Tego dnia wchodzi bowiem w życie ogólne rozporządzenie o ochronie danych osobowych (RODO). Przewiduje ono, że zgody pobrane przed tym terminem zachowują ważność, jeśli odpowiadają zasadom przewidzianym w RODO. Takie ujęcie nie rozwiewa jednak wątpliwości. A brak podstawy do przetwarzania danych (np. ważnej zgody) stwarza ryzyko nałożenia na firmę kary finansowej.
– Nie można też wykluczyć odpowiedzialności karnej – wskazuje Damian Karwala, radca prawny z kancelarii CMS. – Może to też skutkować zakazem przetwarzania danych.
Wytyczne w tej sprawie wydała Grupa Robocza art. 29. Odniósł się do nich także generalny inspektor ochrony danych osobowych. W swojej opinii wskazuje, że aby zachować ważność, zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna.
Adwokat Paweł Litwiński z kancelarii Barta Litwiński zwraca uwagę, że wymienione kryteria już obowiązują na gruncie polskiej ustawy o ochronie danych osobowych, a zatem zgoda zebrana zgodnie z tą ustawą będzie zgodna także z RODO.
GIODO wskazuje jednak na konieczność stworzenia mechanizmów wycofania zgody w dowolnym momencie. Radzi też firmom przejrzenie stosowanych klauzul i mechanizmów, upewnienie się, czy są one zgodne z RODO, a także dokumentowanie kwestii związanych z pozyskiwaniem zgód i spełnianiem obowiązku informacyjnego. Może on bowiem mieć wpływ na świadomość zgody.
Paweł Litwiński wskazuje jednak, że obowiązek informacyjny wykonuje się z chwilą gromadzenia danych. Jest on jednorazowy i nie ma do niego powrotu.
– Nie ma więc obowiązku przekazywania informacji zgodnych z RODO, a wykraczających poza ustawę – twierdzi Litwiński. – Oczywiście gdyby osoby, których dane dotyczą, po 25 maja żądały przekazania im informacji o przetwarzaniu danych, to muszą już być zgodne z RODO – dodaje.
Damian Karwala zwraca jednak uwagę, że spełnienie tego obowiązku uświadomi klientom przysługujące im na podstawie RODO prawa.
– Jest to więc istotne i w sytuacji wieloznaczności przepisów byłbym za tym, żeby ten obowiązek spełniać – wskazuje prawnik. – Niekoniecznie w formie kierowanych indywidualnie do klientów przekazów, ale np. aktualizowania polityki prywatności na stronie, zmian we wzorach umów, formularzach itp.
Prawne uwarunkowania prowadzenia e‑sklepu w 2022 roku
Projekt polskiej ustawy wdrażającej RODO przewiduje znaczne ograniczenie obowiązku informacyjnego dla mikro-, małych i średnich firm, które nie przetwarzają danych wrażliwych i nie przekazują danych innym podmiotom.
masz pytanie, wyślij e-mail do autora: szymon.cydzik@rp.pl
