Podstawy przetwarzania danych. Różnica między zgodą a umową.

W praktyce administratorzy często mają problem w sytuacji, gdy planują wykorzystać dane osobowe konsumenta (np. jego wizerunek), przy czym czynność prawna (umowa) jakiej zamierzają dokonać z konsumentem, ze swej natury (w kluczowych, typowych postanowieniach) nie wymaga wykorzystania danych osobowych w planowanym zakresie. Administratorzy zdając sobie sprawę z faktu, że zgoda może być w każdym czasie wycofana, obawiają się o przyszłość kontraktu, tzn. że konsument pozbawi ich tej wartość w zamian za którą otrzymał świadczenie, bo dowolnie cofnie zgodę i zablokuje możliwość przetwarzania danych.

Obawy te wynikają z nadużywania przesłanki zgody, jako podstawy legalizującej przetwarzanie. Przedsiębiorca (administrator) nie jest obowiązany do darmowych świadczeń na rzecz konsumenta, ani nie może być zmuszany do niepewności co do możliwości wykorzystania danych osobowych, w sytuacji gdy konsument otrzymał świadczenie w zamian za umożliwienie korzystania z jego danych przez administratora.

Administrator jest obowiązany do uczciwości wobec konsumenta i do jego rzetelnego informowania. Z tego względu przesłanka zgody (jednostronnej czynności prawnej upoważniającej) ma miejsce jeśli faktycznie dane osobowe są używane w interesie konsumenta, a więc nie ma on powodu zgody wycofywać, a z kolei wycofanie tej zgody nie uderza w interes administratora, nie zależy mu więc specjalnie na utrzymaniu zgody.

W sytuacji kiedy konsument w zamian za pozwolenie na przetwarzanie jego danych otrzymuje świadczenie wzajemne, a więc jego interes będzie zaspokojony (zrekompensowany) przez to świadczenie wzajemne, a nie przez przetwarzanie na które się zgadza (wręcz przetwarzanie narusza jego interes a zaspokaja interes administratora), zgoda nie jest adekwatną podstawą przetwarzania jego danych.

Może w takiej sytuacji powstać pytanie, czy w ogóle rodo dopuszcza dane osobowe jako element świadczenia wzajemnego, co do którego można się zobowiązać, również na czas oznaczony.

Z żadnego przepisu rodo nie sposób wyprowadzić zakazu uczynienia danych osobowych przedmiotem zobowiązania, a próby formułowania takich wniosków są nieuprawnione również ze względów funkcjonalnych. Przyjęcie, że osoba której dane dotyczą nie może dysponować swoimi danymi w ten sposób, że zapewni kontrahentowi pewność co do możliwości ich wykorzystania przez określony czas, wpłynęłoby niekorzystnie na możliwość obrotu towarami i usługami. Rodo ma na celu ochronę prywatności a nie ubezwłasnowolnienie podmiotów danych osobowych.

Niedostosowanie podstawy przetwarzania i mylne zastępowanie umowy zgodą prowadzi do wątpliwości, czy w takim razie, uznając że podstawą jest zgoda, można by przyjąć zobowiązanie od osoby, której dane dotyczą, do niewycofywania zgody przez określony czas pod rygorem np. kary umownej.

Zgodnie z art. 7 ust. 3 rodo osoba której dane dotyczą, może w dowolnym momencie wycofać zgodę, przy czym to wycofanie musi być równie łatwe jak wyrażenie zgody.

Z przepisu tego wyprowadzany bywa wniosek, że skoro wycofanie ma być równie łatwe jak wyrażenie zgody, to nie może być utrudnione przez zobowiązanie do niewycofywania. Nie wydaje się aby było to prawidłowe rozumienie przepisu. Po pierwsze dlatego, że dla norm które mają na celu zabezpieczyć stronę umowy do tego stopnia, że nawet sama nie ma kompetencji przyjąć pewnych zobowiązań, tradycyjnie zarezerwowane jest sformułowanie typu „przeciwne postanowienie umowy jest nieważne” lub inne równoważne, wyraźnie wskazujące na to że nie można dokonać określonej czynności prawnej. Natomiast zwrot zawarty w art. 7 ust. 3 rodo wskazuje na to, że dotyczy czynności faktycznych (etapu działań faktycznych prowadzących do dojścia czynności prawnej do skutku), tzn. administrator nie powinien czynić trudności technicznych podmiotowi danych w wycofaniu zgody, np. przez ukrywanie przycisku na stronie internetowej. Trudno bowiem mówić o stopniowalnej trudności („równie łatwe”), i to jeszcze determinowanej przez administratora, samego oświadczenia woli o wycofaniu zgody. Według mnie nie ma wystarczających argumentów za przyjęciem, że osoba, której dane dotyczą nie może dysponować swoim uprawnieniem do wycofania zgody i na pewien czas z niego zrezygnować. Niedopuszczalne była by wieczysta rezygnacja z uprawnienia, zgodnie z art. 365(1) k.c.

Jak widać obie drogi prowadziły by do tego samego celu, przy czym zastępowanie umowy zgodą nie jest właściwe z punktu widzenia metodologii nauk prawnych.

Za argument przemawiający za niedopuszczalnością zawierania umowy co do danych osobowych, wskazuje się niekiedy art. 7 ust. 4 rodo mówiący o dobrowolności zgody. Przepis ten stanowi, że nie jest zgodą dobrowolną taka od której uzależnia się świadczenie usługi, jeżeli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej usługi.

Artykuł 7 Warunki wyrażenia zgody (…)

4. Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.

Z tego przykładu okoliczności, które wyłączają dobrowolność zgody, nie powinno się jednak wyciągać wniosku o niedopuszczalności uczynienia danych osobowych przedmiotem umowy. Przepis ten powinien być traktowany jako kolejny, którego celem jest zapewnienie czytelnego komunikatu dla osoby, której dane dotyczą. Osoba taka nie powinna być informowana, że wyraża zgodą na przetwarzanie danych osobowych, w sytuacji kiedy od tej zgody zależy zakres lub cena usługi (świadczenia wzajemnego). Takie oświadczenie nie jest na potrzeby rodo zgodą „dobrowolną”, a więc nie jest zgodą ważną, tylko jest składnikiem umowy. Co istotne, trzeba dodać, że przyjęte tu rozumienie pojęcia „dobrowolność” nie przystaje do rozumienia tego terminu na gruncie innych dziedzina prawa i w języku potocznych, gdzie oznacza ono niepozostawanie pod przymusem, a nie warunki braku konieczności dokonywania ustępstw, ponieważ to na co mamy się zgodzić jest korzystne i nieodpłatne – wybór może być więc tylko jeden. Właściwie przepis ten, który stanowi o tym jak rodo rozumie dobrowolność zgody, przesądza że zgoda nie może być podstawą dla przetwarzania, w sytuacji gdy ma miejsce wymiana świadczeń. Jego funkcją jest wiec odróżnienie przesłanki zgody od umowy, a nie ograniczenie możliwości umawiania się co do wykorzystania danych. Jest to zabieg zrozumiały, ponieważ tylko dla takich sytuacji, kiedy świadczenie administratora, wymagające przetwarzania, ma charakter altruistyczny, sensowne jest przyznanie osobie uprawnienia do dowolnego wycofania zgody, ponieważ nie uderzy ono w interes administratora.

Należy zwrócić uwagę, że również umowa oparta jest na dobrowolności i wymaga zgody (ale nie tej o której mowa w art. 6 ust. 1 lit. a rodo, która jest zgodą na przetwarzanie a nie zgodą na umowę), bo nikt nie może być zmuszony do zawarcia umowy, chyba że sam w umowie przedwstępnej zobowiąże się do takiego świadczenia. Ale w przypadku umowy dobrowolność ma swoje typowe, potoczne znaczenie inne niż to swoiste dotyczące zgody. Tu chodzi o brak przymusu, o możliwość decyzji co do poczynienia wzajemnych ustępstw, a nie o warunki bezpłatnej korzyści. Czyli reasumując podstawa legalizacyjna z art. 6 ust. 1 lit. a rodo dotyczy sytuacji wyrażenia zgody na czynność faktyczną przetwarzania (wykorzystywania) danych, a podstawa z art. 6 ust. 1 lit. b rodo dotyczy sytuacji zgody na czynność prawną (umowę), i w tym zakresie rodo nie przewiduje ograniczeń innych niż te wynikające z prawa cywilnego. Dobrowolność zgody, w rozumieniu rodo, na czynność faktyczną (przetwarzanie danych) polega właśnie na niedopuszczalności łączenia tej zgody z czynnością prawną, np. przez uzależniania dokonania czynności prawnej od zgody na czynność faktyczną przetwarzania danych. Tylko tak zgoda odseparowana od czynności prawnych, których zasadniczym celem jest dokonanie wzajemnych przysporzeń, czy też kreowanie innych czasem jednostronnych zobowiązań, może być w każdej chwili wycofana bez żadnych negatywnych konsekwencji.

W mojej ocenie z przepisów rodo wynika obowiązek uczciwości administratora danych i rzetelnego informowania osoby, której dane dotyczą. Nie wynika natomiast zakaz rozporządzania danymi osobowymi przez osoby, których te dane dotyczą. Możliwość zapłaty danymi osobowymi przewiduje ponadto dyrektywa 2019/770 dotycząca umów o dostarczanie treści cyfrowych, co nie powinno mieć miejsca, gdyby prawodawca europejski uznawał, że zapłata taka jest niedopuszczalna na gruncie rodo. Gdyby rodo przewidywało zakaz zapłaty danymi osobowymi, regulację w/w dyrektywy należało by traktować jako szczególną, dopuszczającą taką możliwość tylko na potrzeby związane z przedmiotem tej dyrektywy czyli zawierania umów o treści cyfrowe.

W tym kontekście zastanawiające jest restrykcyjne podejście Grupy Roboczej Art. 29, która bardzo wąsko traktuje przesłankę „niezbędności do wykonania umowy”, z sobie wiadomych powodów ograniczając w ten sposób zasadę swobody umów, według której to zasady, o tym jakie przetwarzanie jest niezbędne do wykonania umowy decyduje treść umowy, korygowana ramami ustawowymi. W wypowiedzi Grupy Roboczej (opinia 6/2014; Wytyczne dotyczące zgody) można się jednak doszukać pewnych akcentów, wskazujących na to, że nie jest wykluczone aby wykorzystanie danych osobowych stało się przedmiotem ustaleń obok ustaleń dotyczących innych świadczeń stron.

W praktyce zgoda ma bardzo skromny zakres zastosowania. Dotyczy głównie marketingu po wygaśnięciu relacji klient-dostawca, bo dopóki relacja trwa marketing ma podstawę w uzasadnionym interesie administratora. Zgoda ma też zastosowanie np. w przypadku przyszłych rekrutacji. Jednym słowem w sytuacjach, które są z korzyścią dla osoby, której dane dotyczą (marketing o ile nie jest natarczywy również zaspokaja potrzebę informacyjną konsumenta), a przy okazji z korzyścią dla administratora. W większości przypadków zastosowanie znajdzie umowa albo inne podstawy legalizacyjne. W szczególności należy się wystrzegać zbierania zgody obok zawartej umowy, tak zebrana zgoda i konsekwentnie wadliwie spełniony obowiązek informacyjny, może wpłynąć na treść lub skuteczność umowy – do strony słabszej (konsumenta) płyną bowiem dwa sprzeczne komunikaty: jeden że zawarł umowę i jest zobowiązany spełnić wynikające z niej świadczenie i drugi że może w każdej chwili wycofać zgodę na przetwarzanie danych potrzebnych do wykonania tej umowy.