Checkboxy a prawo do ochrony danych osobowych
Korzystając z Internetu, chcąc zarejestrować się w danym serwisie, czy skorzystać z określonych usług, napotykamy na checkboxy (pola wyboru), których zaznaczenie-akceptacja stanowi klucz dostępu do serwisu czy usług. Często łączy się to z koniecznością podania swoich danych osobowych, które następnie będą przetwarzane. Nierzadko zdarzają się sytuację, że sformułowanie checkboxów wyłącza możliwość wyboru i swobodnego wyrażenia zgody na przetwarzanie danych osobowych. O czym warto pamiętać przed odznaczeniem checkboxów?
Nasze dane osobowe podlegają ochronie prawnej, a na administratorach ciąży obowiązek ochrony prywatność użytkowników w najszerszym możliwym zakresie. Zgodnie z art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych, przetwarzanie danych jest dopuszczalne tylko wówczas, gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie danych jej dotyczących. W myśl art. 7 pkt 5 ww. ustawy, zgoda jest oświadczeniem woli osoby, które je złożyła, a jej treścią jest zgoda na przetwarzanie danych osobowych. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. W doktrynie wskazuje się, że jeżeli osoba zbierająca dane osobowe, czy w inny sposób przetwarzająca dane osobowe chce uzyskać naszą zgodę, musi to sformułować w sposób jednoznaczny i wyróżniać się spośród innych pochodzących od tej osoby informacji i oświadczeń1.
Przez zaznaczenie jednego checkboxu nie powinniśmy być zobligowani do złożenia kilku oświadczeń woli, np. zgody na przetwarzanie danych osobowych w określonych celach, na przystąpienie do danego serwisu, skorzystania z usługi, czy przesyłanie informacji marketingowych drogą elektroniczną. Łącznie kliku oświadczeń woli w jedynym checkboxie, wyłącza możliwość wyboru i swobodnego wyrażenia zgody na każde ze złożonych oświadczeń. W konsekwencji takie sformułowanie jest sprzeczne z definicją zgody, o której mowa w art. 7 pkt 5 ustawy o ochronie danych osobowych i stanowi naruszenie przepisów prawa. Stanowisko to znajduje również swoje potwierdzenie w orzecznictwie Naczelnego Sądu Administracyjnego. W wyroku z dnia 11 kwietnia 2003 r. (sygn. akt: 3942/02) Naczelny Sąd Administracyjny wskazał, iż w przypadku oświadczenia woli dotyczącego różnych celów przetwarzania danych osobowych, zgoda winna być wyrażona wyraźnie pod każdym z tych celów przetwarzania.
Przepisy o ochronie danych osobowych stawiają wymóg zapewnienia, aby decyzja w przedmiocie wyrażenia zgody na przetwarzanie danych osobowych w określonym celu była podjęta swobodnie i miała charakter samodzielny- nie może być wymuszona przez konieczność złożenia innych oświadczeń woli, musi stanowić przejaw wolnej i nieskrępowanej woli danej osoby.
Zaznaczyć również należy, że zgoda musi być udzielona w sposób wyraźny i jednoznaczny – checkbox musi być domyślnie ODZNACZONY. W doktrynie i orzecznictwie dominuje pogląd, iż milczenie lub brak reakcji nie może być rozumiany jako wyrażenie zgody. Bezczynność powinna być traktowana w kategoriach zgody domniemanej, a takowa nie jest prawidłowo udzieloną zgodą. Prywatność użytkownika powinna być chroniona przez administratora i dopiero jednoznaczne działanie użytkownika może prowadzić do zmniejszenia jej zakresu.
Łatwość korzystania z określonych serwisów czy usług często nie idzie w parze z przestrzeganiem przez administratorów podstawowych zasad dotyczących ochrony danych osobowych. Użytkownicy często zapominają o swoich prawach. W konsekwencji, te czynniki mogą prowadzić do naruszenia prywatności użytkowników w wyniku braku wyrażenia świadomej, swobodnej zgody na przetwarzanie danych osobowych, czy też otrzymywanie niechcianych, niezamówionych informacji handlowych. Pamiętajmy jednak, że nasza zgoda może być w każdym czasie cofnięta, a wykryte naruszenia, mogą być zgłaszane Generalnemu Inspektorowi Ochrony Danych Osobowych, który podejmuje stosowne działania, mające na celu doprowadzenie do usunięcia dostrzeżonych naruszeń.
1 J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych, Komentarz 2007, s. 384