Nie ma zgody na zgodę

Dla wielu – zbyt wielu – osób, ochrona danych osobowych kojarzy się z zakazami. Skoro weszło RODO, to pytajmy pokornie wszystkich wokoło, czy możemy przetwarzać ich dane. NIE!

Ochrona danych osobowych nie oznacza zakazu ich przetwarzania. RODO przewiduje wiele przypadków, kiedy można te dane przetwarzać. Zwłaszcza jeżeli to nie są dane szczególnych kategorii (czyli nie są to tzw. „dane wrażliwe”). Jednym z takich przypadków jest zgoda osoby, której dane dotyczą. Zgoda, bardzo niefortunnie umieszczona pod punktem (a) artykułu 6 rozporządzenia.

Wydaje się, że to jest powodem namnożenia koszmarnej liczby zgód, takich  jak np. „zgoda na przetwarzanie danych dziecka w dzienniku szkolnym”, „zgoda na rozliczenie podatkowe”. No bo skoro są dane, skoro dane są chronione, to wymagajmy zgody. No właśnie, wymagajmy! Rodzicu, musisz się zgodzić, no bo jakże to bez zgody? Uczeń ocen w dzienniku mieć nie będzie. Pracowniku, musisz się zgodzić, no bo jakże to bez zgody? Podatków nie rozliczymy!

Czy na pewno zgoda?

Podstawową cechą zgody jest jej DOBROWOLNOŚĆ i o zgodę możemy jedynie prosić! Grzecznie, pokornie, nigdy z pozycji siły. To pierwszy test na to, czy zgoda może być zastosowana – dobrowolność. Nie ma dobrowolności, to na pewno przesłanką przetwarzania nie jest zgoda.

I wtedy NIE WOLNO zgody pobierać! Bo to dezorientuje osobę, której dane dotyczą. Ma poczucie możliwości podejmowania decyzji, podczas gdy tej dobrowolności nie ma.

Ważna informacja – zgoda powinna być dobrowolna, ale nie każde dobrowolne podanie danych to zgoda!

Kolejną cechą zgody jest też to, że w każdej chwili może być wycofana i musi to być respektowane. Nie można powiedzieć petentowi, że zgodę wyraził co prawda dobrowolnie, ale teraz już klamka zapadła. Nawet jeżeli wycofanie zgody niesie dla administratora straty finansowe (np. już wydrukował 3 szafy ulotek, które teraz należy zniszczyć).

Dlatego właśnie zgoda, choć jest pod literą (a) artykułu 6 (dane zwykłych kategorii) i pod literą (a) artykułu 9 (dane szczególnych kategorii), powinna być traktowana jako ostateczność,  gdy żadne z kolejnych liter nie dają się dopasować (a tak dzieje się bardzo rzadko).

Jeżeli nie zgoda, to co?

W przypadku danych zwykłych, katalog możliwości z artykułu 6 RODO jest dość spory. Pod punktem (b) mamy działania związane z umową, a pod punktem (c) działania wymagane przepisami prawa. Jeżeli więc przetwarzamy (a przetwarzanie to także udostępnianie!) dane w celach rozliczeń podatkowych, ZUS, SIO czy innych wymaganych prawem (np. oświatowym), to przesłanką będzie zawsze litera (c).

Nie wolno więc pobierać zgody na przetwarzanie danych w celu realizacji podstawy programowej (w szkole i przedszkolu), w celu prowadzenia dziennika lekcyjnego (nawet elektronicznego), w celu rozliczeń podatkowych, ubezpieczeń społecznych, prowadzenia teczki pracowniczej itp. To są wszystko działania wymagane prawem.

Przesłanką może być też umowa (lit. b), czyli umowa o pracę, umowa najmu, umowa o udział ucznia w prywatnych lekcjach języka itp. Umowa to także regulamin konkursu. Można konkurs oprzeć na zgodzie uczestników, jednak czy jej wycofanie np. w połowie pracy jury nie rozwali całej koncepcji konkursu?

Kodeks Cywilny

Art. 384. § 1. Ustalony przez jedną ze stron wzorzec umowy, w szczególności ogólne warunki umów, wzór umowy, regulamin, wiąże drugą stronę, jeżeli został jej doręczony przed zawarciem umowy.

Kodeks cywilny przewiduje regulamin jako formę umowy, więc moim zdaniem lepiej oprzeć konkurs o przesłankę (b) – umowa niż (a) – zgoda.

Często zapominamy też o przesłance (f), czyli przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Przykładowo – firma chce wysłać kierowcę po towar do magazynów innego przedsiębiorstwa i musi przekazać dane indentyfikacyjne tego kierowcy, aby został on wpuszczony na teren. Lub odwrotnie – przetwarzamy dane pracowników innych podmiotów, w celu ich identyfikacji, zapewnienia bezpieczeństwa itp.

W oparciu o przesłankę (f) prowadzimy portiernię w szkołach i zakładach pracy. Celem zapewnienia bezpieczeństwa osób i mienia, legitymujemy lub spisujemy, a nawet nagrywamy monitoringiem wizyjnym osoby wchodzące na teren.

Trochę trudniej jest z danymi szczególnych kategorii (tzw. dane wrażliwe, czyli:  pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, dotyczące zdrowia, seksualności lub orientacji seksualnej), ale i tam można znaleźć zapisy pozwalające na ucieczkę od zgody.

Kiedy jednak zgoda?

W przypadku szkół i przedszkoli, które leżą w kręgu moich zawodowych zainteresowań, zgoda praktycznie nie występuje. Pobieramy zgodę na wykorzystanie wizerunku (ale to nie tylko RODO, ale także Ustawa o prawie autorskim i prawach pokrewnych – Art. 81) i na publikowanie informacji o osiągnięciach uczniów na stronach WWW szkoły (choć i tu część osób dopatruje się innych niż zgoda przesłanek).

Na pewno pobierałbym zgodę na publikację danych na portalach społecznościowych (Facebook, Twitter itp.), bo tam administrator traci częściową kontrolę nad danymi i z automatu przekazuje pewne prawa do firm trzecich i to spoza Europejskiego Obszaru Gospodarczego.

Oczywiście zgodą w niektórych firmach będzie wykorzystanie danych do prowadzenia marketingu produktów firm trzecich, albo wysyłanie newslettera, albo wręcz przekazywanie danych do innych podmiotów bez prawnego uzasadnienia.

Zawsze jednak zgoda powinna być ostatecznością, gdy żadne inne przesłanki nie pasują. Zanim zastosujemy zgodę, należy zadać sobie dwa pytania:

  1. Co się stanie, jeżeli połowa proszonych o zgodę osób, tej zgody nie udzieli?
  2. Co się stanie, jeżeli połowa osób, które zgodę udzieliły, wycofa ją po czasie?

I odpowiedzią nie może być: „Dobra, to wtedy się będę martwić, jeszcze tak nie było, żeby mi się ktoś nie zgodził.”. A takie niestety odpowiedzi słyszę czasami.

Author: Przemysław Adam Śmiejek

Chrześcijanin, żeglarz, inspektor ochrony danych (IOD, DPO), edukator, youtuber. Od 2000 roku prowadzę przedsiębiorstwo informatyczne, a od 2011 roku zajmuję się ochroną danych w placówkach oświatowych.

1
Dodaj komentarz

avatar
1 Comment threads
0 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
0 Comment authors
Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
trackback

[…] już o tym pisałem w artykule Nie ma zgody na zgodę, więc teraz tylko krótko, na jakiej podstawie przetwarzamy dane zwykłych […]