Przedsiębiorcy mogą odetchnąć z ulgą – wejście w życie nowych unijnych przepisów nie będzie dla nich oznaczać konieczności pozyskania na nowo zebranych dotychczas zgód na przetwarzanie danych osobowych. To oficjalne stanowisko generalnego inspektora ochrony danych osobowych.
Po wcześniej wydanych wytycznych Grupy Roboczej Art. 29 (zgromadzenie rzeczników ochrony danych osobowych ze wszystkich państw UE) to kolejny głos mówiący, że posiadane przez przedsiębiorców zgody nie stracą automatycznie swej ważności. Głos dla krajowych firm najważniejszy, bo wydany przez polski organ. Gdyby doszedł on do odmiennych wniosków, mielibyśmy do czynienia z operacją potwierdzania zgód na niewyobrażalną skalę. Polacy zostaliby zasypani listami, e-mailami czy telefonami z prośbą o potwierdzenie, że godzą się na przetwarzanie ich danych przez banki, ubezpieczycieli, operatorów komórkowych, usługodawców internetowych czy zwykłe sklepy.
Skąd brało się takie zagrożenie? Z art. 7 unijnego rozporządzenia o ochronie danych (RODO). Przepis ten wskazuje warunki, jakie trzeba spełnić, żeby zgoda na przetwarzanie danych była ważna. Jednym z nich jest zagwarantowanie prawa do jej odwołania w dowolnym momencie i poinformowanie konsumenta o takim prawie, zanim udzieli zgody. Polskie przepisy gwarantują prawo do cofnięcia zgody, ale dotychczas nie zobowiązywały do powiadamiania o tym klientów.
Pojawiły się interpretacje, że oznacza to konieczność zbierania nowych zgód, a przynajmniej poinformowania tych, którzy je udzielili, o prawie do ich wycofania. Na szczęście GIODO ich nie podzielił. Uznał, że przekazanie tych informacji należy rozumieć w szerszym kontekście, jako konieczność stworzenia mechanizmów zapewniających możliwość łatwego wycofania zgody.
„Jej wycofanie musi być równie łatwe, jak jej wyrażenie, co oznacza, że jeśli zgoda była pozyskana przy użyciu interfejsu użytkownika (na przykład za pośrednictwem strony internetowej, aplikacji, strony logowania, interfejsu urządzenia internetu rzeczy lub poczty elektronicznej), jej odwołanie powinno być możliwe za pomocą tego samego interfejsu elektronicznego. Owa łatwość odwołania zgody w każdym momencie będzie decydująca w uznaniu, czy dotychczas zebrane zgody zachowają ważność” – można przeczytać w stanowisku GIODO.
Podobnego zdania jest dr Wojciech Wiewiórowski, zastępca europejskiego inspektora ochrony danych. – Zawsze byliśmy zdania, że prawidłowo zebrane zgody pod rządami poprzedniej ustawy zachowują moc. Jeśli dotychczasowa sytuacja klienta, który poprawnie udzielił zgody, została co najwyżej poprawiona pod rządami RODO, to podstawowa zasada kontynuacji ochrony wskazuje, że ponowne zbieranie zgód byłoby nielogiczne – twierdzi Wiewiórowski.
GIODO podkreśla jednak, że każdy administrator powinien przeanalizować, czy posiadane przez niego zgody spełniają wszystkie wymagania RODO. I wskazuje na cztery najistotniejsze elementy: dobrowolność, świadomość, konkretność i jednoznaczność.
Osoba udzielająca zgody musi mieć możliwość dokonania swobodnego wyboru i być poinformowana o swych uprawnieniach. Sama zgoda ma zaś precyzyjnie określać cel zbierania danych i być wyrażona w sposób jednoznaczny, w formie oświadczenia lub wyraźnego potwierdzenia.
W stanowisku GIODO wyraźnie podkreślono, że sam fakt zgodności z dotychczasowymi przepisami o ochronie danych osobowych nie będzie miał charakteru decydującego. Liczyć się będzie zgodność z RODO. Wydaje się jednak, że zgody uzyskane z pełnym poszanowaniem obecnego prawa powinny spełniać te standardy. A to dlatego, że polskie prawo było dużo bardziej restrykcyjne od unijnego, nie akceptując chociażby zgód dorozumianych.
Bez wątpienia jednak każdy administrator powinien dokonać indywidualnej analizy zgromadzonych zgód. „Zachęcamy do przeglądu stosowanych klauzul i mechanizmów pozyskiwania zgody i upewnienia się, że spełniają standardy określone w ogólnym rozporządzeniu i nie ma potrzeby zbierania zgód raz jeszcze. Co więcej, pamiętając o zasadzie rozliczalności, warto dokumentować wszelkie czynności związane z pozyskiwaniem zgód – np. kiedy i w jakich okolicznościach zostały pozyskane oraz w jaki sposób spełniono obowiązek informacyjny” – czytamy w stanowisku GIODO.