Dane osobowe

Czy stare zgody na przetwarzanie danych będą ważne

AdobeStock
Wiele firm wciąż nie wie, czy po 25 maja ma ponownie spytać klientów, czy może przetwarzać informacje o nim.

Tego dnia wchodzi bowiem w życie ogólne rozporządzenie o ochronie danych osobowych (RODO). Przewiduje ono, że zgody pobrane przed tym terminem zachowują ważność, jeśli odpowiadają zasadom przewidzianym w RODO. Takie ujęcie nie rozwiewa jednak wątpliwości. A brak podstawy do przetwarzania danych (np. ważnej zgody) stwarza ryzyko nałożenia na firmę kary finansowej.

– Nie można też wykluczyć odpowiedzialności karnej – wskazuje Damian Karwala, radca prawny z kancelarii CMS. – Może to też skutkować zakazem przetwarzania danych.

Wytyczne w tej sprawie wydała Grupa Robocza art. 29. Odniósł się do nich także generalny inspektor ochrony danych osobowych. W swojej opinii wskazuje, że aby zachować ważność, zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna.

Adwokat Paweł Litwiński z kancelarii Barta Litwiński zwraca uwagę, że wymienione kryteria już obowiązują na gruncie polskiej ustawy o ochronie danych osobowych, a zatem zgoda zebrana zgodnie z tą ustawą będzie zgodna także z RODO.

GIODO wskazuje jednak na konieczność stworzenia mechanizmów wycofania zgody w dowolnym momencie. Radzi też firmom przejrzenie stosowanych klauzul i mechanizmów, upewnienie się, czy są one zgodne z RODO, a także dokumentowanie kwestii związanych z pozyskiwaniem zgód i spełnianiem obowiązku informacyjnego. Może on bowiem mieć wpływ na świadomość zgody.

Paweł Litwiński wskazuje jednak, że obowiązek informacyjny wykonuje się z chwilą gromadzenia danych. Jest on jednorazowy i nie ma do niego powrotu.

– Nie ma więc obowiązku przekazywania informacji zgodnych z RODO, a wykraczających poza ustawę – twierdzi Litwiński. – Oczywiście gdyby osoby, których dane dotyczą, po 25 maja żądały przekazania im informacji o przetwarzaniu danych, to muszą już być zgodne z RODO – dodaje.

Damian Karwala zwraca jednak uwagę, że spełnienie tego obowiązku uświadomi klientom przysługujące im na podstawie RODO prawa.

– Jest to więc istotne i w sytuacji wieloznaczności przepisów byłbym za tym, żeby ten obowiązek spełniać – wskazuje prawnik. – Niekoniecznie w formie kierowanych indywidualnie do klientów przekazów, ale np. aktualizowania polityki prywatności na stronie, zmian we wzorach umów, formularzach itp.

Projekt polskiej ustawy wdrażającej RODO przewiduje znaczne ograniczenie obowiązku informacyjnego dla mikro-, małych i średnich firm, które nie przetwarzają danych wrażliwych i nie przekazują danych innym podmiotom.

masz pytanie, wyślij e-mail do autora: szymon.cydzik@rp.pl

Źródło: Rzeczpospolita

REDAKCJA POLECA

NAJNOWSZE Z RP.PL