Wkrótce zmienią się zasady, na jakich odbywa się pozyskiwanie zgód na przetwarzanie danych od osób, których one dotyczą. Czy dotychczas zebrane zgody na przetwarzanie danych osobowych pozostaną ważne pod rządami nowego unijnego rozporządzenia o ochronie danych osobowych (RODO)? To jedno z kluczowych pytań, jakie obecnie zadają sobie polscy przedsiębiorcy.
Zgoda na przetwarzanie danych osobowych jest tylko jedną z podstaw prawnych, które legitymują administratora danych do procesu przetwarzania. Z tej zasady płyną dwa wnioski. Po pierwsze uzyskanie zgody nie jest wymagane, gdy administrator danych dysponuje inną podstawą prawną. Tak jest, gdy dane przetwarzane są w celu zawarcia lub wykonania umowy. Po drugie, gdy zgoda jest wymagana, a administrator jej nie uzyska, odpowiadać będzie za przetwarzanie danych niezgodnie z prawem.
Większość zgód zachowa ważność
Zgodnie z RODO, jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46 i odpowiada ona warunkom przewidzianym w ustawie o ochronie danych osobowych z 1997 r. będzie ona ważna również po 25 maja 2018 r. pod warunkiem, że poinformowano osobę, której dane dotyczą o możliwości wycofania zgody w dowolnym momencie, a wycofanie zgody jest równie łatwe jak jej wyrażenie. W takim przypadku administrator może kontynuować przetwarzanie w oparciu o „starą” zgodę.
Grupa Robocza art. 29 w wytycznych przyjętych 28 listopada 2017 r. w sposób jasny stwierdziła, że zgody zbierane przed rozpoczęciem stosowania RODO i zgodnie z krajowymi przepisami o ochronie danych osobowych nie muszą być automatycznie zbierane ponownie po 25 maja 2018 r. Ale zgoda zachowa ważność wyłącznie wtedy, jeżeli jest zgodna z zasadami określonymi w RODO. Na te zasady składa się szereg elementów, takich jak np. konieczność przekazania szeregu informacji przy zbieraniu danych osobowych.
Definicja zgody w RODO zawiera dwie nowe przesłanki w porównaniu do zgody określonej w dyrektywie 95/46, a więc i w ustawie o ochronie danych osobowych z 1997 r., są to:
1) przesłanka jednoznacznego okazania woli;
2) przesłanka oświadczenia pisemnego, elektronicznego bądź wyraźnego działania potwierdzającego okazanie woli.
Zgodnie z RODO spełnienie przesłanki wyraźnego okazania woli może natomiast polegać między innymi na:
- zaznaczeniu okienka wyboru podczas przeglądania strony internetowej,
- wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego,
- innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych.
Zgodnie z RODO: milczenie, okienka zaznaczone domyślnie lub niepodjęcie działania, nie powinny oznaczać zgody. Dlatego też, jeżeli administrator zbierał zgody w takiej formie, to będzie musiał uzyskać je na nowo.
Istotne jest także wdrożenie nowych mechanizmów i rozwiązań, takich jak umożliwienie przeniesienia danych osobowych przez osobę, której one dotyczą, czy danie możliwości łatwego odwołania zgody.
