Kiedy jest potrzebna zgoda na przetwarzanie danych osobowych?

Dane osobowe to bardzo szerokie pojęcie. Obejmuje wszystkie informacje o żyjącej osobie, jeśli można ją zidentyfikować. Dotyczy to zarówno sytuacji, gdy od razu wiemy, kim jest osoba, której dane dotyczą (np. po imieniu i nazwisku), jak i wtedy, gdy można to ustalić pośrednio, czyli przy pewnym wysiłku. Kluczowe jest więc to, czy istnieje realna możliwość zidentyfikowania osoby, której dane dotyczą przy użyciu dostępnych informacji.

Mówiąc prościej, dane anonimowe, czyli takie na podstawie których nie da się zidentyfikować konkretnej osoby nie są danymi osobowymi. Przykładowo, dla towarzystwa ubezpieczeń numer polisy jest daną osobową, ponieważ pozwala ustalić, kto konkretnie zawarł umowę.

Obowiązek identyfikacji danych osobowych spoczywa na administratorze danych, czyli podmiocie, który z nich korzysta w swojej działalności gospodarczej i odpowiada za ich ochronę zgodnie z RODO¹.

Aby przetwarzanie danych osobowych było zgodne z prawem, administrator danych musi mieć do tego podstawę prawną. Może ją wybrać z katalogu wymienionego w art. 6 RODO. Są to między innymi:

• zgoda,
• obowiązek wynikający z przepisu prawa,
• realizacja umowy zawieranej z osobą, której dane dotyczą (lub podjęcie działań na jej żądanie, przed zawarciem umowy),
• prawnie uzasadniony interes, o ile prawa i wolności podmiotu danych nie mają nadrzędnego charakteru w tym konkretnym przypadku.

Inne wymienione podstawy to: realizacja zadania w interesie publicznym lub w ramach władzy publicznej albo ochrona żywotnych interesów osoby fizycznej.

Każda podstawa prawna ma swoją interpretację i swoje warunki, np. obowiązek przygotowania odpowiedniej dokumentacji. Administrator nie zawsze może wybrać dowolną podstawę prawną. Na przykład organy publiczne nie mogą bazować na prawnie uzasadnionym interesie, a towarzystwa ubezpieczeń z zasady nie powołują się na sprawowanie władzy publicznej.

Zgoda jest właściwa tylko wtedy, gdy osoba, której dane dotyczą ma realny wybór, czy jej dane będą przetwarzane. Można więc powiedzieć, że jest podstawą do przetwarzania tylko wtedy, gdy jest dobrowolna i świadoma, czyli podmiot danych dokładnie wie, na co się zgadza. Administrator musi natomiast wykazać, że zgoda została faktycznie udzielona i umożliwić jej łatwe cofnięcie. Oznacza to, że konieczne jest prowadzenie odpowiedniej ewidencji, najczęściej w postaci rejestru zgód. Zgoda nie jest więc „najbezpieczniejszą” podstawą prawną przetwarzania danych – często właściwszą podstawą jest umowa lub obowiązek prawny.

Administratorzy danych często popełniają błędy takie jak nieuzasadnione zbieranie zgód przy realizacji zamówień w e-sklepach. W takich przypadkach podstawą przetwarzania danych osobowych jest konieczność wykonania umowy sprzedaży, dlatego pobranie zgody nie tylko nie jest potrzebne, a wręcz jest niezgodne z przepisami prawa. Innym spotykanym błędem jest nadmiarowe pobieranie danych w sposób nieadekwatny do celu np. gdy e-sklep wymaga podania adresu zamieszkania przy wyborze dostawy do punktu odbioru lub uzależnianie realizacji zamówienia od wyrażenia zgody marketingowej.

Zakres danych, które może zebrać ubezpieczyciel zależy od rodzaju ubezpieczenia. Inne dane są niezbędne, jeśli ubezpieczane jest czyjeś życie, a inne, gdy ubezpieczany jest samochód lub mieszkanie. Ogólnym standardem jest pobranie danych niezbędnych do zawarcia umowy ubezpieczenia, czyli imienia, nazwiska i numeru PESEL, a także danych kontaktowych takich jak numer telefonu i adres mailowy. W przypadku ubezpieczeń na życie, oprócz danych identyfikujących zawierającego umowę, na ogół potrzebne są także informacje o stanie zdrowia osoby ubezpieczanej, po to by ocenić ryzyko. Celem takiej umowy jest finansowe zabezpieczenie wskazanych osób, więc ubezpieczyciel musi także dysponować danymi osób uprawnionych do otrzymania środków w przypadku śmierci ubezpieczonego.

Ponadto, ubezpieczyciele oferujący ubezpieczenia na życie są podmiotami zobowiązanymi do wykonywania obowiązków zawartych w przepisach o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Dlatego też w celu wykonania środków bezpieczeństwa finansowego pobierają dane niezbędne do weryfikacji, takie jak m.in. informacje zawarte w dowodzie osobistym lub paszporcie ubezpieczającego.

Niekiedy osoby, które wyraziły zgodę na przetwarzanie danych osobowych mogą chcieć ją wycofać. Oczywiście jest to możliwe. Przepisy prawa nakładają na administratorów danych obowiązek respektowania woli osób, które złożyły takie oświadczenie. Co do zasady, możliwość wycofania zgody musi być równie łatwa jak jej udzielenie. Oznacza to, że jeśli przykładowo zgoda została pobrana za pośrednictwem sieci internetowej, to administrator nie może wymagać, aby jej wycofanie było złożone na piśmie. Cofnięcie zgody działa od momentu złożenia oświadczenia i nie ma wpływu na legalność wcześniejszego przetwarzania.

Ważne jest również to, że po wycofaniu zgody osoba której dane przetwarzano może żądać usunięcia swoich danych. Administrator ma obowiązek spełnić takie żądanie, chyba że ma powody dla których dalsze przetwarzanie danych osobowych jest konieczne. Może się to odbywać w oparciu o inne wymienione w art. 6 RODO podstawy, czyli m.in. w celu wykonania umowy, jeśli ma prawny obowiązek lub jeśli ma prawnie uzasadniony interes.

Jeśli celu przetwarzania nie da się oprzeć na uzasadnionych przesłankach, bezwzględnie wszystkie dane dotyczące danej osoby muszą zostać usunięte. Jeśli administrator ignoruje prośbę o usunięcie danych nie powołując się na uzasadnione przyczyny można zgłosić to do inspektora ochrony danych, jeśli został wyznaczony przez konkretnego administratora. Jego rolą jest nadzorowanie zgodności procesów przetwarzania danych z RODO w danej organizacji.

¹ Rozporządzenie Parlamentu Europejskiego I Rady (Ue) 2016/679
Z Dnia 27 Kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).