Wytyczne dotyczące zgody na mocy rozporządzenia 2016-679 (tłumaczenie nieofic.pdf

(1168 KB) Pobierz
GRUPA ROBOCZA ART. 29 DS. OCHRONY DANYCH
17/PL
WP259
Wytyczne dotyczące zgody na mocy rozporządzenia 2016/679
Przyjęte 28 listopada 2017 r.
1
G
RUPA
R
OBOCZA DS
. O
CHRONY
O
SÓB
F
IZYCZNYCH W ZAKRESIE
P
RZETWARZANIA
D
ANYCH
O
SOBOWYCH
powołana na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia
24 października 1995 r.,
uwzględniając art. 29 i art. 30 wspomnianej dyrektywy,
uwzględniając swój regulamin wewnętrzny,
PRZYJMUJE NINIEJSZY DOKUMENT:
2
Spis treści
1. Wprowadzenie …………………………..…………………………………………………………………4
2. Zgoda w artykule 4 ust. 11 RODO .………………………………………………………………………6
3. Elementy ważnej zgody ….………………………………………………………………………………...6
3.1 Dobrowolna ………………………… ……………………………………………………………............7
3.1.1 Brak równowagi sił ……………………………………………………………………………………..8
3.1.2 Warunkowość…………………………………………………………………………………………..10
3.1.3 Szczegółowość….……………………………………………………………………………………….13
3.1.4 Niekorzystne konsekwencje..…………...……………………………………………………………..13
3.2 Konkretna ……………………………………………………………………………………………….14
3.3 Świadoma…………………………………………………..…………………………………………….16
3.3.1 Minimalne wymogi dla zgody, aby była ‘świadoma’………..……….……………………………...16
3.3.2 Jak zapewniać informacje…………………………………………………………………………….17
3.4 Jednoznaczne okazanie woli….. ………………………………………………………………………..19
3.4.1 Zgoda wyrażona drogą elektroniczną………………………………………………………………..21
4. Uzyskanie wyraźnej zgody ……………………………………………………………………………….23
5. Dodatkowe warunki uzyskania ważnej zgody…………………………………………………………..24
5.1 Wykazanie zgody:……………………………………………………………………………………….25
5.2 Wycofanie zgody…………………………………………………………………………………………26
6. Zależność miedzy zgodą a innymi legalnymi podstawami w artykule 6 RODO……………………...28
7. Szczególnie istotne obszary w RODO…………………………………………………………………....29
7.1 Dzieci (artykuł 8)………………………………………………………………………………………...29
7.1.1 Usługi społeczeństwa informacyjnego………………………………………………………………..30
7.1.2 Oferowane bezpośrednio dziecku…………………………………………………………………….30
7.1.3 Wiek…………………………………………………………………………………………………….31
7.1.4 Zgoda dzieci i władza rodzicielska………………………………………………………………….. 32
7.2 Badania naukowe………………………………………………………………………………………..33
7.3 Prawa osoby, których dane dotyczą……………………………………………………………………36
8. Zgoda uzyskana na mocy dyrektywy 95/46/WE………………………………………………………...36
9. Często zadawane pytania………………………………………………………………………………....37
3
1. Wprowadzenie
Wytyczne zapewniają dokładną analizę pojęcia zgody w ogólnym rozporządzeniu o ochronie
danych 2016/679 (dalej zwanym: RODO). Pojęcie zgody w formie użytej do chwili obecnej w
dyrektywie o ochronie danych (dalej zwanej: dyrektywą 95/46/WE) oraz w dyrektywie o
prywatności i łączności elektronicznej ewoluowało. RODO przewiduje dalsze wyjaśnienie i
doprecyzowanie wymogów uzyskania i wykazania ważnej zgody. Niniejsze wytyczne
koncentrują się na tych zmianach, zapewniając praktyczne wskazówki w celu zapewnienia
zgodności z RODO oraz bazując na opinii 15/2011 w sprawie zgody.
Zgoda pozostaje jedną z sześciu legalnych podstaw przetwarzania danych osobowych, jak
wymieniono w artykule 6 RODO
1
. Rozpoczynając działania obejmujące przetwarzanie danych
osobowych, administrator zawsze musi znaleźć czas na rozważenie, czy zgoda jest
odpowiednią legalną podstawą przewidzianego przetwarzania lub czy zamiast tego należy
wybrać inną podstawę.
Generalnie zgoda może być odpowiednią podstawą prawną tylko wówczas, jeżeli osoba, której
dane dotyczą, ma zapewnioną możliwość sprawowania kontroli oraz rzeczywistą możliwość
wyboru, jeżeli chodzi o zaakceptowanie lub odrzucenie proponowanych warunków lub też
odrzucenie ich bez niekorzystnych konsekwencji. W przypadku proszenia o zgodę,
administrator ma obowiązek ocenić, czy spełni wszystkie wymogi uzyskania ważnej zgody.
Jeżeli zgoda jest uzyskana w pełni zgodnie z RODO, stanowi ona narzędzie, które zapewnia
osobom, których dane dotyczą, możliwość kontroli nad tym, czy dotyczące ich dane osobowe
będą przetwarzane czy też nie. W przeciwnym przypadku kontrola osoby, której dane dotyczą,
stanie się iluzoryczna, a zgoda będzie nieważną podstawą przetwarzania, przyczyniając się do
tego, że przetwarzanie będzie niezgodne z prawem
2
Istniejące opinie Grupy Roboczej Artykułu 29 dotyczące zgody
3
nadal są właściwe w sytuacji,
gdy są zgodne z nowymi ramami prawnymi, ponieważ RODO kodyfikuje istniejące wytyczne
GR Art. 29, a ogólne dobre praktyki oraz większość kluczowych elementów zgody pozostają
takie same na mocy RODO. W związku z tym, w niniejszym dokumencie GR Art. 29 raczej
Artykuł 9 RODO przedstawia listę możliwych wyłączeń od zakazu przetwarzania szczególnych kategorii danych.
Jednym z wymienionych wyłączeń jest sytuacja, w której osoba, której dane dotyczą, wyrazi wyraźną zgodę na
wykorzystywanie tych danych.
2
Patrz także opinia 15/2011 w sprawie definicji zgody (WP187), str. 6-8 i/lub opinia 06/2014 w sprawie pojęcia
uzasadnionych interesów administratora danych zawartego w art. 7 dyrektywy 95/46/WE (WP217), str. 9, 10, 13
i 14.
3
Szczególnie opinia 15/2011 w sprawie definicji zgody (WP187).
1
4
rozszerza i uzupełnia wcześniejsze opinie dotyczące określonych tematów, które obejmują
odniesienie do zgody na mocy dyrektywy 95/46/WE, niż je zastępuje.
Jak stwierdzono w opinii 15/2011 w sprawie definicji zgody, zachęcanie ludzi do
zaakceptowania operacji przetwarzania danych powinno podlegać surowym wymogom,
ponieważ dotyczy praw podstawowych osób, których dane dotyczą, a administrator zamierza
podjąć operację przetwarzania, która byłaby niezgodna z prawem bez zgody osoby, której dane
dotyczą
4
. Kluczową rolę zgody podkreślono w artykułach 7 i 8 Karty Praw Podstawowych Unii
Europejskiej. Ponadto uzyskanie zgody nie neguje też ani w żaden sposób nie ogranicza
zobowiązań administratora do przestrzegania zasad przetwarzania zawartych w RODO,
szczególnie w artykule 5 RODO w odniesieniu do rzetelności, konieczności i
proporcjonalności, jak również jakości danych. Nawet jeżeli przetwarzanie danych osobowych
jest oparte na zgodzie osoby, której dane dotyczą, nie będzie ona legitymizować gromadzenia
danych, które nie jest konieczne w odniesieniu do określonego celu przetwarzania i jest
zasadniczo nierzetelne
5
.
Tymczasem GR Art. 29 jest świadoma przeglądu dyrektywy o prywatności i łączności
elektronicznej (2002/58/WE). Pojęcie zgody w projekcie rozporządzenia w sprawie
prywatności i łączności elektronicznej jest powiązane z pojęciem zgody w RODO
6
. Istnieje
prawdopodobieństwo, że organizacje będą potrzebowały zgody na mocy instrumentu
dotyczącego
prywatności
i
łączności
elektronicznej
dla
większości
wiadomości
marketingowych online lub połączeń marketingowych oraz metod śledzenia online
obejmujących używanie plików cookie lub aplikacji bądź też innego oprogramowania. GR Art.
29 już przedstawiła europejskiemu ustawodawcy zalecenia i wytyczne odnoszące się do
wniosku dotyczącego rozporządzenia w sprawie prywatności i łączności elektronicznej
7
.
Jeżeli chodzi o istniejącą dyrektywę o prywatności i łączności elektronicznej, GR Art. 29
zauważa, że odniesienia do uchylonej dyrektywy 95/46/WE powinny być rozumiane jako
odniesienia do RODO
8
. Dotyczy to również odniesień do zgody w obecnej dyrektywie
2002/58/WE w przypadku, gdyby rozporządzenie w sprawie prywatności i łączności
elektronicznej (jeszcze) nie obowiązywało od maja 2018 r. Zgodnie z artykułem 95 RODO
Opinia 15/2011, strona dotycząca definicji zgody (WP187), str. 8.
Patrz także opinia 15/2011 w sprawie definicji zgody (WP187) oraz artykuł 5 RODO.
6
Zgodnie z artykułem 9 projektu rozporządzenia w sprawie prywatności i łączności elektronicznej zastosowanie
mają definicja i warunki zgody przewidziane w art. 4 ust. 11 i art. 7 RODO.
7
Patrz opinia 03/2016 w sprawie ewaluacji i przeglądu dyrektywy o prywatności i łączności elektronicznej
(WP240).
8
Patrz artykuł 94 RODO.
4
5
5

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika:

Zgłoś jeśli naruszono regulamin