Zgoda musi być dobrowolna, świadoma, wyodrębniona od innych oświadczeń, możliwa do wycofania itd. To znamy. Wiadomo, że zgoda to najsłabsza podstawa przetwarzania danych osobowych, bo w każdej chwili może być wycofana. Dużo mówi się o tym, jaka powinna być zgoda, ale niewiele o tym, co powinna zawierać, a to jest równie istotne jak sama forma i sposób odebrania zgody.
Oznaczenie administratora
Na pewno w treści zgody należy wskazać kim jest administrator. Bez tego elementu zgoda nie może być uznana za ważną, gdyż brak oznaczenia administratora skutkuje tym, że podmiot danych nie wie, komu udziela zgody. Minimalnie powinna zostać wskazana firma administratora (w przypadku przedsiębiorcy), a zatem w przypadku osoby fizycznej jej imię i nazwisko (plus oznaczenie działalności gospodarczej, gdyż czasem te dwie kwestie się „rozjeżdżają”) a przy pozostałych podmiotach (osobach prawnych i ułomnych osobach prawnych) firma z rejestru. Dodatkowo można wskazać również adres albo inne elementy oznaczające np. numer NIP lub numer KRS.
Wskazanie celu przetwarzania danych
Bez wskazania celu zgoda również nie jest ważna. Cel przetwarzania to niezwykle ważny element, gdyż podmiot danych, udzielając zgody, musi być świadomy nie tylko tego, komu udziela zgodę, ale również po co to robi. Należy przy tym pamiętać o zasadzie: „jedna zgoda = jeden cel” – nie można bowiem odbierać jednej zgody na kilka różnych celów, gdyż stanowiłoby to zaprzeczenie dobrowolności zgody.
Wskazanie zakresu danych
Niewątpliwie zgoda jest bezwzględnie nieważna, gdy nie zawiera oznaczenia administratora oraz wskazania celu przetwarzania danych. Co do wskazania zakresu danych na rynku widać różne podejście, jednak prawidłowe formułowanie zgód – zgodnie z zaleceniami Grupy Roboczej art. 29 (obecnie EROD) powinno zawierać zakres danych. Podmiot danych powinien być świadomy zatem tego, które z jego danych osobowych konkretny administrator będzie wykorzystywał w konkretnych celach.
Pouczenie o prawie do wycofania zgody
Podmiot danych udzielający zgody ma prawo do jej wycofania w każdym czasie. Wycofanie zgody musi być równie łatwe jak jej wyrażenie. Uważam, że pouczanie podmiotu danych o prawie do wycofania zgody, jeśli o takim prawie pouczono już przy okazji realizacji obowiązku informacyjnego, wydaje się nadmiarowe. Mimo to – dla bezpieczeństwa – lepiej ponownie zawrzeć w formularzu zgody takie oświadczenie. Należy przy tym pamiętać o dodaniu fragmentu, że wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.
Dodatkowe informacje – równie ważne!
Dodatkowo – w przypadkach, w których jest to wymagane – w formularzu zgody powinna znaleźć się również informacja o wykorzystywaniu danych do decyzji opartych jedynie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, a także (przy transferach danych) informacja o możliwych zagrożeniach (ryzyku, braku decyzji Komisji Europejskiej) przy przekazywaniu danych do państw trzecich.
r. pr. Daniel Rybarczyk