Zgoda osoby, której dane dotyczą jako przesłanka przetwarzania
Zgodnie z art. 6 ust. 1 lit. a) RODO, przetwarzanie danych osobowych jest zgodne z prawem w przypadku, gdy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów. Powyższy przepis ustanawia jedną z przesłanek przetwarzania danych osobowych, przy czym przesłanka ta nie dotyczy danych szczególnej kategorii. Dodatkowo w art. 7 RODO ustanowione zostały warunki skutecznego wyrażenia przez osobę, której dane dotyczą zgody na przetwarzanie swoich danych osobowych. Uzupełnieniem i jednocześnie rozszerzeniem zapisów art. 7 RODO jest treść Motywów nr 32, 42 oraz 43 RODO. Gdyby na bazie wskazówek zawartych w powyższych zapisach chcieć skonkludować warunki skutecznej zgody, należałoby wskazać na następujące okoliczności jej wyrażenia:
- Administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.
- Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą.
- Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych.
- Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele.
- Wyrażenie zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.
- Aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem,
- Jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.
- Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna.
- Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.
Jak wiec widać, przyjęcie „zgody” jako skutecznej przesłanki przetwarzania danych osobowych nie jest wcale łatwe, zapewne dlatego w praktyce - wbrew dość powszechnie przyjętym stereotypom – „zgoda” nie stanowi powszechnej praktyki w zakresie przyjmowania podstawy przetwarzania danych osobowych. Dodatkowo Prezes UODO zwraca uwagę (całkiem słusznie), iż niedopuszczalne jest przywoływanie przez administratora „zgody” jako przesłanki przetwarzania danych w sytuacji, gdy administrator może lub powinien przyjąć inną niż „zgoda” podstawę przetwarzania. Inaczej mówiąc, „zgoda” powinna być wskazana przez administratora jako ostatnia z możliwych przesłanek przetwarzania danych osobowych. Pomimo powyższych ograniczeń zgoda jest i powinna być przesłanką przetwarzania przez administratora danych osobowych. Poniżej wskażemy takie przypadki w odniesieniu do praktyki bankowej, a następnie spróbujemy ją uogólnić w stosunku do innych administratorów.
W odniesieniu do swoich Klientów banki co do zasady jako podstawę przetwarzania danych wskazują art. 6 ust. 1 lit. b) RODO, tj. sytuację, w której przetwarzanie danych jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (domyślnie: „w celu jej wykonania”). Trzeba przy tym pamiętać, iż „zawarcie umowy” nie musi pociągać za sobą fakt „podpisania umowy”. Oznacza to, iż umowa nie musi zostać zawarta w sposób pisemny, choć w praktyce bankowej najczęściej tak właśnie jest. Co ważne, strony mogą zawrzeć umowę per facta concludentia, tj. w sposób dorozumiany i bez użycia słów. W bankowej praktyce w taki sposób dochodzi do zrealizowania przez obie strony (Klient banku i pracownik banku) wielu czynności będących wprost umową, lub czynności noszących znamiona umowy, albo czynności, będących realizacją wcześniej zawartej przez Klienta z bankiem umowy. Przykładami takich czynności może być np. przyjęcie przez pracownika banku przelewu do realizacji w kasie bankowej, przyjęcie przez pracownika banku wpłaty na rachunek własny lub na rachunek osoby trzeciej, przyjęcie przez pracownika Banku wpłaty na poczet raty kredytowej, wypłacenie przez osobę, której dane dotyczą środków pieniężnych z rachunku, zrealizowanie przez osobę, której dane dotyczą czeku, zamiana lub wymiana przez Klienta banku znaków pieniężnych, złożenie przez Klienta reklamacji dotyczącej usługi bankowej, ustanowienie pełnomocnictwa do wypłaty przez osobę, której dane dotyczą, itp. W ramach powyższych sytuacji nie dochodzi do podpisania z bankiem żadnej umowy, tym niemniej na podstawie podjętych przez strony aktywności, w sposób dorozumiany, można stwierdzić, że strony zawarły umowę lub dokonały czynności noszącej znamiona umowy, lub też w końcu Klient banku zrealizował czynność, która jest wykonaniem zawartej wcześniej z bankiem umowy.
Do ewentualnej umowy dochodzi niejako domyślnie, a kryterium rozstrzygającym jest zachowanie obu stron ukierunkowane na zrealizowanie konkretnej operacji lub czynności, np. osoba nie będąca Klientem banku chcąc zrealizować przelew bankowy wypisuje stosowny druk, przedkłada środki finansowe a pracownik banku potwierdza ich przyjęcie i wydaje osobie, której dane dotyczą potwierdzenie zrealizowania przelewu. Albo inna sytuacja, tj. osoba będąca Klientem banku oświadcza, iż chce spłacić ratę kredytu bankowego w wysokości 250 PLN, pozostawia w kasie kwotę 300 PLN a pracownik banku po zaksięgowaniu operacji wydaje Klientowi 50 PLN jako resztę oraz potwierdzenie dokonania spłaty raty kredytowej. Oczywiście w praktyce bank zawiera ze swoimi Klientami umowy przede wszystkim w formie pisemnej. Przykładem takich umów może być założenie rachunku ROR lub rachunku do prowadzenia formy, podpisanie umowy lokaty terminowej, zawarcie umowy kredytowej, podpisanie z dostawcą zabezpieczenia umowy zabezpieczającej wierzytelność banku (np. umowy poręczenia). Podstawą prawną przetwarzania danych Klienta banku we wszystkich wskazanych powyżej sytuacjach jest art. 6 ust. 1 lit. b) RODO. Bank wykorzystuje także jako podstawę prawną przetwarzania danych osób, których dane dotyczą swój prawnie uzasadniony interes, przy czym, aby móc skutecznie zastosować takie rozwiązanie, bank musi udokumentować po pierwsze faktyczne „istnienia takiego interesu” oraz, po drugie, wykazać nadrzędny charakter swojego interesu prawnego wobec interesów lub podstawowych praw i wolności osób, których dane dotyczą. Bez przeprowadzenia przez bank takiego „testu równowagi” przyjęcie jako przesłanki przetwarzania danych swojego prawnie uzasadnionego interesu nie będzie możliwe. Warto zaznaczyć, iż testy równowagi muszą zostać zrealizowane odrębnie w stosunku do każdego procesu, w ramach którego bank przetwarza dane osobowe a jako przesłankę ich przetwarzania przyjmuje swój prawnie uzasadniony interes. Przykładami takich procesów będzie np. wewnętrzny cel administracyjny banku, w tym analiza portfela kredytowego, statystyka i raportowanie wewnętrzne Banku, podejmowanie czynności związanych z przeciwdziałaniem przestępstwom bankowym, w tym profilowania operacji finansowych pod kątem potencjalnych przestępstw, cel archiwalny, ewentualne ustalenie, dochodzenie lub obrona przed roszczeniami, badanie satysfakcji Klientów, realizowanie marketingu bezpośredniego oraz promocji produktów i usług, prowadzenia monitoringu wizyjnego na terenie Banku oraz w jego pobliżu, czy też przyjęcia przez Bank weksla wystawionego przez dłużnika bankowego. Ponieważ celem artykułu jest wskazanie jako skutecznej przesłanki przetwarzania przez bank zgody osoby, której dane dotyczą, nie będziemy się tutaj dłużej zajmować innymi przesłankami. Na marginesie wskazać trzeba, iż w swojej praktyce banki przetwarzają dane osobowe także w oparciu o art., 6 ust. 1 lit. c) RODO, tj. w oparciu o obowiązek prawny ciążący na nich jako administratorach danych.
Dla jakich zatem procesów, w ramach których bank przetwarza dane osobowe, skuteczną przesłanką przetwarzania takich danych może być „zgoda osoby, której dane dotyczą”, biorąc oczywiście pod uwagę wskazane na samym początku warunki „wyrażenia skutecznej zgody”? Dobrym przykładem może być zawarcie z Klientem banku umowy, na bazie której bank będzie identyfikował tożsamość Klienta na podstawie jego danych biometrycznych (np. na podstawie skanowania odcisku palca lub dłoni). Z pewnością w ramach takiej czynności dochodziłoby do przetwarzania danych osobowych i to w dodatku danych szczególnej kategorii. Co do zasady administrator nie może przetwarzać takich danych osobowych, chyba że zastosowanie będzie miał jeden z warunków wskazanych w art. 9 RODO. Z pośród wskazanych tam w ust. 2 przesłanek przetwarzania jedyną, którą możemy zastosować w praktyce, będzie przyjęcie od osoby, której dane dotyczą, „wyraźnej zgody” na przetwarzanie jej danych osobowych (np. odcisku dłoni) w konkretnym celu, tj. możliwości identyfikowania tożsamości Klienta. Inny przykład, to sytuacja, w które Klient zakłada w banku rachunek ROR. Zgodnie z zasadą minimalizacji danych, bank powinien żądać od osoby zakładającej rachunek danych adekwatnych, stosownych oraz ograniczonych do tego, co niezbędne w ramach założonego celu przetwarzania. Z pewnością będą to więc takie dane jak: imię i nazwisko, dane dotyczące dokumentu tożsamości, PESEL, adres i miejsce zamieszkania, imiona rodziców, nazwisko panieńskie matki. Bank nie powinien jednak oczekiwać podania przez osobę, której dane dotyczą np. wysokości wpływów na rachunek lub wykonywanego przez tę osobę zawodu. Takie dane po prostu nie są niezbędne do tego, aby skutecznie założyć i prowadzić w banku rachunek ROR, zatem bak nie powinien żądać ich podania. Podstawą przetwarzania danych osoby otwierającej rachunek ROR będzie art. 6 ust. 1 lit. b) RODO, tj. przyjęcie, iż przetwarzanie danych jest niezbędne do wykonania umowy. Jednak możliwa jest sytuacja, w której bank opiera przetwarzanie danych na podstawie art. 6 ust. 1 lit. b) RODO w zakresie danych faktycznie niezbędnych do wykonania takiej umowy. Jednak dodatkowo zapyta Klienta, czy byłby zainteresowany profilowaniem pod jego kątem szczegółowej oferty banku. Gdyby Klient był zainteresowany takim rozwiązaniem, to jedyną podstawą dla przetwarzania jego danych dotyczących wysokości jego zarobku oraz wykonywanego przez niego zawody byłaby jego zgoda na przetwarzanie takich danych. Jeszcze innym przykładem jest pozyskiwanie od Klientów banku tzw. „zgód marketingowych”, tj. zgód, na podstawie których bank będzie mógł skutecznie i zgodnie z prawem realizować w odniesieniu do takiej osoby marketing bezpośredni. Bank pozyskują wreszcie zgody od osób wnioskujących o kredyt na zweryfikowanie ich sytuacji w ramach Biura Informacji Kredytowej, przy czym wyrażenie takiej zgody przez osobę wnioskującą jest warunkiem rozpatrzenia jego wniosku. Nieco inaczej będzie w sytuacji przetwarzania przez bank danych osobowych Klienta, który spłacił kredyt w okresie 5 lat po „bezproblemowej” spłacie takiego kredytu. W tej sytuacji Klient może ale nie musi się zgodzić na przetwarzanie jego danych osobowych, co więcej, w przypadku, gdy osoba tak posiada/posiadał kilka kredytów, jego zgoda może dotyczyć wyłącznie jednego z nich. Swoją zgodę Klient będzie mógł też w każdej chwili wycofać. W powyższych, tak różnych sytuacjach, bank jako przesłankę przetwarzania danych osobowych swoich Klientów będzie mógł skutecznie przyjąć „zgodę osoby, której dane dotyczą”.
W tym kontekście warto przywołać sytuacje, w których z pewnością nie należy stosować „zgody” jako przesłanki przetwarzania danych. Zatem, jeśli administrator zawiera ze swoi Klientem pisemną umowę, to błędem proszącym się o reakcję ze strony UODO będzie wpisanie w umowie sentencji, w myśl której Klient upoważnia administratora do przetwarzania jego danych osobowych w celu realizacji zawartej umowy. Podobnie zdecydowanie odradzam dokonywanie w umowach zapisów sugerujących, iż przetwarzanie danych osobowych w celu jej realizacji może się odbywać na podstawie „zgody”. Przykładowo zapis „Klient udostępnia dobrowolnie administratorowi swoje dane osobowe do przetwarzania w zakresie niezbędnym do zawarcia i realizacji niniejszej umowy”.
"Zgoda" jako przesłanka przetwarzania nie musi dotyczyć wyłącznie przetwarzania danych osobowych Klientów administratora. Można w pewnych sytuacjach oprzeć przetwarzanie danych osobowych pracownika na jego zgodzie w tym zakresie. Problem polega tu jednak na tym, aby spełnione zostały warunki skutecznej zgody. Przypomnijmy dwa z nich::
- Wyrażenie zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.
- Aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem.
Z pewnością pracownik jako podwładny w ramach konkretnej struktury organizacyjnej u danego administratora nie znajduje się w sytuacji osoby mającej rzeczywisty lub wolny wybór i nie zawsze łatwo jest mu odmówić swojej zgody na przetwarzanie danych. Jest to też sytuacja, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem. Czy zatem administrator (tutaj: pracodawca) może oprzeć w szczególnych sytuacjach przetwarzanie danych osobowych pracownika na bazie jego zgody? Zgodnie ze znowelizowanym brzmieniem art. 221 Kodeksu Pracy administrator może żądać od pracownika podania wyłącznie danych określonych w § 3. Jednak zgodnie z art. 221A zgoda pracownika może stanowić podstawę przetwarzania przez pracodawcę innych danych osobowych niż wymienione w art. 221 § 3, z wyjątkiem danych osobowych, o których mowa w art. 10 RODO, tj. danych dotyczących wyroków skazujących, przy czym brak takiej zgody lub jej wycofanie, nie może być podstawą niekorzystnego traktowania pracownika, a także nie może powodować wobec niego jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę. Przetwarzanie takie może dotyczyć zarówno danych udostępnianych przez pracownika na wniosek pracodawcy, jak również danych przekazanych pracodawcy z inicjatywy pracownika. Z kolei w art. 221B Kodeks Pracy ustanawia normę dotyczącą szczególnej kategorii danych. Otóż, zgoda pracownika może stanowić podstawę przetwarzania przez pracodawcę takich danych, wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy pracownika. Przetwarzanie danych biometrycznych pracownika jest dopuszczalne także wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony.
Jak zatem widać, Kodeks Pracy tworzy warunki, w ramach których pracodawca może oprzeć przetwarzanie danych osobowych na zgodnie swojego pracownika. Nie zwalnia to jednak pracodawcę z obowiązku przestrzegania warunków skutecznej zgody. Pozornie zachodzi tu nierozwiązywalny konflikt wartości, jednak będą w praktyce zachodzić warunki zastosowania zgody pracownika jako przesłanki przetwarzania jego danych. Przykład: przyznawanie świadczeń socjalnych w ramach ZFŚS jest najczęściej uzależnione od kryterium socjalnego, co oznacza, że sytuacja pracownika lub innej osoby uprawnionej do korzystania z funduszu wymaga każdorazowo jej zweryfikowania. Art. 8 ust. 1a ustawy o zakładowym funduszu świadczeń socjalnych mówi, że pracownik przekazuje pracodawcy dane dotyczące swojej sytuacji życiowej w formie oświadczenia. Natomiast potwierdzenie danych w nim zawartych może odbywać się, m.in. na podstawie oświadczeń i zaświadczeń o sytuacji życiowej (w tym zdrowotnej). Jeśli jednak pracodawca uzna, iż na potrzeby udokumentowania spełnienia określonych kryteriów konieczny będzie dostęp do różnych dokumentów dotyczących np. dotyczących zdrowia pracownika, członka jego rodziny lub danych potwierdzających dochód rodziny, to osoba wnioskująca o świadczenie nie będzie mogła odmówić pracodawcy dostępu do takich informacji. Przekazanie pracodawcy takich danych oznaczać będzie „zgodę” pracownika na ich przetwarzanie, pomimo tego, iż nadal zachodzi tutaj wyraźny brak równowagi między osobą, której dane dotyczą, a pracodawcą. Mamy tutaj do czynienia ze zbiegiem dwóch wartości. Jedną z nich jest swoboda przy wyrażaniu zgody osoby, której dane dotyczą na przetwarzanie jej danych osobowych oraz zagwarantowanie braku nierównowagi pomiędzy stronami. Drugą z nich jest możliwość zweryfikowania informacji przez pracodawcę w celu wypłacenia pracownikowi np. dofinansowania do wyjazdu wakacyjnego lub leczenia. W tej konkretnej sytuacji większe znaczenie ma ta druga wartość.
Inny przykład. Pracownikowi z niepełnosprawnością przysługują określone uprawnienia, wskazane przede wszystkim w ustawie o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych. Przedstawienie przez pracownika dokumentów potwierdzających dane osobowe o stanie zdrowia, a więc również orzeczenia o niepełnosprawności, jest dobrowolne. Korzystanie z powyższych uprawnień dla osoby niepełnosprawnej jest zatem prawem, a nie obowiązkiem pracownika. Niemniej, przywołana ustawa uzależnia realizację uprawnień przysługujących osobom z orzeczeniem o niepełnosprawności od przedstawienia pracodawcy orzeczenia potwierdzającego określony jej stopień. W chwili kiedy pracodawca otrzyma od pracownika orzeczenie o niepełnosprawności ma on obowiązek stosować odpowiednie przepisy. To sam pracownik będzie decydował, czy udostępni swoje dane potwierdzające jego niepełnosprawność. Fakt ich udostępnienia stwarza pracodawcy przesłankę ich przetwarzania, przy czym ujawnienie danych następuje na podstawie zgody osoby, której dane dotyczą. Dalsze ich przetwarzanie przez pracodawcę opierać się będzie na obowiązku ciążącym na administratorze.
Jeszcze inny przykład. Pracownicy często korzystają z organizowanych przez pracodawcę ubezpieczeń grupowych, w ramach których osoba będąca pracownikiem danego administratora (wraz z osobami najbliższymi) staje się osobą objętą ubezpieczeniem w ramach konkretnej polisy grupowej. Aby do tego doszło, pracownik musi udostępnić pracodawcy cały zestaw swoich danych osobowych (danych osoby najbliższej), które z kolei będą udostępniane przez pracodawcę wybranemu zakładowi ubezpieczeń. Pracodawca będzie udostępniał dane osobowe swojego pracownika (osoby najbliższej) innemu administratorowi (zakład ubezpieczeń zawsze będzie tu pełnił funkcję niezależnego administratora). Pamiętajmy jednak, iż dla takiego „udostępnienia” każdorazowo konieczne będzie określenie przesłanki prawnej umożliwiającej dokonanie takiej czynności, „udostępnienie danych” jest bowiem jedną z form ich przetwarzania określoną w art. 4 RODO. Podstawy prawnej takiego „udostępnienia” należy szukać zatem w art. 6 ust. 1 RODO lub art. 9 ust. 2 RODO. Dane osobowe swojego pracowników pracodawca będzie udostępniał zakładowi ubezpieczeń na podstawie art. 6 ust. 1 lit. a) RODO, tj. „zgody pracownika”. Taką zgodę pracownik wyraża poprzez wypełnienie druku (wniosku), w ramach którego pracownik oświadcza, że chcę przystąpić do ubezpieczenia. Jednak w odniesieniu do członków rodziny pracownika pracodawca nie jest z pewnością administratorem, zatem nie ma możliwości ich udostępniania lub powierzania innemu podmiotowi. Dane osobowe członków rodzin pracowników będą mogły być „przekazane” do zakładu ubezpieczeń wyłącznie na podstawie Umowy Powierzenia, którą pracodawca będzie musiał zawrzeć z zakładem ubezpieczeń, przy czym przesłanką do ich przekazania pracodawcy jest „zgoda osoby, której dane dotyczą”, tj. członka rodziny pracownika. Zgodę taką osoba wyrażą podpisując odpowiedni formularz.
Zajmiemy się teraz tematem dotyczącym oceny kadry zarządzającej w bankach. Otóż, w ramach obowiązujących w bankach regulacji dotyczących odpowiedniości, wybór jakiegoś kandydata na Członka Zarządu lub Członka Rady Nadzorczej obywa się na podstawie weryfikacji wielu danych, w tym danych osobowych, przekazanych przez kandydatów na to stanowisko. w maju 2019 roku weszła w życie nowelizacja Prawa bankowego, tj. dodano art. 22aa, zgodnie z którym Bank żąda od kandydata na członka zarządu lub rady nadzorczej oraz od osoby ubiegającej się o pełnienie innej kluczowej funkcji w banku przedłożenia… (tu następuje długa lista koniecznych do przedstawienia informacji). Zatem przetwarzanie danych osobowych kandydatów na wskazane stanowiska odbywa się od tego momentu na podstawie art. 6 ust. lit. c) RODO, tj. obowiązku prawnego ciążącego na administratorze („bank żąda od kandydata”). Jednak, aby dokonać szerokiej oceny kandydatów na w/w stanowiska, banki zastrzegają sobie możliwość przetwarzania podanych przez kandydatów informacji (w tym danych osobowych) e celu ich weryfikacji. Prawo bankowe nie przewiduje takiej możliwości, aby więc móc przetwarzać podane przez kandydatów dane w tym celu, mogą to zrobić na podstawie „zgody osoby, której dane dotyczą”, oczywiście przy zachowaniu warunków jej skutecznego wyrażenia (np. kandydat mógłby teoretycznie odmówić swojej zgody na weryfikację podanych przez siebie informacji). W trakcie pełnienia swojej funkcji Członkowie Zarządu oraz Członkowie Rady Nadzorczej są także poddane odpowiedniej ocenie, w trakcie której przetwarzane są ich dane osobowe. Prawo bankowe nic nie mówi na temat tzw. „oceny wtórnej” lub „oceny następczej”. Niektóre podmioty przyjmują, iż podstawą do przetwarzania danych osobowych w ramach takiej oceny będzie „zgoda osoby, której dane dotyczą” (osobiście wskazywałbym raczej prawnie uzasadniony interes administratora).
Nie możemy zapomnieć o „zgodzie” jako przesłance przetwarzania danych w procesie rekrutacji. Na ten temat napisano już sporo wyczerpujących temat informacji, ale warto podkreślić tutaj dwie rzeczy. Kodeks Pracy w art. 221 § 1 stwierdza, iż pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: (1) imię (imiona) i nazwisko, (2) datę urodzenia, (3) dane kontaktowe wskazane przez taką osobę, (4) wykształcenie, (5) kwalifikacje zawodowe oraz (6) przebieg dotychczasowego zatrudnienia, przy czym dane określone w pkt. 4–6, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku. Przetwarzanie w/w danych obywa się zatem w oparciu o obowiązek prawny ciążący na administratorze. Jednak w sytuacjach wskazanych przez kodeks pracodawca może oprzeć przetwarzanie dodatkowych danych na „zgodnie osoby ubiegającej się o zatrudnienie” (nie dotyczy danych dotyczących wyroków skazujących), przy czym brak takiej zgody lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie, a także nie może powodować wobec niej jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia. Dodatkowe dane mogą zostać udostępnione przez osobę ubiegającą się o zatrudnienie na wniosek pracodawcy lub z własnej inicjatywy. W procesie rekrutacji konieczne będzie rozróżnienie przetwarzania danych w ramach rekrutacji bieżącej od przetwarzania danych w ramach tzw. „przyszłych rekrutacji”. To dwa zupełnie inne procesy, różniące się głównie celem przetwarzania danych i okresem retencji danych. W arkuszach rekrutacyjnych lub w składanych przez osoby ubiegające się o zatrudnienie CV oba procesy powinny zostać wyszczególnione, oczywiście w sytuacji, w której administrator chciałby przechowywać u siebie niejako „na przyszłość” składane przez kandydatów wnioski. Ważne jest to, aby z góry wskazać okresy retencji danych dotyczących przyszłych rekrutacji i nie powinny być to okresy zbyt długie. Przyjmuje się, iż w dzisiejszej praktyce okres retencji dotyczący przyszłych rekrutacji nie powinien być dłuższy niż 6 m-cy, choć bywają sytuacje (wyjątkowe), kiedy pracodawcy wskazują okresy dłuższe (nawet do 2 lat).
Podsumujmy nasze rozważania, uogólniając je przy okazji i zwracając uwagę na najważniejsze kwestie:
- Skuteczność „zgody” jako przesłanki przetwarzania uzależniona jest od prawidłowego spełnienia warunków, które przywołaliśmy na początku artykułu (pkt. 1 – 9);
- Niedopuszczalne jest przyjmowanie „zgod” jako podstawy przetwarzania danych w sytuacji, gdy administrator może lub powinien przyjąć inną przesłankę z pośród wskazanych w art. 6 RODO;
- Zgoda osoby, której dane dotyczą jest najbardziej „kruchą” przesłanką przetwarzania danych osobowych. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę , przy czym wycofanie zgody musi być równie łatwe jak jej wyrażenie. Oznacza to, iż w momencie odwołania zgody administrator automatycznie traci przesłankę prawną do dalszego przetwarzania danych takiej osoby.
Na koniec warto zaznaczyć, iż w procesach przetwarzania danych osobowych, dla których przesłanką przetwarzania jest „zgoda osoby, której dane dotyczą”, widoczny jest element władztwa administratora danych (ADO) w stosunku do osoby, której dane są przez niego przetwarzane. Władztwo ADO przejawia się w jednostronnym określaniu (narzucaniu) osobom, których dane dotyczą celów i sposobów przetwarzania ich danych. I właśnie dlatego tak ważne jest dochowanie ze strony ADO wszystkich warunków skutecznej zgody.
Opracował
Arkadiusz Kraus