RODO określa wymogi dotyczące zgody, jakie administrator musi spełnić, opierając dany proces przetwarzania danych osobowych w oparciu o tę podstawę prawną.
Definicja zgody (art. 4 pkt 11 RODO)
Definicja zgody wg RODO: zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
Zgoda spełniająca określone RODO wymogi będzie stanowiła podstawę prawną przetwarzania, czyniąc zadość zasadzie legalności.
Wymogi zgody (zgodnie z definicją):
- dobrowolność: należy rozumieć jako brak przymusu i możliwość odmowy wyrażenia zgody; zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą (np. pracodawca – pracownik, choć tutaj przepisy krajowe przewidują możliwość pozyskania zgody); zgodnie z motywem 43 RODO - zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne. Zgoda nie będzie dobrowolna także w sytuacji, w której stanowi uzależnienie świadczenia drugiej strony.
- konkretność: wymóg powiązany z treścią zgody i celem przetwarzania; zgodnie z motywem 32 RODO zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach, natomiast jeżeli przetwarzanie służy różnym celom, potrzebna jest osobna zgoda na wszystkie te cele;
- świadomość: zakłada, że osoba jest poinformowana i powinna zdawać sobie sprawę z konsekwencji swojeg działania- motyw 42 RODO „aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych”
- jednoznaczność: przyzwolenie na przetwarzanie danych nie może budzić wątpliwości co do zamiaru osoby, która takie działanie podejmuje.
Warunki wyrażenia zgody
Warunki wyrażenia zgody precyzuje dalej art. 7 RODO:
- administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę (przyp. aut. przy spełnieniu ww. zasad i warunków wynikających z definicji i motywów RODO odnoszących się do zgody) - na przetwarzanie swoich danych osobowych (przyp. aut. zasada rozliczalności).
- jeżeli zgoda jest częścią pisemnego oświadczenia, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Część takiego oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie niniejszego rozporządzenia nie jest wiążąca.
- osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę – co więcej należy o tym poinformować zanim osoba wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.
- zgodę wyrażona jest dobrowolnie – m.in. od zgody na przetwarzanie danych nie może być uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.
W związku z zasadą przejrzystości, wyrażoną głównie w odniesieniu do obowiązku informacyjnego, zastosowanie będą mieć także takie wymogi jak zwięzłe, łatwo dostępne i zrozumiałe, a w stosownych przypadkach, dodatkowo wizualizowane komunikaty.
Zgoda jako podstawa prawna
Przetwarzanie danych osobowych musi odbywać się na określonej podstawie prawnej, z czego zgoda jest jedną z kilku podstaw prawnych przetwarzania wskazaną w RODO. Poza zgodą może to być wykonanie umowy, wykonanie obowiązku prawnego, realizacja celu wynikająca z prawnie uzasadnionego interesu administratora czy tez ochrona żywotnych interesów osoby.
Istotnym z punktu widzenia wymogów RODO jest, aby zgoda pozyskiwania była tylko dla tych operacji przetwarzania oraz danych, których nie można oprzeć na innej podstawie prawnej.