Prenumerata 2018 ju˜ż w sprzedża˜y - SPRAWD˜!

Dane osobowe

GIODO o ważności zgód na przetwarzanie danych osobowych

123RF
Zgody na przetwarzanie danych osobowych zebrane na podstawie ustawy o ochronie danych osobowych nie tracš ważnoœci. Należy się jednak upewnić, czy zostały pozyskane zgodnie z wymaganiami okreœlonymi w RODO, tak by zapewnić osobom wyrażajšcym zgodę swobodę wyboru - pisze GIODO.

GIODO podaje, że zgoda, która dotychczas została pozyskana, jest nadal ważna, o ile jest ona zgodna z warunkami okreœlonymi w rozporzšdzeniu i wskazuje, że takie stanowisko wynika bezpoœrednio z treœci motywu 171 ogólnego rozporzšdzenia o ochronie danych (RODO): „jeżeli przetwarzanie ma za podstawę zgodę w myœl dyrektywy 95/46/WE, osoba, której dane dotyczš, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporzšdzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporzšdzenia".

GIODO wskazał, że RODO nie przewiduje przepisów przejœciowych w stosunku do dyrektywy 95/46/WE.

Ważnoœć zachowuje zatem zgoda, która została pierwotnie zebrana w sposób gwarantujšcy osobie, której dane dotyczš, złożenie oœwiadczenia spełniajšcego okreœlone kryteria, tj: dobrowolnoœć, konkretnoœć, œwiadomoœć i jednoznacznoœć.

Administrator musi być w stanie to wykazać (zgodnie z zasadš rozliczalnoœci).

Analiza poprawnoœci wszystkich dotychczasowych zgód powinna zatem w pierwszej kolejnoœci uwzględniać to, czy zebrane dotychczas zgody opatrzone były wyraŸnym wskazaniem administratora danych i okreœleniem celu przetwarzania danych, nie były dorozumiane z oœwiadczeń innej treœci, milczšce (niepodjęcie działań nie może oznaczać zgody) lub polegajšce na domyœlnym zaznaczeniu okienek przez usługodawcę. Każdy administrator będzie musiał ocenić, czy pozyskane przez niego zgody spełniajš kryteria opisane w art. 4 pkt 11 (dobrowolnoœci, konkretnoœci, œwiadomoœci i jednoznacznoœci), art. 6 ust. 1 lit. a w zwišzku z art. 7 oraz art. 9 ust. 2 lit. a RODO.

Zagadnienie to zostało omówione szerzej w Wytycznych Grupy Roboczej Art. 29 dotyczšcych zgody (WP259). Wytyczne wyjaœniajš kwestie pozyskiwania zgód, w tym również kwestię ważnoœci zgód zebranych przed 25 maja 2018 r., czyli przed dniem, w którym zaczniemy stosować RODO. W zwišzku z licznymi pytaniami, ten ostatni aspekt – ważnoœci zgód zebranych na podstawie ustawy o ochronie danych osobowych – wymagał dodatkowych wyjaœnień. Szczególnie w kontekœcie warunków wyrażenia zgody okreœlonych w art. 7 RODO.

GIODO przypomina, że każdym administratorze cišży obowišzek poinformowania osoby, której dane dotyczš, o możliwoœci odwołania zgody, zanim ta zgoda zostanie wyrażona. Ma to zwišzek z zasadš przejrzystoœci i koniecznoœciš poinformowania osób, których dane dotyczš, o sposobie realizacji ich praw (motyw 39 RODO wskazuje że „osobom fizycznym należy uœwiadomić ryzyka, zasady, zabezpieczenia i prawa zwišzane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujšcych im w zwišzku z takim przetwarzaniem"). Unijny ustawodawca zdecydował się wyróżnić ten konkretny obowišzek informacyjny administratora sytuujšc go w przepisie okreœlajšcym warunki wyrażenia zgody.

"Oczywiœcie każdy administrator, który opiera operacje przetwarzania danych na zgodzie osoby musi spełnić szereg obowišzków informacyjnych okreœlonych w art. 13 RODO. W praktyce, właœciwa realizacja tych obowišzków jest niezbędna do uznania, że zgoda została wyrażona w sposób œwiadomy. Jak podkreœlono jednak w ostatnich Wytycznych Grupy Roboczej Art. 29 dotyczšcych zgody (WP 259), art. 13 ust. 2 RODO należy rozumieć w sposób, który nie wyklucza ważnoœci zebranych zgód w sytuacji kiedy nie wszystkie informacje okreœlone w tym przepisie zostały przekazane osobie, której dane dotyczš w momencie pozyskiwania zgody (zostały np. zawarte w polityce prywatnoœci). „Jako że nie wszystkie elementy wymienione w artykułach 13 i 14 muszš zawsze występować jako warunek œwiadomej zgody, rozszerzone obowišzki informacyjne na mocy RODO niekoniecznie przeciwstawiajš się cišgłoœci zgody wyrażonej przed wejœciem w życie RODO", czytamy w Wytycznych" - pisze.

Majšc powyższe na uwadze oraz uwzględniajšc fakt, że prawny obowišzek poinformowania osoby o możliwoœci wycofania zgody jest elementem obowišzków informacyjnych towarzyszšcych gromadzeniu danych osobowych (art. 13. ust. 2 lit. c RODO), administratorzy przetwarzajšcy dane osobowe na podstawie zgody wyrażonej na mocy ustawy o ochronie danych osobowych, nie muszš automatycznie pozyskiwać wszystkich zgód na nowo. Jeszcze raz należy jednak podkreœlić, że ważnoœć pierwotnie pozyskanych oœwiadczeń musi odpowiadać wszystkim wymaganiom, jakie wobec zgód formułuje RODO.

W tym kontekœcie, fakt, iż zgoda spełnia standardy ustawy o ochronie danych osobowych, czyli odpowiada wymogom prawnym aktualnym w momencie ich zbierania, nie będzie miał charakteru decydujšcego. Również zasada lex retro non agit (niedziałania prawa wstecz) nie będzie miała w tym przypadku zastosowania, bowiem koniecznoœć dostosowania zgód do wymogów RODO w żaden sposób nie wpływa na skutecznoœć i prawidłowoœć stosunków prawnych ukształtowanych przed wejœciem w życie RODO. Punktem odniesienia dla uznania ważnoœci dotychczas zebranych zgód na przetwarzanie danych będš zatem jedynie przepisy RODO zawierajšce wymagania wobec tej konkretnej podstawy prawnej przetwarzania danych.

GIODO zachęca do przeglšdu stosowanych klauzul i mechanizmów pozyskiwania zgody i upewnienia się, że spełniajš standardy okreœlone w ogólnym rozporzšdzeniu i nie ma potrzeby zbierania zgód raz jeszcze. Co więcej, pamiętajšc o zasadzie rozliczalnoœci, warto dokumentować wszelkie czynnoœci zwišzane z pozyskiwaniem zgód – np. kiedy i w jakich okolicznoœciach zostały pozyskane oraz w jaki sposób spełniono obowišzek informacyjny.

ródło: GIODO

WIDEO KOMENTARZ

REDAKCJA POLECA

NAJNOWSZE Z RP.PL