Będą zmiany w uzyskiwaniu zgody na przetwarzanie danych osobowych

Warto zacząć przygotowywać swoją firmę do zmian w uzyskiwaniu zgody na przetwarzanie danych osobowych. Konsekwencje naruszenia przepisów w tym obszarze, mogą bowiem okazać się bardzo dolegliwe dla wszystkich przedsiębiorców.

Publikacja: 09.09.2016 08:02

Będą zmiany w uzyskiwaniu zgody na przetwarzanie danych osobowych

Foto: 123RF

Rewolucyjne zmiany dla wszystkich przedsiębiorców przetwarzających dane osobowe oraz konieczność wdrożenia nowego podejścia do przetwarzania informacji o klientach i kontrahentach to efekt wejścia w życie tzw. ogólnego rozporządzenia w sprawie ochrony danych osobowych. Ze względu na bardzo szeroki zakres regulacji - już teraz warto zacząć przygotowywać do nich swoją firmę.

Rozporządzenie czy ustawa

17 maja 2016 r. weszło w życie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (zwane także ogólnym rozporządzeniem w sprawie ochrony danych osobowych). Zacznie ono obowiązywać bezpośrednio w krajowych porządkach prawnych od 25 maja 2018 r. Rozporządzenie wiązać będzie wszystkich, którzy przetwarzają dane osobowe w związku z prowadzoną działalnością gospodarczą. Nie oznacza to jednak, iż obecna ustawa o ochronie danych osobowych z 29 sierpnia 1997 r. zostanie w całości zastąpiona przepisami rozporządzenia. Wprawdzie wiele spośród przepisów ustawy ulegnie zmianie lub w ogóle przestanie obowiązywać, jednak – w niektórych kwestiach polska ustawa stanowić będzie uzupełnienie lub doprecyzowanie zapisów Rozporządzenia.

W praktyce - przedsiębiorcy będą sprawdzali, czy przetwarzają dane osobowe zgodnie z prawem, odwołując się wprost do przepisów rozporządzenia, czyli aktu prawa Unii Europejskiej, a także – w bardziej ograniczonym zakresie - do obowiązujących przepisów ustawy.

Uregulowanie kwestii ochrony danych osobowych w rozporządzeniu, a nie jak do tej pory w dyrektywie (która co do zasady wymaga implementacji do krajowego porządku prawnego np. w postaci ustawy o ochronie danych osobowych) ma na celu ujednolicenie przepisów na obszarze całej Unii Europejskiej, a tym samym – ułatwienie prowadzenia transgranicznej działalności gospodarczej. Przedsiębiorcy w mniejszym stopniu będą spotykać się bowiem z rozbieżnościami w prawie ochrony danych osobowych pomiędzy poszczególnymi państwami UE i dzięki temu np. z większą pewnością będą mogli stosować jednolity formularz zgody na przetwarzanie danych osobowych we wszystkich państwach UE, w których prowadzą swoją działalność.

Nowe zasady

Zasadniczą zmianą, którą w praktyce odczują wszystkie firmy przetwarzające dane osobowe, będzie konieczność dostosowania procedur pozyskiwania zgody na przetwarzanie danych osobowych do nowych przepisów. Prawidłowe przygotowanie procesu pozyskiwania zgody oraz samych formularzy zgody, czy też odpowiednie ukształtowanie opcji zgody na stronie internetowej to zadanie, do którego należy solidnie się przygotować. Dlaczego? Konsekwencje naruszenia przepisów w tym zakresie mogą być bardzo dotkliwe.

Po pierwsze, gdy zgoda zostanie uzyskana nieprawidłowo będzie nieważna – a zatem przedsiębiorca nie będzie mógł na jej podstawie danych osobowych przetwarzać.

Po drugie, zgodnie z nowymi regulacjami, za naruszenie przepisów dotyczących zgody – przedsiębiorcy grozić będzie nakładana przez głównego inspektora danych osobowych kara administracyjna w wysokości do 20 mln euro lub w wysokości do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności od tego, która z tych kwot będzie wyższa. Aby zmobilizować administratorów danych do przestrzegania przepisów rozporządzenia, nałożenie kary pieniężnej za naruszenie ma być zasadą, a odstąpienie od niej stanie się możliwe jedynie w ściśle określonych sytuacjach. Jak zatem dobrze przygotować się do nadchodzących zmian? W pierwszej kolejności warto dowiedzieć się, do czego zobowiązują nowe przepisy.

Jak prawidłowo uzyskać akceptację

Katalog sytuacji, w których możliwe jest przetwarzanie danych osobowych, zasadniczo nie ulegnie zmianie. Jedną z przesłanek dopuszczalności przetwarzania będzie nadal uzyskanie zgody osoby, której dane dotyczą. Rozporządzenie doprecyzowuje jednak, jakie warunki powinna spełniać zgoda. Musi to być dobrowolne, konkretne, świadome i jednoznaczne okazanie woli. Ponadto, zgoda musi mieć charakter wyraźnego działania – oświadczenia lub potwierdzenia. W praktyce oznacza to, że formularze zgody powinny być sformułowane jasnym i czytelnym językiem, tj. w sposób zrozumiały dla osoby, której dane chce przedsiębiorca przetwarzać. Zawiłe, nieprecyzyjne i zbyt skomplikowane formularze mogą okazać się wadliwe, a zgoda – uznana za wyrażoną w sposób nieskuteczny.

Koniec okienek

Wymóg, aby zgoda udzielona była poprzez działanie oznacza w szczególności, że zgodnie z nowymi przepisami nie będzie dopuszczalna, np. powszechna dziś praktyka domyślnie zaznaczonych okienek ze zgodą na przetwarzanie danych osobowych, czy też ze zgodą na ich przekazywanie podmiotom trzecim. Wyrażenie zgody będzie mogło odbywać się więc jedynie poprzez faktyczne zaznaczenie każdego z okienek przez osobę, której dane dotyczą. Zgoda wiązać się będzie zatem z aktywnym działaniem osoby fizycznej – nie będzie możliwości domniemania jej istnienia.

Przede wszystkim dobrowolna

Aby zgoda została uznana za dobrowolną – od jej wyrażenia nie będzie można uzależniać wykonania umowy, w sytuacji, jeśli przetwarzanie danych nie będzie niezbędne dla wykonania takiej umowy.

Przykładowo, jeśli przedsiębiorca, zawierając umowę na dostawę towaru - pozyska zgodę na przetwarzanie danych osobowych dla celów marketingu, uzależniając od takiej zgody wykonanie umowy głównej, zgoda ta nie będzie ważna. Wynika to stąd, że przetwarzanie danych dla celów marketingu nie jest niezbędne dla wykonania umowy dostawy towaru. W niektórych przypadkach, zgoda nie będzie uważana za dobrowolną, jeśli nie będzie możliwości wyrażenia jej osobno na różne operacje przetwarzania danych. Wyrażenie zgody nie będzie uznane za dobrowolne również wtedy, gdy osoba, której dane dotyczą, nie będzie miała rzeczywistego lub wolnego wyboru oraz nie będzie mogła odmówić ani wycofać zgody bez niekorzystnych konsekwencji.

Jasna i prosta

Klauzule zgody na przetwarzanie danych osobowych często umieszczane są na formularzu lub stronie internetowej wraz z innymi informacjami kierowanymi do klientów, użytkowników, kontrahentów, itd. Należy pamiętać, że zgodnie z nowymi przepisami, jeżeli osoba, której dane dotyczą, wyraża zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Osoba fizyczna ma bowiem zdawać sobie sprawę, że udziela zgody na przetwarzanie danych osobowych oraz w jakim zakresie. Naruszenie tych przepisów oznaczać będzie nieważność zgody - na jej podstawie nie będzie można przetwarzać danych.

Jeżeli dane osobowe przetwarzane będą w kilku celach, potrzebna będzie zgoda na wszystkie te cele.

W każdej formie

Zgody będzie można udzielić zasadniczo w każdej formie, również ustnie. Rozporządzenie kładzie szczególny nacisk na ochronę użytkowników internetu - kiedy bowiem osoba, której dane dotyczą, będzie wyrażać zgodę w odpowiedzi na elektroniczne zapytanie. Zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z głównej usługi.

Administratorzy danych będą musieli ponadto pozyskiwać i ewidencjonować zgody w taki sposób, aby np. w przypadku skargi osoby fizycznej, byli w stanie wykazać, że dana osoba rzeczywiście wyraziła zgodę na przetwarzanie swoich danych osobowych. Rozporządzenie nakłada więc na przedsiębiorców obowiązek zachowania należytego poziomu staranności. W przypadku, gdy administrator nie będzie w stanie wykazać, że pozyskał zgodę na przetwarzanie danych zgodnie z prawem, naraża się na karę administracyjną, a w niektórych przypadkach również na odpowiedzialność odszkodowawczą wobec osoby, której dane przetwarza.

Po wycofaniu – dane trzeba usunąć

Ponadto osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać udzieloną zgodę. W takim przypadku, jeśli administrator danych nie ma innej podstawy przetwarzania (którą może być np. niezbędność dla wykonania umowy, szczególna podstawa prawna), należy zaprzestać przetwarzania danych. Wycofanie zgody nie wpływa jednocześnie na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. O możliwości wycofania zgody należy poinformować jeszcze przed jej wyrażeniem (np. jako część klauzuli zgody). Przy czym wycofanie zgody musi być równie łatwe jak jej wyrażenie, np. jeśli zgoda odbierana jest telefonicznie, najlepiej umożliwić taką samą formę jej odwołania. W praktyce, na skutek wycofania zgody, dane powinny zostać usunięte ze wszystkich systemów danego przedsiębiorcy.

Dzieci szczególnie chronione

Rozporządzenie w sposób szczególny chroni dzieci. W przypadku tzw. usług społeczeństwa informacyjnego (usług świadczonych na odległość drogą elektroniczną), aby przetwarzać dane osobowe dziecka poniżej 16 roku życia, konieczne będzie uzyskanie zgody rodzica lub opiekuna. Państwa członkowskie będą mogły przewidzieć niższą granicę wieku, jednak nie mniej niż 13 lat.

Administrator danych będzie musiał również podjąć odpowiednie starania, aby zweryfikować, czy upoważniona osoba wyraziła zgodę na przetwarzanie danych dziecka.

Warto zauważyć, że zgody zebrane na podstawie obecnych przepisów będą nadal skuteczne, jeżeli spełniać będą wymogi określone rozporządzeniem. W pozostałych przypadkach, konieczne będzie jednak ponowne zebranie zgód przez administratorów, co może okazać się bardzo czasochłonne i skomplikowane logistycznie. Dlatego do nadchodzących zmian warto zacząć przygotowywać się już teraz. Dla większych przedsiębiorstw wejście w życie rozporządzenia oznacza bowiem konieczność przeprowadzenia szeroko zakrojonych audytów.

Agata Jankowska-Galińska, managing associate, Deloitte Legal

Katarzyna Sawicka, associate, Deloitte Legal

Co powinna zawierać zgoda na przetwarzanie danych osobowych

Zgoda na przetwarzanie danych osobowych powinna:

- być zawarta w jasnym i zrozumiałym języku formularza,

- być wyrażona dobrowolnie,

- być wyrażona wyraźnie (niedopuszczalne uznanie za zgodę milczenia, używanie automatycznie zaznaczonych okienek),

- być zebrana na każdy cel przetwarzania,

- mieć wyodrębnioną treść spośród innych elementów,

- informować o możliwości wycofania,

- umożliwiać wycofanie w prosty sposób,

- zawierać szczególne zasady przetwarzania danych osobowych dzieci.

Rewolucyjne zmiany dla wszystkich przedsiębiorców przetwarzających dane osobowe oraz konieczność wdrożenia nowego podejścia do przetwarzania informacji o klientach i kontrahentach to efekt wejścia w życie tzw. ogólnego rozporządzenia w sprawie ochrony danych osobowych. Ze względu na bardzo szeroki zakres regulacji - już teraz warto zacząć przygotowywać do nich swoją firmę.

Rozporządzenie czy ustawa

Pozostało 96% artykułu
2 / 3
artykułów
Czytaj dalej. Kup teraz
Praca, Emerytury i renty
Płaca minimalna jeszcze wyższa. Minister pracy zapowiada rewolucję
Prawo dla Ciebie
Nowe prawo dla dronów: znikają loty "rekreacyjne i sportowe"
Prawo karne
Przeszukanie u posła Mejzy. Policja znalazła nieujawniony gabinet
Sądy i trybunały
Trybunał Konstytucyjny na drodze do naprawy. Pakiet Bodnara oceniają prawnicy
Mundurowi
Kwalifikacja wojskowa 2024. Kobiety i 60-latkowie staną przed komisjami