Dla żadnego z przedsiębiorców prowadzących sklep lub serwis internetowy nie powinno być tajemnicą jak ważne w tej działalności jest prawidłowe przetwarzanie danych osobowych. Pierwszym krokiem dla zapewnienia prawidłowości i zgodności postępowania w tym zakresie jest zadbanie o spełnienie jednej z przesłanek legalności (dopuszczalności) przetwarzania danych osobowych, określonych w art. 23 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.2015.2135 j.t. ze zm. dalej “u.o.d.o.”) (odrębnie w przepisach u.o.d.o regulowane są przesłanki dopuszczalności przetwarzania danych wrażliwych, tzw. sensytywnych- art. 27 u.o.d.o.). Jedną z takich przesłanek, w zasadzie najistotniejszą w praktyce działania serwisów internetowych, jest zgoda osoby, której dane dotyczą. Jak powinna być sformułowana aby można ją było z pewnością uznać za prawidłową i nie narażać przedsiębiorcy na ewentualne sankcje ze strony GIODO?
Mimo, że przedsiębiorcy co raz więcej uwagi poświęcają kwestiom przetwarzania i ochrony danych osobowych, ze szczególnym uwzględnieniem pozyskiwanych zgód, nadal napotkać można na liczne błędy lub nieprawidłowości w tym zakresie. Punktem wyjścia do rozważań tej kwestii powinna być legalna definicja zgody, na przetwarzanie danych osobowych, zgodnie z którą ilekroć w ustawie jest mowa o zgodzie osoby, której dane dotyczą rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie (art 7 pkt 5 u.o.d.o.)
Pierwszą rzeczą jaka się nasuwa po zapoznaniu się z treścią wskazanej definicji jest konieczność ujęcia przedmiotowej zgody jako wyodrębnionego oświadczenia, niezależnego od wszelkich innych oświadczeń. Takie oświadczenie nie może być ani dorozumianie an domniemane. Tym samym oczywiście nieprawidłowe praktyki polegające np. na zawieraniu w regulaminie serwisów postanowień o automatycznym wyrażeniu zgody na przetwarzane danych osobowych poprzez przystąpienie do korzystania z serwisu, poprzez zarejestrowanie konta, poprzez złożenie zamówienia. Nie jest dopuszczalne łączenie wskazanego oświadczenia z jakimikolwiek innymi oświadczeniami np. o zgodzie na posłużenie się telekomunikacyjnym urządzeniem końcowym dla celów marketingu bezpośredniego, o zgodzie na przesyłanie informacji handlowej drogą elektroniczną, o zgodzie na otrzymywanie newslettera etc (przykładowo nie można tych zgód połączyć w jednym oświadczeniu zawartym w jednym “checkboxie”). Nie jest też możliwe przyjmowanie złożenia stosowego oświadczenia w sposób konkludenty, czy na podstawie wyłącznie czynności faktycznych osoby, której dane dotyczą. Tym samym skuteczna jest wyłącznie zgoda wyrażona wyraźnie w oświadczeniu dotyczącym wyłącznie przetwarzania danych osobowych. Musi być oczywiście wyrażona swobodnie (niedopuszczalne są oznaczone “z góry”, automatycznie wypełnione formularze zgody) i swobodnie odwoływalna).
Równie istotnym aspektem jest treść wyrażanej zgody. Zgoda nie powinna mieć charakteru abstrakcyjnego, nie może dotyczyć przetwarzania danych osobowych w ogóle. Chodzi zatem o to, by odnosiła się do skonkretyzowanego stanu faktycznego, obejmowała tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania (Janusz Barta, Komentarz do ustawy o ochronie danych osobowych, LEX OMEGA).
Oświadczenie zatem powinna określać podmiot, na przetwarzanie danych przez który, zgoda jest wyrażana, tj. administratora danych osobowych.
Ponadto konieczne jest wskazanie zakresu danych objętych wyrażoną zgodą. Nie może bowiem ona obejmować z góry wszystkich ewentualnych danych osobowych. Oczywiście najbardziej pożądane jest by treść zgody konkretnie wskazywała określone dane osobowe, które mają być jej podstawie przetwarzane (np. imię, nazwisko, adres, nr telefonu), ale za dopuszczalne należy też uznać odesłanie do konkretnego dokumentu lub miejsca, w którym te dane się znajdują lub w którym zostały podane np. “danych osobowych zamieszczonych w formularzu zamówienia”, “danych osobowych podanych zamieszczonych w koncie klienta” (pewne wątpliwości mogą budzić jednak sformułowania zbyt ogólne, nie pozwalające na łatwe ustalenie danych objętych zgodą np. “wszelkie dane osobowe podane w toku korzystania z serwisu”).
Zgoda powinna również wskazywać objęte nią formy i postacie (sposoby) przetwarzania. Może oczywiście obejmować wszystkie te postacie lub tylko niektóre z nich. Kluczowa jest tu definicja przetwarzania danych osobowych, zgodnie z którą przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych (art. 7 pkt 2 u.o.d.o.). W razie wyrażenia zgody na przetwarzanie danych osobowych, mają na uwadze literalny treść wskazanej zgody, oświadczenie to obejmuje wszelkie formy przetwarzania, w tym jak się wydaje wykonywanie takich operacji na danych osobowych jak np. ich przekazywanie innym podmiotom czy udostępnianie. Powyższe skorelowane jest z obowiązkiem informowania osoby, której dane dotyczą o odbiorach lub kategoriach odbiorców danych (art. 24 ust.1 pkt 2 i art 25 ust.1 pkt 2 u.o.d.o.). Przyjmuje się też, że możliwe jest wyrażenie zgody na przetwarzanie danych zwykłych nie tylko przez administratora będącego adresatem zgody, ale także przez każdego innego administratora, któremu dane te zostaną przekazane, o ile tylko nie zmieni się cel przetwarzania (art. 23 ust. 2 u.o.d.o.) (Tomasz Szewc, Zgoda na przetwarzanie danych osobowych, PiP 2008/2/87-96). W tym aspekcie należy jednak zwrócić uwagę, że pewne wątpliwości budzi kwestia zgody na przekazywanie danych osobowych, tj. konieczności jej dodatkowego wyodrębnienia. W szczególności wątpliwości te odnoszą się do konieczności należytej ochrony praw osób wyrażających zgodę, w kontekście ich pełnej świadomości, co do tego w jaki sposób ich dane są przetwarzane. Wyrażający zgodę musi mieć w momencie jej zawarcia świadomość tego, co kryje się pod pojęciem przetwarzania, przy czym w danych okolicznościach może np. nie mieć świadomości tego, że przetwarzanie danych może wykraczać poza cel wynikający z faktu zawieranej umowy (Wyrok NSA, sygn. akt II SA 2135/02). W szczególności może nie mieć świadomości, że dane mogą być udostępniane innym podmiotom (w szczególności np. w przypadku nieprawidłowego pouczenia), zważywszy, że oświadczenie składa wobec jednego określonego podmiotu. W związku z powyższym postuluje się wyodrębnienie dodatkowego sformułowania o tym, że zgoda obejmuje także przekazywanie danych osobowych innym, określonym podmiotom. Przytoczyć można w tym zakresie wyrok z dnia 19 listopada 2001 r. (sygn. akt II SA 2748/00), w którym Naczelny Sąd Administracyjny stwierdził, iż udostępnienie danych osobowych podmiotom trzecim powinno być odrębnym oświadczeniem woli, nie musi bowiem dana osoba godzić się na udostępnienie swoich danych osobom trzecim. W literaturze przedmiotu prezentowany jest pogląd, iż jeśli oświadczenie woli o wyrażaniu zgody na przetwarzanie danych nie obejmowało możliwości udostępnienia danych innemu administratorowi, działanie takie jest niedopuszczalne, dla udostępnienia danych innym podmiotom konieczna jest dodatkowa zgoda osoby, której dane dotyczą (Janusz Barta, Ryszard Markiewicz, Ochrona danych osobowych, Komentarz, Zakamycze 2002 s. 388, S. Grynhoffi P. Woźny “Ochrona Danych Osobowych w praktyce” pkt 2/2, s. 7-11).
Wreszcie, treść zgody powinna konkretyzować cel przetwarzania danych, którego oświadczenie dotyczy. Ta kwestia rodzi najwięcej problemów w praktyce.
Przede wszystkim wielu administratorów zapomina, że każdy odrębny cel przetwarzania danych osobowych wymaga odrębnej, zgody wyrażonej konkretnie i swobodnie na dany cel przetwarzania. Przykładowo w wyroku NSA z 11 kwietnia 2003 r. (zob. II SA 3942/02, niepubl.) stwierdzono, że “(…) w przypadku oświadczenia woli dotyczącego różnych celów przetwarzania danych osobowych (…) zgoda winna być wyrażona wyraźnie pod każdym z tych celów przetwarzania”. Nie można np. uzależniać zgody na realizację zamówienia określonego produktu lub usługi (cel pierwotny) od wyrażenia zgody na przetwarzanie danych osobowych w celach marketingowych. Dodatkowe wątpliwości może budzić rozstrzygnięcie, co tak naprawdę stanowi odrębne cele przetwarzania danych osobowych. Zastrzec należy jednak, że marketing własny i marketing podmiotów trzecich (np. współpracujących z administratorem) z pewnością stanowią odrębne cele przetwarzania.
Jednocześnie, w zasadzie, nie powinno się obejmować zgodą przetwarzania tych danych osobowych, których przetwarzanie danych osobowych odbywa się na podstawie innych przesłanek legalizacyjnych. Przykładowo, nie wymaga zgody przetwarzanie danych osobowych, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. GIODO wskazuje np. że jeśli firma gromadzi dane swojego przyszłego klienta i ma zamiar wykorzystywać je jedynie do celu realizacji umowy, którą z nim zawiera, nie powinna zwracać się o zgodę na przetwarzanie danych. Natomiast, gdyby firma zamierzała wykorzystać dane swoich klientów w innym celu niż do realizacji lub wykonania umowy zawartej z klientem nie spełniając przy tym żadnego z warunków określonych w art. 23 ust. 1 pkt 2 – 5 u.o.d.o, o taką zgodę powinna się zwrócić.
W tym zakresie zwrócić należy uwagę, że co do zasady, nie wymaga zgody przetwarzanie danych osobowych dla celów marketingu własnego (art. 23 ust. 1 pkt 5 i ust. 4 pkt. 1 u.o.d.o.). Jednakże wyjątek w tym zakresie dotyczy usług świadczonych drogą elektroniczną, które są zasadniczo świadczone w określonym zakresie przez sklepy internetowe i inne serwisy internetowe. Przetwarzanie danych osobowych dla potrzeb marketingu własnego przedsiębiorcy świadczącego usługę drogą elektroniczną wymaga odrębnej zgody, zaś dla przetwarzania danych osobowych w tym celu, w toku “zwykłej” działalności taka zgoda nie jest, co do zasady wymagana. Tym samym przetwarzanie danych osobowych dla celów marketingu własnego administratora danych odnoszącego się do usługi świadczonych drogą elektroniczną wymaga wyrażenia zgody.
Wreszcie, zwrócić należy uwagę, że zgoda na przetwarzanie danych osobowych może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania.