Marek Szydłowski

Zgoda na przetwarzanie danych osobowych – pogląd regulatorów

Art. 29 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz ich swobodnego przepływu przewiduje powołanie grupy roboczej.

Grupa ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, potocznie zwana Grupą Roboczą Art. 29, składa się z przedstawicieli organów nadzoru państw członkowskich UE i przedstawiciela Komisji Europejskiej. Szczegółowy zakres zadań Grupy Roboczej reguluje art. 30 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 roku (Dyrektywa). Jednym z nich jest wydawanie opinii dotyczących zagadnień istotnych dla ochrony danych osobowych.

I tak, 13 lipca 2011 roku Grupa Robocza wydała opinię (Opinia 15/2011 w sprawie definicji zgody) na temat udzielania zgody na przetwarzanie danych przez osobę, której dane mają być przetwarzane. Zgoda w myśl art. 7 Dyrektywy stanowi jedną z podstaw legalności przetwarzania danych osobowych, a ponadto – zgodnie z odpowiednimi fragmentami art. 8 i art. 26 Dyrektywy – stanowi przesłankę przetwarzania danych osobowych szczególnie chronionych, jak również przesłankę dopuszczającą przekazanie danych osobowych poza państwa Europejskiego Obszaru Gospodarczego. Samo pojęcie zgody osoby, której dane dotyczą, ujęte jest w definicji zawartej w postanowieniach art. 2 lit. h) Dyrektywy i stanowi „konkretne i świadome, dobrowolne wskazanie przez osobę, której dane dotyczą, na to że wyraża przyzwolenie na przetwarzanie odnoszących się do niej danych osobowych”. Według art. 7 pkt. 5 polskiej ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych – zgoda na przetwarzanie danych to „oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie”.

Szczegółowo badając postanowienia Dyrektywy dotyczące zgody, Grupa Robocza analizuje istotne elementy składające się na udzielenie zgody bądź z nim związane.

Udzielenie zgody może nastąpić przez wyrażenie woli w dowolnej formie. Może być ona udzielona w formie pisemnej, ale również ustnie. Można udzielić zgody również poprzez „kliknięcie” odpowiedniego pola na stronie internetowej lub w elektronicznym formularzu. Wyrażenie zgody musi jednak zawierać w sobie element działania. Grupa Robocza stwierdza, że nie można przyjąć, iż zgoda została udzielona w sposób bierny, np. poprzez brak reakcji osoby, której dane dotyczą. Zatem np. rozesłanie zmian do regulaminu danej usługi z informacją, że brak reakcji na zmiany oznacza akceptację zawartej w rozesłanych zmianach zgody na przetwarzanie danych, nie spełnia wymogu aktywnego wyrażenia woli.

Jak wskazano powyżej, polska ustawa określa, że zgoda musi być udzielona w postaci oświadczenia woli. Zgodnie z definicją zawartą w przepisie art. 60 Kodeksu cywilnego jest to „każde zachowanie się (…) osoby, które ujawnia jej wolę w sposób dostateczny, w tym również przez ujawnienie tej woli w postaci elektronicznej”. Oznaczałoby to, że zgoda na przetwarzanie danych osobowych mogłaby być udzielona w sposób pasywny – jednak, z uwagi na fakt, że przepis art. 7 pkt 5 stanowi, że zgoda nie może być dorozumiana, należałoby raczej wykluczyć możliwość udzielenia zgody poprzez pasywne zachowanie osoby, której dane dotyczą. Niemniej jednak, brak jest w polskiej ustawie wyraźnego wskazania, że zgoda może być udzielona tylko poprzez działanie.

Zgoda musi być udzielona dobrowolnie. Nie można uznać, że została ona wyrażona w przypadku, gdy osoba, której dane dotyczą, była poddana jakiemukolwiek naciskowi oraz nie miała możliwości dokonania rzeczywistego wyboru. Dlatego nie można uznać za dobrowolnie udzieloną zgodę zgody pracownika na przetwarzanie danych osobowych w sytuacji, gdy odmowa udzielenia tej zgody może wywołać dla tego pracownika negatywne konsekwencje np. w postaci rozwiązania umowy o pracę. Takie stanowisko zajął również polski Naczelny Sąd Administracyjny w wyroku z 1 grudnia 2009 roku (sygn. akt I OSK 249/09), stwierdzając m.in., że „wyrażona na prośbę pracodawcy pisemna zgoda pracownika na pobranie i przetworzenie jego danych osobowych narusza prawa pracownika i swobodę wyrażenia przez niego woli”. NSA stanął również na stanowisku, iż „uznanie faktu wyrażenia zgody przez pracownika, jako okoliczności legalizującej pobranie od pracownika innych danych niż wskazane w art. 221 Kodeksu pracy stanowiłoby obejście tego przepisu”, co oznacza, iż zdaniem NSA nie jest możliwe uzyskanie zgody pracownika na przetwarzanie jakichkolwiek innych danych osobowych niż zawarte w powyżej przywołanym przepisie art. 221 Kodeksu pracy. Grupa Robocza nie idzie jednak aż tak daleko, dopuszczając sytuację, w której uzyskanie zgody pracownika stanowiłoby przesłankę legalizującą przetwarzanie dodatkowych danych osobowych, ale tylko pod warunkiem, że odmowa udzielenia zgody przez pracownika nie powodowałaby dla niego negatywnych konsekwencji.

Grupa Robocza wymieniła też takie przykłady przetwarzania danych, gdzie – jej zdaniem – zgoda nie może stanowić podstawy legalności przetwarzania danych, a do zapewnienia zgodności z prawem przetwarzania danych osobowych należałoby szukać innej podstawy prawnej (np. przez wyraźne wskazanie w ustawie dopuszczalności przetwarzania danych osobowych w tych przypadkach). Według Grupy Roboczej są to: konieczność podawania dodatkowych danych osobowych w przypadku korzystania z e-administracji, przekazywanie danych osobowych pasażerów linii lotniczych do władz USA oraz przetwarzanie danych osobowych w ramach spisu powszechnego.

Grupa Robocza z faktu, iż zgoda musi być konkretna wywodzi, że zgoda na przetwarzanie danych nie może być interpretowana rozszerzająco. Ponadto, zgoda musi konkretnie wskazywać cele, w jakich administrator danych może je przetwarzać. Nie będzie uznana za ważną zgoda, która dopuszcza przetwarzanie „we wszystkich prawnie uzasadnionych celach”. Konkretność zgody oznacza również, że gdy ulegną zmianie cele, dla których administrator przetwarza dane, zgoda musi być udzielona ponownie.

Zgoda na przetwarzanie danych musi być świadoma. Tekst angielski Dyrektywy używa określenia informed, co pomaga zinterpretować polskie pojęcie „świadomy”: osoba, której dane dotyczą, powinna być przed udzieleniem zgody poinformowana o wszystkich istotnych aspektach przetwarzania danych: celu, w jakim będą przetwarzane, sposobie ich przetwarzania, podmiotach, do których dane będą przesyłane, bądź tych, które będą przetwarzały dane na zlecenia administratora danych. Informacja ta powinna być podana w sposób zrozumiały dla osoby, która ma udzielić zgody na przetwarzanie danych, a także powinna być podana w sposób widoczny i łatwo dla niej dostępny. Jeżeli zgoda ma być udzielona w formularzu na stronie internetowej, to osoba, której dane dotyczą, powinna móc w łatwy sposób zapoznać się ze wszystkimi informacjami niezbędnymi do udzielenia przez nią świadomej zgody.

Zdaniem Grupy Roboczej zgoda na przetwarzanie danych musi być jednoznaczna. Oznacza to, że nie można zgody na przetwarzanie danych osobowych wywodzić z innego oświadczenia woli osoby, której dane dotyczą. Jednoznaczność oznacza również, że administrator danych musi być przekonany co do tożsamości osoby udzielającej zgody, tj. czy rzeczywiście jest to osoba, której dane dotyczą. Tego ostatniego wymogu Grupa Robocza w treści opinii nie rozwija, a w szczególności nie wskazuje konieczności dodatkowej weryfikacji tożsamości osoby udzielającej zgody w środowisku on-line. Omawiając kwestię jednoznaczności zgody, większy nacisk Grupa Robocza kładzie na to, aby administrator danych mógł udokumentować fakt udzielenia zgody. Grupa Robocza wskazuje jednak, że jest to problem administratora danych i nie wyklucza to możliwości udzielenia zgody w innej formie niż pisemna. Zdaniem Grupy Roboczej również zgoda na przetwarzanie danych wrażliwych nie wymaga formy szczególnej. W tym miejscu należy wskazać, że polskie przepisy dotyczące ochrony danych osobowych regulują te kwestię odmiennie, ponieważ przepis art. 27 ust. 2 pkt ustawy o ochronie danych osobowych dopuszcza udzielenie takiej zgody wyłącznie na piśmie.

Problemem, którego Grupa Robocza nie rozstrzygnęła, jest kwestia udzielania zgody na przetwarzanie danych przez osoby nieposiadające zdolności do czynności prawnej. Kwestia ta jest o tyle istotna, iż użytkownikami niektórych serwisów społecznościowych są w znacznej części małoletni. Grupa Robocza stwierdziła, że w tym zakresie istnieje w UE stan prawnej niepewności. W Polsce ustawa o ochronie danych osobowych milczy na ten temat, a lektura przepisów Kodeksu cywilnego prowadzi do wniosku, że małoletni samodzielnie zgody na przetwarzania danych udzielić nie może i potrzebna jest zgoda przedstawiciela ustawowego takiej osoby, co wynika z przepisu art. 17 Kodeksu cywilnego. Pewnym odstępstwem jest tu przepis art. 14 § 2 Kodeksu cywilnego, z tym że aby skorzystać z tego przepisu zgoda na przetwarzanie danych musiałaby być udzielana przy okazji zawierania umowy należącej do „umów powszechnie zawieranych w drobnych bieżących sprawach życia codziennego”. Ponadto w takim wypadku zgoda byłaby skuteczna tylko w takim zakresie, w jakim służyłaby do wykonania tej umowy. Należy wskazać, że istnieje również pogląd, iż udzielenie zgody na przetwarzanie danych nie należy do kategorii czynności prawnych, w związku z czym powyżej zacytowane przepisy Kodeksu cywilnego nie będą miały zastosowania. Nie przesądzając, jaki pogląd jest właściwy, należy raz jeszcze podkreślić, że obecny stan prawny nie jest jasny i, tak jak wskazuje opinia Grupy Roboczej, wymaga jednoznacznego uregulowania.

Opinia zawiera również wnioski z przeprowadzonej analizy. W tych wnioskach Grupa Robocza postuluje zmianę definicji zgody, aby wynikało z niej jednoznacznie, że zgody można udzielić jedynie poprzez działanie. Grupa postuluje również, aby zostało zapisane, że ciężar dowodu na okoliczność udzielenia zgody na przetwarzanie danych spoczywał na administratorze danych. Grupa Robocza wskazała również, że należałoby ująć w przepisach następujące elementy ukształtowane orzecznictwem i historią prawną:

  • możliwość wycofania zgody na przetwarzanie danych w każdym czasie – tutaj należy wskazać, że przepis polskiej ustawy jednoznacznie takie prawo wskazuje,
  • wskazanie, że zgoda musi być udzielona przed rozpoczęciem przetwarzania, lub przed wykorzystaniem danych w sposób nieobjęty zgodą udzieloną pierwotnie,
  • wskazanie wymogów co do jakości i dostępności informacji przekazywanych osobie, której dane dotyczą, na temat celu, zakresu i sposobu przetwarzania danych osobowych tej osoby przed podjęciem przez nią decyzji o udzieleniu zgody na przetwarzanie danych osobowych.

Grupa Robocza wskazała również, że w przypadku osób nieposiadających zdolności do czynności prawnych należy doprecyzować okoliczności, w jakich byłaby konieczna zgoda przedstawicieli ustawowych, wprowadzenie obowiązku mechanizmów weryfikacji wieku, jak również zobowiązanie do dostosowanie informacji dla dzieci w celu ułatwienia im zrozumienia konsekwencji udzielonej zgody.

W przypadku polskich przepisów, oprócz powyżej opisanych wniosków (w tej części, w jakiej nie są one implementowane do polskiego prawa) należałoby jeszcze rozważyć następujące zmiany:

  • dopuszczenie możliwości przetwarzania danych osobowych pracowników uzyskanych za zgodą, z wyraźnym zastrzeżeniem, że nieudzielanie zgody nie może powodować dla pracownika jakichkolwiek negatywnych konsekwencji,
  • zniesienie zawartego w przepisie art. 27 ust. 2 pkt 1 ustawy o ochronie danych osobowych obowiązku, aby zgoda na przetwarzanie danych sensytywnych była udzielona wyłącznie na piśmie.

Biorąc pod uwagę, że członkiem Grupy Roboczej jest również polski Generalny Inspektor Ochrony Danych Osobowych, należy liczyć się ze zmianami legislacyjnymi dotyczącymi kwestii udzielenia zgody. Przygotowując nowelizację, być może należałoby również uwzględnić dwie powyżej zawarte sugestie autora niniejszego artykułu.

Marek Szydłowski, radca prawny, Zespół Technologie, Media, Telekomunikacja kancelarii Wardyński i Wspólnicy