Zgoda jako „świadome działanie”
W zasadzie ogólne rozporządzenie o ochronie danych osobowych [RODO] nie zmieniło nic w zakresie sposobu uzyskiwania zgody na przetwarzanie danych, gdyż w naszej ustawie o ochronie danych osobowych już od samego początku zdefiniowano „zgodę, jako oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści (uchylona uodo: Dz.U.2016 poz. 922). Jednakże to sformułowanie definicji zgody powodowało problem z interpretacją, jaką formę powinno przyjąć oświadczenie woli, a także jakie dane osoby, której dane dotyczą należy pozyskać biorąc od niej zgodę.
RODO, a szczególnie preambuła, przyniosło odpowiedzi na pytanie, jak skutecznie pozyskiwać pozyskiwać zgodę i kiedy jest ona uważana za domniemaną lub nieważną.
Formy wyrażenia zgody
Zgoda może być (motyw 32 RODO):
- złożona na piśmie
- ustna
- wyrażona poprzez świadomy gest
- elektroniczna, np. poprzez zaznaczenie checkbox lub kliknięcie „zgadzam się”
Świadomy gest jest bardzo istotnym aspektem wyrażenia zgody, który może ułatwić administratorom oraz osobom, których dane dotyczą wzajemną komunikację i współpracę. Wyobraźmy sobie sytuację, że podczas dużego wydarzenia, organizator podczas rejestracji uczestników przedstawi im prosty regulamin imprezy, z którego będzie wynikało, że wydarzenie będzie dokumentowane fotograficznie oraz filmowo. Uczestnik może wyrazić zgodę na rozpowszechnianie jego wizerunku na zasadach określonych w regulaminie na przykład poprzez wybór koloru smyczy lub silikonowej bransoletki. Są to proste i skuteczne rozwiązania, które później pozwalają administratorowi dokonać łatwego wyboru zdjęć uczestników, którzy wyrazili świadomą zgodę. Podobnie zamieszczenie przed tak zwaną „ścianką” tablicy informacyjnej, że pozowanie oznacza zgodę na rozpowszechnianie wizerunku. Należy jednak pamiętać, że administrator ma obowiązek udowodnienia, że rzeczywiście uczestnik wyraził zgodę. Istotne jest także uwzględnienie zasady ograniczonego czasu przechowywania/rozpowszechniania/wykorzystywania danych pozyskanych na podstawie zgody. Artykuł 5 RODO wskazuje, że dane powinny być przechowywane przez rozsądny okres czasu, do wyczerpania celu przetwarzania. Nie należy bać się usuwania danych zebranych do celów promocyjnych. Po pewnym czasie ich atrybut promocyjny zupełnie wygasa, a koszty przechowywania materiałów oraz dowodów pozyskania zgody rosną.
Czy zgoda musi być odrębna
Sporną kwestią jest, czy samo wysłanie zgłoszenia udziału w konkursie lub naciśnięcie guzika „zapisz” nie wystarczy za „świadomy gest” potwierdzający zgodę na przetwarzanie danych. Opinie w tej sprawie są różne, osobiście uważam, że jeżeli zgoda ma być „świadoma”, a ja jako administrator muszę udowodnić, że faktycznie ją pozyskałam, a nie domniemałam, wolę uzyskać odrębne oświadczenie. Wynika to też z faktu, że ludzie przyzwyczaili się do tego, że są proszeni o zaznaczenie „wyrażenia zgody na przetwarzanie danych” i mogą uznać, że jeżeli nic nie musieli zaznaczać, to nie wyrazili zgody. Trudno w pewnym stopniu nie zgodzić się z ich argumentacją.
Obowiązek gromadzenia dowodów
Naprawdę nie lubię prosić o zgodę na przetwarzanie danych. Jeżeli tylko jest to możliwe, korzystam z innych przesłanek legalizujących przetwarzanie danych, zgodnie z artykułami 6 i 9 RODO. Każda uzyskana zgoda to potencjalny koszt związany z jej przechowywaniem, inwentaryzowaniem, a także jej wycofaniem. Pozyskując zgodę muszę pamiętać, że jej wycofanie musi być równie łatwe, jak wyrażenie. A czas przechowywania dowodu pozyskania zgody, musi być równy czasowi przetwarzania danych, np. fotografii na stronie. Nim dłużej dane są przetwarzane, tym koszty rosną. Dodatkowo w przypadku zgody wyrażonej, jako świadome działanie, muszę przechowywać regulamin/zdjęcia tablic informacyjnych podczas imprezy/nagrania wideo z gestem zgody (podniesienie ręki, kiwnięcie głową, itp.). Równie kosztowne będzie przechowywanie nagrań głosu. Dodatkowo dochodzi konieczność inwentaryzacji danych, aby można było później dotrzeć do właściwego dowodu pozyskanej zgody.
Realizacja prawa osoby, której dane dotyczą
Osoba, której dane dotyczą musi być w stanie łatwo wycofać wyrażoną zgodą, a także skorzystać z innych praw przysługujących jej na mocy artykułów 15-22 RODO. W związku z tym w momencie gromadzenia jej danych (art. 13 RODO) lub najpóźniej przy pierwszym kontakcie (art. 14 RODO) administrator wypełnia obowiązek informacyjny. W praktyce, jeżeli zgoda została wyrażona w formie działania, obowiązek powinien zostać wypełniony wcześniej (np. poprzez przekazany regulamin) lub w momencie dokonywania zgody (np. można przekazać jej kartkę z niezbędnymi informacjami, spotkałam się z takim rozwiązaniem na dużych eventach, gdzie fotograf pytał o zgodę, a jeśli ktoś się zgodził, hostessa dawała fotografowanemu klauzulę informacyjną). W praktyce wolę jednak uzyskać zgody, o ile to możliwe, podczas rejestracji (np. przez formularz elektroniczny), a następnie jedynie rozdać znaczniki (np. smycze).
Jedna zgoda na tożsame cele przetwarzania
Jeżeli cele przetwarzania są tożsame wystarczy jedna zgoda, np. uczestnik konkursu wyrażając zgodę na udział w konkursie zgadza się na przetwarzanie jego danych w celu dodania do bazy uczestników, oceny pracy konkursowej przez jurorów, powiadomienia o przejściu do kolejnego etapu/wygranej, pozyskania danych do wysłania nagrody, w przypadku wygranej. W czasach „przed RODO”, spotykałam się z praktyką zbierania odrębnej zgody na każdy ze wskazanych celów, w myśl zasady „jedna zgoda na jeden cel przetwarzania”. Oczywiście w przypadku różnych celów, np. udział w konkursie oraz otrzymywanie newsletteru, nadal niezbędne są odrębne zgody.
function wpart_hide_string_shortcode($atts, $email = null) { if ( empty($email) ) return; return ''.antispambot( strrev($email) ).''; } add_shortcode('email', 'wpart_hide_string_shortcode');