Rozmowa z dr. Wojciechem Rafałem Wiewiórowskim, Generalnym Inspektorem Ochrony Danych Osobowych

-Generalni inspektorzy ochrony danych osobowych z państw członkowskich UE, przyeli opinię w sprawie definicji zgody na przetwarzanie danych osobowych. Dlaczego?

- Chociaż pojęcie zgody na przetwarzanie danych osobowych zostało zdefiniowane zarówno w Dyrektywie 95/46/WE, jak i w polskiej ustawie o ochronie danych osobowych, to w praktyce pojawiały się wątpliwości co do jej wyrażania czy odwoływania. Miały je czasami nawet organy ds. ochrony danych osobowych, ale przede wszystkim podmioty przetwarzające dane osobowe, zwłaszcza przedsiębiorcy, a także osoby, których dane dotyczą. Często osoby fizyczne kontaktowały się z nami, twierdząc, że nie wyraziły zgody na przetwarzanie ich danych, a mimo to znalazły się w zbiorach danych, lub mówiąc, że zgodę na przetwarzanie danych osobowych chciałyby odwołać, lecz nie wiedzą, jak to zrobić.

- Nasza ustawa o ochronie danych osobowych od 7 marca tego roku uściśliła jednak tę kwestię.

- Tak, gdyż wyraźnie zaznaczono, że zgodę na przetwarzanie danych osobowych można w każdej chwili odwołać. Co prawda, na podstawie dotychczasowych przepisów wydawało się oczywiste, że zgoda jest odwoływalna, jednak w praktyce powstawało na tym tle wiele nieporozumień i część firm odmawiała wycofania zgody.

- Zatem jak skutecznie można zgodę na przetwarzanie danych odwołać?

- Najlepiej w takiej samej formie, w jakiej zgoda była udzielona. Jeśli udzieliliśmy jej np. telefonicznie, to wycofać ją też powinniśmy móc telefonicznie, chociaż ze względów dowodowych wskazane byłoby, aby odwołanie zgody było utrwalone, np. na piśmie albo w formie nagrania. Ponieważ skarg na przedsiębiorców i inne podmioty odmawiające wycofania zgody było dużo, do ustawy o ochronie danych osobowych wprowadzony został zapis, którzy wprost stanowi, że „zgoda może być odwołana w każdym czasie”.

- Czy opinia Grupy Art. 29 zburzyła te ustalenia?

- Nie. Ale należy pamięć, że Komisja Europejska zapowiada wydanie nowej dyrektywy lub rozporządzenia w sprawie ochrony danych osobowych. W listopadzie 2011 r. ma pojawić się taki projekt takiego aktu. Jedną z kwestii, która ma być w nim poruszona jest właśnie kwestia zgody na przetwarzanie danych osobowych. W związku z tym Grupa Robocza Art. 29 postanowiła wnieść swój wkład w dyskusję na ten temat. Jej opinię należy traktować, z jednej strony, jako wyjaśnienie obowiązującego stanu prawnego, a z drugiej, jako wskazania dla Komisji Europejskiej, która będzie zmieniać lub precyzować przepisy.

- W opinii jest mowa m.in. o tym, że zgoda na przetwarzanie danych powinna być konkretna, świadoma i dobrowolna. Jednak np. odmowa przejścia na lotnisku przez skaner ciała może wzbudzić podejrzenia bądź przyczynić się do dodatkowych kontroli, takich jak rewizja osobista. Czy to jest prawidłowa reakcja?

- W opinii Grupy Roboczej Art. 29 podkreślono, że zgoda powinna być wyraźna i dobrowolna. Tylko wtedy może być uznana za prawnie wiążącą. Jednak zgoda nie jest jedyną podstawą uprawniającą do przetwarzania danych osobowych. Równoprawną przesłanką umożliwiającą wykorzystywanie danych osobowych są szczególne przepisy prawa. Bardzo często mamy do czynienia z sytuacją, w której zgoda na przetwarzanie danych osobowych nie jest potrzebna, gdyż z przepisów prawa wynika, że dane mogą być przetwarzane. Co istotne, zgodnie z art. 51 Konstytucji RP, obowiązek podawania danych osobowych musi być wprowadzony ustawą, a nie np. rozporządzeniem, zarządzeniem czy uchwałą rady miasta. W opinii Grupy Roboczej Art. 29 przechodzenie na lotnisku przez skaner ciała podano jako przykład sytuacji, w której trudno mówić o dobrowolności wyrażania zgody. Wielu pasażerów zgadza się na dokonanie skanowania, ponieważ czyniąc to, uniknie potencjalnych problemów lub opóźnień, zwłaszcza że najważniejsze jest dla nich terminowe dostanie się na pokład samolotu. Jak wskazano, taka zgoda nie jest wystarczająco dobrowolna. Dlatego najlepiej by było, gdyby podstawą uprawniającą do skanowania były przepisy ustawowe. Przy czym prawo to może nadal przewidywać możliwość wyboru między skanowaniem a kontrolą osobistą. Gdyby takie przepisy uchwalono, wówczas one stanowiłyby podstawę uprawniającą do skanowania ciała na lotniskach, a pozyskiwanie zgody na takie działanie byłoby zbędne.

- Co to oznacza, że zgoda na przetwarzanie danych powinna być udzielana świadomie i dobrowolnie?

- To, że zgoda musi być wyrażona świadomie, oznacza, że osoba, która jej udziela, musi wiedzieć, że dane przekazuje, komu je przekazuje, kto nimi będzie zarządzał i w jakim celu będzie je wykorzystywał. Opinia Grupy Roboczej Art. 29 wskazuje przykłady, kiedy nie możemy mówić o świadomej zgodzie. Tak jest w przypadku billboardów, które łączą się z telefonami osób, które aktywowały funkcję bluetooth, wysyłając im prośbę o ustanowienie połączenia w celu wysyłania reklam. Samo zbliżenie się do billboardu jest zatem traktowane jako zgoda na nawiązanie komunikacji telefonicznej. Tymczasem samej aktywacji funkcji bluetooth i zbliżenia się do billboardu nie można uznać za świadome wyrażenie zgody na skomunikowanie się z nami. Osoba zbliżająca się do billboardu, który ma charakter wizualny, najczęściej bowiem nie ma świadomości, że będzie on próbował nawiązać z nią połączenie telefoniczne.

- A co oznacza, że wyrażamy zgodę dobrowolnie?

- Dobrowolność oznacza to, że mamy możliwość dokonania rzeczywistego wyboru bez poniesienia jakichkolwiek negatywnych konsekwencji. Dla kogoś poddanie się rewizji osobistej zamiast przejścia przez skaner ciała na lotnisku może być rozwiązaniem lepszym, mniej inwazyjnym, chociażby dlatego, że dane z rewizji osobistej posiada tylko osoba, która jej dokonywała, a przebieg rewizji nie jest zapisywany na żadnym nośniku. Niektórzy ludzie boją się, że zapis ze skanera będzie przetwarzany w innych celach. Jednak lepiej kwestię dobrowolności wyrażania zgody ilustrują przypadki jej pozyskiwania w relacjach pracodawca – pracownik. Stosunek podległości, zależności sprawia, że w takich przypadkach trudno mówić o dobrowolności.

- Czy omawiana opinia oznacza dla nas jakieś istotne zmiany?

- Opinia została przyjęta jednogłośnie, a z mojej strony poparcie dla tej opinii jest pełne, mimo iż w części zmienia ona praktykę, którą dotąd stosowało Biuro Generalnego Inspektora Ochrony Danych Osobowych, a w części jest wręcz sprzeczna z obowiązującą ustawą o ochronie danych osobowych. W pracach Grupy zadeklarowaliśmy, że w tych fragmentach, w których ta opinia zmienia naszą dotychczasową praktykę wykładniczą, zmienimy tę praktykę, natomiast w tych fragmentach, w których jest ona sprzeczna z obecnie obowiązującą polską ustawą o ochronie danych osobowych, traktujemy ją jako wskazanie do zmian, które w ustawie należy wprowadzić.

- Na czym będzie polegała zmiana praktyki GIODO?

- Zmiana praktyki będzie dotyczyła sposobu wyrażania zgody na przetwarzanie danych osobowych. Polska ustawa o ochronie danych osobowych stanowi, iż zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Do tego unormowania GIODO podchodził do tej pory bardzo restrykcyjnie, uznając, że zgoda musi być wyrażona wyraźnie, a więc najlepiej, by była podpisana albo jasno wypowiedziana. Tymczasem opinia Grupy Roboczej Art. 29 dopuszcza tzw. zgodę dorozumianą z czynności, które wskazują na to, jaka była chęć ze strony danej osoby. Na przykład wrzucenie wizytówki do pojemnika może być potraktowane jako wyrażenie zgody na przetwarzanie danych osobowych na potrzeby przeprowadzenia konkursu, pod warunkiem że wcześniej podana zostanie informacja, że jeśli ktoś chce wziąć udział w konkursie, to musi wrzucić swoją wizytówkę do pojemnika. Zatem wrzucenie wizytówki oznacza wyrażenie zgody na przetwarzanie danych osobowych na potrzeby przeprowadzenia konkursu, ale nie oznacza np. wyrażenia zgody na ich wykorzystywanie w celach marketingowych. Takie rozumienie wyrażania zgody oznacza pewne rozluźnienie stanowiska i zbliżenie się do unormowań dotyczących składania oświadczeń woli przyjętych w Kodeksie cywilnym.

- W jakim punkcie opinia Grupy Art. 29 jest wyraźnie sprzeczna z naszą ustawą? 

- Sprzeczności, jakie występują między opinią Grupy Roboczej Art. 29 a polską ustawą o ochronie danych osobowych dotyczą wyrażania zgody na przetwarzanie tzw. danych wrażliwych (czyli m.in. takich danych, jak stan zdrowia, kod genetyczny, życie seksualne, przynależność partyjna lub związkowa czy orzeczenia o ukaraniu). Art. 27 naszej ustawy stanowi, że zgoda na przetwarzanie tych danych musi być wyrażona na piśmie, a to oznacza, że nie może być wyrażona w innej formie, np. elektronicznej. Opinia wskazuje wyraźnie, że tego typu rozwiązania, choć nie są przez dyrektywę zakazane, należy uznać jako z nią sprzeczne. Niewątpliwie więc przepis dotyczący sposobu wyrażania zgody jako podstawy prawnej do przetwarzania danych wrażliwych powinien zostać w polskim prawie zmieniony.

 Rozmawiała Katarzyna Żaczkiewiz