Zgodoza to żartobliwe określenie używane wśród praktyków ochrony danych osobowych dla nadmiernego używania zgody jako podstawy przetwarzania. To „choroba” administratorów danych. Dotyka przedsiębiorców, lekarzy, urzędników i wszelkich innych zawodów. Dzisiaj porozmawiamy o tym, jakie są jej objawy i jak można ją leczyć.
Objawy
Główny objawem zgodozy jest zbieranie przez administratorów zgód na przetwarzanie danych osobowych niezależnie od tego, czy istnieją inne podstawy przetwarzania danych – a przypomnijmy, że jest ich całkiem sporo.
Oczywiście zdarzą się sytuacje, w których uzyskanie zgody jest jak najbardziej celowe. Jednak błędem jest automatyczne utożsamianie jej z podstawą całości procesu. Przyjrzyjmy się dla przykładu trzem przypadkom.
Zgoda na przetwarzanie danych osobowych w celu realizacji umowy

To zaskakująco częste zjawisko występujące w umowach. Klauzula zgody na przetwarzanie danych osobowych w celach związanych z zawarciem i realizacji umowy – a zdarzyło mi się analizować umowę, w której dodane było jeszcze po tym „co stanowi prawnie uzasadniony interes administratora”! – jest nie dość, że zbędna, to jeszcze niewykonalna.
Działania wymagające przetwarzania danych osobowych, podejmowane w celu zawarcia lub realizacji umowy, odbywają się co do zasady na podstawie art. 6 ust. 1 lit. b) RODO. Przepis ten odnosi się bezpośrednio do tego celu.
Zgoda na przetwarzanie danych osobowych w celu leczenia

Ta zgoda pojawia się na drukach podmiotów leczniczych i również w tym przypadku jest ona co do zasady zbędna. Dlaczego? Udzielanie świadczeń zdrowotnych i inne związane z tym czynności są oparte na przepisach prawa, w szczególności ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta i ustawy o działalności leczniczej. Oznacza to, że właściwą podstawą przetwarzania dla danych zwykłych będzie obowiązek prawny ciążący na administratorze, czyli przesłanka z art. 6 ust. 1 lit. c) RODO.
W odniesieniu do danych szczególnych kategorii, do których zaliczają się dane dotyczące zdrowia, podstawy należy szukać w przepisie art. 9 ust. 2 lit. h) RODO.
Zgoda na przetwarzanie danych osobowych w celu przeprowadzenia postępowania administracyjnego

To z kolei klasyka urzędów. Wciąż jeszcze można spotkać takiego zgody we wzorach dokumentów. Prawidłowym rozwiązaniem w takim przypadku jest oczywiście obowiązek prawny, czyli przytoczony już przepis art. 6 ust. 1 lit. c) RODO. Drugą często stosowaną podstawą przetwarzania jest niezbędność przetwarzania do realizacja zadania w interesie publicznym lub w związku ze sprawowaniem władzy publicznej, o których mowa w przepisie art. 6 ust. 1 lit. e) RODO.
Przyczyny
Zastanawiając się nad przyczynami zgodozy, wskazałbym główne trzy:
- brak zrozumienia podstaw przetwarzania – niejednokrotnie prowadzi to do uznania, że to zgoda jest podstawą pozyskania danych osobowych. Przykładowe rozumowanie, które występuje przy całkowitym pominięciu pozostałych podstaw przetwarzania, jest następujące: skoro klient składa wniosek, to oznacza, że zgadza się na przetwarzanie danych;
- niechęć do poszukiwania tej właściwej podstawy – to postawa, zgodnie z którą jeżeli uzyskamy zgodę osoby zainteresowanej, to nie jest już konieczne dalsze poszukiwanie;
- zbieżność nazw – zdarza się, że zgody się „dublują”, w tym sensie, że wymagane jest uzyskanie innej zgody, która z uwagi na określenie kieruje uwagę administratora właśnie ku tej podstawie przetwarzania. Jest tak np. w podmiotach leczniczych, gdzie zgoda na leczenie zdaje się sugerować, że zgody wymaga również związane z nim przetwarzanie danych osobowych. Tymczasem, jak już wskazałem wyżej, wynika ono z przepisów prawa.
Pamiętaj, że zgoda wiąże się z możliwością jej wycofania w dowolnym momencie. Jeżeli więc w jakiejś sytuacji nie byłoby możliwe zaprzestanie działań na tych danych, to prawdopodobnie nie jest to prawidłowa podstawa. Przykładem może być przechowywanie dokumentacji, którego okresy są uregulowane prawem.

Diagnoza
Aby zdiagnozować problem należy przede wszystkim przeprowadzić przegląd stosowanych dokumentów i zastanowić się nad tym, czy podanie danych nie jest wymagane – w takim wypadku nie można mówić o zgodzie która z natury jest dobrowolna.
Być może w trakcie przeglądu znajdziesz w swoich wzorach odwołanie do ustawy z dnia 29 sierpnia 1997 r.! Jeżeli tak, koniecznie zmień ją na RODO – o ile w ogóle będzie potrzebna.
Leczenie
Aby w pełni poprawić stan rzeczy, warto jednak skontaktować się ze specjalistą. Pomoże on w fachowym ustaleniu podstaw przetwarzania danych osobowych i ich zastosowaniu. Jeżeli zaobserwowałaś lub zaobserwowałeś u siebie niepokojące objawy, możesz liczyć na moją pomoc. 😉
Przed wybraniem podstawy prawnej, skontaktuj się z prawnikiem lub Inspektorem Ochrony Danych.
Pingback: Jak ustalić zakres danych? - Zdrowe Dane