Kiedy zgoda na przetwarzanie danych osobowych pozostanie w mocy

Takie jest stanowisko generalnego inspektora ochrony danych osobowych, który w ten sposób odniósł się do ważnej kwestii ważności klauzul wyrażających zgodę na przetwarzanie danych osobowych, a zbieranych na mocy wciąż jeszcze obowiązujących przepisów. Legalność przetwarzania danych osobowych przez wszystkich administratorów, w tym przedsiębiorców zależy od tego, czy mogą oni skutecznie powołać się przynajmniej na jedną z przesłanek legalizujących ten proces.

A zgodnie z obowiązującymi przepisami ustawy o ochronie danych osobowych (art. 23), przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

- osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

- jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

- jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,

- jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

- jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Jak wynika z zacytowanego przepisu, zgoda osoby zainteresowanej (tej, której dane mają być przetwarzane) była i jest jedną z przesłanek legalizujących proces gromadzenia danych przez administratora. Tak będzie też na gruncie nowych przepisów – unijnego ogólnego rozporządzenia o ochronie danych osobowych (tzw. RODO), którego przepisy zaczną obowiązywać 25 maja bieżącego roku. W związku z tym zrodziło się pytanie, jak traktować zgody zdobyte przed tą datą i czy pozostaną one ważne w momencie, w którym rządzić zaczną przepisy RODO. To bardzo ważne pytanie. Negatywna odpowiedź nakazywałaby bowiem przeprowadzić od nowa całą procedurę pozyskiwania zgód od wszystkich osób, których danymi firma chciałaby dalej się posługiwać.

Stanowisko inspektora

Na szczęście wydaje się, że tak nie będzie. A w każdym razie nie będzie to dotyczyć większości przypadków. Generalnie zgody uzyskane na mocy dotychczasowych przepisów pozostają w mocy i mogą być wykorzystywane. Nie zwalnia to jednak administratorów z konieczności przeprowadzenia stosownej analizy w tym zakresie.

Jak można bowiem przeczytać w opinii GIODO, zgoda, która dotychczas została pozyskana, jest nadal ważna, o ile jest ona zgodna z warunkami określonymi w rozporządzeniu. Takie stanowisko wynika bezpośrednio z treści motywu 171 ogólnego rozporządzenia o ochronie danych. Stanowi on, że „jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia". Ponieważ RODO nie przewiduje przepisów przejściowych w stosunku do dyrektywy 95/46/WE, ważność zachowuje zatem zgoda, która została pierwotnie zebrana w sposób gwarantujący osobie, której dane dotyczą, złożenie oświadczenia spełniającego następujące kryteria:

- dobrowolność – zgoda oznaczać musi możliwość realnego, swobodnego wyboru, nie może być wymuszona, brak wyrażenia zgody nie może również powodować negatywnych konsekwencji dla osoby, której dane dotyczą. Motyw 43 RODO zwraca szczególną uwagę w tym kontekście na sytuację, w której istnieje wyraźny brak równowagi pomiędzy administratorem a osobą, której dane dotyczą, np. w relacji pracodawca-pracownik,

- konkretność – zgoda musi określać precyzyjnie cel przetwarzania danych oraz wskazywać zakres danych. Niedopuszczalne jest zbieranie zgód blankietowych, ogólnych, należy również wyraźnie oddzielić informacje związane z uzyskaniem zgody od informacji dotyczących innych kwestii,

- świadomość – przed uzyskaniem zgody należy zapewnić niezbędne informacje osobom, których dane dotyczą, aby umożliwić im podejmowanie świadomych decyzji i zrozumienie, na co wyrażają zgodę. Prosząc o zgodę, administratorzy powinni upewnić się, że używają jasnego i prostego języka,

- jednoznaczność – ważna zgoda wymaga jednoznacznego okazania w formie oświadczenia lub wyraźnego działania potwierdzającego, co oznacza, że osoba, której dane dotyczą, musi podjąć celowe działanie w celu wyrażenia zgody na określone przetwarzanie.

Administrator musi być w stanie to wykazać – zgodnie z zasadą rozliczalności (art. 5 ust 2 RODO mówi o tym, że administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 – zasady prawidłowego gromadzenia i przetwarzania danych – i musi być w stanie wykazać ich przestrzeganie „rozliczalność"). Ta zasada jest bardzo ważna. Można powiedzieć, że likwiduje ona domniemanie niewinności na gruncie przepisów przetwarzania danych osobowych. Od momentu wejścia w życie przepisów RODO, to przedsiębiorca (administrator) będzie musiał – w razie potrzeby – wykazać za pomocą udokumentowanych procedur, że prawidłowo stosuje przepisy o ochronie danych osobowych, w tym w prawidłowy sposób pozyskał zgody osób zainteresowanych, jeżeli to byłoby przesłanką mającą legalizować ich przetwarzanie. W związku z tym warto pamiętać, aby dokumentować wszelkie czynności związane z pozyskiwaniem zgód – np. kiedy i w jakich okolicznościach zostały pozyskane oraz w jaki sposób spełniono obowiązek informacyjny.

I jego sugestie

Jak można dalej przeczytać w opinii, analiza poprawności wszystkich dotychczasowych zgód powinna zatem w pierwszej kolejności uwzględniać to, czy zebrane dotychczas zgody opatrzone były wyraźnym wskazaniem administratora danych i określeniem celu przetwarzania danych, nie były dorozumiane z oświadczeń innej treści, milczące (niepodjęcie działań nie może oznaczać zgody) lub polegające na domyślnym zaznaczeniu okienek przez usługodawcę. Każdy administrator będzie musiał ocenić, czy pozyskane przez niego zgody spełniają kryteria opisane w art. 4 pkt 11 (dobrowolności, konkretności, świadomości i jednoznaczności), art. 6 ust. 1 lit. a w związku z art. 7 oraz art. 9 ust. 2 lit. a RODO.

Pewne problemy może rodzić art. 7 ust. 3 RODO, a ściślej dostosowanie się do zawartych w nim wytycznych, które także wpływają na ocenę poprawności uzyskania zgody. Przypomnijmy, że przepis ten wskazuje na konieczność zapewnienia, że zgoda może zostać wycofana w dowolnym momencie. Co więcej, jej wycofanie musi być równie łatwe, jak jej wyrażenie, co oznacza, że jeśli zgoda była pozyskana przy użyciu interfejsu użytkownika (na przykład za pośrednictwem strony internetowej, aplikacji, strony logowania, interfejsu danego urządzenia lub poczty elektronicznej), jej odwołanie powinno być możliwe za pomocą tego samego interfejsu elektronicznego. Owa łatwość odwołania zgody w każdym momencie będzie decydująca w uznaniu, czy dotychczas zebrane zgody zachowają ważność.