Właściciel bazy musi dysponować stosownymi zgodami na przetwarzanie danych od osób, których dane dotyczą oraz na ich udostępnianie. 
Trzeba jednak zaznaczyć, że zgodnie z art. 6 ust. 1 RODO przetwarzanie danych osobowych jest zgodne z prawem wyłącznie w przypadkach, gdy spełniony jest co najmniej jeden z warunków: 
1)    osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; 
2)    przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; 
3)    przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; 
4)    przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; 
5)    przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
6)    przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Zgoda na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów stanowi jedną z wyżej wymienionych przesłanek. Zgodnie z treścią pkt 32 preambuły RODO zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na tym, że użytkownik zaznacza okienko wyboru w trakcie przeglądania strony internetowej, wybiera ustawienia techniczne do korzystania z usług społeczeństwa informacyjnego lub też w inny sposób składa oświadczenie bądź poprzez zachowanie akceptuje proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.
W pkt 42 preambuły RODO stanowi się, że jeśli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania. W szczególności w przypadku pisemnego oświadczenia składanego w innej sprawie powinny istnieć gwarancje, że osoba, której dane dotyczą, jest świadoma wyrażenia zgody oraz jej zakresu. Zgodnie z dyrektywą Rady 93/13/EWG 11) oświadczenie o wyrażeniu zgody przygotowane przez administratora powinno mieć zrozumiałą i łatwo dostępną formę, być sformułowane jasnym i prostym językiem i nie powinno zawierać nieuczciwych warunków. Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych. Wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.

Należy zwrócić uwagę na przesłankę dobrowolności zgody o której w pkt 43 preambuły RODO, zgodnie z którymzgoda nie może stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach. Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy - w tym świadczenie usługi - mimo że do jej wykonania zgoda nie jest niezbędna.

Precyzyjna definicja zgody została uregulowana w art. 4 pkt 11 RODO i oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Ważne jest to, że zgoda jest jedną z przesłanek dopuszczalności przetwarzania, a definicja legalna ma umożliwić precyzyjną interpretację tego pojęcia. Zgoda osoby, której dane dotyczą, na przetwarzanie jej danych jest oświadczeniem (okazaniem) woli. Oświadczenie woli o zgodzie jest konstrukcją prawną zbliżoną do oświadczenia woli w rozumieniu Kodeksu cywilnego, jednak sformułowanie komentowanego przepisu może budzić wątpliwości w tym zakresie, ponieważ prawodawca posłużył się określeniami, które mogą być odczytywane odmiennie. Oświadczeniem woli w rozumieniu kodeksu cywilnego, zgodnie z art. 60 kc, może być każde zachowanie się osoby, które ujawnia jej wolę w sposób dostateczny, w tym również przez ujawnienie tej woli w postaci elektronicznej, a z przepisu tego wywodzi się wniosek, iż oświadczenie woli może być wyraźne albo dorozumiane.

Oświadczenie o udzieleniu zgody powinno być: dobrowolne, konkretne, świadome i jednoznaczne. Każdy z wymogów zawartych w tym przepisie ma doniosłość prawną przy gromadzeniu danych i dokonywaniu oceny skuteczności zgody. Wymóg dobrowolności oznacza swobodę wyrażenia zgody, brak przymusu i możliwość odmowy jej wyrażenia. Czyli zgoda nie powinna być wymuszona, a osoba, której dane dotyczą, powinna mieć możliwość wyboru, czy wyrazić zgodę czy też nie. W praktyce w wielu sytuacjach mogą pojawić się wątpliwości co do dobrowolności oświadczenia o zgodzie. Jest tak w przypadku, gdy między administratorem a podmiotem danych zachodzi stosunek nadrzędności/podległości, który sprawia, że osoba może obawiać się negatywnych konsekwencji niewyrażenia zgody.

Zgoda powinna być konkretna, czyli treść oświadczenia ma odpowiadać zakresowi i celowi zgody na przetwarzanie danych. Nie może to być oświadczenie ogólnikowe, które nie wskazuje, jakie dane i do jakiego celu mają być przetwarzane (nie wystarczy stwierdzenie „wyrażam zgodę na przetwarzanie danych” – takie sformułowanie powinno być uzupełnione, aby w sposób konkretny (a nie abstrakcyjny) odnosiło się do przetwarzania danych w określonym przypadku.

Oświadczenie o zgodzie powinno być świadome, czyli osoba je składająca, powinna mieć świadomość typowych konsekwencji takiego oświadczenia; powinna wiedzieć, na co się godzi. Obowiązek informacyjny jest przy tym niezbędny. Wówczas użytkownik zdaje sobie sprawę z następstw wyrażenia zgody. W motywie 42 preambuły wskazano, że „aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych”.

RODO rozróżnia „wyraźne działanie potwierdzające”, co jest elementem zgody „zwykłej”. Rozporządzenie nie wymaga, aby zgoda wyrażona została w konkretnej formie prawnej. W praktyce najczęściej oświadczenie o zgodzie przybiera formę pisemną, jednak przepisy dopuszczają możliwość wyrażenia zgody w innej formie, o ile spełnione są wymogi omówione powyżej (tzn., aby oświadczenie było dobrowolne, konkretne, świadome i jednoznaczne). Zawarte w komentowanym przepisie sformułowanie „wyraźne działanie potwierdzające” odczytywać można jako odpowiednik złożenia oświadczenia per factaconcludentia, a więc w sposób dorozumiany.

Przepis art. 7 RODO precyzuje warunki wyrażenia zgody: w tym przerzuca na administratora ciężar dowodu wykazania, że osoba wyraziła zgodę; zawiera kryteria odnoszące się do przejrzystości postanowień dotyczących zgody zawartych w pisemnym oświadczeniu; przewiduje możliwość wycofania (odwołania) zgody. Nowością w przepisach rozporządzenia unijnego jest wprowadzenie obowiązku informowania osoby, której dane dotyczą, o możliwości wycofania zgody, zanim wyrazi ona zgodę na przetwarzanie, oraz wymogu, zgodnie z którym wycofanie zgody powinno być równie łatwe jak jej wyrażenie. 

Rozporządzenie zawiera także szczegółową regulację odnoszącą się do warunków wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego zawartą w art. 8 RODO. 

Zgoda może być odwołana w dowolnym momencie. Poza tym, oświadczenie o odwołaniu zgody może być oświadczeniem warunkowym, terminowym, ograniczonym terytorialnie, podmiotowo i przedmiotowo (np. ograniczające przetwarzanie tylko co niektórych operacji na danych osobowych). Administrator danych osobowych posiada obowiązek poinformowania osoby, której dane dotyczą, o możliwości odwołania zgody jeszcze przed jej wyrażeniem. Jest to element obowiązków informacyjnych związany z gromadzeniem danych osobowych a wynik m.in. z art.  art. 13 RODO. W świetle art. 7 ust. 3 RODO wycofanie zgody musi tak samo łatwe jak jej wyrażenie. Nie oznacza to konieczności stosowania dokładnie takiego samego kanału komunikacji tak w celu zebrania zgody, jak i w celu jej wycofania. 

KOMENTARZ PK: 

(nie ma na to za bardzo odpowiedzi w tekście, bo ekspertka bardziej skupiła się na wyjaśnieniu, kiedy dane w bazie teleadresowej są zebrane poprawnie, a nie czy trzeba prosić o zgodę na wykorzystanie danych. Zgaduję, że zależy od licencji, na jakiej są udostępniane)

Stan prawny na dzień 23 marca 2021r.

• ankieta
• dane teleadresowe
• dane empiryczne
• wyniki ankiet
• repozytorium
• zgoda
• respondent
• odpłatne udostępnianie
• udostępnianie danych