Niektórzy mówią, że zgoda to najważniejsza przesłanka przetwarzania danych. To oczywiście nieprawda, ponieważ RODO przewiduje sześć równorzędnych i w pełni autonomicznych „opcji” na bazie których można oprzeć działania na danych osobowych. Ale faktem jest, że zgoda jest dość często wykorzystywana – zwłaszcza w kontekście marketingowym. Czy słusznie tak często po nią sięgamy? Tu prostej odpowiedzi nie ma, choć pewne jest to, że cały czas zdarza się, że można natrafić na piękne przykłady „zgodo – potworów” albo zgód, które w ogóle nie są potrzebne, ponieważ gromadzenie danych opiera się na innej przesłance.
Elementy składowe zgody
Tak się szczęśliwie składa, że zgoda została zdefiniowana bezpośrednio w RODO. Należy przez nią rozumieć: „dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”. Gołym okiem widać, że kluczowe są tu cztery elementy, czyli:
- dobrowolność,
- konkretność,
- świadomość,
- jednoznaczność.
Dobrowolność wyrażenia zgody to sytuacja, w której osoba, której dane dotyczą, musi mieć zapewniony rzeczywisty i wolny wybór co do udzielenia zgody oraz jednocześnie musi mieć możliwość odmówienia jej udzielenia lub jej wycofania bez niekorzystnych konsekwencji. Stąd bardzo często problematyczne jest stosowanie tej przesłanki w relacjach pracodawca – pracownik, ale też organ władzy publicznej – obywatel.
Konkretność zgody oznacza, że musi być sformułowana w sposób zrozumiały, tak by cel i zakres przetwarzania były określone wyraźnie i precyzyjnie. Czyli zapis typu „Wyrażam zgodę na przetwarzanie danych zgodnie z RODO” nie przejdzie…
Świadomości to z kolei konieczność zapewnienia zainteresowanemu kompletu informacji, które są niezbędne do podjęcia świadomej decyzji, tak by wiedział na co się zgadza.
Najprostsza sprawa jest z jednoznacznością, która oznacza, że forma wyrażenia zgody nie może budzić żadnych wątpliwości co do intencji osoby, której dane dotyczą.
Zwróćmy jeszcze uwagę na to, że zgoda może być wyrażona poprzez formalne oświadczenie lub wyraźne działania potwierdzające. Temat ten rozwijałem nieco bardziej w moim poprzednim artykule dot. tworzenia newslettera, do którego lektury przy tej okazji jeszcze raz zachęcam.
Mając na stole powyższe informacje, możemy zrobić podejście do stworzenia klauzuli zgody. Oto przykład:
„Wyrażam zgodę na przetwarzanie moich danych osobowych obejmujących imię, nazwisko oraz adres e-mail w celu otrzymywania informacji handlowych w postaci newslettera od XYZ Sp. z o.o. z siedzibą przy ul. Kruczej 1/10 w Warszawie. Przyjmuję do wiadomości, że zgoda może zostać odwołana w każdym momencie”.
Czy zgody rzeczywiście muszą być tak „sztywno” sformułowane?
Żeby Czytelnik nie musiał zbyt długo czekać na odpowiedź – odpowiem od razu – nie, nie musi. Ale też nie można przesadzać. Jakiś czas temu w branży zajmującej się zawodowo doradztwem w zakresie ochrony danych osobowych żywo dyskutowano na temat poniższego sposobu gromadzenia danych i wyrażania zgód:
To co rzuca się w oczy to minimalizm. W tym przypadku chyba jednak potraktowany zbyt dosłownie. W teorii wystarczy rozwinąć – tak treść zgód jak i obowiązku informacyjnego. Są jednak tacy prawnicy, co twierdzą, że jest to już „jakiś” wysiłek ze strony np. internauty i że pewne informacje powinny być wyłożone od razu, niejako „w pierwszej linii”. W moim odczuciu powyższy formularz, gdyby został nieco rozbudowany – zwłaszcza w zakresie pierwszej warstwy obowiązku informacyjnego, mógłby się obronić. W dzisiejszych czasach technika stosowania opcji „rozwiń” jest na tyle powszechna, że raczej ciężko sobie wyobrazić kogoś kto będzie twierdził, że nie wiedział, że tak można/trzeba. Tego czego na pewno zabrakło to – jak zostało wspomniane powyżej – pierwszej warstwy klauzuli informacyjnej, czyli informacji o tym kto jest administratorem, jego danych kontaktowych (oraz kontaktu do IOD), celów przetwarzania danych, wskazania największego wpływu na osobę, np. prawnie uzasadniony interes administratora, odwołania do drugiej warstwy informacji, gdzie znaleźć można wszystkie wymagane przez RODO informacje. W powyższym przykładzie cały obowiązek jest dostępny dopiero po rozwinięciu.
Wróćmy teraz do naszego przykładu zgody, czyli „Wyrażam zgodę na przetwarzanie moich danych osobowych obejmujących imię, nazwisko oraz adres e-mail w celu otrzymywania informacji handlowych w postaci newslettera od XYZ Sp. z o.o. z siedzibą przy ul. Kruczej 1/10 w Warszawie. Przyjmuję do wiadomości, że zgoda może zostać odwołana w każdym momencie”. Nie da się ukryć, że brzmi trochę sztywno, a specjalista ds. marketingu dodałby jeszcze, że jest za długa. To prawda, sam nie lubię takich zgód, dlatego takich raczej nie stosuję, chyba że pasuje to do profilu klienta albo powiązane jest z jego sposobem komunikowania się np. z użytkownikami. No właśnie – sposób kontaktowania się z klientem – to może być klucz do brzmienia naszej zgody. Wrócimy do tego zaraz, ale na razie przykład tego jak można podejść do powyższej zgody inaczej.
Po pierwsze – skoro chodzi o newsletter, to można zastosować metodę uniknięcia oświadczenia, a skupić się na możliwości wyrażenia zgody poprzez czynności jednoznacznie wskazujące na wolę np. dopisanie się do newslettera. Zróbmy to zatem np. tak:
Ale jeśli zależy nam na tym, by jednak była zgody (w formie oświadczenia) to może coś takiego:
„Chcę otrzymywać informacje o nowościach, promocjach i wydarzeniach organizowanych przez XYZ Sp. z o.o. na podany adres e-mail. Wiem, że moją zgodę mogę odwołać w dowolnym momencie”.
Oczywiście konieczne jest zrealizowanie obowiązku informacyjnego (co najmniej pierwszej warstwy i odesłanie do drugiej – pełnej), który może być np. częścią polityki prywatności.
Moim faworytem, jeśli chodzi o poziom sztywności i nienaturalnego języka jest zgoda, o której mowa w prawie telekomunikacyjnym. Spójrzcie na to:
„Wyrażam zgodę na używanie telekomunikacyjnych urządzeń końcowych dla celów marketingu bezpośredniego przez XYZ Sp. z o.o. Powyższa zgoda może zostać wycofana w dowolnym momencie”.
Trochę z przymrużeniem oka można by powiedzieć, że taka zgoda nie spełnia wymogów konkretności i świadomości, o których pisałem wcześniej 🙂 Oczywiście to tylko żart, bo od strony formalnej, chciałoby się powiedzieć „niestety”, wszystko jest ok. Ale czy ta zgoda jest zrozumiała dla przeciętnego odbiorcy? Czy brzmi na tyle dobrze, że dział marketingu już zaciera ręce, że nagle w jego bazie pojawi się cała masa nowych, gorących leadów sprzedażowych? Wątpię. Co więcej – pozwolę sobie sparafrazować tekst, który jakiś czas temu usłyszałem od jednego z kolegów z iSecure – taka zgoda, jak ta powyżej, powinna być traktowana jak okrągły głaz, który następnie będzie dopiero obrabiany. Podobno Michał Anioł zapytany o to w jaki sposób tak pięknie rzeźbi miał odpowiedzieć „To proste, biorę kamień i usuwam wszystko co zbędne” 🙂 Bierzemy się zatem do roboty:
„Wyrażam zgodę na wykorzystanie mojego nr telefonu do przekazywania mi informacji (w postaci połączeń telefonicznych) o promocjach, nowościach, dedykowanych ofertach i innych ciekawych wydarzeniach przez XYZ Sp. z o.o. Mam świadomość, że mogę ją wycofać w dowolnym czasie”.
Da się? Na pewno trochę się da. Może nie jest to mistrzostwo osiągane przez Michała Anioła w dziedzinie rzeźbiarstwa, ale też nie brzmi to jakoś bardzo topornie, a i jest szansa, że jakieś leady wpadną do naszej bazy danych 🙂