W wielu firmach funkcjonuje prosta zasada: „Jeśli mamy zgodę, jesteśmy bezpieczni”. Dlatego zgody zbierane są na wszystko – w formularzach, umowach, regulaminach. To podejście daje poczucie bezpieczeństwa. W praktyce jednak zgoda jest jedną z najbardziej wymagających i najmniej stabilnych podstaw przetwarzania danych osobowych. W wielu sytuacjach jej zastosowanie nie tylko nie jest konieczne, ale wręcz zwiększa ryzyko prawne. RODO nie traktuje zgody jako podstawy uniwersalnej – przeciwnie, jest ona jedną z kilku równorzędnych przesłanek legalizujących przetwarzanie.
Jakie są podstawy przetwarzania danych osobowych według RODO?
Zgodnie z art. 6 ust. 1 RODO przetwarzanie danych osobowych jest zgodne z prawem tylko wtedy, gdy opiera się na jednej z określonych podstaw. W praktyce biznesowej najczęściej pojawiają się cztery: zgoda osoby, wykonanie umowy, obowiązek prawny oraz prawnie uzasadniony interes administratora.
Każda z tych podstaw ma odmienny charakter. Nie można ich stosować zamiennie ani wybierać wyłącznie ze względu na wygodę. Właściwy wybór powinien wynikać z rzeczywistego celu przetwarzania oraz relacji łączącej strony.
Czym w praktyce jest zgoda na przetwarzanie danych?
RODO definiuje zgodę jako dobrowolne, konkretne, świadome i jednoznaczne okazanie woli. To oznacza, że osoba musi mieć realną możliwość wyboru. Musi wiedzieć, na co się zgadza, i móc w każdej chwili zgodę wycofać.
W teorii brzmi to prosto. W praktyce spełnienie wszystkich warunków bywa trudne. Dobrowolność nie zawsze jest oczywista – w relacji pracodawca–pracownik trudno mówić o pełnej swobodzie decyzji. Podobnie w sytuacji, gdy zgoda jest warunkiem uzyskania usługi, która bez przetwarzania danych nie może zostać wykonana.
Zgoda ma jeszcze jedną istotną cechę: może zostać cofnięta w dowolnym momencie. Administrator musi być przygotowany na natychmiastowe zaprzestanie przetwarzania w zakresie objętym zgodą. Jeżeli procesy w organizacji nie są na to gotowe, zgoda staje się źródłem niestabilności, a nie ochrony.
Kiedy zgoda nie jest właściwą podstawą przetwarzania?
Najczęstszy błąd polega na sięganiu po zgodę tam, gdzie istnieje inna, bardziej adekwatna podstawa. Jeżeli przetwarzanie danych jest niezbędne do wykonania umowy, właściwą przesłanką jest art. 6 ust. 1 lit. b RODO. Dane są wtedy przetwarzane dlatego, że bez nich umowa nie może zostać zrealizowana. Zgoda nie jest w takiej sytuacji potrzebna.
Podobnie w przypadku obowiązków wynikających z przepisów prawa. Pracodawca przetwarza dane pracownika w zakresie wymaganym przez prawo pracy. Przedsiębiorca przechowuje dokumenty księgowe zgodnie z przepisami podatkowymi. W tych przypadkach podstawą jest obowiązek prawny. Zbieranie zgody nie tylko nie ma sensu, ale może sugerować, że przetwarzanie zależy od decyzji osoby, podczas gdy w rzeczywistości wynika z ustawy.
Istnieją również sytuacje, w których właściwą podstawą jest prawnie uzasadniony interes administratora. Dotyczy to na przykład dochodzenia roszczeń, zapewnienia bezpieczeństwa systemów czy niektórych działań marketingowych wobec obecnych klientów. Wymaga to przeprowadzenia analizy, ale nie wymaga zgody.
Jak wybrać właściwą podstawę przetwarzania danych?
Wybór podstawy powinien być poprzedzony analizą celu przetwarzania. Kluczowe jest ustalenie, dlaczego dane są potrzebne i czy ich przetwarzanie jest rzeczywiście niezbędne.
W praktyce warto zadać trzy pytania. Po pierwsze, czy przetwarzanie wynika wprost z przepisów prawa. Po drugie, czy dane są niezbędne do zawarcia lub wykonania umowy. Po trzecie, czy istnieje uzasadniony interes administratora, który można wyważyć z prawami osoby, której dane dotyczą.
Dopiero gdy żadna z tych podstaw nie znajduje zastosowania, można rozważyć zgodę. Powinna ona być stosowana wyłącznie wtedy, gdy osoba ma rzeczywistą swobodę decyzji, a przetwarzanie nie jest warunkiem realizacji usługi lub obowiązku.
Jakie są konsekwencje wyboru niewłaściwej podstawy?
Błędna kwalifikacja podstawy przetwarzania może prowadzić do uznania całego procesu za niezgodny z prawem. Jeżeli administrator opiera przetwarzanie na zgodzie, która nie spełnia wymogów dobrowolności lub konkretności, przetwarzanie może zostać zakwestionowane w całości – z konsekwencjami zarówno operacyjnymi, jak i administracyjnymi.
Co istotne, błędna podstawa wpływa również na treść obowiązku informacyjnego i sposób dokumentowania decyzji. Nadmierne stosowanie zgody osłabia też argumentację administratora: jeżeli przetwarzanie w rzeczywistości opiera się na umowie lub obowiązku prawnym, użycie zgody może sugerować brak pewności co do właściwej przesłanki. Każda zgoda musi być udokumentowana, możliwa do wycofania i odpowiednio zarządzana – w dużych organizacjach prowadzi to do rozbudowanych rejestrów i problemów operacyjnych.
Dojrzałe podejście do RODO polega na świadomym wyborze przesłanki, a nie na automatycznym sięganiu po zgodę jako rozwiązanie najprostsze.
Podsumowanie
Zgoda jest jedną z podstaw przetwarzania danych osobowych, ale nie jest podstawą domyślną. W wielu sytuacjach właściwsza będzie umowa, obowiązek prawny albo prawnie uzasadniony interes.
Prawidłowy wybór podstawy wpływa na stabilność przetwarzania, zakres obowiązków administratora oraz poziom ryzyka prawnego. Zanim dodasz kolejną klauzulę zgody do formularza, warto zadać sobie jedno pytanie: czy rzeczywiście jest ona tu potrzebna – czy może istnieje podstawa, która lepiej odpowiada rzeczywistości tej relacji?