Ochrona danych osobowych

Obowiązek zaktualizowania zgody na przetwarzanie danych po wejściu w życie RODO

Rozpoczęcie stosowania – od 25 maja 2018 r. – przepisów unijnego ogólnego rozporządzenia o ochronie danych (RODO) oznacza rewolucję. Ten akt prawny nakłada bowiem na administratorów danych wiele nowych obowiązków.

Kiedy dotychczasowa zgoda będzie dalej ważna?

Zgodnie z RODO, jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46 i odpowiada ona warunkom przewidzianym w ustawie o ochronie danych osobowych z 1997 r., to będzie ona ważna również po 24 maja 2018 r. W takim przypadku administrator może kontynuować przetwarzanie w oparciu o „starą” zgodę.

Grupa Robocza art. 29 w wytycznych przyjętych 28 listopada 2017 r. w sposób jasny stwierdziła, że zgody zbierane przed rozpoczęciem stosowania RODO i zgodnie z krajowymi przepisami o ochronie danych osobowych nie muszą być automatycznie zbierane ponownie po 25 maja 2018 r. Jednak zgoda zachowa ważność wyłącznie wtedy, jeśli jest zgodna z zasadami określonymi w RODO. Na te zasady składa się szereg elementów, takich jak np. konieczność przekazania szeregu informacji przy zbieraniu danych osobowych.

Grupa stwierdziła wyraźnie, że niepodanie przy zbieraniu danych informacji, które trzeba podawać na gruncie RODO, a których wcześniej podawać nie trzeba było, nie powoduje automatycznie, że tak udzielone zgody stracą ważność. Przykładem takiej sytuacji może być właśnie kwestia informowania o możliwości odwołania zgody.

Przepisy RODO nakładają na administratorów nieistniejący dotąd obowiązek poinformowania o prawie do odwołania zgody, na etapie gromadzenia danych. W ocenie Ministra Cyfryzacji zasada aktualności obowiązująca w prawie administracyjnym wyłącza uznanie, że pozyskanie zgodne z prawem zgody przed 25 maja 2018 r. powinny być po tej dacie uzupełniane o obowiązek poinformowania o prawie do ich odwołania. Przemawia za tym również orzecznictwo NSA. W wyroku z 8 lipca 2011 r., sygn. I OSK 389/11, NSA wskazał, że późniejsza zmiana przepisów stanowiących podstawę rozstrzygnięcia administracyjnego nie ma znaczenia dla oceny prawidłowości wydanej pod rządami poprzednio obowiązującej regulacji decyzji.

Należy jednak zastrzec, że polski organ nadzorczy lub instytucje unijne mogą wyrazić inne stanowisko w sprawie, co będzie rodziło wątpliwości Ministra Cyfryzacji, ale może prowadzić do odmiennego rozumienia tego obowiązku.

Definicja zgody w RODO zawiera 2 nowe przesłanki w porównaniu do zgody określonej w dyrektywie 95/46, a więc i w ustawie o ochronie danych osobowych z 1997 roku, są to:

  1. przesłanka jednoznacznego okazania woli; 
  2. przesłanka oświadczenia pisemnego, elektronicznego bądź wyraźnego działania potwierdzającego okazanie woli (którą można nazwać „okazaniem woli w sposób afirmatywny”).

Zgodnie z RODO, spełnienie przesłanki afirmatywnej formy okazania woli może natomiast polegać między innymi na:

  • zaznaczeniu okienka wyboru podczas przeglądania strony internetowej,
  • wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego,
  • innym oświadczeniu lub zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych.

Stanowisko GIODO dotyczące ważności zgód na przetwarzanie danych osobowych

Również GIODO potwierdził, iż zgody na przetwarzanie danych osobowych zebrane na podstawie ustawy o ochronie danych osobowych nie tracą ważności. Należy się jednak upewnić, czy zostały pozyskane zgodnie z wymaganiami określonymi w RODO, tak aby zapewnić osobom wyrażającym zgodę swobodę wyboru.

Zgoda, która dotychczas została pozyskana, jest nadal ważna, o ile jest ona zgodna z warunkami określonymi w rozporządzeniu. Takie stanowisko wynika bezpośrednio z treści motywu 171 preambuły ogólnego rozporządzenia o ochronie danych (RODO), wdług którego: „jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia”. RODO nie przewiduje przepisów przejściowych w stosunku do dyrektywy 95/46/WE. Ważność zachowuje zatem zgoda, która została pierwotnie zebrana w sposób gwarantujący osobie, której dane dotyczą, złożenie oświadczenia spełniającego następujące kryteria:

  • dobrowolność – zgoda oznaczać musi możliwość realnego, swobodnego wyboru, nie może być wymuszona; brak wyrażenia zgody nie może również powodować negatywnych konsekwencji dla osoby, której dane dotyczą; motyw 43 RODO zwraca szczególną uwagę w tym kontekście na sytuację, w której istnieje wyraźny brak równowagi pomiędzy administratorem a osobą, której dane dotyczą, np. w relacji pracodawca-pracownik;
  • konkretność – zgoda musi określać precyzyjnie cel przetwarzania danych oraz wskazywać zakres danych; niedopuszczalne jest zbieranie zgód blankietowych, ogólnych; należy również wyraźnie oddzielić informacje związane z uzyskaniem zgody od informacji dotyczących innych kwestii;
  • świadomość – przed uzyskaniem zgody należy zapewnić niezbędne informacje osobom, których dane dotyczą, aby umożliwić im podejmowanie świadomych decyzji i zrozumienie, na co wyrażają zgodę; prosząc o zgodę, administratorzy powinni upewnić się, że używają jasnego i prostego języka;
  • jednoznaczność – ważna zgoda wymaga jednoznacznego okazania w formie oświadczenia lub wyraźnego działania potwierdzającego, co oznacza, że osoba, której dane dotyczą, musi podjąć celowe działanie w celu wyrażenia zgody na określone przetwarzanie.

Administrator musi być w stanie to wykazać (zgodnie z zasadą rozliczalności).

Analiza poprawności wszystkich dotychczasowych zgód powinna zatem w pierwszej kolejności uwzględniać to, czy zebrane dotychczas zgody opatrzone były wyraźnym wskazaniem administratora danych i określeniem celu przetwarzania danych, nie były dorozumiane z oświadczeń innej treści, milczące (niepodjęcie działań nie może oznaczać zgody) lub polegające na domyślnym zaznaczeniu okienek przez usługodawcę. Każdy administrator będzie musiał ocenić, czy pozyskane przez niego zgody spełniają kryteria opisane w art. 4 pkt 11 (dobrowolności, konkretności, świadomości i jednoznaczności), art. 6 ust. 1 lit. a w związku z art. 7 oraz art. 9 ust. 2 lit. a RODO.

Zagadnienie to zostało omówione szerzej w Wytycznych Grupy Roboczej do art. 29 dotyczących zgody (WP259). Wytyczne wyjaśniają kwestie pozyskiwania zgód, w tym również kwestię ważności zgód zebranych przed 25 maja 2018 r., czyli przed dniem, w którym zaczniemy stosować RODO. W związku z licznymi pytaniami, ten ostatni aspekt – ważności zgód zebranych na podstawie ustawy o ochronie danych osobowych – wymagał dodatkowych wyjaśnień. Szczególnie w kontekście warunków wyrażenia zgody określonych w art. 7 RODO.

Przedmiotem dyskusji było brzmienie art. 7 ust. 3 RODO, które wyraźnie wskazuje na konieczność zapewnienia, że zgoda może zostać wycofana w dowolnym momencie. Jej wycofanie musi być równie łatwe, jak jej wyrażenie, co oznacza, że jeśli zgoda była pozyskana przy użyciu interfejsu użytkownika (na przykład za pośrednictwem strony internetowej, aplikacji, strony logowania, interfejsu urządzenia IoT lub poczty elektronicznej), jej odwołanie powinno być możliwe za pomocą tego samego interfejsu elektronicznego. Owa łatwość odwołania zgody w każdym momencie będzie decydująca w uznaniu, czy dotychczas zebrane zgody zachowają ważność.

Co więcej, na każdym administratorze ciąży obowiązek poinformowania osoby, której dane dotyczą, o możliwości odwołania zgody, zanim ta zgoda zostanie wyrażona. Ma to związek z zasadą przejrzystości i koniecznością poinformowania osób, których dane dotyczą, o sposobie realizacji ich praw (motyw 39 preambuły RODO wskazuje że „osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem”). Unijny ustawodawca zdecydował się wyróżnić ten konkretny obowiązek informacyjny administratora sytuując go w przepisie określającym warunki wyrażenia zgody. Wydaje się, że przekazanie tej informacji należy rozumieć w szerszym kontekście konieczności stworzenia mechanizmów zapewniających możliwość łatwego wycofania zgody, jako jeden z aspektów autonomii informacyjnej osób, których dane dotyczą. Informacje, jak wycofać zgodę, mają w tym kontekście zasadnicze znaczenie.

Oczywiście każdy administrator, który opiera operacje przetwarzania danych na zgodzie osoby musi spełnić szereg obowiązków informacyjnych określonych w art. 13 RODO. W praktyce, właściwa realizacja tych obowiązków jest niezbędna do uznania, że zgoda została wyrażona w sposób świadomy. Jak podkreślono jednak w ostatnich Wytycznych Grupy Roboczej Art. 29 dotyczących zgody (WP 259), art. 13 ust. 2 RODO należy rozumieć w sposób, który nie wyklucza ważności zebranych zgód w sytuacji kiedy nie wszystkie informacje określone w tym przepisie zostały przekazane osobie, której dane dotyczą w momencie pozyskiwania zgody (zostały np. zawarte w polityce prywatności). „Jako że nie wszystkie elementy wymienione w artykułach 13 i 14 muszą zawsze występować jako warunek świadomej zgody, rozszerzone obowiązki informacyjne na mocy RODO niekoniecznie przeciwstawiają się ciągłości zgody wyrażonej przed wejściem w życie RODO” - czytamy w Wytycznych.

Mając powyższe na uwadze oraz uwzględniając fakt, że prawny obowiązek poinformowania osoby o możliwości wycofania zgody jest elementem obowiązków informacyjnych towarzyszących gromadzeniu danych osobowych (art. 13. ust. 2 lit. c RODO), administratorzy przetwarzający dane osobowe na podstawie zgody wyrażonej na mocy ustawy o ochronie danych osobowych, nie muszą automatycznie pozyskiwać wszystkich zgód na nowo. Jeszcze raz należy jednak podkreślić, że ważność pierwotnie pozyskanych oświadczeń musi odpowiadać wszystkim wymaganiom, jakie wobec zgód formułuje RODO.

W tym kontekście, fakt, iż zgoda spełnia standardy ustawy o ochronie danych osobowych, czyli odpowiada wymogom prawnym aktualnym w momencie ich zbierania, nie będzie miał charakteru decydującego. Również zasada lex retro non agit (niedziałania prawa wstecz) nie będzie miała w tym przypadku zastosowania, bowiem konieczność dostosowania zgód do wymogów RODO w żaden sposób nie wpływa na skuteczność i prawidłowość stosunków prawnych ukształtowanych przed wejściem w życie RODO. Punktem odniesienia dla uznania ważności dotychczas zebranych zgód na przetwarzanie danych będą zatem jedynie przepisy RODO zawierające wymagania wobec tej konkretnej podstawy prawnej przetwarzania danych.

GIODO zachęca więc do przeglądu stosowanych klauzul i mechanizmów pozyskiwania zgody i upewnienia się, że spełniają standardy określone w ogólnym rozporządzeniu i nie ma potrzeby zbierania zgód raz jeszcze. Co więcej, pamiętając o zasadzie rozliczalności, warto dokumentować wszelkie czynności związane z pozyskiwaniem zgód – np. kiedy i w jakich okolicznościach zostały pozyskane oraz w jaki sposób spełniono obowiązek informacyjny. 

Stanowisko GIODO w sprawie zachowania ważności zgód na przetwarzanie danych, odnoszące się do dyskusji publicznej na ten temat, opiera się na Wytycznych Grupy Roboczej Art. 29 dotyczących zgody na mocy rozporządzenia 2016/679 (WP259), których tekst został przetłumaczony na język polski przez Biuro GIODO - zob niżej.

Kiedy trzeba uzyskać nową zgodę na przetwarzanie danych?

Zgodnie z RODO, milczenie, okienka zaznaczone domyślnie lub niepodjęcie działania, nie powinny oznaczać zgody. Dlatego też, jeśli administrator zbierał zgody w takiej formie, to będzie musiał zbierać nowe zgody. Istotne jest także wdrożenie nowych mechanizmów i rozwiązań, takich jak zapewnienie rozliczalności, czy danie możliwości łatwego odwołania zgody, na co zwraca uwagę w opinii Grupa Robocza.

 

Podstawa prawna:

  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1) - motywy preambuły 32, 40-57, 171 oraz art. 4 pkt 11, art. 6, art. 9-11;
  • Wytyczne Grupy Roboczej Art. 29 dotyczące zgody na przetwarzanie danych osobowych, dostępne na: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083 i w języku angielskim dostępne są pod adresem: http://giodo.gov.pl/pl/1520281/10292; zob. Wytyczne dotyczące zgody na mocy rozporządzenia 2016/679 (tłumaczenie nieoficjalne)

 


Obserwuj nas na:

Potrzebujesz porady prawnej?

KOMENTARZE (1)

Anna

8.12.2018 13:35:17

Re: Obowiązek zaktualizowania zgody na przetwarzanie danych po wejściu w życie RODO

A jak to wygląda z obowiązkiem informowania użytkownika w jego języku ojczystym przez firmy zagraniczne mające swoje filie w Polsce i nierzadko idące na skróty i informujące wyłącznie po angielsku? Zasada jasności i świadomościwtedy nie jest zachowana?


Dodaj komentarz

DODAJ KOMENTARZ

ZOBACZ TAKŻE:

  • 20.4.2018

    Nowe obowiązki informacyjne

    Od wszystkich administratorów danych wymagać się będzie, aby wszelkie informacje kierowane do osób, których dane dotyczą, były formułowane jasnym i prostym językiem, by były (...)

  • 4.11.2018

    Decyzje administracyjne bez numeru PESEL

    Do oznaczania stron postępowania nie powinno się wykorzystywać numeru PESEL. Takie działanie jest niezgodne z prawem, np. z RODO.

  • 14.6.2018

    Jak rozumieć i stosować podejście oparte na ryzyku?

    Zgodnie z RODO, każdy podmiot musi samodzielnie oceniać ryzyko, jakie przetwarzanie danych osobowych może spowodować dla praw i wolności osób, których te dane dotyczą. Dla (...)

  • 15.3.2018

    RODO - czyli co?

    Dnia 25 maja 2018 roku we wszystkich krajach należących do Unii Europejskiej zacznie być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO).

  • 21.4.2018

    Powierzenie danych osobowych

    Powierzenie danych powinno być regulowane umową lub innym instrumentem prawnym, określającym przedmiot i czas trwania przetwarzania, charakter i cele przetwarzania, rodzaj danych osobowych i kategorie (...)