Nieubłaganie zbliża się 25 maja 2018 roku, czyli dzień, w którym bezpośrednią moc prawną w porządku krajowym zyska unijne rozporządzenie ogólne o ochronie danych osobowych. Na kilka tygodni przed wejściem w życie nowych przepisów, wątpliwości przybierają kształt coraz bardziej konkretnych pytań.
Wielu przedsiębiorców już dziś poszukuje konkretnych wskazówek, co do czynności, które winne być podjęte przed „godziną zero". Z uwagi na specyfikę pozyskiwania od klientów zgód na przetwarzane danych osobowych, czyli czasochłonność tego procesu oraz jego koszty, jednym z ważniejszych problemów, przed którymi stoją dzisiaj instytucje przetwarzające dane osobowe, a na ich czele – przedsiębiorcy, jest zachowanie aktualności zgód, które zostały udzielone przed dniem wejścia w życie RODO.
Waga dobrowolności
Jeżeli chodzi o warunki uznania oświadczenia osoby, której dane dotyczą za wiążącą zgodę, podstawowym wymogiem pozostaje dobrowolność. Dla przyjęcia, że osoba wyraża zgodę na przetwarzanie swoich danych z własnej, nieprzymuszonej woli konieczne jest, aby była świadoma swojej decyzji. RODO podpowiada tutaj, że „aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych" (motyw 42 preambuły RODO).
Skłania to do wniosku, że dla uzyskania wiążącej zgody obowiązkowe jest przedstawienie wszystkich niezbędnych informacji, dotyczących istotnych aspektów przetwarzania, za podstawę legalności którego ma posłużyć zgoda (co stanowi spełnienie obowiązku informacyjnego).
Po pierwsze, oświadczenie musi być więc wyraźnie wyodrębnione – tak pod względem merytorycznym jak i graficznie, jego forma powinna być zrozumiała, i jasna, tak aby osoba składająca oświadczenie nie miała wątpliwości co do zakresu udzielanej zgody (wymóg konkretności). Warto sprawdzić, czy od zgody na przetwarzanie danych nie uzależniono wykonania umowy, w tym świadczenia usługi, szczególnie, jeżeli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy. Wykluczone są również oświadczenia zbyt ogólne, lub takie, w których katalog czynności przetwarzania pozostaje otwarty.