Zgoda osoby jako podstawa prawna przetwarzania danych przez organ publiczny

Zgodnie z art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) dalej RODO, jedną z podstaw prawnych przetwarzania danych osobowych jest zgoda osoby, której dane dotyczą (zgoda na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów).

Zgoda, o ile jest wyrażona w formie pisemnej, może stanowić również podstawę do przetwarzania danych wrażliwych (art. 9 ust. 2 lit. a RODO). Wskazana podstawa przetwarzania danych osobowych odpowiada tym wskazanym w art. 23 ust. 1 pkt 1 oraz 27 ust. 2 pkt 1 obecnie obowiązującej ustawy o ochronie danych osobowych.

Warto zwrócić uwagę, na motyw 43 preambuły RODO, w którym wskazano, że aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach.

Powyższe oznacza, że przy planowaniu przetwarzania danych osobowych przez organ publiczny na podstawie zgody (przy braku innej podstawy do przetwarzania danych osobowych, w szczególności wynikającej z przepisu prawa) organ powinien przeanalizować, czy osoba, której dane dotyczą nie będzie faktycznie występowała w stosunku swoistego podporządkowania czy przymusu. Trudno w takich warunkach uznać, że będziemy mieli do czynienia z dobrowolnie złożonym oświadczeniem woli.

Jeżeli już organ publiczny zdecyduje się na przetwarzanie danych osobowych na podstawie zgody (taka konieczność może zaistnieć przy realizacji różnych programów czy projektów), warto zwrócić uwagę, na nieco inną definicję pojęcia „zgody” przyjętą przez unijnego prawodawcę w stosunku do obecnie obowiązującego art. 7 pkt 5 ustawy o ochronie danych osobowych.

Zgodnie z art. 4 pkt 11 RODO zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. W RODO położona zatem szczególny nacisk na świadomość skutków wyrażenia zgody oraz brak działania pod przymusem.

W motywie 42 preambuły wskazano, że jeśli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania. W szczególności w przypadku pisemnego oświadczenia składanego w innej sprawie powinny istnieć gwarancje, że osoba, której dane dotyczą, jest świadoma wyrażenia zgody oraz jej zakresu. Zgodnie z dyrektywą Rady 93/13/EWG 10 oświadczenie o wyrażeniu zgody przygotowane przez administratora powinno mieć zrozumiałą i łatwo dostępną formę, być sformułowane jasnym i prostym językiem i nie powinno zawierać nieuczciwych warunków. Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych. Wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.

Uzupełniająco warto jeszcze dodać, iż zgodnie z art. 8 RODO w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku może ona samodzielnie wyrazić zgodę jeżeli ukończyło 16 lat. Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody. Wskazano jednocześnie, że przytoczona zasada nie wpływa na ogólne przepisy prawa umów państw członkowskich, takie jak przepisy o ważności, zawieraniu lub skutkach umowy wobec dziecka.

Państwa członkowskie mogą przewidzieć w swoim prawie niższą granicę wiekową, która musi wynosić co najmniej 13 lat. Polski ustawodawca planuje obniżenie granicy wieku właśnie do 13 lat (takie rozwiązanie przewidziano w art. 5 projektu ustawy o ochronie danych osobowych w wersji z 8 lutego 2018 r.).

Ten serwis używa cookies i podobnych technologii, brak zmiany ustawienia przeglądarki oznacza zgodę na to.

Zgoda osoby jako podstawa prawna przetwarzania danych przez organ publiczny

Popularne

ZPP interweniuje w sprawie anonimowych wniosków o dostęp do informacji publicznej

Czy w każdym powiecie będzie gwarancja dostępności legalnego przerywania ciąży? Stanowisko Związku Powiatów Polskich

Konieczna gruntowna reforma systemu finansowania samorządów – Rząd rządził się, ich kosztem

Wybory samorządowe: głosuj tam, gdzie mieszkasz

Prawo do informacji publicznej obejmuje prawo do jej upowszechnienia

Relacja z marcowego posiedzenia Zespołu ds. Ochrony Zdrowia i Polityki Społecznej

„Ochrona zabytków archeologicznych”: kto otrzymał dofinansowanie?

Na rzecz lokalnej społeczności: Dni otwarte dla osób starszych i z niepełnosprawnościami w Bielsku-Białej

UOKiK chce zniesienia regionalizacji utylizacji odpadów medycznych

Stanowisko MEN w sprawie wynagrodzeń nauczycieli

Z wokandy. Zasiłek stały a obowiązek opłacania składki na ubezpieczenie zdrowotne.