Przed wejściem w życie ogólnego, unijnego rozporządzenia o ochronie danych, tzw. RODO, można było odnieść wrażenie, że po 25 maja 2018 r. zmieni się wszystko. Mimo, iż mamy ten dzień już za sobą, to wciąż nie milkną dyskusje na temat nowych przepisów. Wiele trudności i pytań nastręcza kwestia zgody na przetwarzanie danych. Podmioty zbierające dane zadają sobie pytanie: czy muszę mieć zgodę? Osoby fizyczne zastanawiają się zaś: czy muszę wyrazić zgodę?

Jak to właściwie jest z tą zgodą? W świetle RODO, przetwarzanie danych jest zgodne z prawem kiedy jest niezbędne do wykonania umowy, wypełnienia obowiązku prawnego ciążącego na administratorze, oraz kiedy jest niezbędne do ochrony interesów osoby, której dotyczą lub wykonania zadania realizowanego w interesie publicznym. Są więc sytuacje, kiedy nie zostaniemy zapytani o zgodę, a mimo to nasze dane będą przetwarzane. We wszystkich pozostałych sytuacjach, dane można przetwarzać tylko i wyłącznie jeśli została wyrażona na to zgoda. Dobrym przykładem będą stosunki pracodawca – pracownik. Kodeks pracy określa, jakich danych pracodawca może żądać  od osoby ubiegającej się o pracę (imię i nazwisko; imiona rodziców; data urodzenia; miejsce zamieszkania, adres do korespondencji, wykształcenie, przebieg dotychczasowego zatrudnienia). Przetwarzając te dane, pracodawca nie potrzebuje naszej zgody. Jeśli pracownik w swojej aplikacji podał także  inne dane, powinien wyrazić zgodzić na to, aby pracodawca mógł je przetwarzać. 

Wiemy już, że poza wyjątkami określonymi w RODO, przetwarzanie naszych danych wymaga zgody. Zgoda może przybrać formę pisemną, elektroniczną lub ustną. RODO określa też, jak powinno wyglądać udzielenie takiej zgody. Musi być dobrowolna, świadoma, konkretna oraz jednoznaczna.  Zgoda jest dobrowolna, jeśli wyrażając ją, mamy wolny wybór, to jasne.  Aby była świadoma, osoba która ją wyraża, powinna być dokładnie poinformowana, jak będzie wyglądało postępowanie z danymi – powinna znać administratora swoich danych, cel w jakim będą przetwarzane (według przepisów jest to minimum informacji), zakres oraz czas ich przetwarzania oraz znać swoje prawa w stosunku do przekazanych danych. Zapytanie o zgodę musi być tak sformułowane i tak umiejscowione, aby odróżniało się od innych kwestii – nie może być np. częścią umowy lub regulaminu. Co ważne, zapytanie o zgodę musi dotyczyć tylko jednego celu przetwarzania danych. Jeśli jest kilka celów, do każdego z nich powinna być wyrażona odrębna zgoda. Jeżeli ktoś zastanawiał się, dlaczego w ostatnim czasie wszelkie druki, formularze lub inne miejsca, w których „zostawiamy” swoje dane, powiększyły swoją objętość, a na stronach internetowych zewsząd „atakują” okna z zapytaniami, to powyższe stanowi odpowiedź. Tekstu i informacji jest faktycznie więcej. Jednak jeśli zapytanie o zgodę jest sformułowane zgodnie z opisanymi powyżej wymogami, zapoznanie się ze wszystkimi ważnymi informacjami nie powinno być problematyczne.  Nie warto więc opierać się pokusie i machinalnie podpisywać lub klikać checkboxy, ale poświęcić kilka minut lub nawet sekund, by  wiedzieć na co się zgadzamy i kto będzie miał dostęp do naszych danych.

Co ważne, zgoda wyrażona raz nie oznacza, że nasze dane zostaną już na zawsze w bazach administratora, któremu została udzielona. Dane nie powinny być przechowywane dłużej niż to koniecznie, a administrator powinien nas poinformować o tym,  jak długo będzie je przetwarzał. RODO daje także osobie, której dane dotyczą prawo wycofania zgody w każdym czasie, a o możliwości wycofania zgody, administrator powinien poinformować jeszcze przed jej wyrażeniem. Procedura wycofania zgody, powinna być tak łatwa jak jej wyrażenie –  informacja o tym, jak wycofać zgodę powinna być  jasna i łatwo dostrzegalna.

Podsumowując, RODO wprowadziło restrykcyjne wymagania dotyczące zgody i okoliczności wyrażenia zgody na przetwarzanie danych. Może się wydawać, że  jest to niepotrzebna biurokracja, jednak niezbędna w dzisiejszych czasach. Jasno i przejrzyście sformułowane zapytania o zgodę oraz rozbudowany obowiązek informacyjny sprzyjają pogłębianiu świadomości o tym, co dzieje się z naszymi danymi. Warto czytać i warto nie zgadzać się na wszystko.