Wejście w życie w dniu 25 maja 2018 r. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”), skłania do dynamicznych rozważań dotyczących dostosowania zasad do nowych przepisów - uważa adwokat Rafał Rozwadowski z Kancelarii Mamiński & Wspólnicy sp. k.

Łączenie kilku zgód
Zakres zmian jest znaczny i dedykuje się do odcinkowego ich omawiania. Pretekstem do artykułu jest natomiast zagadnienie łączenia kilku zgód (zapytań o wyrażenie zgody na przetwarzanie danych) w jednym oświadczeniu i powiązany z nim jeden z poglądów Biura Generalnego Inspektora Ochrony Danych Osobowych, Departamentu Inspekcji, przedstawiony w dokumencie z 2017 r., zatytułowanym „Zestawieniu wyników sprawdzeń zgodności przetwarzania danych z przepisami o ochronie danych osobowych, które zostały przeprowadzone przez administratorów bezpieczeństwa informacji w bankach w zakresie marketingu kierowanego do klientów oraz osób niebędących klientami banku”.

Czytaj: Dr Lubasz: RODO to nowa filozofia ochrony danych osobowych>>

W dokumencie tym – dostępnym też na stronie internetowej GIODO - czytamy, że zawarcie kilku zgód w treści jednej klauzuli powoduje, iż osoba, która chciałaby wyrazić tylko jedną lub kilka spośród tych zgód, nie ma takiej możliwości, a zatem nie ma swobody w dysponowaniu swoimi danymi osobowymi. Kolejno, w oparciu też o poglądy wyrażone przez sądy administracyjne twierdzi się, iż jeżeli oświadczenie woli dotyczyć ma istotnie różniących się celów przetwarzania, zgoda powinna być wyrażona wyraźnie pod każdym z tych celów.

Pogląd wyrażany był m. in. na tle koegzystowania w jednym oświadczeniu zgód wywodzonych z m. in. z ustawy o świadczeniu usług drogą elektroniczną i ustawy prawo telekomunikacyjne. Pogląd ów, jakkolwiek formułowany na relatywnie wąskim tle, tj. tzw. „klauzul marketingowych”, w zakresie w jakim zawiera on kategoryczne sformułowania należy moim zadaniem traktować z dużą wstrzemięźliwością.

Nie sposób zgodzić się wprost z wnioskiem, iż zawarcie wielu zgód (więcej niż jednej) w jednym oświadczeniu powoduje, że osoba składająca oświadczenie jest pozbawiona swobody w dysponowaniu swoimi danymi osobowymi.

Czytaj: 10 rzeczy, które musisz wiedzieć o RODO>>

Interes adresata zapytania
Zauważyć wypada, że pozyskanie zgody na działania marketingowe jest zasadniczo i pierwszorzędnie działaniem w interesie podmiotu występującego o udzielenie zgody. Interes adresata takiego zapytania materializuje się w ewentualnie przyszłym skorzystaniu z usług w rezultacie podjętych działań marketingowych. Konsekwentnie, formułowanie wielu zgód w jednym oświadczeniu jest swoistym „ryzykiem” występującego o udzielenie takiej zgody, że adresat zapytania nie podpisze tego oświadczenia, motywując to właśnie tym, że oświadczenie zawiera wiele zgód, w tym te, których nie chce udzielić. Konsekwencja ta, tj. niepodpisanie oświadczenia z tego powodu, że zawiera ono kilka zgód i nie chce udzielić ich wszystkich nie świadczy moim zdaniem wprost o tym, że decyzja nie jest swobodna.

Adresat zapytania ma w pełni swobodę na złożenie podpisu pod oświadczeniem, a z racji braku wyrażenie zgody nie jest on pozbawiony dostępu do usługi przy której taka zgoda jest kompletowana.

Poza dyskusją pozostaje przecież kwestia oceny prawnej takiego działania adresata zapytania, który dokonuje własnej modyfikacji przedstawionej mu treści zgody i zmienia ową treść, w obszarach które nie angażują konieczności posiadania wiedzy specjalnej, np. określa lub zmienia czas na jaki udzielana jest zgoda, zawęża zakres zgody, etc.

Brak rzeczywistych negatywnych konsekwencji braku takiej zgody i np. uzależnienia dodatkowych świadczeń/benefitów/korzyści w powiązaniu z udzieleniem takiej zgody nie generuje zauważalnych czynników, które mogłyby tę swobodę znosić lub nawet ograniczać/zawężać.

Zarówno ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej „UDO”) jak i RODO zawierają definicję pojęcia zgody.

Zgodnie z art. 7 pkt 5 UDO, oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie.

Zgoda pozwala na przetwarzanie
Tymczasem zgodnie z art. 4 pkt 11 RODO zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych

Jednocześnie, zgodnie z motywem 32 RODO Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele.

Świadome wyrażenie zgody
RODO wskazuje, że wyrażenie zgody musi być świadome, co precyzuje motyw 42 RODO w brzmieniu aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych.

RODO wskazuje również, że wyrażenie zgody musi być dobrowolne, co rozwija art. 7 ust 4 RODO w brzmieniu: Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.) oraz motyw 42 RODO w brzmieniu Wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.) oraz motyw 43 RODO w brzmieniu aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach. Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna.



Osobne zgody ma różne operacje

Szczególnego omówienia wymaga podkreślony wyżej zapis z motywu 43 RODO, który postuluje konieczność - dla uznania zgody za dobrowolną – pozyskania zgody z osobna na różne operacje przetwarzania danych osobowych o ile jest to w danej sytuacji stosowne. Klarowne rozumienie tego zapisu może nastręczać pewnych trudności. W pierwszej kolejności, nie powinno ujść uwadze, że zapis ów znajduje się w „motywie” opisującym „szczególną sytuację” (nomenklatura pojęciowa wprost z RODO), polegającą na wystąpieniu wyraźnego braku równowagi pomiędzy osobą, której dane dotyczą a administratorem, w szczególności (a więc nie zawsze) gdy owym administratorem jest organ publiczny. Wątpliwość która powstaje polega na tym, czy pozyskanie zgody „z osobna” na różne operacje przetwarzania danych dotyczy takiej relacji lub relacji takiego typu, czy ma to zastosowanie w przypadku każdej ze zgód na przetwarzanie danych osobowych.

Pomocnym dla ustalenia w tej kwestii jest analiza sformułowania „różnych operacji przetwarzania danych osobowych”. Zgodnie z art. 4 ust 2 RODO przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany taką jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnienie poprzez przesłanie, rozpowszechnienie lub innego rodzaju udostępniania, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (względnie odpowiadającą definicję przetwarzania danych określa art. 7 pkt 2 UDO).

Zgoda na sposób przetwarzania danych
Operacja przetwarzania danych jest zatem wyrażeniem, które dotyczy sposobu przetwarzania danych. Konsekwentnie, w/w 43 motyw RODO w obszarze pojęcia dobrowolności nie reguluje zagadnienia łączenia wielu zgód komponowanych względem celu w jednym oświadczeniu, lecz określa sytuację wskazywania w owym oświadczeniu na swobodę w wyborze określonych sposobów (operacji) przetwarzania (w ramach jednego lub kilku celów). Moim zdaniem postulat ów powstał na tle częstego „zamykania” w praktyce wszelkich sposobów przetwarzania danych w jednym sformułowaniu, tj. przetwarzania danych, bez szczegółowego zaprezentowania konkretnych sposobów. Tymczasem RODO - zdaje się premiować takie zachowanie, że w obrębie konkretnego celu, od decyzji osoby składającej oświadczenie zależało będzie nie tylko wyrażenie zgody na cel ale również na sposób przetwarzania danych. Takie myślenie, w rezultacie skłania do wyjątkowo wąskiego (nie rozszerzającego), interpretowania pojęcia „szczególnej sytuacji” i kwalifikowania w tym rozumieniu określonej sytuacji na tle „zaprezentowanego” w samym motywie 43 RODO przykładu, tj. kiedy istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym.

Mając na uwadze m. in. powyższą argumentację, skłaniam się do poglądu, że łączenie wielu zapytań o zgodę w jednym oświadczeniu, chociażby takie zapytania wynikały z różnych podstaw prawnych, nie powinno być kategorycznie uznawane za działanie sprzeczne z UDO i z RODO.