Co w Prawie Piszczy | (Nowe) zgody jako podstawa przetwarzania danych osobowych?
7291
post-template-default,single,single-post,postid-7291,single-format-standard,cookies-not-set,ajax_fade,page_not_loaded,,wpb-js-composer js-comp-ver-5.4.4,vc_responsive

(Nowe) zgody jako podstawa przetwarzania danych osobowych?

Tematem budzącym emocje w związku ze zbliżającym się rozpoczęciem stosowania RODO jest zgoda jako podstawa przetwarzania danych osobowych. Rozwiązanie to znane jest już na gruncie ustawy o ochronie danych osobowych i często wykorzystywane w praktyce (na wzorach CV, formularzach zgłoszeniowych i kontaktowych, podczas zakupów on-line etc.). Wielu przedsiębiorców zastanawia się więc, czy dotychczas odebrane zgody zachowują ważność, a jeżeli tak – to pod jakimi warunkami.

Fakt, że zgoda spełniała wymogi prawne aktualne w momencie ich zbierania (pod „rządami” aktualnej ustawy) nie jest wystarczający – kluczowe jest, czy zgoda odpowiada również warunkom RODO.

Zgodnie z RODO zgoda osoby, której dane dotyczą, oznacza: dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, zezwala na przetwarzanie dotyczących jej danych osobowych.

Ww. wymagania występowały w większości już dotychczas – wydaje się więc, że jeśli zgoda została prawidłowo odebrana na gruncie aktualnej ustawy o ochronie danych osobowych, zachowuje swoją ważność.

Pamiętajmy jednak, że RODO podnosi poprzeczkę w odniesieniu do niektórych mechanizmów zgody i wprowadza kilka nowych wymogów. Np. w ocenie Grupy Roboczej art. 29  administrator powinien zapewnić mechanizmy do łatwego wycofania zgody. Jeżeli istniejące procedury zarządzania zgodą w przedsiębiorstwie nie spełniały tych standardów, administratorzy powinni uzyskać nową zgodę spełniającą wymogi RODO.

Kolejne nowe zasady dotyczą przetwarzania danych osobowych dzieci. Tam, gdzie zgoda ma zastosowanie w odniesieniu do usług społeczeństwa informacyjnego kierowanych bezpośrednio do dziecka (np. rejestracja na portalu społecznościowym), zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Jeżeli ma mniej – należy ją odebrać albo uzyskać jej potwierdzenie od rodziców lub opiekunów (dodatkowa zgoda nie powinna być jednak konieczna w przypadku usług profilaktycznych lub doradczych oferowanych bezpośrednio dziecku). Aktualnie trwające w Polsce prace nad ustawą wprowadzającą ustawę o ochronie danych osobowych obniżają jednak tę granicę do 13 lat.

Co więcej, w celu uzyskania „świadomej” zgody od dziecka, administrator powinien wyjaśnić w jaki sposób i w jakim celu ma zamiar przetwarzać zgromadzone dane, przy użyciu języka, który jest jasny i zrozumiały dla dzieci.

Wydaje się jednak, że RODO to nie tylko zaostrzone obowiązki, ale również liberalizacja podejścia. Powołując się na jego literalne brzmienie, można dojść do wniosku, że dopuszczalne jest, aby zgoda została odebrana w sposób łączny dla większej liczby celów – nawet jeżeli została złożona w jednym oświadczeniu.

Ze stanowiskiem tym nie zgadza się jednak Grupa Robocza art. 29 uznając, że gdy przetwarzanie danych jest prowadzone w kilku celach, rozwiązanie zapewniające przestrzeganie warunków ważnej zgody polega na szczegółowości, tj. na oddzieleniu tych celów i uzyskaniu zgody dla każdego celu (co odpowiada ofensywnemu podejściu na gruncie dotychczasowych przepisów).

Ponadto, nawet jeśli mamy wrażenie, że nasza (dotychczasowa) zgoda spełnia ww. warunki – nieodłącznym elementem odbioru zgody jest również spełnienie obowiązków informacyjnych. Rozszerzenie na gruncie RODO treści obowiązku informacyjnego powoduje, że administratorzy powinni spełnić obowiązek informacyjny zgodny z RODO wobec wszystkich osób, których dane przetwarzają przed 25 maja 2018 r. i chcą przetwarzać również po tej dacie – w tym na podstawie zgody. Oznacza to, że jeśli dane osobowe przetwarzane są na podstawie uprzednio wyrażonej zgody, warunkiem dalszego zgodnego z prawem ich przetwarzania jest także spełnienie rozszerzonych obowiązków informacyjnych.

Na marginesie, należy pamiętać, że nawet jeżeli przetwarzanie jest oparte na zgodzie, nie będzie ona legitymizować gromadzenia danych, które nie są konieczne w odniesieniu do określonego celu przetwarzania – analogicznie sytuacja wyglądała na gruncie ustawy o ochronie danych osobowych. Wobec braku faktycznego ryzyka nałożenia sankcji za naruszenie ww. ustawy, wiele podmiotów bezrefleksyjnie żądało podania zbyt dużej ilości informacji traktując zgodę jako narzędzie dające podstawę do ich przetwarzania – zgoda odebrana w takich warunkach nie powinna zachowywać swojej ważności na gruncie RODO.

Mateusz Borkiewicz – senior consultant, adwokat, t: +48 71 75 00 727, mateusz.borkiewicz@olesinski.com

Jacek Cieśliński – consultant, prawnik, t: +48 71 75 00 812, jacek.cieslinski@olesinski.com

Autor: Mateusz Borkiewicz

SENIOR CONSULTANT / ADWOKAT

mateusz.borkiewicz@olesinski.com

Więcej

Zaproponuj znajomym
Brak komentarzy.

skomentuj