Nieubłaganie zbliża się 25 maja 2018 roku, czyli dzień, w którym bezpośrednią moc prawną w porządku krajowym zyska unijne rozporządzenie ogólne o ochronie danych osobowych. Na kilka tygodni przed wejściem w życie nowych przepisów, wątpliwości przybierają kształt coraz bardziej konkretnych pytań.

Wielu przedsiębiorców już dziś poszukuje konkretnych wskazówek, co do czynności, które winne być podjęte przed „godziną zero". Z uwagi na specyfikę pozyskiwania od klientów zgód na przetwarzane danych osobowych, czyli czasochłonność tego procesu oraz jego koszty, jednym z ważniejszych problemów, przed którymi stoją dzisiaj instytucje przetwarzające dane osobowe, a na ich czele – przedsiębiorcy, jest zachowanie aktualności zgód, które zostały udzielone przed dniem wejścia w życie RODO.

Waga dobrowolności

Jeżeli chodzi o warunki uznania oświadczenia osoby, której dane dotyczą za wiążącą zgodę, podstawowym wymogiem pozostaje dobrowolność. Dla przyjęcia, że osoba wyraża zgodę na przetwarzanie swoich danych z własnej, nieprzymuszonej woli konieczne jest, aby była świadoma swojej decyzji. RODO podpowiada tutaj, że „aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych" (motyw 42 preambuły RODO).

Skłania to do wniosku, że dla uzyskania wiążącej zgody obowiązkowe jest przedstawienie wszystkich niezbędnych informacji, dotyczących istotnych aspektów przetwarzania, za podstawę legalności którego ma posłużyć zgoda (co stanowi spełnienie obowiązku informacyjnego).

Po pierwsze, oświadczenie musi być więc wyraźnie wyodrębnione – tak pod względem merytorycznym jak i graficznie, jego forma powinna być zrozumiała, i jasna, tak aby osoba składająca oświadczenie nie miała wątpliwości co do zakresu udzielanej zgody (wymóg konkretności). Warto sprawdzić, czy od zgody na przetwarzanie danych nie uzależniono wykonania umowy, w tym świadczenia usługi, szczególnie, jeżeli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy. Wykluczone są również oświadczenia zbyt ogólne, lub takie, w których katalog czynności przetwarzania pozostaje otwarty.

Po drugie, zgoda musi być jednoznaczna, co implikuje konieczność uzyskania jej w sposób, który wymaga zamanifestowania zamiaru udzielenia przyzwolenia. Między innymi z tego względu za niedopuszczalne należy uznać uzyskiwanie zgód za pośrednictwem formularzy z już zaznaczonymi okienkami, czy w formie ogólnego komunikatu.

Możliwość wycofania

Po trzecie, i jest to zasadnicze novum, jakie niesie ze sobą rozporządzenie, warunkiem dla przyjęcia wiążącej zgody jest poinformowanie osoby, której dane dotyczą o możliwości wycofania zgody w dowolnym momencie, a samo wycofanie zgody powinno być równie łatwe, co jej wyrażenie. Pierwotny brak poinformowania o możliwości wycofania zgody, nie powoduje jednak, iż zgody powinny zostać zebrane ponownie. Wydaje się, że brakująca klauzula może być uzupełniona następczo, poprzez uzupełnienie już raz udzielonej zgody. Należy jednak pamiętać, że wszystkie oświadczenia, które będą formułowane pod rządami RODO powinny już obowiązkowo zawierać wzmiankę o możliwości wycofania zgody.

Zgodnie z RODO niedopełnienie powyższych wymogów sprawi, że oświadczenie w przedmiocie przetwarzania nie będzie wiążące – a w konsekwencji, administrator nie będzie w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.

Należy ocenić, że z uwagi na złagodzenie wymogów odnoszących się do formy zgody po dniu 25 maja 2018 roku większość zgód zachowa aktualność. Zwykłe oświadczenie – tj. zgodę wyraźną w rozumieniu ustawy o ochronie danych osobowych zastąpi zgoda jednoznaczna, która będzie mogła przyjąć formę również działania potwierdzającego (nie będącego oświadczeniem). Dodatkowo wyeliminowany zostaje wymóg uzyskania zgody na piśmie na przetwarzane danych wrażliwych (tj. m.in. o pochodzeniu rasowym, poglądach politycznych, przekonaniach religijnych), wystarczające będzie jednoznaczne, nie pozostawiające wątpliwości przyzwolenie.

Autopromocja
ORZEŁ INNOWACJI

Konkurs dla startupów i innowacyjnych firm

WEŹ UDZIAŁ

Główną wskazówką w zakresie rewidowania posiadanych zgód jest treść motywu 171 preambuły rozporządzenia, wedle którego „jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia".

Oznacza to, że pierwotne uzyskanie zgody w taki sposób, że jest ona wyrażona dobrowolnie i świadomie, jest konkretna i jednoznaczna, zawiera informację o tożsamości podmiotu przetwarzającego, a także w sposób nie budzący wątpliwości wyznacza katalog czynności składających się na przetwarzanie danych oraz jego zakres i cele – pozwoli co do zasady kontynuować przetwarzanie danych osobowych pod rządami RODO.

Zdaniem eksperta

Grzegorz Pobożniak, adwokat partner w Kancelarii Kubas Kos Gałkowski sp. p. sp.k.; Magdalena Krawczyk, adwokat senior associate w Kancelarii Kubas Kos Gałkowski sp. p. sp.k.

Powtórzmy to jeszcze raz – zgody zebrane do tej pory zachowują swoją ważność (nie trzeba ich zbierać na nowo), także wtedy jeżeli ich uzyskaniu nie towarzyszyło udzielenie informacji o prawie do wniesienia skargi, prawie do sprzeciwu, czy też możliwości wycofania zgody w taki sam łatwy sposób, jak jej udzielono. Jednak, aby nie było żadnych wątpliwości co do prawidłowości postępowania rekomendowanym zachowaniem jest poinformowanie osób, które udzieliły zgody o przysługujących im w związku z wejściem w życie RODO uprawnieniach. Może to nastąpić choćby poprzez wysłanie informacji w formie mejlowej. Jest tylko wykonaniem obowiązku informacyjnego, więc nie musimy obawiać się braku komunikatu zwrotnego ze strony adresata.