Przedsiębiorcy żądają zgody na przetwarzanie danych osobowych nawet wtedy, gdy jest podstawa prawna wynikająca wprost z przepisów. Mogą mieć przez to kłopoty.
Klienci zawierający umowy z usługodawcami często proszeni są o wyrażenie zgody na przetwarzanie danych osobowych niezbędne do realizacji umowy. Dotyczy to nawet dużych firm, które nie mogą świadczyć usług bez przetwarzania danych, takich jak spółki telekomunikacyjne i operatorzy płatności internetowych. Jeśli stosowne okienko nie zostanie zaznaczone, umowa zwyczajnie nie zostanie zawarta.
– Jest to równie powszechne, co niebezpieczne. Firma mająca inną niż zgoda podstawę prawną do przetwarzania danych, która opiera to przetwarzanie na zgodzie, sama prosi się o kłopoty. Co zrobi, gdy klient cofnie tę zgodę, do czego ma przecież prawo w każdym momencie? – pyta dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński.
– Konsekwencje są trudne do przewidzenia. Czy takie cofnięcie zgody będzie oznaczało wypowiedzenie umowy? Raczej nie, ale jak przetwarzać dane, skoro nie ma już do tego podstawy? A samodzielna zmiana podstawy prawnej po cofnięciu zgody nie jest możliwa, chociażby ze względu na konieczność spełnienia obowiązku informacyjnego, co musi nastąpić przed rozpoczęciem przetwarzania – dodaje.
Wprowadzenie w błąd
Zgodnie z art. 6 unijnego rozporządzenia 2016/679 o ochronie danych osobowych (RODO) przetwarzanie danych osobowych jest dopuszczalne, gdy zachodzi jedna z wymienionych w tym przepisie przesłanek. Artykuł 6 ust. 1 lit. b jednoznacznie pozwala na to, gdy przetwarzanie jest niezbędne do wykonania umowy. Firma nie musi nikogo prosić o zgodę, po prostu informuje klienta, że będzie przetwarzać jego dane, by móc zrealizować usługę.
– Jeśli spełniona jest któraś ze wskazanych w art. 6 RODO równoprawnych przesłanek uprawniających do przetwarzania danych osobowych, pozyskiwanie zgody jest działaniem niewłaściwym mogącym wprowadzać w błąd. Takie stanowisko organ ds. ochrony danych osobowych zajmuje od wielu lat i jest ono aktualne – mówi Agnieszka Świątek-Druś, rzecznik prasowy Urzędu Ochrony Danych Osobowych.
Dodaje, że żądając zgody na przetwarzanie danych związanych z wykonaniem kontraktu, przedsiębiorca de facto wymusza ją na kliencie. Trudno tu mówić o dobrowolności, skoro bez wyrażenia zgody umowa nie może zostać zawarta. Tymczasem w myśl art. 7 RODO, aby zgodę można było uznać za podstawę prawną przetwarzania, musi ona zostać udzielona dobrowolnie.
UODO zwraca uwagę na możliwość wycofania zgody i związane z tym potencjalne problemy dla administratorów.
– Skoro w świetle art. 7 ust. 3 RODO zgoda może być odwołana w każdym czasie i od tego momentu administrator musi zaprzestać przetwarzania danych, to gdyby była ona podstawą legalizującą przetwarzanie danych zebranych na potrzeby zawarcia i realizacji umowy, dochodziłoby do absurdalnej sytuacji, w której w przypadku cofnięcia zgody umowa nie mogłaby być kontynuowana, mimo że nie została rozwiązana czy wypowiedziana – zaznacza Agnieszka Świątek-Druś.
Nie tylko w Polsce
Na problem związany z możliwością cofnięcia zgody zwracała uwagę w swych wytycznych Grupa Robocza Art. 29 (obecnie Europejska Rady Ochrony Danych). Stwierdzając, że wybór zgody jako podstawy przetwarzania jest wiążący.
„Jeżeli administrator postanowi opierać się na zgodzie w odniesieniu do dowolnej części przetwarzania, musi być gotowy przestrzegać tego wyboru i zaprzestać danej części przetwarzania, jeżeli dana osoba wycofa zgodę. Poinformowanie, że dane będą przetwarzane na podstawie zgody, podczas gdy administrator w praktyce opiera się na innej zgodnej z prawem podstawie, byłoby zdecydowanie nieuczciwe względem zainteresowanych osób” – napisano w wytycznych.
„Innymi słowy, administrator nie może zastąpić zgody innymi zgodnymi z prawem podstawami. Na przykład nie można stosować uzasadnionego interesu z mocą wsteczną jako podstawy uzasadniającej przetwarzanie danych w sytuacji powstania wątpliwości co do ważności zgody” – podkreśliła GR Art. 29.
Cofnięcie promesy to zresztą niejedyne kłopoty, jakie sama na siebie ściąga firma żądająca zgody od swych klientów.
– Przedsiębiorca musi też się liczyć z innymi konsekwencjami. Opierając przetwarzanie danych na zgodach, ma obowiązek umożliwić ich przenoszenie. Musi też zapewnić realizację prawa do bycia zapomnianym. To wszystko odpada, gdy korzysta się z przesłanki niezbędności przetwarzania z powodu realizacji umowy – zwraca uwagę dr Paweł Litwiński.
Dlaczego więc tak wiele firm mimo podstawy prawnej wynikającej wprost z RODO woli prosić swych klientów o wyrażenie zgody na przetwarzanie danych? Prawdopodobnie przez źle rozumianą ostrożność. Ponieważ przetwarzanie zawsze można oprzeć na zgodzie, niektórzy administratorzy tkwią w mylnym przekonaniu, że jest to najbezpieczniejsza z przesłanek. Nie jest to zresztą problem wyłącznie polski. Jak można przeczytać na jednym z forów internetowych dotyczących ochrony danych, w Austrii hotele proszą o zgodę na przetwarzanie danych związanych z zameldowaniem turysty.