Prenumerata 2018 ju˜ż w sprzedża˜y - SPRAWD˜!

Firma

RODO: co z danymi osobowymi zebranymi przed 25 maja 2018 r.

123RF
Wkrótce zmieniš się zasady, na jakich odbywa się pozyskiwanie zgód na przetwarzanie danych od osób, których one dotyczš. Czy w rezultacie dotychczas zebrane zgody należy uznać za nieważne, a przetwarzanie ich za nielegalne?

Przepisy ogólnego rozporzšdzenia o ochronie danych osobowych (dalej: RODO), które wprowadzajš szereg nowych obowišzków administratorów danych oraz praw, które będš przysługiwać osobom, których dane dotyczš zacznš być stosowane od 25 maja 2018 r.

Zgoda na przetwarzanie danych osobowych jest tylko jednš z podstaw prawnych, które legitymujš administratora danych do procesu przetwarzania. Z tej zasady płynš dwa wnioski. Po pierwsze uzyskanie zgody nie jest wymagane, gdy administrator danych dysponuje innš podstawš prawnš. Tak jest, gdy dane przetwarzane sš w celu zawarcia lub wykonania umowy. Po drugie, gdy zgoda jest wymagana, a administrator jej nie uzyska, odpowiadać będzie za przetwarzanie danych niezgodnie z prawem.

W œwietle tego warto mieć œwiadomoœć, czym jest przetwarzanie danych. Ustawodawca unijny okreœla to pojęcie doœć szeroko. W rezultacie za przetwarzanie danych uznaje się takie czynnoœci jak: przechowywanie, zbieranie, utrwalanie, rozpowszechnianie, ale także usuwanie lub niszczenie. Jeżeli podmiot, który dokonuje takich operacji na danych osobowych robi to bez zgody lub innej podstawy prawnej, będzie mu grozić kara nawet do 20 mln euro. W takiej sytuacji legitymowanie się ważnš zgodš może przesšdzić o „być albo nie być" przedsiębiorstwa, które przetwarza dane.

Ile aktualnoœci

W œrodowisku prawniczym toczy się zażarta dyskusja na temat tego, czy administrator może wykazać swojš legitymację do przetwarzania danych bioršc za podstawę dotychczas zebrane zgody, czy w zwišzku z wejœciem w życie nowych przepisów o ochronie danych osobowych powinien zebrać zgody ponownie, realizujšc przy okazji dodatkowe wymogi (zwłaszcza informacyjne) wobec osób, których dane dotyczš. Nowa regulacja nie odpowiada na to pytanie, w szczególnoœci nie zawiera jednoznacznych przepisów przejœciowych, które rozstrzygajš te kwestie.

Szukajšcy odpowiedzi na pytanie o ważnoœć dotychczas zebranych zgód, administratorzy mogš podeprzeć się jedynie treœciš motywu 171 RODO, który stanowi: „jeżeli przetwarzanie ma za podstawę zgody w myœl dyrektywy 95/46/WE osoba, której dane dotyczš, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom ogólnego rozporzšdzenia". Motyw stanowi także o tym, że przy spełnieniu tych warunków administrator może kontynuować przetwarzanie danych na podstawie poprzednio zebranej zgody. Decydujšce znaczenie ma zatem to, czy warunki towarzyszšce pozyskaniu zgody czyniš zadoœć kryteriom, według których definiuje się prawidłowe zebranie zgody w myœl przepisów RODO.

Zgodnie z art. 4 RODO definiuje się zgodę jako: dobrowolne, konkretne, œwiadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczš, w formie oœwiadczenia lub wyraŸnego działania potwierdzajšcego, przyzwala na przetwarzanie dotyczšcych jej danych osobowych. Interpretujšc definicje zgody z RODO literalnie, można odnieœć wrażenie, że jest ona inna od tej, o której stanowiš obecne przepisy.

Nie oznacza to jeszcze, że należy odmówić zebranym dotychczas zgodom aktualnoœci. Należy mieć na uwadze, że znaczna częœć zmian w prawie ochrony danych osobowych, które wprowadza RODO wynika z dotychczasowej praktyki i orzecznictwa Trybunału Sprawiedliwoœci Unii Europejskiej oraz sšdów krajowych. W przedmiocie podstaw przetwarzania danych dotyczy to takich aspektów jak zakaz milczšcego wyrażenia zgody.

Można więc założyć, że o ile zgoda na przetwarzanie danych osobowych, była wyrażona zgodnie z dotychczasowš regulacjš i została skonstruowana w sposób uwzględniajšcy orzeczenia sšdowe lub decyzje GIODO, jakie pojawiały się na przestrzeni lat od wprowadzenia dyrektywy 95/46/WE, z dużym prawdopodobieństwem nie utraci ona ważnoœci z perspektywy RODO. O zasadach dotyczšcych pozyskiwania zgód niejednokrotnie informował GIODO na łamach swojej strony internetowej i poradników, które mogli tam znaleŸć zainteresowani przetwarzaniem danych administratorzy. Z założenia wytyczne te powinien znać również administrator bezpieczeństwa danych, o ile był powoływany przez administratora.

Jakie zagrożenie

Według zasad sprzed wprowadzenia RODO, choć zasady te nie zawsze były sprecyzowane na poziomie normatywnym, istotne jest, aby zgoda na przetwarzanie danych udzielona przez podmiot, którego dane dotyczš, była wyrażona w nieskrępowany sposób oznaczajšcy wolny wybór (dobrowolnoœć), nie polegajšcy w szczególnoœci na domyœlnym zaznaczeniu check-boxa przez usługodawcę. Zgoda nie powinna wynikać też z innych oœwiadczeń woli (jednoznacznoœć), powinna być dokonana przy jednoczesnym powiadomieniu przez administratora o celu przetwarzania i zakresie danych, które podlegać będš przetwarzaniu (konkretnoœć) oraz o osobie administratora i przysługujšcych prawach w zwišzku z przetwarzaniem danych (œwiadomoœć). Jak widać te zasady dotyczšce przetwarzania danych osobowych na podstawie zgody stały się za poœrednictwem RODO częœciš prawa stanowionego. Stšd ustawodawca unijny, w myœl wspomnianego motywu 171 nie odmawia pozyskanym zgodom ważnoœci a priori.

Zagrożenie dla aktualnoœci dotychczasowych zgód potencjalnie wynika z innych powodów niż różnice definicyjne. Należy mieć na uwadze, że przepisy rozporzšdzenia nakładajš na administratora szereg obowišzków informacyjnych, które powinny być spełnione najpóŸniej w momencie podjęcia czynnoœci zbierania zgód i wpływajš na ocenę jej ważnoœci w równoważnym stopniu, co jej konstrukcja. To tutaj pojawiajš się największe wštpliwoœci, co do aktualnoœci zgody. Wczeœniej bowiem przepisy nie przyznawały osobom, których dane dotyczš okreœlonych praw (jak przyładowo prawo do bycia zapomnianym) i nie zobowišzywały administratora do poinformowania o sposobie ich realizacji, czy o możliwoœci wycofania zgody. Obowišzki te usytuowane obecnie w przepisie okreœlajšcym warunki wyrażenia zgody bezpoœrednio wpływajš na ocenę prawidłowoœci jej pozyskania. Również rozszerzone obowišzki informacyjne, wynikajšce z art. 13 RODO nie pozostajš bez znaczenia w kontekœcie uznania, czy wyrażenie zgody nastšpiło œwiadomie. Jeœli obowišzki te nie istniały przed wejœciem w życie RODO, to nie można podejrzewać administratorów, że zawsze je spełniali, w rezultacie czego powstaje wštpliwoœć, czy pozyskane zgody mogš stracić ważnoœć jako, że nie zostały wyrażone œwiadomie.

Rozporzšdzenie wymaga od administratora zapewnienia, że zgoda może zostać wycofana przez podmiot danych w dowolnym momencie i to w sposób tak łatwy jak sposób jej wyrażenia. W wielu przypadkach, zwłaszcza w przypadku zgód pozyskanych za pomocš stron internetowych lub interfejsów aplikacji, oznaczać może to koniecznoœć ich niezwłocznego przeprogramowania tak, aby umożliwiały najpóŸniej 25 maja 2018 r. wycofanie zgody. Jeœli administratorzy tego nie zrobiš, nie może być mowy o tym, że przetwarzanie na podstawie zgody dokonywane jest zgodnie z przepisami rozporzšdzenia. Przepisy bowiem zakazujš administratorowi danych osobowych ograniczania zakresu kontroli nad wyrażonš zgodš osobie, której dane dotyczš.

Czy trzeba mieć nowe zgody

W œwietle tego nasuwać może się wniosek, że konieczne jest ponowne pozyskanie zgód od osób, które wyraziły je przed nadejœciem daty stosowania przepisów RODO. Wydaje się to jednak rozwišzaniem niepraktycznym, kosztowym a przede wszystkim nie uzasadnionym w dostateczny sposób interesem osób, których dane dotyczš. Nie sposób więc uciec od pytania, co powinni zrobić administratorzy, aby zapobiec ryzyku ponownego pozyskania zgód od osób, których dane przetwarzali na dotychczas ważnej podstawie. Nawet zakładajšc, że sama konstrukcja formularza zgody nie straciła aktualnoœci z perspektywy przepisów rozporzšdzenia to pozostaje problem spełnienia obowišzków informacyjnych, choćby odnoœnie praw, które wczeœniej nie przysługiwały. Na to pytanie jednoznacznej odpowiedzi nie da się odnaleŸć ani w stanowisku GIODO wyrażonym w przedmiotowej kwestii, ani w wytycznych Grupy Roboczej art. 29 ds. ochrony danych osobowych.

Wydaje się, że ten problem należy rozstrzygnšć w taki sposób, aby przede wszystkim wzišć pod uwagę najlepszy interes osób, których dane majš być chronione, a więc z uwzględnieniem zasad wykładni celowoœciowej. Nowe przepisy RODO służš możliwoœci kontroli tego, co się dzieje z danymi przez osoby, których one dotyczš. Aby móc skutecznie takš kontrolę sprawować osoby te muszš wiedzieć kto, w jakim celu, zakresie oraz na jakiej podstawie przetwarza ich dane oraz, jakie tej osobie przysługujš prawa wobec podmiotu przetwarzajšcego. Zdobyciu tej wiedzy służš obowišzki informacyjne i organizacyjne administratora danych okreœlone przez art. 13 i art. 14 RODO. ?

Patryk Hatak, prawnik w Konieczny, Wierzbicki Kancelaria Radców Prawnych Spółka Partnerska

Cel uœwięca œrodki

Jeœli osoba, wyrażajšca uprzednio zgodę będzie œwiadoma praw, w tym prawa do wycofania zgody, to jeœli nie godzi się na to, aby jej dane były w dalszym cišgu przetwarzane przez administratora, może ze swojego prawa skorzystać. Skutek więc będzie taki sam, jak w przypadku, gdyby miała odmówić ponownego wyrażenia zgody. W rezultacie, zakładajšc, że administrator pozyskał zgodę w sposób nie naruszajšcy przepisów rozporzšdzenia, a następnie uczynił zadoœć obowišzkom informacyjnym i zachował dowód na dopełnienie wymogów rozporzšdzenia – można uznać, że zgoda zachowała swojš aktualnoœć i nie jest konieczne jej ponowne uzyskanie. Przyjęcie proponowanego rozwišzania służyłoby także transparentnoœci procesu przetwarzania, bowiem można założyć, że administratorzy z większym entuzjazmem podejdš do poinformowania osób, których dane przetwarzajš (zwłaszcza, gdy jednoczeœnie przetwarzajš ich dane na innej podstawie) niż do zwracania się z proœbš o ponowne wyrażenie zgody.

Należy podkreœlić, że ta propozycja, mimo że nie znajduje wyraŸnego uzasadnienia w treœci przepisów rozporzšdzenia ani projekcie polskiej regulacji ochrony danych osobowych, to wydaje się jednak rozwišzaniem godzšcym w uzasadnione interesy administratorów, jak i osób, których dane sš przetwarzane na podstawie zgody. Przede wszystkim jednak czyni zadoœć celowi, jaki można interpretować z przepisów RODO, a więc oddania kontroli jednostce nad jej danymi, poszanowania jej praw i wolnoœci oraz ochronie danych. Aby rozwiać wszelkie wštpliwoœci można tylko sformułować dezyderat, co do potwierdzenia lub zaprzeczenia tej argumentacji w drodze stanowiska pochodzšcego ze strony kompetentnych ku organów. ?

ródło: Rzeczpospolita

WIDEO KOMENTARZ

REDAKCJA POLECA

NAJNOWSZE Z RP.PL