Świadomość to wiedza osoby, której dane dotyczą, na temat istotnych aspektów przetwarzania danych osobowych, w szczególności osoby administratora i celu przetwarzania. Ze świadomością związane jest prawidłowe wykonanie obowiązków informacyjnych, choć nie w każdym przypadku niezapewnienie osobie, której dane dotyczą wszystkich informacji, o których mowa w art. 13 rozporządzenia, będzie przesądzało o braku świadomości zgody. Zgoda świadoma, inaczej mówiąc – poinformowana, to taka, w której podmiot ją wyrażający ma odpowiednią wiedzę – przede wszystkim o zakresie, celu i podmiocie, który będzie przetwarzał dane, ale także potencjalnie innych aspektach związanych z obowiązkami nałożonymi na administratora, pozwalającą mu na podjęcie świadomej decyzji o wyrażeniu lub odmowie zgody. Warto podkreślić, że rozporządzenie zawiera dużo szerszy katalog obowiązków informacyjnych niż dotychczasowa ustawa. W RODO wprowadzono wymóg informacyjny, , że administrator przed rozpoczęciem przetwarzania musi poinformować osobę, która udziela zgody, o tym, że ma prawo do wycofania tej zgody w każdym momencie. Tego wymogu wcześniej nie było. Pytanie: skoro obowiązku nie było i administratorzy o tym nie informowali, to czy zgoda bez takiej informacji jest ważna? To pytanie pozostanie otwarte do wydania przez przyszły organ nadzorczy pierwszych decyzji.
A pana zdaniem trzeba o tym informować?
Przy odbieraniu zgód na przyszłość – trzeba, to wynika wprost z przepisów. Natomiast nieuzasadnione byłoby pozbawianie arbitralnie zgód dotychczas udzielonych, jeśli spełniają wszystkie inne kryteria, tylko z tego powodu, że nie poinformowano o prawie do wycofania zgody i skutkach skorzystania z tego prawa. W tym zakresie warto po prostu dopełnić obowiązku informacyjnego i uzupełnić go wobec osób, które udzieliły zgody przed wejściem w życie RODO, na przetwarzania, które będą trwały również po 25 maja 2018 r. Aczkolwiek może to być stanowisko kontrowersyjne, bowiem przepis wymaga uprzedniego poinformowania.
Czy musi być indywidualna informacja do każdego klienta, czy wystarczy zmienić politykę prywatności albo regulamin na stronie?
Uważam, że podmioty udzielające zgody powinny zostać poinformowane w sposób maksymalnie zindywidualizowany. Forma zmiany polityki prywatności czy innego elementu na stronie internetowej na pewno musiałaby być dokonana w taki sposób, by osobie, której dane dotyczą, przekazano informację nie tylko o fakcie zmiany, ale również jej zakresie. Nie wystarczy moim zdaniem po prostu poinformować, że zmieniła się polityka prywatności. Nie ma jednakże żadnego narzuconego w rozporządzeniu sposobu spełnienia obowiązku informacyjnego, a zatem obowiązek ten można zrealizować na wiele różnych sposobów, posiłkując się np. wytycznymi z art. 7 ust. 2 rozporządzenia. Wymaga on, by relewantne informacje, związane z udzielaną zgodą, przedstawiane były w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Pamiętać również należy, że mówimy tu o elementach konstrukcyjnych prawidłowej zgody, a zatem dobierany sposób uzupełniania informacji powinien być zbliżony stosowanego modelu pozyskiwania zgody, z wykorzystaniem używanych do komunikacji z podmiotem danych kanałów komunikacyjnych, tak by zapewnić możliwie największą przejrzystość i skuteczność komunikatu.
Brak poinformowania grozi tym, że zgoda będzie uznana za nieważną, a w związku z tym – za przetwarzanie na jej podstawie grożą kary przewidziane w rozporządzeniu?