja lub skomplikowany proces rezygnacji to tylko niektóre, stosowane metody. Prezes Urzędu Ochrony Danych Osobowych ma jednak w tej sprawie jasne stanowisko. Na swojej stronie internetowej informuje: jeżeli np. na stronie internetowej istniał mechanizm do wyrażenia zgody, to powinien być również podobny do jej wycofania. Rozwiązanie takie nie powinno być w żaden sposób ukryte. Podobnie gdy administrator odbierał zgodę drogą mailową czy telefoniczną, to w tym wypadku jej odwołanie powinno być możliwe w ten sam sposób. W bezkompromisowym podejściu do bezprawnej praktyki wtórują PUODO również sądy. W lutym 2021 roku Wojewódzki Sąd Administracyjny w Warszawie (sygn. II SA/Wa 2378/20) w odpowiedzi na skargę spółki dotkniętej decyzją PUODO, wydał rozstrzygnięcie w którym orzekł, że pytanie o powód cofnięcia zgody jest jedną z form utrudnienia cofnięcia zgody lub wręcz stanowi uniemożliwienie realizacji praw osób, których dane dotyczą. Takie działanie stanowi jednocześnie naruszenie zasady zgodności z prawem, przejrzystości i rzetelności przetwarzania danych.
Warto także pamiętać, że każdego przetwarzającego nasze dane obowiązują zasady retencji danych. W zależności od charakteru i celu gromadzenia danych obowiązkiem przetwarzającego jest cykliczne “czyszczenie” danych. Dane osobowe mogą być bowiem przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, dla których realizacji dane te są przetwarzane, co wynika z art. 5 RODO. Jeżeli zatem podmiot, któremu przekazaliśmy dane, przetwarza je zgodnie z prawem, powinniśmy móc być spokojni o to – że nawet mimo braku cofnięcia zgody – nie będzie przetwarzał naszych danych dłużej, niż jest to konieczne. A następnie je usunie.
Co powinien zrobić administrator w kontekście cofnięcia zgody na przetwarzanie danych?
Motyw 59 preambuły RODO stanowi, że podmiot przetwarzający dane powinien przewidzieć procedury ułatwiające osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy RODO, w tym mechanizmy żądania – i gdy ma to zastosowanie bezpłatnego uzyskiwania – w szczególności dostępu do danych osobowych i ich sprostowania lub usunięcia oraz możliwości wykonywania prawa do sprzeciwu. A zatem każdy administrator powinien przygotować się na ewentualność cofnięcia zgód przez osoby, których dane przetwarza.
Administrator powinien zapewnić możliwość wnoszenia odnośnych żądań także drogą elektroniczną, w szczególności gdy dane osobowe są przetwarzane drogą elektroniczną. Jest to wygodne dla osób, których dane są gromadzone, jak również dla samego administratora. Zwykle elektroniczne metody pozwalają na cofnięcie zgody jednym kliknięciem, bez konieczności osobistego kontaktu z przedstawicielem przetwarzającego. Jeżeli jednak do cofnięcia zgody dojdzie w drodze bezpośredniej wiadomości, Administrator jest zobowiązany udzielić odpowiedzi na żądania osób, których dane dotyczą, bez zbędnej zwłoki, najpóźniej w terminie miesiąca, a jeżeli nie zamierza spełnić takiego żądania – podać tego przyczyny.
W konsekwencji otrzymania informacji o cofnięciu zgody na przetwarzanie, administrator powinien powstrzymać się od dalszego przetwarzania. Cofnięcie zgody, co zostało już wspomniane, pozostanie bez wpływu na jego wcześniejsze przetwarzanie.
Na opieszałych przetwarzających, którzy uchylają się od spełnienia żądań cofnięcia zgody, lub nadmiernie utrudniają tę operację, czyha Prezes Urzędu Ochrony Danych Osobowych. Podmiotom grożą wysokie kary pieniężne, a działające w ich imieniu osoby fizyczne mogą zostać pociągnięte do odpowiedzialności karnej.
Gdzie mogę szukać pomocy?
Na etapie wyrażania zgody na przetwarzanie powinniśmy zostać poinformowani o tym, jakie prawa nam przysługują oraz do kogo zwrócić się, jeżeli czujemy, że nasze dane są przetwarzane niewłaściwie lub w sposób niechciany. Wielu z administratorów powołało specjalne jednostki kontaktowe w zakresie RODO, tj. Inspektorów Ochrony Danych. Są to osoby odpowiedzialne za przestrzeganie przepisów dotyczących danych w przedsiębiorstwie, jak również pełnią funkcję punktów kontaktowych między firmą, a jej klientami oraz firmą a PUODO.
Jeżeli tylko pojawiają się w naszej głowie wątpliwości – powinniśmy się z nimi skontaktować. Na stronie internetowej firm odnajdziemy zwykle dedykowane im adresy mailowe, telefony lub formularze kontaktowe. Nie wahajmy się korzystać z tych rozwiązań. Ponadto większość przedsiębiorców udostępnia na swoich stronach informacje i wskazówki związane ze stosowaniem przepisów o ochronie danych i prawach przysługujących konsumentom. Warto się z nimi zapoznać jeszcze przed zawarciem transakcji.
Jeżeli jednak nie usatysfakcjonuje nas sposób rozwiązania problemu przez firmę, możemy zgłosić nasze wątpliwości do Urzędu Ochrony Danych Osobowych, znajdujący się przy ul. Stawki w Warszawie. Zgłoszenia naruszenia naszych praw możemy dokonać telefonicznie, mailem, lub przez elektroniczną skrzynkę podawczą ePUAP.
Podsumowanie
Dane osobowe stały się jedną z najbardziej pożądanych walut na rynku. Są wykorzystywane zarówno w celach marketingowych jak i sprzedażowych. Trudno się dziwić, że przedsiębiorcy niechętnie realizują prawo osób do cofnięcia zgody na przetwarzanie. Powinniśmy mieć jednak świadomość, że jest to nasze niezbywalne prawo które możemy zrealizować w każdym czasie, miejscu i sposobie. Jeżeli podmiot utrudnia nam cofnięcie zgody, mamy prawo zgłosić ten fakt do Urzędu Ochrony Danych Osobowych.
Cofnięcie zgody na przetwarzanie danych – słowem podsumowania
Dane osobowe stały się jedną z najbardziej pożądanych walut na rynku. Są wykorzystywane zarówno w celach marketingowych jak i sprzedażowych. Trudno się dziwić, że przedsiębiorcy niechętnie realizują prawo osób do cofnięcia zgody na przetwarzanie. Powinniśmy mieć jednak świadomość, że jest to nasze niezbywalne prawo które możemy zrealizować w każdym czasie, miejscu i sposobie. Jeżeli podmiot utrudnia nam cofnięcie zgody, mamy prawo zgłosić ten fakt do Urzędu Ochrony Danych Osobowych.
Pytania
Wyrażenie zgody jest przesłanką legalizującą przetwarzanie danych. Może się więc wydarzyć tak, że bez tej zgody, podmiot przetwarzający nie będzie w stanie w dalszym ciągu świadczyć oferty na rzecz osoby, która cofnęła zgodę.
Absolutnie nie. Byłoby to utrudnianie cofnięcia zgody, a takie działanie jest zabronione.
Administrator może powstrzymać się od spełnienia żądania w zakresie usunięcia danych w przypadkach wskazanych w art. 17 ust. 3 RODO. Są wśród nich m.in. konieczność wywiązania się z prawnego obowiązku któremu podlega administrator, względy interesu publicznego w dziedzinie zdrowia publicznego lub ustalenie, dochodzenie lub obrona roszczeń.
Zaufali nam: