Przepisy ogólnego rozporządzenia o ochronie danych osobowych (dalej: RODO), które wprowadzają szereg nowych obowiązków administratorów danych oraz praw, które będą przysługiwać osobom, których dane dotyczą zaczną być stosowane od 25 maja 2018 r.
Zgoda na przetwarzanie danych osobowych jest tylko jedną z podstaw prawnych, które legitymują administratora danych do procesu przetwarzania. Z tej zasady płyną dwa wnioski. Po pierwsze uzyskanie zgody nie jest wymagane, gdy administrator danych dysponuje inną podstawą prawną. Tak jest, gdy dane przetwarzane są w celu zawarcia lub wykonania umowy. Po drugie, gdy zgoda jest wymagana, a administrator jej nie uzyska, odpowiadać będzie za przetwarzanie danych niezgodnie z prawem.
W świetle tego warto mieć świadomość, czym jest przetwarzanie danych. Ustawodawca unijny określa to pojęcie dość szeroko. W rezultacie za przetwarzanie danych uznaje się takie czynności jak: przechowywanie, zbieranie, utrwalanie, rozpowszechnianie, ale także usuwanie lub niszczenie. Jeżeli podmiot, który dokonuje takich operacji na danych osobowych robi to bez zgody lub innej podstawy prawnej, będzie mu grozić kara nawet do 20 mln euro. W takiej sytuacji legitymowanie się ważną zgodą może przesądzić o „być albo nie być" przedsiębiorstwa, które przetwarza dane.
Ile aktualności
W środowisku prawniczym toczy się zażarta dyskusja na temat tego, czy administrator może wykazać swoją legitymację do przetwarzania danych biorąc za podstawę dotychczas zebrane zgody, czy w związku z wejściem w życie nowych przepisów o ochronie danych osobowych powinien zebrać zgody ponownie, realizując przy okazji dodatkowe wymogi (zwłaszcza informacyjne) wobec osób, których dane dotyczą. Nowa regulacja nie odpowiada na to pytanie, w szczególności nie zawiera jednoznacznych przepisów przejściowych, które rozstrzygają te kwestie.
Szukający odpowiedzi na pytanie o ważność dotychczas zebranych zgód, administratorzy mogą podeprzeć się jedynie treścią motywu 171 RODO, który stanowi: „jeżeli przetwarzanie ma za podstawę zgody w myśl dyrektywy 95/46/WE osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom ogólnego rozporządzenia". Motyw stanowi także o tym, że przy spełnieniu tych warunków administrator może kontynuować przetwarzanie danych na podstawie poprzednio zebranej zgody. Decydujące znaczenie ma zatem to, czy warunki towarzyszące pozyskaniu zgody czynią zadość kryteriom, według których definiuje się prawidłowe zebranie zgody w myśl przepisów RODO.