Jak uzyskać zgodę na przetwarzanie danych osobowych w firmie? W firmie zgoda na przetwarzanie danych osobowych jest jednym z kluczowych elementów działalności zgodnej z przepisami RODO. Regulacje te obowiązują nieprzerwanie od 25 maja 2018 roku, wprowadzając zasady dotyczące prawidłowego oraz bezpiecznego przetwarzania danych na terenie całej Unii Europejskiej i w Polsce. Już w pierwszej kolejności należy podkreślić, że zgoda powinna być dobrowolna, konkretna, świadoma, a także jednoznaczna. Przetwarzanie danych osobowych obejmuje każdy kontakt z danymi – od ich zbierania, przez przechowywanie i udostępnianie, aż po usuwanie. Każda firma musi więc pozyskiwać zgodę według ściśle określonych zasad oraz dokumentować to działanie w sposób zapewniający osobie pełną kontrolę nad jej danymi.
Czym jest zgoda na przetwarzanie danych osobowych?
Zgoda na przetwarzanie danych osobowych to jedna z sześciu podstaw prawnych przetwarzania danych określonych w art. 6 RODO. W tym kontekście wyrażenie zgody jest niezbędne wtedy, kiedy nie zachodzi inna podstawa prawna – jak wykonywanie umowy, wypełnienie obowiązku prawnego, ochrona żywotnych interesów, realizacja zadań publicznych czy prawnie uzasadnione interesy administratora.
Aby zgoda była prawidłowa, musi być dobrowolna, bez wpływu presji czy niekorzystnych konsekwencji dla osoby mogącej odmówić jej udzielenia. Wyrażenie zgody powinno dotyczyć ściśle określonego celu biznesowego, a osoba powinna mieć pełną świadomość, na co się zgadza – w oparciu o wyczerpującą informację dotyczącą przetwarzania, administratora danych, podstawy prawnej i okresu przechowywania. Zgoda na przetwarzanie danych powinna być także jednoznaczna – musi nastąpić aktywnie, np. poprzez podpis lub zaznaczenie pola wyboru, bez stosowania automatycznie wybranych opcji.
Wymagania dotyczące prawidłowej zgody według RODO
RODO kładzie nacisk na to, aby proces wyrażenia zgody był zgodny z zasadą przejrzystości i informowania. Firmy zobowiązane są przekazać osobie, której dane mają być przetwarzane, pełen zakres informacji: cel przetwarzania, czas przechowywania danych oraz prawa przysługujące osobie, w tym prawo wycofania zgody w dowolnym momencie.
Osoba wyrażająca zgodę musi mieć możliwość jasnego i świadomego podjęcia decyzji – wszelkie formularze czy komunikaty muszą być napisane czytelnie i bez niejasności. Niedopuszczalne jest uzyskiwanie zgody przez milczenie czy brak działania. Warunkiem legalności przetwarzania danych jest także udokumentowanie każdej zgody oraz prowadzenie rejestru wyrażonych zgód, z uwzględnieniem kto, kiedy i na co wyraził zgodę.
Proces uzyskiwania zgody na przetwarzanie danych w firmie
W praktyce uzyskanie zgody na przetwarzanie danych osobowych wiąże się ze spełnieniem kilku etapów. Po pierwsze, firma ma obowiązek rzetelnego poinformowania osoby o wszystkich kluczowych aspektach przetwarzania jej danych: o administratorze, celach, podstawach prawnych oraz przewidywanym okresie przechowywania informacji.
Kolejnym krokiem jest przedstawienie jasnej prośby o zgodę, która musi być wyrażona w sposób aktywny oraz niedwuznaczny – na przykład poprzez podpis na dokumencie lub zaznaczenie nieuzupełnionego wcześniej pola wyboru w systemie elektronicznym. Niedopuszczalne jest stosowanie z góry zaznaczonych checkboxów.
Ostatni etap to odnotowanie zgody w systemie. Administrator musi być w stanie wykazać, kiedy i w jakiej formie uzyskał zgodę, jak również zapewnić osobie, której dane dotyczą, swobodną możliwość cofnięcia zgody w każdym momencie. Przechowywanie dokumentacji zgód oraz prowadzenie rejestru wyrażonych zgód jest istotnym elementem spełnienia wymogów RODO.
Rola administratora i inspektora ochrony danych
Administrator danych osobowych to podmiot lub osoba wyznaczająca cele oraz sposoby przetwarzania danych. Jego rola polega na dopilnowaniu, aby całość procesu uzyskiwania, przechowywania oraz wycofywania zgód odbywała się zgodnie z przepisami RODO. Obejmuje to zarówno codzienne procedury, jak i weryfikacje wewnętrzne, a także dbałość o zabezpieczenia techniczne i organizacyjne chroniące dane.
W firmach, gdzie przetwarzanie danych odbywa się na dużą skalę lub występuje podwyższone ryzyko naruszenia praw osób, konieczne jest wyznaczenie Inspektora Ochrony Danych (IOD). Jego zadaniem jest nadzór nad zgodnością procedur i praktyk firmy z przepisami o ochronie danych, ocena ryzyka, prowadzenie szkoleń dla pracowników oraz monitorowanie wszelkich incydentów dotyczących przetwarzania danych.
Różnice w wymaganiach dla małych firm i szczególne kategorie danych
W przypadku małych przedsiębiorstw, których przetwarzanie danych nie stanowi głównej działalności i nie niesie ze sobą istotnego ryzyka naruszenia praw osób, możliwe są uproszczone obowiązki. Na przykład obowiązek prowadzenia rejestru czynności przetwarzania nie dotyczy podmiotów zatrudniających mniej niż 250 osób, chyba że przetwarzanie danych nie jest okazjonalne, dotyczy szczególnych kategorii danych lub potencjalnie narusza prawa osób.
Przetwarzanie szczególnych kategorii danych osobowych – do których należą między innymi dane dotyczące pochodzenia rasowego, poglądów politycznych czy przynależności religijnej – wymaga jednak uzyskania wyraźnej i szczególnej zgody, niezależnie od wielkości firmy. Administrator zobowiązany jest wtedy do wdrożenia dodatkowych środków zabezpieczających oraz szczegółowego informowania osób, których takie dane dotyczą.
Elementy skutecznej polityki ochrony danych w firmie
Aby firma mogła skutecznie i zgodnie z prawem uzyskiwać zgody na przetwarzanie danych osobowych, powinna opracować kompleksową politykę ochrony danych. Polityka ta powinna obejmować ocenę ryzyka związanego z przetwarzaniem, wdrożenie rejestru czynności przetwarzania tam, gdzie jest to wymagane, oraz wdrożenie odpowiednich zabezpieczeń technicznych i organizacyjnych. Niezbędnym elementem są także regularne szkolenia pracowników, podnoszące ich świadomość na temat zagrożeń oraz poprawnych procedur tworzenia, dokumentowania i wycofywania zgód.
Prawidłowo przygotowana oraz stosowana polityka ochrony danych wzmacnia bezpieczeństwo danych osobowych w przedsiębiorstwie, pozwala uniknąć ryzyka naruszenia RODO, a także buduje zaufanie w relacji z klientami, kontrahentami oraz pracownikami.
Portal Pomóżmy Dzieciom to przestrzeń, gdzie rzetelna wiedza spotyka się z praktycznymi poradami z różnych dziedzin życia. Łączymy ekspertów z czytelnikami, tworząc społeczność opartą na wzajemnym wsparciu i rozwoju. Dostarczamy sprawdzone informacje i inspirację do świadomego podejmowania codziennych decyzji.