Publicystyka - ngo.pl

25 maja 2018 r. zmienia się sposób ochrony danych osobowych. Od tej daty organizacje pozarządowe i inne podmioty będą stosować RODO - Rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej z dnia 27 kwietnia 2016 r. tzw. ogólne rozporządzenie o ochronie danych. O reformie piszemy od niemal roku, bo trzeba się do niej gruntownie przygotować. W poprzednich informacjach zwracaliśmy uwagę na pierwszeństwo przepisów unijnych (czyli właśnie wskazanego wyżej rozporządzenia - RODO) i na analizę ryzyka. W poniższym tekście omawiamy zgody.

Organizacja pozarządowa, która chce przetwarzać dane osobowe (np. dane swoich darczyńców, wolontariuszy, pracowników) musi mieć tzw. przesłankę legalizacyjną – czyli spełniać określone warunki. RODO wskazuje 6 przesłanek – warunków. Wymienia je artykuł 6 RODO.

Pierwszą przesłanką legalizacyjną wymienioną we wskazanym artykule jest ZGODA. RODO poświęca zgodzie sporo miejsca. Czy jest to więc pierwsza przesłanka, o której powinny myśleć organizacje pozarządowe przetwarzające dane osobowe? Czy możemy stosować zgody - a więc też w odpowiedni sposób je zbierać - w każdej sytuacji? Zdecydowanie lepiej będzie jeśli organizacja pozarządowa zastosuje zgodę wtedy, kiedy stwierdzi, że do jej sytuacji nie pasuje żadna inna przesłanka legalizacyjna.

Zgodę stosujmy kiedy nie ma możliwości zastosowania innej przesłanki legalizacyjnej – tzn. kiedy nie spełniamy żadnego innego warunku spośród warunków wskazanych w art. 6 ust. 1 RODO.

(więcej o przesłankach legalizacyjnych – innych niż zgoda - napiszemy w kolejnym materiale)

Rozporządzenie zawiera definicję legalną zgody. Artykuł 4 punkt 11 RODO stanowi, że zgoda musi łącznie spełniać cztery warunki. Musi być:

1. dobrowolna;
2. konkretna;
3. świadoma;
4. jednoznaczne wyrażać wolę.

Z pomocą w wyjaśnieniu tych przesłanek przychodzi preambuła RODO i wytyczne Grupy Roboczej art. 29 (odesłanie na końcu artykułu).

Dobrowolność zgody jest oceniana w kontekście sytuacyjnym. Jako punkt wyjścia należy przyjąć tezę, że jeżeli odmowa udzielania zgody wywoła negatywne konsekwencje dla odmawiającej osoby, to nie będzie to zgoda dobrowolna. Konsekwencje te mogą być różnorakie: od zwiększenia ceny produktu lub usługi, aż po brak możliwości uczestnictwa w projekcie.

W praktyce powstaje wątpliwość czy jeżeli zgoda jest bezpośrednio związana z daną usługą to odmowa jej wyrażenia jest negatywną konsekwencją. Przykładem może być zapisanie się na szkolenie, które wymaga podania danych do wystawienia faktury. W takiej sytuacji trzeba zwrócić uwagę na dwa aspekty. Po pierwsze czy istnieje inna przesłanka niż zgoda, na podstawie której dane osobowe mogą być przetwarzane. Trzeba przeanalizować artykuł 6 RODO. W tym przykładzie (zapisanie się na szkolenie) będzie to przesłanka zawarta w art. 6 ust. 1 lit. b: „przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą”. W takim wypadku nie jest konieczne pozyskiwanie zgody. Co więcej nie powinno się tego robić, na co wprost wskazują wytyczne Grupy Roboczej art. 29. Po drugie należy zbadać czy ilość pozyskiwanych danych jest minimalna dla realizacji celu. W przypadku szkolenia może być to imię, nazwisko i e-mail lub inny środek kontaktu (raczej nie ma potrzeby pozyskiwania innych danych, np. adresu zamieszkania).

Badając dobrowolność szczególną uwagę należy zwrócić na sytuacje, w których nie ma równowagi między administratorem i osobą, od której pozyskiwane są dane. Taka sytuacja może np. wystąpić podczas pracy z grupami defaworyzowanymi.

Warto również pamiętać, że dobrowolność zgody jest związana z jej formą. Kiedy, przykładowo, uczestnictwo w wycieczce organizowanej przez NGO jest warunkowe - udział w wycieczce zależy od udzielenia zgody na przetwarzanie danych dla celów marketingowych - to w takim przypadku zgoda nie będzie uznawana za dobrowolną. Aby spełnić ten warunek (dobrowolności) konieczne jest takie sformułowanie treści zgody, aby brak jej wyrażenia nie uniemożliwiał uczestnictwa w wydarzeniu (zgoda na zbieranie danych, koniecznych do zorganizowania wyjazdu, oddzielona od zgody na przetwarzanie danych do celów marketingowych).

Konkretność zgody odnosi się do jej precyzyjnego sformułowania. Zgoda powinna wprost wskazywać cele, w jakich dane będą przetwarzane. Za konkretną nie jest uważana zgoda, która jest częścią umowy, a także zgoda będąca częścią regulaminów świadczenia usług.

Możliwość wyrażenia zgody na przetwarzanie danych osobowych powinna być wyraźnie rozdzielona od treści normatywnej umów lub innych aktów.

Co oznacza, że ZGODA ma być świadoma?

Zgoda jest świadoma, jeśli osoba, która ją wyraża zostanie poinformowana:

• kto będzie przetwarzał jej dane osobowe,
• w jakim celu będą przetwarzane,
• jakie uprawnienia jej przysługują. 

Jednoznaczne wyrażenie woli oznacza, że dana osoba będzie musiała podjąć działanie w celu wyrażenia zgody. Niedopuszczalne jest zatem przyjęcie, że milczenie lub brak działania oznacza zgodę. Podobnie należy ocenić sytuację, w której zgoda na przetwarzanie danych jest domyślnie zaznaczona w formularzu internetowym.

Milczenie lub brak działania nie oznacza zgody. Zgoda nie może być również opcją domyślną (np. domyślnie odznaczona w formularzu internetowym).

Sposób złożenia zgody

Według RODO zgoda może być złożona w innej formie niż pisemna. Dopuszczalna jest forma elektroniczna (np. poprzez e-mail, SMS, portale społecznościowe czy komunikatory). Dopuszczalna jest również forma dokumentowa w rozumieniu art. 773 Kodeksu cywilnego (o formie dokumentowej pisaliśmy w informacji: Czy można zerwać umowę SMS-em?). W pewnych wypadkach możliwa jest zgoda w formie ustnej, ale będzie ona miała charakter wyjątkowy.

Skutecznej zgody będzie mogła udzielić osoba z pełną zdolnością do czynności prawnych. Wyjątkiem są sytuacje dotyczące usług społeczeństwa informacyjnego – chodzi o umowy i inne usługi, które są zawierane lub przekazywane online. Dotyczy to np. gier online, świadczenia usług w chmurze, czy sprzedaży przez internet. RODO przesuwa tu granicę na 16 lat, tzn. przetwarzanie danych osobowych dziecka, które ukończyło 16 lat jest w przypadku usług społeczeństwa informacyjnego zgodne z prawem, ale zezwala też państwom członkowskim na obniżenie granicy wieku. Przetwarzanie danych młodszych osób będzie możliwe wyłącznie po uzyskaniu uprzedniej zgody przedstawiciela ustawowego, albo po niezwłocznym potwierdzeniu przez przedstawiciela zgody wyrażonej przez taką osobę.

Nie ma żadnego wzoru zgody na przetwarzanie danych osobowych. W wytycznych Grupy Roboczej art. 29 można znaleźć informację, że zgoda powinna zawierać co najmniej:

1. tożsamość administratora – dane podmiotu, który decyduje o celach i zasadach przetwarzania danych. W kontekście NGO będą to dane podmiotu, np. stowarzyszenia lub fundacji, a nie dane zarządu, ponieważ ten działa w imieniu osoby prawnej;
2. cel każdej operacji przetwarzania, dla której prosi się o zgodę – tu wskazujemy po co nam dane określonej osoby: np. dla celów statystycznych, marketingu swoich usług lub wysyłania informacji o zbieraniu 1%;
3. jakie dane będą zbierane i wykorzystywane – wskazujemy te, które osoba dostarcza bezpośrednio (np. wpisując do formularza swoje imię i nazwisko) oraz pozyskiwane pośrednio (np. adres IP);
4. informacje o prawie do wycofania zgody (o wycofaniu / odwołaniu zgody piszemy poniżej);
5. informacje na temat wykorzystywania danych do decyzji opartych jedynie na zautomatyzowanym przetwarzaniu, w tym profilowania – jeżeli przetwarzamy dane w ten sposób to należy poinformować o tym osobę, która nam dane przekazuje;
6. jeżeli zgoda dotyczy przekazywania - informacje na temat możliwych zagrożeń związanych z przekazywaniem danych do krajów trzecich. Tę informację należy przekazać tylko w wypadku, gdy brak jest decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony w kraju, do którego dane są przekazywane. 

RODO w art. 7 ust. 3 wskazuje, że zgoda może być odwołana w każdym momencie. Wycofanie zgody musi być równie łatwe jak jej wyrażenie. Nie można nakładać negatywnych konsekwencji z tytułu cofnięcia zgody.

Odwołanie wywołuje skutek natychmiastowy, czyli od momentu otrzymania oświadczenia woli w tym zakresie nie można przetwarzać danych osoby. Odwołanie nie wywołuje skutków wstecz. To znaczy, że operacje przetwarzania danych, które były dokonane w czasie gdy zgoda obowiązywała, są zgodne z prawem.

Każda zgoda na przetwarzanie danych osobowych, którą organizacja pozarządowa pozyska od danej osoby, może zostać odwołana.

Ważność już pozyskanych zgód po wejściu w życie RODO

Po uchwaleniu RODO powstały wątpliwość czy zgody pozyskane przed 25 maja 2018 r. zachowają dalej swoją ważność. Wątpliwości wynikają m.in. z faktu, że poprzedzające RODO przepisy nie nakładały obowiązku informowania o prawie do cofnięcia zgody - a jest to wymagane przez RODO. Niepewność rozwiało zarówno stanowisko Grupy Roboczej art. 29, jak i opinia polskiego Generalnego Inspektora Ochrony Danych Osobowych. Zgodnie z nimi stare zgody, co do zasady, utrzymają ważność. Należy jednak zbadać czy były one pozyskane zgodnie z zasadami dobrowolności, konkretności, świadomości i jednoznacznego wyrażenia zgody. Ponadto jeżeli zmieni się cel przetwarzania zebranych danych lub potrzebne będzie pozyskanie zgody na nowo z innych powodów, konieczne będzie zadośćuczynienie wszystkim obowiązkom wynikającym z RODO.

Warto zapoznać się:

• Wytyczne dotyczące zgody na mocy rozporządzenia 2016/679, przyjęte 28 listopada 2017 r, 17/PL WP259 – nieoficjalne tłumaczenie na język polski
• Stanowisko GIODO dotyczące ważności zgód na przetwarzanie danych osobowych

Jak przestrzegać prawa w NGO, jakie przepisy są ważne dla NGO – dowiesz się w serwisie poradnik.ngo.pl.