Od 25 maja 2018 r. znajdzie zastosowanie Rozporządzenie ogólne dotyczące ochrony danych osobowych (dalej jako RODO).

Jedną z przesłanek legalności przetwarzania danych osobowych jest zgoda osoby, której dane dotyczą. Przepisy RODO wskazują, jakie cechy powinna posiadać taka zgoda, aby była uznana za ważną.

Dodatkowo, w dniu 28 listopada 2017 r. Grupa Robocza art. 29 ds. Ochrony danych (jest to grupa powołana na podstawie przepisów RODO, która ma na celu przyczynianie się do jednolitego stosowania przepisów RODO, w tym jest uprawniona do wydawania opinii i wytycznych dotyczących ochrony danych osobowych) wydała wytyczne dotyczące ważności zgody na przetwarzanie danych osobowych na mocy RODO (nieoficjalna wersja polska w/w dokumentu została opublikowana pod koniec grudnia 2017 r.).

W w/w wytycznych podkreślono, że zgoda może być legalną przesłanką przetwarzania danych osobowych tylko w przypadku, gdy osoba, której dane dotyczą ma zapewnioną możliwość sprawowania kontroli oraz rzeczywistą możliwość wyboru co do wyrażenia zgody bez żadnych negatywnych konsekwencji. Gdy zgoda nie spełnia tych wymogów, będzie ona nieważna, a co za tym idzie, przetwarzanie danych będzie niezgodne z prawem.

Jednocześnie należy wskazać, że przetwarzanie danych na podstawie zgody podlega takim samym wymogom, jak przetwarzanie na innych podstawach, to jest w odniesieniu do rzetelności, konieczności, proporcjonalności i jakości danych. Co za tym idzie, przetwarzanie danych na podstawie zgody powinno być konieczne w odniesieniu do określonego celu przetwarzania.

W w/w wytycznych wskazano, że zgoda powinna spełniać następując elementy:

• dobrowolności – osoba, która ma wyrazić zgodę na przetwarzanie danych osobowych musi mieć możliwość rzeczywistego wyboru oraz kontroli; wskazano, że jeżeli osoba, której dane dotyczą nie ma możliwości rzeczywistego wyboru, czuje się zmuszona do wyrażenia zgody na przetwarzanie danych lub poniesie negatywne konsekwencje w przypadku niewyrażenia zgody, zgoda taka będzie nieważna. W szczególności wskazano na problematykę przetwarzania danych na podstawie zgody w zatrudnieniu, z uwagi na stosunek podporządkowania pracownika pracodawcy; wyrażenie zgody przez pracownika będzie skuteczne, jeżeli faktycznie będzie on miał możliwość wyboru, czy wyrazić zgodę na przetwarzanie danych osobowych, czy też odmówić zgody, bez doświadczenia obawy przed wystąpieniem lub rzeczywistego ryzyka wystąpienia negatywnych konsekwencji w przypadku niewyrażenia takiej zgody;
• konkretności – zgoda na przetwarzanie danych osobowych powinna precyzyjnie określać cel przetwarzania danych, jak również wskazywać zakres danych, które na podstawie zgody będą zbierane; zgoda blankietowa, ogólna, zawierająca w jednej klauzuli kilka celów przetwarzania będzie nieważna; ponadto, należy wyraźnie oddzielić informacje związane z uzyskaniem zgody na przetwarzanie danych od informacji dotyczących innych kwestii;
• świadomości – osobie, której dane mają być zbierane na podstawie zgody, należy zapewnić niezbędne informacje przed wyrażeniem przez nią zgody na przetwarzanie danych, aby umożliwić jej podjęcie świadomej decyzji co do wyrażenia takiej zgody, jak również zrozumienie, na co wyraża ona zgodę; klauzula zgody powinna być napisana jasnym i zrozumiałym językiem;
• jednoznaczności – wyrażenie ważnej zgody na przetwarzanie danych osobowych wymaga jednoznacznego okazania w formie oświadczenia lub wyraźnego działania potwierdzającego; osoba, która wyraża zgodę na przetwarzanie danych musi podjąć celowe działanie w celu wyrażenia zgody na określone przetwarzanie; zgodę można uzyskać w formie pisemnego lub zarejestrowanego ustnego oświadczenia, w tym drogą elektroniczną; milczenie lub bezczynność po stronie osoby, której dane dotyczą, jak również po prostu kontynuowanie usługi nie mogą być uznane za aktywne wskazanie wyboru, a co za tym idzie, wyrażenie zgody na przetwarzanie danych osobowych.

Administrator danych osobowych ma obowiązek zapewnienia możliwości wycofania zgody przez osobę, która ją wyraziła, w dowolnym momencie w sposób tak samo łatwy, w jaki zgoda została udzielona. Ponadto, administrator danych osobowych powinien umożliwić wycofanie zgody bezpłatnie, bez żadnych dodatkowych trudności, czy dodatkowych kosztów. 

Zgoda może być w każdym czasie odwołana. Należy mieć na uwadze, że zgodnie z RODO, wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.

W wytycznych wskazano, że zgody na przetwarzanie danych osobowych uzyskane na podstawie przepisów obowiązujących przed wejściem w życie RODO pozostają ważne, o ile spełniają przesłanki wyrażenia ważnej zgody na mocy RODO.  

W związku z powyższym, Administratorzy danych osobowych powinni dokonać analizy poszczególnych  klauzul zgody, na podstawie których odbywa się przetwarzanie danych osobowych celem sprawdzenia, czy będą one skuteczne również po wejściu w życie RODO.