Zgoda na przetwarzanie danych osobowych: jak przygotować poprawny dokument?
Zgoda na przetwarzanie danych osobowych to oświadczenie osoby, której dane dotyczą, w którym wyraża ona zgodę na wykorzystanie swoich danych w określonym celu. Taki dokument może być potrzebny między innymi przy rekrutacji, zapisie do newslettera, działaniach marketingowych, publikacji wizerunku, udziale w wydarzeniu, kontakcie handlowym, konkursie, formularzu online albo przekazaniu danych do konkretnej usługi.
Dobrze przygotowana zgoda powinna zawierać dane administratora, cel przetwarzania, zakres danych, informację o dobrowolności, możliwość wycofania zgody, sposób kontaktu, datę oraz potwierdzenie osoby wyrażającej zgodę. Najważniejsze jest, aby osoba podpisująca dokument wiedziała, kto będzie przetwarzał jej dane, po co i w jakim zakresie.
Zgoda na przetwarzanie danych osobowych nie powinna być zbyt ogólna. Nie wystarczy napisać „wyrażam zgodę na przetwarzanie moich danych osobowych” bez wskazania celu i administratora. Taki dokument powinien być jasny, konkretny i dopasowany do sytuacji, w której dane będą wykorzystywane.
Czym jest zgoda na przetwarzanie danych osobowych?
Zgoda na przetwarzanie danych osobowych to dobrowolne oświadczenie, w którym dana osoba potwierdza, że akceptuje przetwarzanie swoich danych w określonym celu. Może mieć formę pisemną, elektroniczną, formularza online, zaznaczenia checkboxa albo innego działania, które jednoznacznie pokazuje wolę osoby.
W praktyce zgoda powinna być udzielona świadomie. Osoba, która ją wyraża, powinna otrzymać podstawowe informacje o tym, kto zbiera dane, w jakim celu, jakie dane będą wykorzystywane, jak długo mogą być przetwarzane oraz jak można zgodę wycofać.
Kiedy najczęściej stosuje się zgodę?
- przy zapisie do newslettera,
- przy działaniach marketingowych,
- przy publikacji wizerunku,
- przy rekrutacji, gdy kandydat podaje dane wykraczające poza standardowy zakres,
- przy formularzach kontaktowych, jeśli zgoda jest właściwą podstawą działania,
- przy konkursach, wydarzeniach i zapisach online,
- gdy osoba ma wyraźnie zaakceptować konkretny sposób wykorzystania danych.
Najważniejsze elementy zgody na przetwarzanie danych osobowych
Treść zgody powinna być prosta i zrozumiała. Osoba wyrażająca zgodę nie powinna domyślać się, kto będzie korzystał z jej danych i do czego. Warto unikać długich, skomplikowanych zdań oraz ukrywania zgody w regulaminie, ogólnych warunkach albo innym dokumencie.
Dobrze przygotowana zgoda powinna być oddzielona od innych oświadczeń, szczególnie wtedy, gdy dotyczy marketingu, newslettera, przekazania danych partnerom albo publikacji wizerunku. Jeżeli jest kilka różnych celów, często lepiej przygotować osobne zgody dla każdego z nich.
Praktyczna tabela: główne części dokumentu
| Część zgody | Co warto wpisać? | Dlaczego jest ważna? |
|---|---|---|
| Administrator danych | nazwa firmy, organizacji lub osoby, która przetwarza dane | Osoba musi wiedzieć, komu udziela zgody. |
| Cel przetwarzania | newsletter, marketing, rekrutacja, udział w wydarzeniu, kontakt | Określa, po co dane będą wykorzystywane. |
| Zakres danych | imię, nazwisko, e-mail, telefon, wizerunek, dane z formularza | Pokazuje, jakie dane obejmuje zgoda. |
| Dobrowolność | informacja, że zgoda jest dobrowolna | Pomaga wykazać, że osoba nie została przymuszona. |
| Wycofanie zgody | sposób i kontakt do wycofania zgody | Osoba powinna wiedzieć, jak zrezygnować. |
| Data i potwierdzenie | data, podpis, checkbox albo inna forma akceptacji | Potwierdza moment udzielenia zgody. |
Dane administratora
W zgodzie należy wskazać administratora danych, czyli podmiot, który decyduje o celu i sposobie przetwarzania danych. Może to być firma, fundacja, szkoła, organizator wydarzenia, pracodawca, sklep internetowy, właściciel strony internetowej albo inny podmiot zbierający dane.
Dane administratora powinny być konkretne. Najlepiej wpisać pełną nazwę, adres, NIP lub KRS, jeśli dotyczy, oraz dane kontaktowe. Jeżeli administrator ma inspektora ochrony danych albo specjalny adres do spraw prywatności, warto wskazać go w informacji dodatkowej.
Przy administratorze warto podać
- pełną nazwę firmy lub organizacji,
- adres siedziby,
- NIP, KRS lub inne dane identyfikacyjne, jeśli są potrzebne,
- adres e-mail do kontaktu,
- dane kontaktowe w sprawach ochrony danych,
- informację, czy dane będą przekazywane innym podmiotom,
- link lub odniesienie do polityki prywatności, jeśli dokument jest online.
Cel przetwarzania danych
Cel przetwarzania to jedna z najważniejszych części zgody. Osoba wyrażająca zgodę powinna wiedzieć, do czego jej dane będą wykorzystywane. Cel nie powinien być opisany zbyt szeroko, na przykład jako „cele własne administratora”. Lepiej wskazać konkretny cel, taki jak wysyłka newslettera, kontakt marketingowy, udział w rekrutacji albo publikacja zdjęcia.
Jeżeli administrator chce wykorzystywać dane do kilku różnych celów, warto rozważyć osobne zgody. Inna zgoda może dotyczyć newslettera, inna kontaktu telefonicznego, inna publikacji wizerunku, a jeszcze inna przekazania danych partnerowi.
Przykładowe cele przetwarzania
- wysyłka newslettera,
- kontakt marketingowy drogą e-mailową,
- kontakt telefoniczny w sprawie oferty,
- udział w rekrutacji,
- obsługa zapisu na wydarzenie,
- publikacja wizerunku w materiałach promocyjnych,
- udział w konkursie lub akcji promocyjnej.
Zakres danych objętych zgodą
Dokument powinien wskazywać, jakie dane będą przetwarzane. Zakres danych powinien być adekwatny do celu. Jeżeli celem jest wysyłka newslettera, zwykle wystarczy adres e-mail i ewentualnie imię. Jeżeli celem jest udział w wydarzeniu, potrzebne mogą być dane kontaktowe, imię, nazwisko i informacje organizacyjne.
Nie warto zbierać danych na zapas. Im więcej danych administrator zbiera, tym większa odpowiedzialność za ich bezpieczeństwo i prawidłowe wykorzystanie. Dlatego zakres danych powinien być przemyślany i ograniczony do tego, co rzeczywiście potrzebne.
Zakres danych może obejmować
- imię i nazwisko,
- adres e-mail,
- numer telefonu,
- adres korespondencyjny,
- nazwę firmy,
- dane z formularza kontaktowego,
- wizerunek, jeśli zgoda dotyczy zdjęć lub nagrań,
- inne dane niezbędne do konkretnego celu.
Dobrowolność zgody
Zgoda powinna być dobrowolna. Oznacza to, że osoba powinna mieć realny wybór, czy ją wyrazić. Jeżeli zgoda jest warunkiem skorzystania z usługi, chociaż nie jest potrzebna do jej wykonania, może pojawić się problem z jej prawidłowością.
W treści zgody warto wskazać, że jej udzielenie jest dobrowolne, ale może być niezbędne do realizacji konkretnego celu, na przykład otrzymywania newslettera. Jeżeli ktoś nie zgadza się na newsletter, nie powinien go otrzymywać, ale nadal może korzystać z innych usług, jeśli zgoda nie jest do nich konieczna.
Dobrowolność oznacza w praktyce
- brak przymusu wyrażenia zgody,
- możliwość odmowy bez nieuzasadnionych konsekwencji,
- jasne oddzielenie zgody od innych oświadczeń,
- brak ukrycia zgody w regulaminie,
- możliwość wycofania zgody,
- zrozumiałą informację dla osoby,
- zgodę dopasowaną do konkretnego celu.
Wycofanie zgody na przetwarzanie danych
Osoba, która wyraziła zgodę, powinna mieć możliwość jej wycofania. W dokumencie warto opisać, jak można to zrobić. Może to być wiadomość e-mail, link rezygnacji z newslettera, formularz kontaktowy, pisemne oświadczenie albo inny prosty sposób wskazany przez administratora.
Wycofanie zgody powinno być możliwe w sposób łatwy i zrozumiały. Nie warto tworzyć skomplikowanej procedury, która utrudnia rezygnację. Jeżeli zgoda została wyrażona elektronicznie, praktyczne jest umożliwienie jej wycofania również elektronicznie.
W informacji o wycofaniu zgody warto wskazać
- adres e-mail do kontaktu,
- sposób złożenia rezygnacji,
- link do wypisu z newslettera, jeśli dotyczy,
- informację, że zgodę można wycofać w dowolnym momencie,
- że wycofanie działa na przyszłość,
- kto obsługuje żądania dotyczące danych,
- czy wycofanie zgody wpływa na korzystanie z danej usługi.
Zgoda w rekrutacji
Zgoda na przetwarzanie danych osobowych często pojawia się w CV i dokumentach rekrutacyjnych. Kandydat może wyrazić zgodę na udział w konkretnej rekrutacji albo również na udział w przyszłych rekrutacjach. Warto rozróżnić te sytuacje, ponieważ mają inny zakres i cel.
Jeżeli kandydat przekazuje dane wykraczające poza standardowo wymagane informacje albo chce, aby jego CV zostało zachowane na potrzeby przyszłych rekrutacji, zgoda może być przydatna. Treść zgody powinna być dopasowana do konkretnego pracodawcy i procesu rekrutacyjnego.
Przy zgodzie rekrutacyjnej warto określić
- czy zgoda dotyczy jednej rekrutacji,
- czy obejmuje przyszłe rekrutacje,
- jak długo dane mogą być przechowywane,
- kto jest administratorem danych,
- jak kandydat może wycofać zgodę,
- czy pracodawca podał własną treść klauzuli,
- czy CV nie zawiera zbędnych danych prywatnych.
Zgoda na newsletter
Przy zapisie do newslettera zgoda powinna jasno wskazywać, że osoba chce otrzymywać wiadomości na podany adres e-mail. Warto opisać, kto będzie wysyłał wiadomości, jakiego rodzaju treści będą przesyłane i jak można zrezygnować z subskrypcji.
Checkbox przy newsletterze nie powinien być domyślnie zaznaczony. Osoba zapisująca się powinna samodzielnie potwierdzić zgodę. W wiadomościach warto umieszczać prosty sposób wypisu, aby odbiorca mógł łatwo wycofać zgodę.
Przy newsletterze warto zadbać o
- jasny opis rodzaju wysyłanych wiadomości,
- oddzielny checkbox zgody,
- brak domyślnie zaznaczonego pola,
- informację o administratorze,
- link do polityki prywatności,
- możliwość wypisu z newslettera,
- potwierdzenie daty i źródła zapisu.
Zgoda marketingowa
Zgoda marketingowa może dotyczyć kontaktu e-mailowego, telefonicznego, SMS-owego albo innego sposobu przekazywania informacji handlowych. Warto dokładnie określić kanał kontaktu. Osoba może zgodzić się na e-mail, ale niekoniecznie na telefon albo SMS.
Przy działaniach marketingowych szczególnie ważne jest oddzielenie różnych zgód. Jedna zgoda może dotyczyć wiadomości e-mail, druga kontaktu telefonicznego, a trzecia przekazania danych partnerom. Łączenie wszystkiego w jednym ogólnym zdaniu może być nieczytelne.
W zgodzie marketingowej można rozdzielić
- kontakt e-mailowy,
- kontakt telefoniczny,
- wiadomości SMS,
- kontakt przez komunikator,
- profilowanie marketingowe, jeśli jest stosowane,
- przekazanie danych partnerom, jeśli ma miejsce,
- oddzielną zgodę na każdy istotny kanał komunikacji.
Zgoda na publikację wizerunku
Zgoda na przetwarzanie danych może dotyczyć również wizerunku, na przykład zdjęć, nagrań wideo, relacji z wydarzenia, materiałów promocyjnych, strony internetowej, mediów społecznościowych albo katalogu firmowego. Wizerunek jest szczególnie wrażliwy praktycznie, dlatego treść zgody powinna być konkretna.
Warto wskazać, gdzie zdjęcia lub nagrania będą publikowane, w jakim celu i przez kogo. Inaczej wygląda zgoda na pamiątkowe zdjęcie z wydarzenia, a inaczej zgoda na wykorzystanie wizerunku w reklamie, kampanii promocyjnej albo materiałach sprzedażowych.
Przy wizerunku warto określić
- jakie materiały obejmuje zgoda,
- gdzie wizerunek będzie publikowany,
- czy dotyczy strony internetowej, social media czy materiałów drukowanych,
- cel publikacji,
- czas wykorzystania, jeśli strony chcą go ograniczyć,
- czy zgoda jest odpłatna czy nieodpłatna,
- sposób wycofania zgody na przyszłość.
Zgoda dla dziecka lub osoby małoletniej
Jeżeli zgoda dotyczy danych dziecka, należy zachować szczególną ostrożność. W wielu sytuacjach potrzebna może być zgoda rodzica albo opiekuna prawnego. Dotyczy to na przykład udziału dziecka w wydarzeniu, publikacji zdjęcia, konkursu, zajęć dodatkowych albo przetwarzania danych w formularzu.
Dokument powinien jasno wskazywać dane dziecka, dane rodzica lub opiekuna, cel przetwarzania, zakres danych i podpis osoby uprawnionej do wyrażenia zgody. Przy publikacji wizerunku dziecka warto szczególnie dokładnie opisać miejsce i cel publikacji.
Przy danych dziecka warto uwzględnić
- dane dziecka,
- dane rodzica lub opiekuna prawnego,
- cel przetwarzania danych,
- zakres danych objętych zgodą,
- informację o publikacji wizerunku, jeśli dotyczy,
- czas obowiązywania zgody,
- podpis rodzica lub opiekuna.
Zgoda papierowa i elektroniczna
Zgoda może być udzielona na papierze albo elektronicznie. Forma zależy od sytuacji i sposobu zbierania danych. Papierowy dokument sprawdza się przy wydarzeniach, rekrutacji offline, zgodach rodziców, szkoleniach albo umowach. Forma elektroniczna jest wygodna przy stronach internetowych, sklepach online i formularzach.
W przypadku zgody elektronicznej warto zadbać o możliwość wykazania, kiedy i w jaki sposób została udzielona. Może mieć znaczenie data, adres e-mail, adres IP, treść zgody obowiązująca w chwili zapisu oraz informacja, czy checkbox został zaznaczony samodzielnie.
Porównanie form zgody
| Forma zgody | Kiedy się sprawdza? | Na co uważać? |
|---|---|---|
| Papierowa | wydarzenia, rekrutacja, zgody rodziców, dokumenty podpisywane osobiście | Trzeba przechowywać podpisany dokument w bezpieczny sposób. |
| Elektroniczna | newsletter, formularz online, sklep internetowy, panel klienta | Warto zapisać datę, treść zgody i sposób jej udzielenia. |
| Checkbox | formularze internetowe i zgody marketingowe | Pole nie powinno być zaznaczone domyślnie. |
| Oświadczenie e-mail | proste sprawy kontaktowe lub rekrutacyjne | Treść zgody powinna być jednoznaczna i możliwa do zachowania. |
Zgoda a obowiązek informacyjny
Sama zgoda nie zawsze wystarczy. Osoba, której dane dotyczą, powinna otrzymać podstawowe informacje o przetwarzaniu danych. W praktyce często przygotowuje się krótką klauzulę informacyjną albo odsyła do polityki prywatności, szczególnie przy formularzach online.
Informacja powinna być napisana zrozumiałym językiem. Warto wskazać administratora, cele, podstawy, okres przechowywania, odbiorców danych, prawa osoby oraz dane kontaktowe. Zakres informacji może zależeć od konkretnej sytuacji.
W informacji o przetwarzaniu danych warto uwzględnić
- kto jest administratorem danych,
- w jakim celu dane są przetwarzane,
- jakie prawa ma osoba, której dane dotyczą,
- jak można wycofać zgodę,
- jak długo dane mogą być przechowywane,
- czy dane będą przekazywane innym podmiotom,
- gdzie można uzyskać więcej informacji.
Kiedy zgoda nie jest najlepszą podstawą?
Nie każda sytuacja wymaga zgody. Czasami dane są przetwarzane dlatego, że jest to potrzebne do wykonania umowy, obsługi zamówienia, wystawienia dokumentu księgowego, spełnienia obowiązku prawnego albo realizacji uzasadnionego interesu administratora. W takich przypadkach proszenie o zgodę może być niepotrzebne albo mylące.
Przed przygotowaniem zgody warto więc ustalić, czy rzeczywiście jest ona właściwą podstawą. Jeżeli dane są niezbędne do wykonania usługi, lepsze może być poinformowanie osoby o przetwarzaniu danych, a nie proszenie o zgodę, którą teoretycznie można wycofać.
Zgoda może nie być właściwa, gdy dane są potrzebne do
- realizacji umowy lub zamówienia,
- wystawienia faktury lub dokumentu księgowego,
- obsługi reklamacji,
- spełnienia obowiązku prawnego,
- prowadzenia niezbędnej korespondencji w sprawie usługi,
- dochodzenia lub obrony roszczeń,
- innych działań, które mają odrębną podstawę przetwarzania.
Najczęstsze błędy w zgodzie na przetwarzanie danych osobowych
Najczęstszym błędem jest zbyt ogólna treść zgody. Zdanie „wyrażam zgodę na przetwarzanie danych osobowych” bez wskazania administratora, celu i zakresu danych nie daje osobie wystarczającej informacji. Taka zgoda może być trudna do obrony w razie kontroli lub sporu.
Drugim częstym problemem jest łączenie kilku różnych zgód w jednym checkboxie. Newsletter, telefoniczny kontakt marketingowy, przekazanie danych partnerom i publikacja wizerunku to różne cele. Warto rozdzielić je tak, aby osoba mogła świadomie wybrać, na co się zgadza.
Błędem bywa również domyślnie zaznaczony checkbox, brak informacji o wycofaniu zgody, niejasny administrator, brak daty, brak dowodu udzielenia zgody, kopiowanie starej klauzuli bez dopasowania albo zbieranie zbyt szerokiego zakresu danych.
Błędy, których warto unikać
- brak wskazania administratora danych,
- brak konkretnego celu przetwarzania,
- zbyt szeroki zakres zgody,
- łączenie kilku celów w jednej zgodzie,
- domyślnie zaznaczony checkbox,
- brak informacji o możliwości wycofania zgody,
- brak dowodu udzielenia zgody,
- nieczytelny język dokumentu,
- kopiowanie klauzuli bez dopasowania do sytuacji,
- żądanie zgody tam, gdzie właściwa jest inna podstawa przetwarzania.
Jak przygotować zgodę na przetwarzanie danych osobowych krok po kroku?
Przygotowanie zgody warto rozpocząć od ustalenia, czy zgoda jest rzeczywiście potrzebna. Następnie trzeba określić administratora, cel, zakres danych, sposób udzielenia zgody i sposób jej wycofania. Dopiero potem można przygotować właściwą treść oświadczenia.
Dokument powinien być napisany prostym językiem. Osoba wyrażająca zgodę powinna bez problemu zrozumieć, na co się zgadza. W przypadku formularzy online warto zadbać o oddzielny checkbox, brak domyślnego zaznaczenia i zapisanie dowodu udzielenia zgody.
Praktyczna kolejność przygotowania
- Ustal, czy zgoda jest właściwą podstawą przetwarzania danych.
- Określ administratora danych.
- Wskaż konkretny cel przetwarzania.
- Określ zakres danych objętych zgodą.
- Przygotuj jasną treść oświadczenia.
- Dodaj informację o dobrowolności zgody.
- Wskaż sposób wycofania zgody.
- Dodaj krótką informację o przetwarzaniu danych lub odnośnik do polityki prywatności.
- Zadbaj o potwierdzenie udzielenia zgody.
- Przechowuj zgodę w sposób bezpieczny i uporządkowany.
Elementy, które warto sprawdzić przed użyciem zgody
Przed zastosowaniem zgody warto sprawdzić, czy dokument odpowiada konkretnej sytuacji. Inna treść będzie potrzebna przy rekrutacji, inna przy newsletterze, inna przy publikacji zdjęć, a jeszcze inna przy zapisie na wydarzenie. Nie warto używać jednej uniwersalnej zgody do wszystkich celów.
Szczególną uwagę należy zwrócić na administratora, cel, zakres danych, sposób wycofania zgody i dowód jej udzielenia. Jeżeli zgoda jest zbierana online, trzeba sprawdzić, czy checkbox nie jest domyślnie zaznaczony i czy treść zgody jest widoczna przed jej udzieleniem.
Najważniejsze elementy końcowej weryfikacji
- czy zgoda jest potrzebna w tej sytuacji,
- czy administrator danych jest jasno wskazany,
- czy cel przetwarzania jest konkretny,
- czy zakres danych nie jest zbyt szeroki,
- czy zgoda jest dobrowolna i oddzielna,
- czy osoba wie, jak wycofać zgodę,
- czy treść jest zrozumiała,
- czy można wykazać moment udzielenia zgody,
- czy dokument jest dopasowany do formularza, rekrutacji lub wydarzenia.
Dlaczego dobrze przygotowana zgoda jest ważna?
Dobrze przygotowana zgoda na przetwarzanie danych osobowych pomaga uporządkować relację między administratorem a osobą, której dane dotyczą. Osoba wie, komu przekazuje dane i w jakim celu, a administrator ma potwierdzenie, że zgoda została udzielona w konkretnym zakresie.
Najważniejsze jest, aby zgoda zawierała jasne wskazanie administratora, konkretny cel, zakres danych, informację o dobrowolności, możliwość wycofania zgody, datę oraz sposób potwierdzenia. W wielu sytuacjach warto również dodać krótką klauzulę informacyjną albo odwołanie do polityki prywatności.
Zgoda nie powinna być przypadkowa, ukryta ani zbyt szeroka. Im bardziej przejrzysta jest treść dokumentu, tym łatwiej osobie świadomie podjąć decyzję, a administratorowi prawidłowo zarządzać danymi i ograniczyć ryzyko nieporozumień.