Firma

RODO: co z danymi osobowymi zebranymi przed 25 maja 2018 r.

123RF
Wkrótce zmienią się zasady, na jakich odbywa się pozyskiwanie zgód na przetwarzanie danych od osób, których one dotyczą. Czy w rezultacie dotychczas zebrane zgody należy uznać za nieważne, a przetwarzanie ich za nielegalne?

Przepisy ogólnego rozporządzenia o ochronie danych osobowych (dalej: RODO), które wprowadzają szereg nowych obowiązków administratorów danych oraz praw, które będą przysługiwać osobom, których dane dotyczą zaczną być stosowane od 25 maja 2018 r.

Zgoda na przetwarzanie danych osobowych jest tylko jedną z podstaw prawnych, które legitymują administratora danych do procesu przetwarzania. Z tej zasady płyną dwa wnioski. Po pierwsze uzyskanie zgody nie jest wymagane, gdy administrator danych dysponuje inną podstawą prawną. Tak jest, gdy dane przetwarzane są w celu zawarcia lub wykonania umowy. Po drugie, gdy zgoda jest wymagana, a administrator jej nie uzyska, odpowiadać będzie za przetwarzanie danych niezgodnie z prawem.

W świetle tego warto mieć świadomość, czym jest przetwarzanie danych. Ustawodawca unijny określa to pojęcie dość szeroko. W rezultacie za przetwarzanie danych uznaje się takie czynności jak: przechowywanie, zbieranie, utrwalanie, rozpowszechnianie, ale także usuwanie lub niszczenie. Jeżeli podmiot, który dokonuje takich operacji na danych osobowych robi to bez zgody lub innej podstawy prawnej, będzie mu grozić kara nawet do 20 mln euro. W takiej sytuacji legitymowanie się ważną zgodą może przesądzić o „być albo nie być" przedsiębiorstwa, które przetwarza dane.

Ile aktualności

W środowisku prawniczym toczy się zażarta dyskusja na temat tego, czy administrator może wykazać swoją legitymację do przetwarzania danych biorąc za podstawę dotychczas zebrane zgody, czy w związku z wejściem w życie nowych przepisów o ochronie danych osobowych powinien zebrać zgody ponownie, realizując przy okazji dodatkowe wymogi (zwłaszcza informacyjne) wobec osób, których dane dotyczą. Nowa regulacja nie odpowiada na to pytanie, w szczególności nie zawiera jednoznacznych przepisów przejściowych, które rozstrzygają te kwestie.

Szukający odpowiedzi na pytanie o ważność dotychczas zebranych zgód, administratorzy mogą podeprzeć się jedynie treścią motywu 171 RODO, który stanowi: „jeżeli przetwarzanie ma za podstawę zgody w myśl dyrektywy 95/46/WE osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom ogólnego rozporządzenia". Motyw stanowi także o tym, że przy spełnieniu tych warunków administrator może kontynuować przetwarzanie danych na podstawie poprzednio zebranej zgody. Decydujące znaczenie ma zatem to, czy warunki towarzyszące pozyskaniu zgody czynią zadość kryteriom, według których definiuje się prawidłowe zebranie zgody w myśl przepisów RODO.

Zgodnie z art. 4 RODO definiuje się zgodę jako: dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Interpretując definicje zgody z RODO literalnie, można odnieść wrażenie, że jest ona inna od tej, o której stanowią obecne przepisy.

Nie oznacza to jeszcze, że należy odmówić zebranym dotychczas zgodom aktualności. Należy mieć na uwadze, że znaczna część zmian w prawie ochrony danych osobowych, które wprowadza RODO wynika z dotychczasowej praktyki i orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej oraz sądów krajowych. W przedmiocie podstaw przetwarzania danych dotyczy to takich aspektów jak zakaz milczącego wyrażenia zgody.

Można więc założyć, że o ile zgoda na przetwarzanie danych osobowych, była wyrażona zgodnie z dotychczasową regulacją i została skonstruowana w sposób uwzględniający orzeczenia sądowe lub decyzje GIODO, jakie pojawiały się na przestrzeni lat od wprowadzenia dyrektywy 95/46/WE, z dużym prawdopodobieństwem nie utraci ona ważności z perspektywy RODO. O zasadach dotyczących pozyskiwania zgód niejednokrotnie informował GIODO na łamach swojej strony internetowej i poradników, które mogli tam znaleźć zainteresowani przetwarzaniem danych administratorzy. Z założenia wytyczne te powinien znać również administrator bezpieczeństwa danych, o ile był powoływany przez administratora.

Jakie zagrożenie

Według zasad sprzed wprowadzenia RODO, choć zasady te nie zawsze były sprecyzowane na poziomie normatywnym, istotne jest, aby zgoda na przetwarzanie danych udzielona przez podmiot, którego dane dotyczą, była wyrażona w nieskrępowany sposób oznaczający wolny wybór (dobrowolność), nie polegający w szczególności na domyślnym zaznaczeniu check-boxa przez usługodawcę. Zgoda nie powinna wynikać też z innych oświadczeń woli (jednoznaczność), powinna być dokonana przy jednoczesnym powiadomieniu przez administratora o celu przetwarzania i zakresie danych, które podlegać będą przetwarzaniu (konkretność) oraz o osobie administratora i przysługujących prawach w związku z przetwarzaniem danych (świadomość). Jak widać te zasady dotyczące przetwarzania danych osobowych na podstawie zgody stały się za pośrednictwem RODO częścią prawa stanowionego. Stąd ustawodawca unijny, w myśl wspomnianego motywu 171 nie odmawia pozyskanym zgodom ważności a priori.

Zagrożenie dla aktualności dotychczasowych zgód potencjalnie wynika z innych powodów niż różnice definicyjne. Należy mieć na uwadze, że przepisy rozporządzenia nakładają na administratora szereg obowiązków informacyjnych, które powinny być spełnione najpóźniej w momencie podjęcia czynności zbierania zgód i wpływają na ocenę jej ważności w równoważnym stopniu, co jej konstrukcja. To tutaj pojawiają się największe wątpliwości, co do aktualności zgody. Wcześniej bowiem przepisy nie przyznawały osobom, których dane dotyczą określonych praw (jak przyładowo prawo do bycia zapomnianym) i nie zobowiązywały administratora do poinformowania o sposobie ich realizacji, czy o możliwości wycofania zgody. Obowiązki te usytuowane obecnie w przepisie określającym warunki wyrażenia zgody bezpośrednio wpływają na ocenę prawidłowości jej pozyskania. Również rozszerzone obowiązki informacyjne, wynikające z art. 13 RODO nie pozostają bez znaczenia w kontekście uznania, czy wyrażenie zgody nastąpiło świadomie. Jeśli obowiązki te nie istniały przed wejściem w życie RODO, to nie można podejrzewać administratorów, że zawsze je spełniali, w rezultacie czego powstaje wątpliwość, czy pozyskane zgody mogą stracić ważność jako, że nie zostały wyrażone świadomie.

Rozporządzenie wymaga od administratora zapewnienia, że zgoda może zostać wycofana przez podmiot danych w dowolnym momencie i to w sposób tak łatwy jak sposób jej wyrażenia. W wielu przypadkach, zwłaszcza w przypadku zgód pozyskanych za pomocą stron internetowych lub interfejsów aplikacji, oznaczać może to konieczność ich niezwłocznego przeprogramowania tak, aby umożliwiały najpóźniej 25 maja 2018 r. wycofanie zgody. Jeśli administratorzy tego nie zrobią, nie może być mowy o tym, że przetwarzanie na podstawie zgody dokonywane jest zgodnie z przepisami rozporządzenia. Przepisy bowiem zakazują administratorowi danych osobowych ograniczania zakresu kontroli nad wyrażoną zgodą osobie, której dane dotyczą.

Czy trzeba mieć nowe zgody

W świetle tego nasuwać może się wniosek, że konieczne jest ponowne pozyskanie zgód od osób, które wyraziły je przed nadejściem daty stosowania przepisów RODO. Wydaje się to jednak rozwiązaniem niepraktycznym, kosztowym a przede wszystkim nie uzasadnionym w dostateczny sposób interesem osób, których dane dotyczą. Nie sposób więc uciec od pytania, co powinni zrobić administratorzy, aby zapobiec ryzyku ponownego pozyskania zgód od osób, których dane przetwarzali na dotychczas ważnej podstawie. Nawet zakładając, że sama konstrukcja formularza zgody nie straciła aktualności z perspektywy przepisów rozporządzenia to pozostaje problem spełnienia obowiązków informacyjnych, choćby odnośnie praw, które wcześniej nie przysługiwały. Na to pytanie jednoznacznej odpowiedzi nie da się odnaleźć ani w stanowisku GIODO wyrażonym w przedmiotowej kwestii, ani w wytycznych Grupy Roboczej art. 29 ds. ochrony danych osobowych.

Wydaje się, że ten problem należy rozstrzygnąć w taki sposób, aby przede wszystkim wziąć pod uwagę najlepszy interes osób, których dane mają być chronione, a więc z uwzględnieniem zasad wykładni celowościowej. Nowe przepisy RODO służą możliwości kontroli tego, co się dzieje z danymi przez osoby, których one dotyczą. Aby móc skutecznie taką kontrolę sprawować osoby te muszą wiedzieć kto, w jakim celu, zakresie oraz na jakiej podstawie przetwarza ich dane oraz, jakie tej osobie przysługują prawa wobec podmiotu przetwarzającego. Zdobyciu tej wiedzy służą obowiązki informacyjne i organizacyjne administratora danych określone przez art. 13 i art. 14 RODO. ?

Patryk Hatak, prawnik w Konieczny, Wierzbicki Kancelaria Radców Prawnych Spółka Partnerska

Cel uświęca środki

Jeśli osoba, wyrażająca uprzednio zgodę będzie świadoma praw, w tym prawa do wycofania zgody, to jeśli nie godzi się na to, aby jej dane były w dalszym ciągu przetwarzane przez administratora, może ze swojego prawa skorzystać. Skutek więc będzie taki sam, jak w przypadku, gdyby miała odmówić ponownego wyrażenia zgody. W rezultacie, zakładając, że administrator pozyskał zgodę w sposób nie naruszający przepisów rozporządzenia, a następnie uczynił zadość obowiązkom informacyjnym i zachował dowód na dopełnienie wymogów rozporządzenia – można uznać, że zgoda zachowała swoją aktualność i nie jest konieczne jej ponowne uzyskanie. Przyjęcie proponowanego rozwiązania służyłoby także transparentności procesu przetwarzania, bowiem można założyć, że administratorzy z większym entuzjazmem podejdą do poinformowania osób, których dane przetwarzają (zwłaszcza, gdy jednocześnie przetwarzają ich dane na innej podstawie) niż do zwracania się z prośbą o ponowne wyrażenie zgody.

Należy podkreślić, że ta propozycja, mimo że nie znajduje wyraźnego uzasadnienia w treści przepisów rozporządzenia ani projekcie polskiej regulacji ochrony danych osobowych, to wydaje się jednak rozwiązaniem godzącym w uzasadnione interesy administratorów, jak i osób, których dane są przetwarzane na podstawie zgody. Przede wszystkim jednak czyni zadość celowi, jaki można interpretować z przepisów RODO, a więc oddania kontroli jednostce nad jej danymi, poszanowania jej praw i wolności oraz ochronie danych. Aby rozwiać wszelkie wątpliwości można tylko sformułować dezyderat, co do potwierdzenia lub zaprzeczenia tej argumentacji w drodze stanowiska pochodzącego ze strony kompetentnych ku organów. ?

Źródło: Rzeczpospolita

REDAKCJA POLECA

NAJNOWSZE Z RP.PL