GIODO: Nie trzeba będzie ponownie zbierać zgód na przetwarzanie danych

Dodano: 2 stycznia 2018
GIODO: Nie trzeba będzie ponownie zbierać zgód na przetwarzanie danych

Aktualnie pozyskiwane zgody na przetwarzanie danych osobowych będą ważne także po rozpoczęciu obowiązywania RODO – wynika ze stanowiska GIODO. Ważne jest jednak, aby spełniały wymogi określone w unijnym rozporządzeniu.

Zgoda, która dotychczas została pozyskana, jest nadal ważna, o ile jest ona zgodna z warunkami określonymi w RODO – takie stanowisko wynika bezpośrednio z treści motywu 171 ogólnego rozporządzenia o ochronie danych (RODO): „jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia”. Ważność zachowuje zatem zgoda, która została pierwotnie zebrana w sposób gwarantujący osobie, której dane dotyczą, złożenie oświadczenia spełniającego następujące kryteria:

  • dobrowolność – zgoda musi oznaczać możliwość realnego, swobodnego wyboru, nie może być wymuszona; brak wyrażenia zgody nie może również powodować negatywnych konsekwencji dla osoby, której dane dotyczą;
  • konkretność – zgoda musi określać precyzyjnie cel przetwarzania danych oraz wskazywać zakres danych; niedopuszczalne jest zbieranie zgód blankietowych, ogólnych; należy również wyraźnie oddzielić informacje związane z uzyskaniem zgody od informacji dotyczących innych kwestii;
  • świadomość – przed uzyskaniem zgody należy zapewnić niezbędne informacje osobom, których dane dotyczą, aby umożliwić im podejmowanie świadomych decyzji i zrozumienie, na co wyrażają zgodę; prosząc o zgodę, administratorzy powinni upewnić się, że używają jasnego i prostego języka;
  • jednoznaczność – ważna zgoda wymaga jednoznacznego okazania w formie oświadczenia lub wyraźnego działania potwierdzającego, co oznacza, że osoba, której dane dotyczą, musi podjąć celowe działanie w celu wyrażenia zgody na określone przetwarzanie.

Administrator musi być w stanie wykazać, że kryteria te są spełnione (zgodnie z zasadą rozliczalności).

Sprawdź stosowane klauzule zgód

Analiza poprawności wszystkich dotychczasowych zgód powinna zdaniem GIODO w pierwszej kolejności uwzględniać to, czy zebrane dotychczas zgody opatrzone były wyraźnym wskazaniem administratora danych i określeniem celu przetwarzania danych, nie były dorozumiane z oświadczeń innej treści, milczące (niepodjęcie działań nie może oznaczać zgody) lub polegające na domyślnym zaznaczeniu okienek przez usługodawcę. Każdy administrator będzie musiał ocenić, czy pozyskane przez niego zgody spełniają kryteria wymagane przez RODO kryteria.

Jakie nowe warunki trzeba spełnić

Duże wątpliwości powoduje art. 7 ust. 3 RODO, które wyraźnie wskazuje na konieczność zapewnienia, że zgoda może zostać wycofana w dowolnym momencie. Jej wycofanie musi być równie łatwe, jak jej wyrażenie, co oznacza, że jeśli zgoda była pozyskana przy użyciu interfejsu użytkownika (na przykład za pośrednictwem strony internetowej, aplikacji, strony logowania, interfejsu urządzenia IoT lub poczty elektronicznej), jej odwołanie powinno być możliwe za pomocą tego samego interfejsu elektronicznego. Łatwość odwołania zgody w każdym momencie będzie decydująca przy ocenie, czy dotychczas zebrane zgody zachowają ważność.

Na każdym administratorze ciąży też obowiązek poinformowania osoby, której dane dotyczą, o możliwości odwołania zgody, zanim ta zgoda zostanie wyrażona. Ma to związek z zasadą przejrzystości i koniecznością poinformowania osób, których dane dotyczą, o sposobie realizacji ich praw. Unijny ustawodawca zdecydował się wyróżnić ten konkretny obowiązek informacyjny administratora, sytuując go w przepisie określającym warunki wyrażenia zgody. Wydaje się, że przekazanie tej informacji należy rozumieć w szerszym kontekście konieczności stworzenia mechanizmów zapewniających możliwość łatwego wycofania zgody, jako jeden z aspektów autonomii informacyjnej osób, których dane dotyczą. Informacje, jak wycofać zgodę, mają w tym kontekście zasadnicze znaczenie.

Będzie trzeba spełnić obowiązek informacyjny

Każdy administrator, który opiera operacje przetwarzania danych na zgodzie osoby, musi spełnić obowiązki informacyjne określone w art. 13 RODO. Właściwa realizacja tych obowiązków jest niezbędna, by uznać, że zgoda została wyrażona w sposób świadomy – zauważa GIODO. Jak wynika z ostatnich wytycznych Grupy Roboczej Art. 29 dotyczących zgody, art. 13 ust. 2 RODO należy rozumieć w sposób, który nie wyklucza ważności zebranych zgód w sytuacji, kiedy nie wszystkie informacje określone w tym przepisie zostały przekazane osobie, której dane dotyczą w momencie pozyskiwania zgody (zostały np. zawarte w polityce prywatności). „Jako że nie wszystkie elementy wymienione w artykułach 13 i 14 muszą zawsze występować jako warunek świadomej zgody, rozszerzone obowiązki informacyjne na mocy RODO niekoniecznie przeciwstawiają się ciągłości zgody wyrażonej przed wejściem w życie RODO” – czytamy w wytycznych.

Mając powyższe na uwadze oraz uwzględniając fakt, że prawny obowiązek poinformowania osoby o możliwości wycofania zgody jest elementem obowiązków informacyjnych towarzyszących gromadzeniu danych osobowych (art. 13 ust. 2 lit. c RODO), administratorzy przetwarzający dane osobowe na podstawie zgody wyrażonej na mocy ustawy o ochronie danych osobowych, nie muszą automatycznie pozyskiwać wszystkich zgód na nowo. GIODO podkreśla jednak, że ważność pierwotnie pozyskanych oświadczeń musi odpowiadać wszystkim wymaganiom, jakie wobec zgód formułuje RODO.

Zdaniem GIODO konieczność dostosowania zgód do wymogów RODO w żaden sposób nie wpływa na skuteczność i prawidłowość stosunków prawnych ukształtowanych przed wejściem w życie RODO. Punktem odniesienia do uznania ważności dotychczas zebranych zgód na przetwarzanie danych będą zatem jedynie przepisy RODO zawierające wymagania wobec tej konkretnej podstawy prawnej przetwarzania danych.

GIODO zachęca do przeglądu stosowanych klauzul i mechanizmów pozyskiwania zgody i upewnienia się, że spełniają standardy określone w RODO i nie ma potrzeby zbierania zgód raz jeszcze. Co więcej, pamiętając o zasadzie rozliczalności, warto dokumentować wszelkie czynności związane z pozyskiwaniem zgód – np. kiedy i w jakich okolicznościach zostały pozyskane oraz w jaki sposób spełniono obowiązek informacyjny.

Źródło:

GIODO

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x