Jak powinna brzmieć klauzula zgody na przetwarzanie danych osobowych

Akceptacja zainteresowanego przetwarzania jego danych musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego już w momencie jej wyrażania.

Publikacja: 17.06.2014 03:00

Jak powinna brzmieć klauzula zgody na przetwarzanie danych osobowych

Foto: www.sxc.hu

Michał Kołtuniak

Każdy przedsiębiorca, w celu gromadzenia danych osobowych swoich klientów, musi wykazać istnienie przynajmniej jednej z przesłanek wskazanych w przepisach ustawy o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.). Zakładając, że chodzi tu wyłącznie o tzw. dane zwykłe (np. imię, nazwisko, adres, numer telefonu), a nie o dane wrażliwe (np. odnoszące się do stanu zdrowia, nałogów, poglądów politycznych), katalog tych przesłanek zawiera art. 23. Zgodnie z nim przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

- ?osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

- ?jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

- ?jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie tej osoby,

- ?jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

- ?jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Tym samym, jeżeli możliwość gromadzenia informacji o osobie fizycznej nie wynika z istnienia jakiegoś konkretnego przepisu, nie jest wynikiem umowy łączącej tę osobę z przedsiębiorcą, do której wykonania niezbędne jest dysponowanie takimi danymi, względnie nie ma zastosowania inna przesłanka, do legalnego korzystania z danych potrzebna jest wyraźna zgoda samego zainteresowanego. I trzeba przyznać, że przedsiębiorcy bardzo często korzystają właśnie z tej możliwości. I to nawet wtedy, gdy w świetle prawa takiej zgody mieć nie muszą. Zupełnie inną kwestią jest to, że takie klauzule, w których osoby mają wyrazić zgodę na wykorzystanie ich danych, są błędnie formułowane.

Nie naśladuj

Przykładowo w ostatnim czasie generalny inspektor ochrony danych osobowych zwrócił się do przedsiębiorcy o zmianę stosowanej przez niego klauzuli, zarzucając jej niezgodność z prawem. A takie było brzmienie tej klauzuli: „wyrażam zgodę na przetwarzanie danych osobowych przez Administratora, którym jest Koncern, dla celów związanych z realizacją serwisu internetowego dla klientów Programu (...), w tym na udostępnienie ich Partnerom współpracującym z Koncernem w Programie (...) oraz podmiotom powiązanym kapitałowo z Koncernem". Dlaczego taka klauzula pozostaje w sprzeczności z zasadami wynikającymi z przepisów ustawy o ochronie danych osobowych? Jest bowiem sformułowana w sposób niewłaściwy.

Definicja z przepisów

Przede wszystkim należy zaznaczyć, że zgodnie z art. 7 pkt 5 ustawy przez zgodę osoby, której dane dotyczą, rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli ?o innej treści. Definicja ta wyraźnie wskazuje, że zgoda nie może mieć charakteru domniemanego. Istotne jest, aby osoba, której dane dotyczą, miała czynny wpływ na proces przetwarzania danych osobowych, zwłaszcza gdy konieczne jest wyrażenie przez tę osobę zgody. Naczelny Sąd Administracyjny w wyroku ?z 4 kwietnia 2003 r. (II SA 2135/2002) stwierdził, że: „Zgoda (...) musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania (...)". Ponadto ?w wyroku z 11 kwietnia 2003 r. (II SA 3942/2004) Naczelny Sąd Administracyjny orzekł, że: „(...) zgoda (...) nie może mieć charakteru abstrakcyjnego, lecz winna się odnosić do skonkretyzowanego stanu faktycznego, obejmując tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania (...)". Natomiast zacytowana klauzula nie wyjaśnia, w jakim celu partnerzy koncernu i/lub firmy powiązane z nim kapitałowo miałyby przetwarzać zgromadzone dane osobowe.

Dla jednego administratora

Po drugie, należy wskazać, że formuła zgody na przetwarzanie danych powinna stanowić odrębne od innych oświadczenie osoby, która ją wyraża, zaś z jej treści powinno w sposób niebudzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Z tych względów zacytowana wyżej klauzula także została błędnie sformułowana.

Zgoda na przetwarzanie danych osobowych klientów programu przez koncern powinna być oddzielona od zgody na udostępnienie danych osobowych partnerom współpracującym z koncernem i wyrażona oddzielnie podmiotom powiązanym z nim kapitałowo (jeżeli klient chciałby taką zgodę udzielić). Takie stanowisko można uzasadnić, powołując się na orzecznictwo. Jak wskazał w swoim wyroku z 27 kwietnia 2011 r. Wojewódzki Sąd Administracyjny (II SA/Wa 269/11): „umieszczenie zgody na dwa w istocie różne sposoby przetwarzania udzielonych danych osobowych w jednym zdaniu, bez ich rozdzielenia i wskazania, czego ta zgoda dotyczy, w niewątpliwy sposób powoduje, iż osoba wyrażająca zgodę nie wie dokładnie, na co wyraża taką zgodę".

Wojciech Rafał ?Wiewiórowski, generalny inspektor ochrony danych osobowych

Formuła zgody na przetwarzanie danych osobowych powinna stanowić odrębne oświadczenie dla każdego z celów przetwarzania tych danych, a z treści każdej z takich zgód powinno w sposób niebudzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Przy odbieraniu zgody zagwarantowana powinna być opcjonalność, tj. osoba składająca oświadczenie powinna mieć możliwość wyrażenia zgody na określone działania, albo niewyrażania tej zgody. Wskazać także należy, że zgoda powinna być wyrażana dla każdego z podmiotów odrębnie, a nie zbiorczo dla „partnerów" czy „podmiotów powiązanych kapitałowo", gdy nie są oni znani.

Istnieją obowiązki informacyjne

Warto także dodać, że na gruncie przepisów ustawy o ochronie danych osobowych czym innym jest pozyskiwanie zgody ?na przetwarzanie danych osobowych, a czym innym realizacja obowiązku informacyjnego. Dopełnienie przez administratora danych takiego obowiązku powinno polegać na przekazaniu informacji określonych w art. 24 ust. 1 pkt 1–4 ustawy. A jest tam mowa o:

- ?adresie siedziby administratora i jego pełnej nazwie, które to informacje muszą być obowiązkowo wskazane,

- ?celu zbierania danych, a w szczególności o znanych administratorowi w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,

- ?prawie dostępu do treści danych oraz ich poprawiania przez osobę zainteresowaną,

- ?dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Zaznaczyć należy, że obowiązek informacyjny powinien zostać zrealizowany wobec osoby, której dane dotyczą najpóźniej ?w momencie zbierania jej danych osobowych, chyba że zachodzą przesłanki wyłączające obowiązek jego wypełnienia, przewidziane w art. 24 ust. 2 i art. 25 ust. 2 ustawy.

Dane Osobowe Dobra Osobiste Finanse w Firmie

Pozostało jeszcze 92% artykułu

Prawo w firmie

Rządowa deregulacja w Sejmie. Szybkie tempo prac i krytyka opozycji

Rządowy pakiet deregulacyjny ma uprościć życie przedsiębiorcom. Sejmowa opozycja zauważa, że likwiduje niewiele...

Materiał Promocyjny

Nieruchomości Orange - znajdź swoją nadmorską inwestycję

Prawo w firmie

Najlepsze studia MBA w Polsce. Wyniki rankingu Perspektywy 2025

Perspektywy opublikowały wyniki kolejnego rankingu programów MBA, czyli studiów kształcących menedżerów. "Złotą...

Uczestnicy debaty od lewej: Wojciech Bazan, Jolanta Sergot-Kowalska, Grzegorz Lang, Tomasz Pietryga,

Prawo w firmie

Dialog między zamawiającymi a wykonawcami to priorytet. Debata "Rzeczpospolitej"

Współpraca podmiotów państwowych i samorządowych z sektorem prywatnym jest kluczowa dla zwiększenia efektywności...

Prawo w firmie

Układy zbiorowe. Jest dobry sposób na ich upowszechnienie

Pieniądze publiczne powinny poprawiać płace i warunki pracy zatrudnionych – wynika z ogólnoeuropejskiego badania.

Materiał Promocyjny

Fiat Ducato w leasingu 102,9% z promocyjnym ubezpieczeniem za 1% wartości auta

W czwartek Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał wyrok, który jest prawdziwym prze

Prawo w firmie

Przełomowy wyrok TSUE w sprawie odpowiedzialności zarządu za podatki spółki

Członkowie zarządu będą mogli realnie bronić się w postępowaniach o przeniesienie na nich odpowiedzialności za p...

Materiał Promocyjny

Między elastycznością a bezpieczeństwem

W debacie o rynku pracy nie można zapominać o człowieku. Ideałem dla większości pozostaje umowa o pracę, ale technologie i potrzeba elastyczności oferują nowe rozwiązania.