Nawigacja
RODO > Artyku艂 7. Warunki wyra偶enia zgody
Pobierz jako plik PDF

Artyku艂 7 RODO. Warunki wyra偶enia zgody

Article 7 GDPR. Conditions for consent

1. Je偶eli przetwarzanie odbywa si臋 na podstawie zgody, administrator musi by膰 w stanie wykaza膰, 偶e osoba, kt贸rej dane dotycz膮, wyrazi艂a zgod臋 na przetwarzanie swoich danych osobowych.

1. Where processing is based on consent, the controller shall be able to demonstrate that the data subject has consented to processing of his or her personal data.

Powi膮zane teksty

2. Je偶eli osoba, kt贸rej dane dotycz膮, wyra偶膮 zgod臋 w pisemnym o艣wiadczeniu, kt贸re dotyczy tak偶e innych kwestii, zapytanie o zgod臋 musi zosta膰 przedstawione w spos贸b pozwalaj膮cy wyra藕nie odr贸偶ni膰 je od pozosta艂ych kwestii, w zrozumia艂ej i 艂atwo dost臋pnej formie, jasnym i prostym j臋zykiem. Cz臋艣膰 takiego o艣wiadczenia osoby, kt贸rej dane dotycz膮, stanowi膮ca naruszenie niniejszego rozporz膮dzenia nie jest wi膮偶膮ca.

2. If the data subject’s consent is given in the context of a written declaration which also concerns other matters, the request for consent shall be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language. Any part of such a declaration which constitutes an infringement of this Regulation shall not be binding.

Motywy

(42) Je艣li przetwarzanie odbywa si臋 na podstawie zgody osoby, kt贸rej dane dotycz膮, administrator powinien by膰 w stanie wykaza膰, 偶e osoba, kt贸rej dane dotycz膮, wyrazi艂a zgod臋 na operacj臋 przetwarzania. W szczeg贸lno艣ci w przypadku pisemnego o艣wiadczenia sk艂adanego w innej sprawie powinny istnie膰 gwarancje, 偶e osoba, kt贸rej dane dotycz膮, jest 艣wiadoma wyra偶enia zgody oraz jej zakresu. Zgodnie z dyrektyw膮 Rady 93/13/EWG [10] o艣wiadczenie o wyra偶eniu zgody przygotowane przez administratora powinno mie膰 zrozumia艂膮 i 艂atwo dost臋pn膮 form臋, by膰 sformu艂owane jasnym i prostym j臋zykiem i nie powinno zawiera膰 nieuczciwych warunk贸w. Aby wyra偶enie zgody by艂o 艣wiadome, osoba, kt贸rej dane dotycz膮, powinna zna膰 przynajmniej to偶samo艣膰 administratora oraz zamierzone cele przetwarzania danych osobowych. Wyra偶enia zgody nie nale偶y uznawa膰 za dobrowolne, je偶eli osoba, kt贸rej dane dotycz膮, nie ma rzeczywistego lub wolnego wyboru oraz nie mo偶e odm贸wi膰 ani wycofa膰 zgody bez niekorzystnych konsekwencji.

(42) Where processing is based on the data subject's consent, the controller should be able to demonstrate that the data subject has given consent to the processing operation. In particular in the context of a written declaration on another matter, safeguards should ensure that the data subject is aware of the fact that and the extent to which consent is given. In accordance with Council Directive聽93/13/EEC聽[10]聽a declaration of consent pre-formulated by the controller should be provided in an intelligible and easily accessible form, using clear and plain language and it should not contain unfair terms. For consent to be informed, the data subject should be aware at least of the identity of the controller and the purposes of the processing for which the personal data are intended. Consent should not be regarded as freely given if the data subject has no genuine or free choice or is unable to refuse or withdraw consent without detriment.

[10] Dyrektywa Rady 93/13/EWG z dnia 5 kwietnia 1993 r. w sprawie nieuczciwych warunk贸w w umowach konsumenckich (Dz.U. L 95, 21.4.1993, s. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC

[10] Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts (OJ L 95, 21.4.1993, p. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC

Powi膮zane teksty

3. Osoba, kt贸rej dane dotycz膮, ma prawo w dowolnym momencie wycofa膰 zgod臋. Wycofanie zgody nie wp艂ywa na zgodno艣膰 z prawem przetwarzania, kt贸rego dokonano na podstawie zgody przed jej wycofaniem. Osoba, kt贸rej dane dotycz膮, jest o tym informowana, zanim wyrazi zgod臋. Wycofanie zgody musi by膰 r贸wnie 艂atwe jak jej wyra偶enie.

3. The data subject shall have the right to withdraw his or her consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. Prior to giving consent, the data subject shall be informed thereof. It shall be as easy to withdraw as to give consent.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 7(3) GDPR:

7.3.4 Providing mechanism to modify or withdraw consent

Control

The organization should provide a mechanism for PII principals to modify or withdraw their consent.

Implementation guidance

The organization should inform PII principals of their rights related to withdrawing consent (which may vary by jurisdiction) at any time, and provide the mechanism to do so.


aby uzyska膰 dost臋p do pe艂nego tekstu

Powi膮zane teksty

4. Oceniaj膮c, czy zgod臋 wyra偶ono dobrowolnie, w jak najwi臋kszym stopniu uwzgl臋dnia si臋, czy mi臋dzy innymi od zgody na przetwarzanie danych nie jest uzale偶nione wykonanie umowy, w tym 艣wiadczenie us艂ugi, je艣li przetwarzanie danych osobowych nie jest niezb臋dne do wykonania tej umowy.

4. When assessing whether consent is freely given, utmost account shall be taken of whether,聽inter alia, the performance of a contract, including the provision of a service, is conditional on consent to the processing of personal data that is not necessary for the performance of that contract.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 7(4) GDPR:

8.2.3 Marketing and advertising use

Control

The organization should not use PII processed under a contract for the purposes of marketing and advertising without establishing that prior consent was obtained from the appropriate PII principal.


aby uzyska膰 dost臋p do pe艂nego tekstu

Motywy

(43) Aby zapewni膰 dobrowolno艣膰, zgoda nie powinna stanowi膰 wa偶nej podstawy prawnej przetwarzania danych osobowych w szczeg贸lnej sytuacji, w kt贸rej istnieje wyra藕ny brak r贸wnowagi mi臋dzy osob膮, kt贸rej dane dotycz膮, a administratorem, w szczeg贸lno艣ci gdy administrator jest organem publicznym i dlatego jest ma艂o prawdopodobne, by w tej konkretnej sytuacji zgod臋 wyra偶ono dobrowolnie we wszystkich przypadkach. Zgody nie uwa偶a si臋 za dobrowoln膮, je偶eli nie mo偶na jej wyrazi膰 z osobna na r贸偶ne operacje przetwarzania danych osobowych, mimo 偶e w danym przypadku by艂oby to stosowne, lub je偶eli od zgody uzale偶nione jest wykonanie umowy 鈥 w tym 艣wiadczenie us艂ugi 鈥 mimo 偶e do jej wykonania zgoda nie jest niezb臋dna.

(43) In order to ensure that consent is freely given, consent should not provide a valid legal ground for the processing of personal data in a specific case where there is a clear imbalance between the data subject and the controller, in particular where the controller is a public authority and it is therefore unlikely that consent was freely given in all the circumstances of that specific situation. Consent is presumed not to be freely given if it does not allow separate consent to be given to different personal data processing operations despite it being appropriate in the individual case, or if the performance of a contract, including the provision of a service, is dependent on the consent despite such consent not being necessary for such performance.

(32) Zgoda powinna by膰 wyra偶ona w drodze jednoznacznej, potwierdzaj膮cej czynno艣ci, kt贸ra wyra偶a odnosz膮ce si臋 do okre艣lonej sytuacji dobrowolne, 艣wiadome i jednoznaczne przyzwolenie osoby, kt贸rych dane dotycz膮, na przetwarzanie dotycz膮cych jej danych osobowych i kt贸ra ma na przyk艂ad form臋 pisemnego (w tym elektronicznego) lub ustnego o艣wiadczenia. Mo偶e to polega膰 na zaznaczeniu okienka wyboru podczas przegl膮dania strony internetowej, na wyborze ustawie艅 technicznych do korzystania z us艂ug spo艂ecze艅stwa informacyjnego lub te偶 na innym o艣wiadczeniu b膮d藕 zachowaniu, kt贸re w danym kontek艣cie jasno wskazuje, 偶e osoba, kt贸rej dane dotycz膮, zaakceptowa艂a proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domy艣lnie zaznaczone lub niepodj臋cie dzia艂ania nie powinny zatem oznacza膰 zgody. Zgoda powinna dotyczy膰 wszystkich czynno艣ci przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Je偶eli przetwarzanie s艂u偶y r贸偶nym celom, potrzebna jest zgoda na wszystkie te cele. Je偶eli osoba, kt贸rej dane dotycz膮, ma wyrazi膰 zgod臋 w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi by膰 jasne, zwi臋z艂e i nie zak艂贸ca膰 niepotrzebnie korzystania z us艂ugi, kt贸rej dotyczy.

(32) Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject's agreement to the processing of personal data relating to him or her, such as by a written statement, including by electronic means, or an oral statement. This could include ticking a box when visiting an internet website, choosing technical settings for information society services or another statement or conduct which clearly indicates in this context the data subject's acceptance of the proposed processing of his or her personal data. Silence, pre-ticked boxes or inactivity should not therefore constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. When the processing has multiple purposes, consent should be given for all of them. If the data subject's consent is to be given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.

Powi膮zane teksty
Komentarz eksperta ISO 27701 Motywy Wytyczne & Case Law zostaw komentarz
Komentarz eksperta

(EN) A controller relying on consent as a legal basis to collect, store or use data should respect the basic principles stated in article 4 (11), which provides a legal definition of the notion, and always make sure that it meets the additional conditions listed in article 7. A person must supply a 鈥freely given鈥 consent, distinct from other related matters, and s/he should be offered a 鈥genuine choice鈥 between accepting or refusing to provide it without having to suffer any negative consequences (Guidelines on Consent聽and recital 42). It is also essential to offer a person full control over her/his consent, including the possibility to withdraw it at any time, and to keep adequate records of consents.


aby uzyska膰 dost臋p do pe艂nego tekstu

Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert

(EN)

Data Subject Request Letter Sample

Concern: Withdrawal of consent to process my personal data

Dear Madam, Dear Sir,

You are currently processing my personal data based on my consent鈥


aby uzyska膰 dost臋p do pe艂nego tekstu

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to articles 7(1) and 7(2) GDPR:

7.2.4 Obtain and record consent

Control

The organization should obtain and record consent from PII principals according to the documented processes.

Implementation guidance

The organization should obtain and record consent from PII principals in such a way that it can provide on request details of the consent provided (for example the time that consent was provided, the identification of the PII principal, and the consent statement).


aby uzyska膰 dost臋p do pe艂nego tekstu

Motywy

(32) Zgoda powinna by膰 wyra偶ona w drodze jednoznacznej, potwierdzaj膮cej czynno艣ci, kt贸ra wyra偶a odnosz膮ce si臋 do okre艣lonej sytuacji dobrowolne, 艣wiadome i jednoznaczne przyzwolenie osoby, kt贸rych dane dotycz膮, na przetwarzanie dotycz膮cych jej danych osobowych i kt贸ra ma na przyk艂ad form臋 pisemnego (w tym elektronicznego) lub ustnego o艣wiadczenia. Mo偶e to polega膰 na zaznaczeniu okienka wyboru podczas przegl膮dania strony internetowej, na wyborze ustawie艅 technicznych do korzystania z us艂ug spo艂ecze艅stwa informacyjnego lub te偶 na innym o艣wiadczeniu b膮d藕 zachowaniu, kt贸re w danym kontek艣cie jasno wskazuje, 偶e osoba, kt贸rej dane dotycz膮, zaakceptowa艂a proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domy艣lnie zaznaczone lub niepodj臋cie dzia艂ania nie powinny zatem oznacza膰 zgody. Zgoda powinna dotyczy膰 wszystkich czynno艣ci przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Je偶eli przetwarzanie s艂u偶y r贸偶nym celom, potrzebna jest zgoda na wszystkie te cele. Je偶eli osoba, kt贸rej dane dotycz膮, ma wyrazi膰 zgod臋 w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi by膰 jasne, zwi臋z艂e i nie zak艂贸ca膰 niepotrzebnie korzystania z us艂ugi, kt贸rej dotyczy.

(32) Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject's agreement to the processing of personal data relating to him or her, such as by a written statement, including by electronic means, or an oral statement. This could include ticking a box when visiting an internet website, choosing technical settings for information society services or another statement or conduct which clearly indicates in this context the data subject's acceptance of the proposed processing of his or her personal data. Silence, pre-ticked boxes or inactivity should not therefore constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. When the processing has multiple purposes, consent should be given for all of them. If the data subject's consent is to be given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.

(33) W momencie zbierania danych cz臋sto nie da si臋 w pe艂ni zidentyfikowa膰 celu przetwarzania danych osobowych na potrzeby bada艅 naukowych. Dlatego osoby, kt贸rych dane dotycz膮, powinny m贸c wyrazi膰 zgod臋 na niekt贸re obszary bada艅 naukowych, o ile badania te s膮 zgodne z uznanymi normami etycznymi w zakresie bada艅 naukowych. Osoby, kt贸rych dane dotycz膮, powinny m贸c wyrazi膰 zgod臋 tylko na niekt贸re obszary bada艅 lub elementy projekt贸w badawczych, o ile umo偶liwia to zamierzony cel.

(33) It is often not possible to fully identify the purpose of personal data processing for scientific research purposes at the time of data collection. Therefore, data subjects should be allowed to give their consent to certain areas of scientific research when in keeping with recognised ethical standards for scientific research. Data subjects should have the opportunity to give their consent only to certain areas of research or parts of research projects to the extent allowed by the intended purpose.

(42) Je艣li przetwarzanie odbywa si臋 na podstawie zgody osoby, kt贸rej dane dotycz膮, administrator powinien by膰 w stanie wykaza膰, 偶e osoba, kt贸rej dane dotycz膮, wyrazi艂a zgod臋 na operacj臋 przetwarzania. W szczeg贸lno艣ci w przypadku pisemnego o艣wiadczenia sk艂adanego w innej sprawie powinny istnie膰 gwarancje, 偶e osoba, kt贸rej dane dotycz膮, jest 艣wiadoma wyra偶enia zgody oraz jej zakresu. Zgodnie z dyrektyw膮 Rady 93/13/EWG [10] o艣wiadczenie o wyra偶eniu zgody przygotowane przez administratora powinno mie膰 zrozumia艂膮 i 艂atwo dost臋pn膮 form臋, by膰 sformu艂owane jasnym i prostym j臋zykiem i nie powinno zawiera膰 nieuczciwych warunk贸w. Aby wyra偶enie zgody by艂o 艣wiadome, osoba, kt贸rej dane dotycz膮, powinna zna膰 przynajmniej to偶samo艣膰 administratora oraz zamierzone cele przetwarzania danych osobowych. Wyra偶enia zgody nie nale偶y uznawa膰 za dobrowolne, je偶eli osoba, kt贸rej dane dotycz膮, nie ma rzeczywistego lub wolnego wyboru oraz nie mo偶e odm贸wi膰 ani wycofa膰 zgody bez niekorzystnych konsekwencji.

(42) Where processing is based on the data subject's consent, the controller should be able to demonstrate that the data subject has given consent to the processing operation. In particular in the context of a written declaration on another matter, safeguards should ensure that the data subject is aware of the fact that and the extent to which consent is given. In accordance with Council Directive聽93/13/EEC聽[10]聽a declaration of consent pre-formulated by the controller should be provided in an intelligible and easily accessible form, using clear and plain language and it should not contain unfair terms. For consent to be informed, the data subject should be aware at least of the identity of the controller and the purposes of the processing for which the personal data are intended. Consent should not be regarded as freely given if the data subject has no genuine or free choice or is unable to refuse or withdraw consent without detriment.

[10] Dyrektywa Rady 93/13/EWG z dnia 5 kwietnia 1993 r. w sprawie nieuczciwych warunk贸w w umowach konsumenckich (Dz.U. L 95, 21.4.1993, s. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC

[10] Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts (OJ L 95, 21.4.1993, p. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC

(43) Aby zapewni膰 dobrowolno艣膰, zgoda nie powinna stanowi膰 wa偶nej podstawy prawnej przetwarzania danych osobowych w szczeg贸lnej sytuacji, w kt贸rej istnieje wyra藕ny brak r贸wnowagi mi臋dzy osob膮, kt贸rej dane dotycz膮, a administratorem, w szczeg贸lno艣ci gdy administrator jest organem publicznym i dlatego jest ma艂o prawdopodobne, by w tej konkretnej sytuacji zgod臋 wyra偶ono dobrowolnie we wszystkich przypadkach. Zgody nie uwa偶a si臋 za dobrowoln膮, je偶eli nie mo偶na jej wyrazi膰 z osobna na r贸偶ne operacje przetwarzania danych osobowych, mimo 偶e w danym przypadku by艂oby to stosowne, lub je偶eli od zgody uzale偶nione jest wykonanie umowy 鈥 w tym 艣wiadczenie us艂ugi 鈥 mimo 偶e do jej wykonania zgoda nie jest niezb臋dna.

(43) In order to ensure that consent is freely given, consent should not provide a valid legal ground for the processing of personal data in a specific case where there is a clear imbalance between the data subject and the controller, in particular where the controller is a public authority and it is therefore unlikely that consent was freely given in all the circumstances of that specific situation. Consent is presumed not to be freely given if it does not allow separate consent to be given to different personal data processing operations despite it being appropriate in the individual case, or if the performance of a contract, including the provision of a service, is dependent on the consent despite such consent not being necessary for such performance.

Wytyczne & Case Law zostaw komentarz
[js-disqus]