RODO

Co powinna zawierać zgoda na przetwarzanie danych?

Zgoda musi być dobrowolna, świadoma, wyodrębniona od innych oświadczeń, możliwa do wycofania itd. To znamy. Wiadomo, że zgoda to najsłabsza podstawa przetwarzania danych osobowych, bo w każdej chwili może być wycofana. Dużo mówi się o tym, jaka powinna być zgoda, ale niewiele o tym, co powinna zawierać, a to jest równie istotne jak sama forma i sposób odebrania zgody.

  1. Oznaczenie administratora

Na pewno w treści zgody należy wskazać kim jest administrator. Bez tego elementu zgoda nie może być uznana za ważną, gdyż brak oznaczenia administratora skutkuje tym, że podmiot danych nie wie, komu udziela zgody. Minimalnie powinna zostać wskazana firma administratora (w przypadku przedsiębiorcy), a zatem w przypadku osoby fizycznej  jej imię i nazwisko (plus oznaczenie działalności gospodarczej, gdyż czasem te dwie kwestie się „rozjeżdżają”) a przy pozostałych podmiotach (osobach prawnych i ułomnych osobach prawnych) firma z rejestru. Dodatkowo można wskazać również adres albo inne elementy oznaczające np. numer NIP lub numer KRS.

2. Wskazanie celu przetwarzania danych.

Bez wskazania celu zgoda również nie jest ważna. Cel przetwarzania to niezwykle ważny element, gdyż podmiot danych, udzielając zgody, musi być świadomy nie tylko tego, komu udziela zgodę, ale również po co to robi. Należy przy tym pamiętać o zasadzie: „jedna zgoda = jeden cel” – nie można bowiem odbierać jednej zgody na kilka różnych celów, gdyż stanowiłoby to zaprzeczenie dobrowolności zgody.

3. Wskazanie zakresu danych

Patrząc na niektóre przykłady zgód z poradników PUODO, można się zastanowić, czy wymóg wskazania zakresu danych jest rzeczywiście konieczny. Niewątpliwie zgoda jest bezwzględnie nieważna, gdy nie zawiera oznaczenia administratora oraz wskazania celu przetwarzania danych. Co do wskazania zakresu danych na rynku widać różne podejście, jednak prawidłowe formułowanie zgód – zgodnie z zaleceniami Grupy Roboczej art. 29 powinno zawierać zakres danych. Podmiot danych powinien być świadomy zatem tego, które z jego danych osobowych konkretny administrator będzie wykorzystywał w konkretnych celach.

4. Pouczenie o prawie do wycofania zgody

Podmiot danych udzielający zgody ma prawo do jej wycofania w każdym czasie. Wycofanie zgody musi być równie łatwe jak jej wyrażenie. W naszej ocenie pouczanie podmiotu danych o prawie do wycofania zgody, jeśli o takim prawie pouczono już przy okazji realizacji obowiązku informacyjnego, wydaje się nadmiarowe. Mimo to – dla bezpieczeństwa – lepiej ponownie zawrzeć w formularzu zgody takie oświadczenie, gdyż wskazuje na to Grupa Robocza art. 29. Należy przy tym pamiętać o dodaniu fragmentu, że wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.

5. Dodatkowe informacje – równie ważne!

Dodatkowo – w przypadkach, w których jest to wymagane – w formularzu zgody powinna znaleźć się również informacja o wykorzystywaniu danych do decyzji opartych jedynie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, a także (przy transferach danych) informacja o możliwych zagrożeniach (ryzyku, braku decyzji Komisji) przy przekazywaniu danych do państw trzecich.

1 myśl w temacie “Co powinna zawierać zgoda na przetwarzanie danych?”

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s