Dane osobowe

GIODO o ważności zgód na przetwarzanie danych osobowych

123RF
Zgody na przetwarzanie danych osobowych zebrane na podstawie ustawy o ochronie danych osobowych nie tracą ważności. Należy się jednak upewnić, czy zostały pozyskane zgodnie z wymaganiami określonymi w RODO, tak by zapewnić osobom wyrażającym zgodę swobodę wyboru - pisze GIODO.

GIODO podaje, że zgoda, która dotychczas została pozyskana, jest nadal ważna, o ile jest ona zgodna z warunkami określonymi w rozporządzeniu i wskazuje, że takie stanowisko wynika bezpośrednio z treści motywu 171 ogólnego rozporządzenia o ochronie danych (RODO): „jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia".

GIODO wskazał, że RODO nie przewiduje przepisów przejściowych w stosunku do dyrektywy 95/46/WE.

Ważność zachowuje zatem zgoda, która została pierwotnie zebrana w sposób gwarantujący osobie, której dane dotyczą, złożenie oświadczenia spełniającego określone kryteria, tj: dobrowolność, konkretność, świadomość i jednoznaczność.

Administrator musi być w stanie to wykazać (zgodnie z zasadą rozliczalności).

Analiza poprawności wszystkich dotychczasowych zgód powinna zatem w pierwszej kolejności uwzględniać to, czy zebrane dotychczas zgody opatrzone były wyraźnym wskazaniem administratora danych i określeniem celu przetwarzania danych, nie były dorozumiane z oświadczeń innej treści, milczące (niepodjęcie działań nie może oznaczać zgody) lub polegające na domyślnym zaznaczeniu okienek przez usługodawcę. Każdy administrator będzie musiał ocenić, czy pozyskane przez niego zgody spełniają kryteria opisane w art. 4 pkt 11 (dobrowolności, konkretności, świadomości i jednoznaczności), art. 6 ust. 1 lit. a w związku z art. 7 oraz art. 9 ust. 2 lit. a RODO.

Zagadnienie to zostało omówione szerzej w Wytycznych Grupy Roboczej Art. 29 dotyczących zgody (WP259). Wytyczne wyjaśniają kwestie pozyskiwania zgód, w tym również kwestię ważności zgód zebranych przed 25 maja 2018 r., czyli przed dniem, w którym zaczniemy stosować RODO. W związku z licznymi pytaniami, ten ostatni aspekt – ważności zgód zebranych na podstawie ustawy o ochronie danych osobowych – wymagał dodatkowych wyjaśnień. Szczególnie w kontekście warunków wyrażenia zgody określonych w art. 7 RODO.

GIODO przypomina, że każdym administratorze ciąży obowiązek poinformowania osoby, której dane dotyczą, o możliwości odwołania zgody, zanim ta zgoda zostanie wyrażona. Ma to związek z zasadą przejrzystości i koniecznością poinformowania osób, których dane dotyczą, o sposobie realizacji ich praw (motyw 39 RODO wskazuje że „osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem"). Unijny ustawodawca zdecydował się wyróżnić ten konkretny obowiązek informacyjny administratora sytuując go w przepisie określającym warunki wyrażenia zgody.

"Oczywiście każdy administrator, który opiera operacje przetwarzania danych na zgodzie osoby musi spełnić szereg obowiązków informacyjnych określonych w art. 13 RODO. W praktyce, właściwa realizacja tych obowiązków jest niezbędna do uznania, że zgoda została wyrażona w sposób świadomy. Jak podkreślono jednak w ostatnich Wytycznych Grupy Roboczej Art. 29 dotyczących zgody (WP 259), art. 13 ust. 2 RODO należy rozumieć w sposób, który nie wyklucza ważności zebranych zgód w sytuacji kiedy nie wszystkie informacje określone w tym przepisie zostały przekazane osobie, której dane dotyczą w momencie pozyskiwania zgody (zostały np. zawarte w polityce prywatności). „Jako że nie wszystkie elementy wymienione w artykułach 13 i 14 muszą zawsze występować jako warunek świadomej zgody, rozszerzone obowiązki informacyjne na mocy RODO niekoniecznie przeciwstawiają się ciągłości zgody wyrażonej przed wejściem w życie RODO", czytamy w Wytycznych" - pisze.

Mając powyższe na uwadze oraz uwzględniając fakt, że prawny obowiązek poinformowania osoby o możliwości wycofania zgody jest elementem obowiązków informacyjnych towarzyszących gromadzeniu danych osobowych (art. 13. ust. 2 lit. c RODO), administratorzy przetwarzający dane osobowe na podstawie zgody wyrażonej na mocy ustawy o ochronie danych osobowych, nie muszą automatycznie pozyskiwać wszystkich zgód na nowo. Jeszcze raz należy jednak podkreślić, że ważność pierwotnie pozyskanych oświadczeń musi odpowiadać wszystkim wymaganiom, jakie wobec zgód formułuje RODO.

W tym kontekście, fakt, iż zgoda spełnia standardy ustawy o ochronie danych osobowych, czyli odpowiada wymogom prawnym aktualnym w momencie ich zbierania, nie będzie miał charakteru decydującego. Również zasada lex retro non agit (niedziałania prawa wstecz) nie będzie miała w tym przypadku zastosowania, bowiem konieczność dostosowania zgód do wymogów RODO w żaden sposób nie wpływa na skuteczność i prawidłowość stosunków prawnych ukształtowanych przed wejściem w życie RODO. Punktem odniesienia dla uznania ważności dotychczas zebranych zgód na przetwarzanie danych będą zatem jedynie przepisy RODO zawierające wymagania wobec tej konkretnej podstawy prawnej przetwarzania danych.

GIODO zachęca do przeglądu stosowanych klauzul i mechanizmów pozyskiwania zgody i upewnienia się, że spełniają standardy określone w ogólnym rozporządzeniu i nie ma potrzeby zbierania zgód raz jeszcze. Co więcej, pamiętając o zasadzie rozliczalności, warto dokumentować wszelkie czynności związane z pozyskiwaniem zgód – np. kiedy i w jakich okolicznościach zostały pozyskane oraz w jaki sposób spełniono obowiązek informacyjny.

Źródło: GIODO

REDAKCJA POLECA

NAJNOWSZE Z RP.PL