Wymuszenie zgody na przetwarzanie danych osobowych – przykłady nieuczciwych praktyk

Ochrona danych osobowych

Mimo, że od wejścia w życie unijnego rozporządzenia RODO minął już ponad rok, nadal wiele firm działa wbrew ustanowionym zasadom. Jedną z takich nieuczciwych praktyk są wymuszenia zgody na przetwarzanie danych osobowych. Jakie mogą przybierać formy? Kiedy pozyskanie zgody nie jest wymagane przez przepisy?

Zgoda na przetwarzanie danych osobowych – kiedy jest potrzebna?

W każdym miejscu, takim jak formularz czy ankieta online, które wymaga od użytkownika podania danych osobowych umożliwiających jego identyfikację, RODO nakłada obowiązek zastosowania odpowiedniej klauzuli. W takiej klauzuli powinna znaleźć się informacja o tym, kto zbiera dane osobowe użytkownika i w jakim celu to robi.

Istnieje cały szereg sytuacji, gdy uzyskanie zgody na przetwarzanie danych osobowych ich posiadacza lub posiadaczki jest niezbędne, by działać zgodnie z ustanowionymi przez unijne rozporządzenie RODO przepisami. Przykłady takich miejsc to:

  • formularz zbierający dane użytkownika (np. zapis do newslettera),
  • ankieta badania satysfakcji klienta,
  • przekazanie danych osobowych innemu podmiotowi (wówczas potrzebna jest zgoda nie tylko na przetwarzanie danych przez inny podmiot, ale również na przekazanie mu tych danych),
  • rekrutacja – wówczas kandydat powinien umieścić w CV zapis, że wyraża zgodę na przetwarzanie danych osobowych dla potrzeb niezbędnych do realizacji procesu rekrutacji. W takim zapisie można – nie jest to jednak obowiązkowe – umieścić również zapis o tym, że kandydat wyraża zgodę na przetwarzanie danych osobowych na potrzeby przyszłych rekrutacji.

Nie w każdej sytuacji klauzula ze zgodą na przetwarzanie danych osobowych jest niezbędna. Kiedy nie jest potrzebna? Najpowszechniejszy jest przypadek, gdy dane osobowe są niezbędne do zrealizowania umowy. Zgoda nie jest wymagana również wtedy, gdy dane osobowe są niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. O szczegółach i aktualnych przepisach temat przetwarzania danych osobowych oraz wszelkich obowiązkowych zgód i sytuacji, gdy należy zastosować odpowiednią klauzulę, wiedzę można uzupełniać samodzielnie, inną opcją jest profesjonalne szkolenie RODO.

Wymuszona zgoda – przykłady nieuczciwych praktyk

Przepisy RODO jasno precyzują, że zgoda na przetwarzanie danych osobowych powinna być dobrowolna, konkretna, świadoma i jednoznaczna. Mimo, że RODO weszło w życie w maju 2018 roku, to nadal wiele firm – świadomie bądź też nie – łamie przepisy i stosuje praktyki, które wymuszają od użytkowników taką zgodę.

Jedną z sytuacji, w której można mówić o wymuszonej zgodzie, jest przypadek, gdy wykonanie umowy lub świadczenie usługi zostało uzależnione od zgody na przetwarzanie danych. Można mówić wówczas o wymuszeniu, ale tylko wtedy, jeśli przetwarzanie nie jest niezbędne do wykonania umowy lub zrealizowania usługi.

Inny przykład sytuacji wymuszonej zgody na przetwarzanie danych osobowych to domniemana zgoda. Nadal spotykaną praktyką jest, że podczas uzupełniania formularza lub zakładania konta (np. w sklepie internetowym) przed użytkownikiem pojawiają się domyślnie zaznaczone checkboxy lub też system ustawiono w taki sposób, że jeżeli jakaś ze zgód nie jest zaznaczona (np. przetwarzanie danych osobowych w celach marketingowych), to użytkownik ma zablokowaną możliwość wykonania dalszych kroków. Takie działania stoją w sprzeczności z pozyskiwaniem zgody w sposób niewymuszony.

Ostatni przykład wymuszonej zgody to zgoda dorozumiana z oświadczenia woli o innej treści. Eksperci RODO jako przykład takich sytuacji podają wszystkie przypadki, kiedy posiadacz danych osobowych – mimo braku konkretnego zachowania lub bezczynności – został uznany za osobę, która udzieliła zgody na przetwarzanie danych. Konkretny przykład: użytkownik sklepu internetowego zaznacza checkbox, że akceptuje regulamin e-sklepu – ta zgoda jest rozumiana lub nadinterpretowana jako udzielenie zgody również na przetwarzanie jego danych osobowych. Jak powinno to wyglądać, by działać zgodnie z obowiązującymi przepisami? Użytkownik powinien móc zaznaczyć kolejny, odrębny checkbox, w którym wyrazi na to zgodę.

Zgoda na informacje handlowe za rabat

W ubiegłym roku branżowe portale o RODO opisywały interesujący przypadek. Kilka firm w Polsce, dostarczających telewizję kablową i internet, oferowało swoim klientom atrakcyjne rozwiązanie: w zamian za wyrażenie zgody otrzymywanie informacji handlowych klient dostawał rabat w wysokości kilku złotych miesięcznie na rachunku za konkretną usługę. W sytuacji, gdy klient wycofywał tę zgodę, miesięczny abonament zwiększał się o kwotę rabatu. Co na to przepisy? Nie są to działania sprzeczne z RODO: klient w sposób świadomy wyraził zgodę na otrzymywanie informacji handlowych, w każdej chwili mógł wycofać się z udzielonej zgody. W świetle aktualnych przepisów takie działanie nadal nie stoi w sprzeczności z prawem. Istotne jest tutaj przywołanie jednego pojęcia, mianowicie “niekorzystnych konsekwencji”. Jeżeli klient po wycofaniu zgody otrzymałby usługę niższej jakości lub zostałaby na niego nałożona wysoka kara umowna, wówczas mogłoby to zostać uznane za wywołanie niekorzystnych konsekwencji.

Zdjęcie pochodzi z serwisu Adobe Stock.