RODO – ważność poprzednio udzielonych zgód

RODO – ważność poprzednio udzielonych zgód

RODO to tylko cztery litery, a zamieszanie jakie panuje wokół tego rozporządzenia jest niewiarygodne. Dlatego kwestii dotyczącej RODO nie może zabraknąć również na naszym blogu. Tym bardziej, że firmy z branży modowej przetwarzają dane osobowe klientów i powinny być żywo zainteresowane tą tematyką.

Już 25 maja 2018r. zacznie w Polsce obowiązywać Rozporządzenie o ochronie danych osobowych [pełna nazwa to: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r., w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych)]. Zmiany jakie ono wprowadza okrzyknięte zostały rewolucyjnymi. Ale czy rzeczywiście tak jest? Moim zdaniem nie do końca.

RODO wcale nie jest aż tak straszne i nie wywraca ochrony danych osobowych do góry nogami. Oczywiście u przedsiębiorcy, który dotychczas zupełnie nie przejmowała się poprawnością przetwarzania w swojej firmie danych osobowych widmo wysokich kar finansowych może budzić pewien niepokój, ale jednak większa część przedsiębiorców miała przewidziane procedury dotyczące ochrony danych osobowych i aktualnie powinna jedynie sprawdzić czy spełniają one wymogi RODO i wprowadzić ewentualne zmiany.

Jedną z istotniejszych kwestii w związku z wejściem w życie RODO jest zagadnienie związane z ważnością dotychczas udzielonych zgód. Pomijam – na tę chwilę – czy rzeczywiście we wszystkich przypadkach istniała konieczność pozyskiwania tych zgód, albowiem na gruncie aktualnie jeszcze obowiązującej ustawy o ochronie danych osobowych administrator danych mógł je przetwarzać na potrzeby marketingu własnych usług lub produktów bez pozyskiwania zgody, na podstawie przesłanki ustawowej z art. 23 ust. 1 pkt. 5 w zw. z art. 23 ust. 4 pk.t 1) ustawy o ochronie danych osobowych, tj.  w prawnie usprawiedliwionym celu.

Na gruncie RODO „za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.” – motyw (47) preambuły rozporządzenia. Jednak motyw ten posługuje się słowem „może” i istnieje ryzyko, że w praktyce cel ten będzie wyłączany z prawnie uzasadnionego interesu, a przynajmniej będzie każdorazowo analizowany.

W tym miejscu warto podkreślić, że GIODO do tej pory stał na stanowisku, że pozyskiwanie zgody w przypadkach, w których możliwość przetwarzania danych wynika z ustawy, jest nieprawidłowe.

Wracając jednak do zgód dotychczas udzielonych przytoczyć trzeba stanowisko GIODO, zgodnie z którym „Zgoda, która dotychczas została pozyskana, jest nadal ważna, o ile jest ona zgodna z warunkami określonymi w rozporządzeniu. Takie stanowisko wynika bezpośrednio z treści motywu 171 ogólnego rozporządzenia o ochronie danych (RODO): „jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia”.”

Jakie warunki musi spełniać zgoda zgodnie z RODO?

Otóż musi ona być wyrażona dobrowolnie, musi być konkretna, czyli wyraźnie wskazywać zakres i cel przetwarzania danych, jednoznaczna i udzielona świadomie.

Kapitalne znaczenie dla oceny ważności poprzednio uzyskanych zgód ma również to czy osoby, których dane są przetwarzane na podstawie zgody zostały przed jej wyrażeniem poinformowane o możliwości jej wycofania. Nadto, istotne jest czy procedura wycofania zgody jest tak samo łatwa jak procedura jej udzielenia. GIODO podkreśla, że wycofanie zgody „musi być równie łatwe, jak jej wyrażenie, co oznacza, że jeśli zgoda była pozyskana przy użyciu interfejsu użytkownika (na przykład za pośrednictwem strony internetowej, aplikacji, strony logowania, interfejsu urządzenia IoT lub poczty elektronicznej), jej odwołanie powinno być możliwe za pomocą tego samego interfejsu elektronicznego. Owa łatwość odwołania zgody w każdym momencie będzie decydująca w uznaniu, czy dotychczas zebrane zgody zachowają ważność.”

Trzeba również pamiętać o tym, że ocena czy dotychczas wyrażone zgody spełniają wymagania określone w RODO nie będzie odbywała się na podstawie oświadczeń i zapewnień administratora tylko na podstawie analizy tych zgód. Administrator musi być bowiem w stanie wykazać, że zgody spełniają te wymagania.

Co radzi GIODO?

GIODO w swoim stanowisku zachęca do „przeglądu stosowanych klauzul i mechanizmów pozyskiwania zgody i upewnienia się, że spełniają standardy określone w ogólnym rozporządzeniu i nie ma potrzeby zbierania zgód raz jeszcze. Co więcej, pamiętając o zasadzie rozliczalności, warto dokumentować wszelkie czynności związane z pozyskiwaniem zgód – np. kiedy i w jakich okolicznościach zostały pozyskane oraz w jaki sposób spełniono obowiązek informacyjny.” Ja natomiast zdecydowanie radzę z tej zachęty skorzystać.

No Comments

Post A Comment