Zgoda na przetwarzanie danych osobowych – jak powinna wyglądać?

Dane osobowe to wszystkie informacje, które umożliwiają zidentyfikowanie osoby. Coraz bardziej powszechna staje się wiedza na ich temat. Do ich przetwarzania potrzebna jest przesłanka legalizacyjna. Każda osoba gromadząca dane osobowe musi również posiadać zgody na przetwarzanie danych osobowych.

Kiedy musimy wyrazić zgodę na przetwarzanie danych osobowych?

Chcący uzyskać zgodzę na przetwarzanie danych osobowych, administrator musi jasno określić, dlaczego jest ona potrzebna. Klauzula musi zawierać konkretnie określony cel oraz zakres ich przetwarzania. Zgoda osoby, której dotyczą dane, jest przesłanką legalizującą w sytuacji, kiedy następuje: przetwarzanie danych zwykłych oraz szczególnych kategorii danych, profilowanie, czyli zautomatyzowane podejmowanie decyzji, a także w przypadku kiedy dane zostają przekazywane do państw należących do Europejskiego Obszaru Gospodarczego.

Najczęściej spotykane cele przetwarzania danych osobowych, gdzie konieczne jest uzyskanie zgody to wysyłanie newsletterów, uczestnictwo w konkursach lub programach lojalnościowych.

Jakie muszą być spełnione warunki, aby zgoda była ważna?

Definicja RODO mówi, że zgoda to: dobrowolne, konkretne, świadome i jednoznaczne wyrażenie woli osoby, której dane dotyczą, w postaci oświadczenia lub jednoznacznego działania potwierdzającego pozwolenia na przetwarzanie dotyczących danych osobowych.

Dobrowolność zgody oznacza sposobność dokonania rzeczywistego wyboru w kwestii jej udzielenia, a także sprawowanie kontroli nad tymi danymi. W przypadku, kiedy osoba, której dane dotyczą, zostaje zmuszona do wyrażenia zgody bądź jest narażona na negatywne skutki jej braku, wtedy zgoda jest nieważna.

Konkretność oznacza, że zgoda musi zawierać: określony cel przetwarzania danych, co zapobiegnie rozrostowi na inne cele, szczegółowe zapytanie o zgodę, klarowne oddzielenie informacji dotyczących uzyskania zgody na działania w sferze przetwarzania danych, od informacji obejmujących inne kwestie. Ma to za zadanie zapewnienie przejrzystości.

Świadomość wyrażenia zgody występuje w sytuacji, kiedy podmiot danych jest dokładnie poinformowany o ważnych elementach przetwarzania, do których zalicza się:

• tożsamość administratora,
• cel każdej operacji przetwarzania,
• jakie dane oraz rodzaj będzie zbierany i wykorzystywany,
• informację dotyczące wykorzystywania danych, przy decyzjach opartych na zautomatyzowanym przetwarzaniu,
• informujące o możliwych zagrożeniach dotyczących, przekazywania danych do krajów trzecich,
• możliwość wycofania zgody.

Jednoznaczność – w myśl przepisów RODO zaznacza, że wyrażona zgoda przez osobę, której dane dotyczą, wymaga oświadczenia lub wyraźnego działania, które ją potwierdza. Oznacza to, że musi być ona udzielona poprzez deklarację lub aktywne działanie.

Jak należy przechowywać zgodę na przetwarzanie danych osobowych?

Przechowywanie danych to utrzymywanie zapisów w zbiorach, które umożliwią korzystanie w myśl przetwarzania, a także ich udostępnianie uprawnionym osobom oraz podmiotom.

Przepisy RODO nie określają formalnie, w jaki sposób należy przechowywać udzielone zgody. Niemniej jednak, dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której one dotyczą. Okres ich przetrzymywania, nie może być dłuższy, niż jest to konieczne do zrealizowania celów, w których dane są przetwarzane.

Jaką rolę w ustalaniu całego tego procesu spełnia inspektor danych osobowych?

Inspektor Ochrony Danych Osobowych jest osobą powołaną przez administratora albo podmiot przetwarzający. Jej zadaniem jest pomoc przy przestrzeganiu przepisów o ochronie danych osobowych. Pełni on rolę pośrednika między Urzędem Ochrony Danych Osobowych a podmiotem przetwarzającym dane, a także osobą, której dane są przetwarzane. Ponadto sporządza ocenę ryzyka i skutków ochrony danych osobowych.

Podmioty publiczne oraz te, których działalność polega na przetwarzaniu danych osobowych, mają obowiązek zatrudnić Inspektora Danych Osobowych.

W przypadku kiedy przepisy nie nakazują zatrudnienia inspektora, a dana firma ma problemy z przepisami RODO, może skierować pracownika na kurs na inspektora danych osobowych. Takie szkolenie jest prowadzone przez doświadczonego praktyka administratora bezpieczeństwa informacji.

Przetwarzanie danych osobowych musi być zgodne z zachowaniem przepisów o ochronie danych osobowych. RODO nie wprowadziło rewolucyjnych zmian, odnośnie zgody na przetwarzanie danych. Niewątpliwie doszło do zaostrzenia wymagań dotyczących wyrażenia zgód, mając na celu umożliwienie podmiotowi tych danych sprawowanie kontroli nad ich przetwarzaniem. Warto pamiętać, że zgody nie można wymuszać, ani w przypadku jej braku, obarczać negatywnymi konsekwencjami.