RODO nadaje słowu „zgoda” bardzo konkretne znaczenie. Niestety firmy przetwarzające dane osobowe często nazywają „zgodą” coś, co według RODO zgodą wcale nie jest.
Aby zaszła ważna w świetle RODO „zgoda” na przetwarzanie danych osobowych, muszą być spełnione określone warunki. Gdy którykolwiek z nich nie jest spełniony, zgoda ta nie jest ważna i nie może być przesłanką legalizującą przetwarzanie obejmowanych przez nią informacji i celów ich przetwarzania. Niestety wszelakie podmioty wciąż niesłusznie mianują nieważną zgodę słowem „zgoda”, mącąc w naszych głowach pełne znaczenie tego słowa.
W niniejszym artykule rzucam światło na kilka mniej znanych faktów na temat zgody i wyjaśniam najczęściej spotykane przeze mnie nieporozumienia dotyczące tego pojęcia.
1. Nie zawsze trzeba uzyskać zgodę, aby przetwarzać dane osobowe
Artykuł 6 RODO mówi, że przetwarzanie danych osobowych w określonym celu jest zgodne z prawem, jeżeli jest spełniony co najmniej jeden z poniższych warunków:
- osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
- przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Warto zauważyć, że nie trzeba pozyskiwać zgody na przetwarzanie danych osobowych np. w celu zawarcia jakiejś umowy. Jeżeli te dane są potrzebne do umowy, możesz je przetwarzać na mocy przesłanki z pkt b). Pytanie o zgodę w takiej sytuacji jest wręcz niewłaściwe:
Jeżeli administrator zamierza przetwarzać dane osobowe, które są faktycznie niezbędne do wykonania umowy, zgoda nie jest właściwą, zgodną z prawem podstawą.
Wytyczne 05/2020 dotyczące zgody na mocy rozporządzenia 2016/679
Dodatkowo w Rezolucji Parlamentu Europejskiego z dnia 25 marca 2021 r. możemy przeczytać, że do przetwarzania danych w danym celu należy wybrać tylko jedną z powyższych przesłanek legalizujących:
administratorzy danych powinni stosować tylko jedną podstawę prawną dla każdego celu przetwarzania, oraz [określać], w jaki sposób każdą podstawę prawną wykorzystuje się do prowadzonych przez nich operacji przetwarzania
Część z „okienek o RODO” w polskim Internecie działa tak, że gdy użytkownik nie wyrazi zgody na jakiś cel przetwarzania, to używa wspomnianego w lit. f) „Uzasadnionego Interesu”, który jest często podstępnie schowany i utrudnia wyrażenie sprzeciwu na każdy z celów. Legalność takiego rozwiązania jest w mojej ocenie wątpliwa – nie jestem prawnikiem – ale wiem, że takie zagranie świadczy o braku szacunku dla użytkowników.
Zob. także:
2. Wymuszona zgoda nie jest ważna
Jeżeli jakiś serwis nie pozwala Ci założyć konta, jeżeli nie wyrazisz zgody marketingowej, to nawet, gdy ją wyrazisz, ta zgoda nie jest ważna i serwis ten nie może powoływać się na nią gdy chce przetwarzać Twoje dane w celach marketingowych.
Art. 4 pkt 11 RODO:
„zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą (...)
Wytyczne 05/2020 EDPB dotyczące zgody doprecyzowują:
Jeżeli wyrażenie zgody stanowi nieodłączną i niepodlegającą negocjacji część warunków, uznaje się, że nie jest ona dobrowolna. W związku z tym wyrażenie zgody nie zostanie uznane za dobrowolne, jeżeli osoba, której dane dotyczą, nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji
Przez niedbałość lub niezrozumienie istotności aspektu dobrowolności zgody powstają takie, osłabiające znaczenie słowa „zgoda”, zdania:
3. Zgoda marketingowa w zamian za rabaty może stać się niezgodna z prawem
Dostawcy telefonii komórkowej, telewizji cyfrowej i innych usług często oferują „rabaty za zgody marketingowe”.
Jak słusznie zauważa Neil Brown z decoded.legal, o ile na pierwszy rzut oka te zgody wyglądają na dobrowolne (każdy sam decyduje, czy chce wyrazić zgodę i zgarnąć w ten sposób rabat, czy nie - nie ma przymusu ze strony usługodawcy), o tyle osoby w trudnej sytuacji finansowej często są zmuszone brać każdą możliwą zniżkę, aby móc wiązać koniec z końcem. Dlatego w przypadku rabatów za zgodę marketingową argument „wolnej woli” chroni tylko osoby zamożne, co może sprawiać że taka „zgoda” nie byłaby uniwersalnie dobrowolna.
Aktualnie nie ma jednoznacznych wytycznych ani orzeczeń sądu, które uściślałyby tę kwestię, niemniej jednak Parlament Europejski widzi takie zagrania jako problematyczne, więc pewnie dni takich zagrywek są policzone:
[Parlament Europejski] zauważa z niepokojem, że osoby fizyczne często poddawane są presji finansowej polegającej na udzieleniu zgody w zamian za zniżki lub inne oferty handlowe, bądź też są zmuszane do wyrażenia zgody za sprawą wiązanych przepisów warunkujących dostęp do usługi, co jest sprzeczne z art. 7 RODO
Teksty przyjęte - Sprawozdanie Komisji z oceny wdrożenia ogólnego rozporządzenia o ochronie danych po dwóch latach jego stosowania - Czwartek, 25 marca 2021 r.
4. „Ustawienia przeglądarki” to nie jest zgoda
Z uwagi na fakt, że zgoda, aby była ważna, musi dotyczyć konkretnego, jednoznacznie określonego celu, nie można za zgodę uznać „włączenia cookies w przeglądarce”. Administratorzy jednej ze stron którą zgłosiliśmy do UODO odpisali nam:
Dziękujemy za zgłoszenie. Nasza witryna nie ma technicznej możliwości wysyłania danych do innych stron. Jeżeli jakiś inny podmiot pozyskał Pana dane z przeglądarki, to zapewne za pomocą plików ciasteczek (cookies), na które trzeba wyrazić zgodę odwiedzając daną stronę. Rekomendujemy wyczyścić pliki cookies w przeglądarce i nie wyrażać zgody na zbieranie informacji, choć rozumiemy, że może to zaowocować brakiem dostępu do niektórych witryn.
Postępowanie zakończyło się decyzją UODO, w której możemy przeczytać:
Podkreślić przy tym należy, że samo określone ustawienie
strony internetowej przez jej administratora (podobnie ustawienie przeglądarki internetowej) i poinformowanie o tym ustawieniu jej użytkownika nie jest wystarczające do uznania, że ów użytkownik wyraził zgodę na udostępnienie jego danych innemu podmiotowi.
(Decyzja została nam dostarczona, ale jeszcze nie jest opublikowana na stronie UODO).
Dlatego też wszelkie strony które w „powiadomieniu o RODO" piszą, że „dalsze korzystanie ze strony oznacza zgodę” lub „jeżeli nie wyrażasz zgody na takie przetwarzanie danych, wyłącz cookies w przeglądarce”, nie uzyskują w ten sposób ważnej w świetle RODO zgody użytkowników na takie przetwarzanie danych.
5. Nielegalne przyciski „like” 👍
Jeżeli jesteś administratorem strony i używasz widgetów social media (np. facebookowy przycisk „lubię to” lub twitterowa ramka z Twoimi ostatnimi tweetami), to najpewniej łamiesz RODO.
Jest tak dlatego, że dostarczane przez te firmy widgety zawierają skrypty śledzące, które wysyłają dane osobowe (IP, część historii przeglądania, sztucznie nadane ID) Twoich użytkowników do Facebooka, Twittera itp. Na takie przetwarzanie danych osobowych na Twojej stronie musisz uzyskać zgodę - nawet, jeżeli tych danych nie otrzymujesz i nie przechowujesz. Cytując (jeszcze nieopublikowaną) decyzję UODO w sprawie jednej z naszych skarg:
[Właściciel strony] umieszczając taką wtyczkę społecznościową na swojej stronie internetowej (nawet w przypadku, gdy [sam] nie ma dostępu do gromadzonych danych), określa sposoby i cele przetwarzania danych osobowych, które przekazane zostają dostawcy owej wtyczki, tj. administratorowi serwisu Twitter. W konsekwencji powyższego, [właściciela strony] uznać należy za administratora danych, które za pośrednictwem jego strony internetowej ujawnianie są poprzez transmisję do ww. podmiotu
Interpretacja ta jest zgodna z treścią wyroku TSUE w sprawie C‑40/17, dotyczącej firmy Fashion ID. Strona ta miała osadzony przycisk „lubię to” Facebooka, co powodowało automatyczne wysyłanie danych jej użytkowników do tej sieci społecznościowej bez wiedzy i zgody osób, których te dane dotyczą. Wyrok nakazał stronie usunięcie tego przycisku.
Z tego względu polecamy usuwanie widgetów social media ze stron, którymi się opiekujecie - chyba, że widgety uruchamiają się dopiero po uzyskaniu od użytkownika ważnej zgody.
I co z tego, firmy nie przestrzegają tych zasad
RODO jest jeszcze młode. Nie wszystkie praktyki z nim niezgodne są karane. Jest tak z kilku powodów:
Złośliwość przedsiębiorców. Wielkie firmy są mistrzami w tzw. złośliwej zgodności (ang. malicious compliance) i będą uparcie znajdowały i wykorzystywały niejednoznaczności w zapisach RODO, jednocześnie ignorując intencję stojącą za tym rozporządzeniem. Na szczęście kolejne publikowane wytyczne uściślają, jak interpretować zapisy RODO. W szczególności warto zaznaczyć, że uwielbiany przez korporacje kapitalizmu podsłuchowego wytrych „Uzasadnionego Interesu” też będzie brany pod lupę:
[Parlament Europejski] wyraża zaniepokojenie faktem, że „prawnie uzasadniony interes” jest bardzo często nadużywany jako podstawa prawna przetwarzania; [...] z zadowoleniem przyjmuje fakt, że EROD rozpoczęła już prace nad aktualizacją opinii Grupy Roboczej Art. 29 w sprawie stosowania prawnie uzasadnionego interesu jako podstawy prawnej przetwarzania w celu uwzględnienia kwestii podniesionych w sprawozdaniu Komisji;
RODO to świeża sprawa. Nie ma jeszcze wielu orzeczeń sądowych rozstrzygających niektóre kwestie uparcie określane przez korporacje jako „niejednoznaczne”.
Urzędy ochrony danych są przeciążone. Instytucje odpowiedzialne za pilnowanie ochrony danych osobowych w wielu państwach UE są przeciążone, zatrudniają zbyt małą ilość pracowników i ekspertów, aby działać prężnie i karać za nieprawidłowości.
Źródła
- Treść RODO;
- Rezolucja Parlamentu Europejskiego z dnia 25 marca 2021 r. w sprawie sprawozdania Komisji z oceny wdrożenia ogólnego rozporządzenia o ochronie danych po dwóch latach jego stosowania;
- Five things to take from the European Parliament's response to the Commission on the GDPR;
- Wytyczne 05/2020 dotyczące zgody na mocy rozporządzenia 2016/679;
- Wyrok w sprawie C‑40/17 (Fashion ID);
- Kuby speedrun okienka RODO na Spidersweb;
Zapraszamy do posłuchania odcinka naszego podcastu w temacie niniejszego artykułu:
Autor ilustracji: Jan Kryciński