Ważność dotychczas uzyskanych zgód na przetwarzanie danych osobowych po 25 maja 2018r.

22.01.2018

W dniu 28 listopada 2017 r. Grupa Robocza Art. 29 przyjęła projekt wytycznych dotyczących zgody na gruncie RODO[1] (podlegają one obecnie konsultacjom społecznym i ich ostateczna treść może ulec zmianie), w oparciu o które także Generalny Inspektor Ochrony Danych Osobowych opublikował swoje stanowisko dotyczące ważności zgód na przetwarzanie danych osobowych.

W niniejszym wpisie chcielibyśmy przedstawić Państwu główne założenia dotyczące ważności dotychczas uzyskanych zgód po 25 maja 2018 r., wynikające bezpośrednio z RODO, a także ww. dokumentów.

Dotychczas uzyskane zgody na przetwarzanie danych osobowych, które zostały zebrane w oparciu o obecnie obowiązującą ustawę o ochronie danych osobowych, nie stracą ważności po wejściu w życie RODO „jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom RODO”.

Taki wniosek wynika wprost z treści motywu 171 preambuły do RODO i takie stanowisko przyjął Główny Inspektor Ochrony Danych Osobowych (GIODO). Wobec tego GIODO zachęca do dokonania przeglądu stosowanych klauzul i mechanizmów pozyskiwania zgody i upewnienia się, że spełniają standardy RODO.

Powstaje jednak pytanie, jak w praktyce sprawdzić, czy zgoda odpowiada warunkom RODO. Wyżej powołany sposób wyrażenia zgody w kontekście motywu 171 preambuły to wszystkie elementy, jakie składają się na oświadczenie woli zawierające w treści zezwolenie na przetwarzanie danych osobowych: zdolność do złożenia takiego oświadczenia, jego forma i treść oraz towarzyszące mu okoliczności.

Należy zatem przede wszystkim sprawdzić m.in., czy zgoda została udzielona w określonym celu, czy nie była dorozumiana z innych oświadczeń, milcząca, lub polegająca na domyślnym zaznaczeniu okienek przez usługodawcę, czy wraz z zapytaniem o zgodę spełniony został obowiązek informacyjny (m.in. wyraźnie wskazany został administrator danych). Administrator danych będzie zatem musiał ocenić, czy uzyskana zgoda spełnia kryteria opisane w art. 4 pkt 11, 6 ust. 1 lit. a, 7 oraz 9 ust. 2 lit. a i motywach 32, 33, 42, 43 RODO. Ważność zachowa zgoda, jeżeli została złożona dobrowolnie, jednoznacznie, świadomie i konkretnie dla określonych celów, ze świadomością różnego zakresu wrażliwości przetwarzania danych. Administrator, zgodnie z zasadą rozliczalności, musi być w stanie wykazać, że zgoda została w ogóle udzielona i spełnia ww. warunki.

Zgoda na przetwarzanie danych osobowych jest dobrowolna, gdy osoba wyrażająca zgodę miała swobodę wyboru, a jej wyrażenie lub odmowa nie ma wpływu na inne uprawnienia danej osoby. Każdy rodzaj nacisku, przymusu, czy wpływu na osobę, której dane osobowe dotyczą i uniemożliwiają jej wyrażenie wolnej woli spowoduje, że zgoda będzie nieważna. Chodzi tu m.in. o przypadki połączenia zgody np. na cele marketingowe z akceptacją ogólnych warunków umów. Jest to bowiem przypadek, gdy cel przetwarzania nie jest niezbędny do realizacji umowy (należy przy tym pamiętać, że sama umowa jest niezależną podstawą przetwarzania danych koniecznych do jej realizacji i w tym zakresie nie jest konieczne odbieranie odrębnej zgody). Zgody nie uważa się za dobrowolną również wtedy, gdy nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne. Zatem gdy przetwarzanie danych jest prowadzone w kilku celach, to należy uzyskać odrębną zgodę dla każdego celu. Motyw 43 RODO stanowi ponadto: Aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach (…). Brak równowagi sił może pojawić m.in. w kontekście zatrudnienia i relacji pracodawca – pracownik. W wytycznych dotyczących zgody znajdujemy jednak wskazanie przypadków, gdzie organ publiczny albo pracodawca ma prawo wykorzystywać zgodę jako legalną podstawę przetwarzania danych pracowniczych (podobnie w polskim projekcie Ustawy wprowadzającej ustawę o ochronie danych osobowych z dnia 12 września 2017 r. dopuszczona została zgoda pracownika jako podstawa przetwarzania danych osobowych – projekt jest w trakcie konsultacji i jego ostateczna treść może ulec zmianie).

Zgoda na przetwarzanie danych osobowych wypełnia kryterium konkretności, gdy precyzyjnie określa cel przetwarzania danych oraz wskazuje zakres danych, a w przypadku wielości celów, jest wyrażona odrębnie dla każdego celu. Szczegółowość w zapytaniach o zgodę ma zatem umożliwić użytkownikom wyrażenie konkretnej zgody na konkretne cele. Ponadto, aby wymóg konkretności został spełniony należy wyraźnie oddzielić informacje związane z uzyskaniem zgody na działania
w zakresie przetwarzania danych od informacji dotyczących innych kwestii.

Zgoda na przetwarzanie danych osobowych jest świadoma, gdy udziela jej osoba prawidłowo poinformowana. Administrator danych powinien zatem – podczas pozyskiwania danych osobowych –  zapewnić niezbędne informacje osobom, które udzielają zgody na przetwarzanie danych i używać przy tym zrozumiałego, prostego języka. Zgoda musi być jasna i dać się odróżnić od innych kwestii. Osoba udzielająca zgody wie zatem, na co wyraża zgodę i w jaki sposób jej dane osobowe będę przetwarzane przez administratora.

Jednoznaczność zgody oznacza natomiast, że jest ona wyrażona w formie oświadczenia lub wyraźnego działania potwierdzającego. Udzielenie zgody nie może pozostawiać wątpliwości co do zamiaru jej udzielenia. Osoba wyrażająca zgodę na przetwarzanie danych musi zatem podjąć zamierzone działanie w celu wyrażenia zgody na określone przetwarzanie.

Zgoda na gruncie aktualnie obowiązującej polskiej ustawy o ochronie danych osobowych powinna być dobrowolna, udzielona przez osobę poinformowaną, nie może mieć abstrakcyjnego charakteru oraz mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla osoby udzielającej zgody w momencie jej wyrażania. Co istotne, po 25 maja 2018 r. nie będzie miało decydującego znaczenia to, czy zgoda odpowiada wymogom prawnym aktualnym w momencie jej zbierania. Punktem odniesienia dla uznania ważności dotychczas zebranych zgód na przetwarzanie danych będzie ich zgodność z wymaganiami RODO. Aktualnie obowiązujące polskie przepisy dotyczące zgody i wytyczne GIODO w tym zakresie nie odbiegają istotnie od wymogów RODO. Jeżeli więc przedsiębiorcy stosowali się do zaleceń GIODO i przepisów prawa, jest duża szansa, że odebrane zgody zachowają swoją ważność. Najistotniejszym elementem, który musi zostać zweryfikowany jest poinformowanie osób fizycznych o możliwości wycofania zgody oraz zagwarantowanie przez administratora możliwości wycofania zgody w sposób równie łatwy jak jej wyrażenie.

Zagadnieniem budzącym wiele wątpliwości jest w związku z tym odpowiedź na pytanie, czy wobec osób, których dane osobowe są obecnie przetwarzane (także na podstawie zgody), należy spełnić rozszerzony na gruncie RODO obowiązek informacyjny.

Według opublikowanego projektu wytycznych Grupy Roboczej nie można wymagać, by zachowały ważność jedynie te zgody, przy zbieraniu których przekazano wszystkie informacje wymagane przez art. 13 i 14 RODO. W wytycznych czytamy: „Nie wszystkie elementy wymienione w artykułach 13 i 14 RODO muszą zawsze występować jako warunek świadomej zgody, zatem rozszerzone obowiązki informacyjne na mocy RODO niekoniecznie przeciwstawiają się ciągłości zgody wyrażonej przed wejściem w życie RODO.

Przepisy RODO dotyczące obowiązku informacyjnego należy rozumieć zatem w taki sposób, który automatycznie nie wyklucza ważności zebranych zgód w sytuacji, kiedy w momencie pozyskiwania zgody nie wszystkie informacje zostały przekazane. Nie można jednak jednoznacznie stwierdzić, jakie zgody zachowają ważność, a jakie nie – zależy to bowiem nie tylko od samej treści klauzuli zgody, ale także innych dokumentów i mechanizmów stosowanych przez administratora danych.

Aby wykluczyć ryzyko zarzutu przetwarzania danych osobowych bez podstawy prawnej po 25 maja 2018 r. wskazane jest, aby przedsiębiorcy już teraz dokonali weryfikacji treści i warunków dotychczas pozyskiwanych zgód pod katem RODO. Przetwarzanie danych bez podstawy prawnej wiąże się bowiem z ryzykiem nałożenie kary administracyjnej w wysokości do 20 000 000 EU, a w przypadku przedsiębiorstwa – do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa).

 

Sylwia Dąbrowska-Pacan

 

[1] Projekt wytycznych dot. zgody na gruncie RODO podlega obecnie konsultacjom społecznym, w związku czym ich ostateczna treść może ulec zmianie.