Problem z RODO: wystąpić o zgodę czy nie?

opublikowano: 29-01-2018, 22:00

Przetwarzanie po reformie danych osobowych zebranych teraz wymaga odpowiedzi na proste pytanie: czy można. Ale odpowiedź na nie wcale nie jest prosta…

Administratorzy danych osobowych mają problem. Nie wiedzą, czy muszą ponownie wystąpić o zgodę na kontynuowanie przetwarzania tych, którymi już dysponują albo które zbiorą, zanim jeszcze wystartuje unijna reforma ochrony. Kwestią do rozstrzygnięcia jest to, co musi spełnić wyrażona przez kogoś zgoda, aby uznać ją za aktualną pod rządami nowych regulacji.

WIELE WĄTPLIWOŚCI: Damian Karwala, radca prawny z kancelarii CMS, zwraca uwagę, że rozporządzenie RODO nie daje jednoznacznej odpowiedzi na pytanie, czy trzeba ponownie występować o zgodę na kontynuowanie przetwarzania danych osobowych, które będą zbierane przed 25 maja. — Można z niego wyciągnąć dwa, a nawet trzy różne wnioski — podkreśla prawnik.
Zobacz więcej

WIELE WĄTPLIWOŚCI: Damian Karwala, radca prawny z kancelarii CMS, zwraca uwagę, że rozporządzenie RODO nie daje jednoznacznej odpowiedzi na pytanie, czy trzeba ponownie występować o zgodę na kontynuowanie przetwarzania danych osobowych, które będą zbierane przed 25 maja. — Można z niego wyciągnąć dwa, a nawet trzy różne wnioski — podkreśla prawnik. Fot. ARC

W tej kwestii ogólne rozporządzenie o ochronie danych (RODO), które ma być stosowane w krajach członkowskich Unii Europejskiej (UE), w tym w Polsce, od 25 maja tego roku, stawia wymagania szersze niż obecne przepisy. Nie daje jednak wprost odpowiedzi, jak traktować pozwolenia wydane na podstawie dotychczasowych regulacji.

Trzy wnioski

— Rozporządzenie jest w tej sprawie bardzo tajemnicze, a nawet w pewien sposób wewnętrznie sprzeczne. Można z niego wyciągnąć dwa, a nawet trzy różne wnioski — mówi Damian Karwala, radca prawny i starszy prawnik zespołu prawa własności intelektualnej i nowych technologii w kancelarii CMS. Pierwszy wniosek jest taki, że pozwolenia udzielone zgodnie z dotychczasowymi przepisami powinny być honorowane i utrzymanie ich ważności nie wymaga żadnych dodatkowych czynności.

— To nie jest takie nieuzasadnione, bo np. w Polsce, jeszcze przed przyjęciem RODO, uzyskanie zgody na przetwarzanie czyichś danych osobowych traktowano bardziej rygorystycznie, niż wynikało to z unijnej dyrektywy i niż w innych bardziej w tym zakresie liberalnych krajach, jak np. Wielka Brytania. Nasza ustawa w tej kwestii zawieszała poprzeczkę bardzo wysoko, niemal tak, jak nowe wymagania, które będą musieli spełnić przedsiębiorcy — wyjaśnia radca.

Dwa razy o tym samym

Według innej interpretacji można przyjąć, że pozwolenia te utracą ważność, bo RODO stawia określone wymagania, którym one nie odpowiadają. Zdaniem Damiana Karwali, rygorystyczne podejście do sprawy i uznanie, że należy dostosować się do wszystkich nowych warunków, oznacza, że spełniają je wyłącznie nieliczne oświadczenia osób, których dane są przetwarzane. Jednym z kluczowych argumentów przemawiających za takim wnioskiem jest zwrócenie uwagi na różnice w ilości informacji, które administrator będzie musiał od 25 maja przekazać klientowi przy ubieganiu się o akceptację na przetwarzanie jego danych. Obecnie ich zakres jest o wiele węższy od katalogu unijnego. Brakuje np. wymogu powiadomienia o prawie do wycofania udzielonej zgody.

— Czyli to drugie stanowisko sugeruje nieskuteczność obecnie posiadanych pozwoleń i konieczność ich ponownego uzyskania. Przy takim ujęciu nie ma znaczenia, że możliwość ich odwołania wynika wprost z przepisów. Zgodnie bowiem z RODO przedsiębiorca musi wyraźnie poinformować o tym osobę, której dane ma przetwarzać — wyjaśnia radca.

Informacje od administratora

Art. 13 RODO zawiera obszerną listę informacji, które trzeba podawać osobom, od których będą zbierane dane. Tak jak obecnie, administrator musi podać cel przetwarzania, podstawę prawną i kontakt do siebie. Ponadto ma informować m.in. o: odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją, zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych, przewidywanym okresie przechowywania danych, prawie do żądania dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, prawie do przenoszenia danych, prawie do cofnięcia zgody w dowolnym momencie, prawie wniesienia skargi do organu nadzorczego, zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

Wymóg poinformowania o tym jest zawarty w RODO dwukrotnie — i w zasadzie nie wiadomo dlaczego. Najpierw mowa o nim w art. 7, który określa warunki wyrażenia zgody, ze wskazaniem, że każda osoba jest powiadamiana o takim prawie. Drugi raz pojawia się w art. 13 — w katalogu informacji o podstawowych zasadach przetwarzania danych.

— Od tych przepisów oczekiwałbym jednak czegoś więcej — że nie tylko traktują informację o prawie do wycofania zgody jako jeden z elementów katalogu informacji do przekazania klientom, ale też, że wyraźnie wskażą, jeśli rzeczywiście takie były intencje, że od powiadomienia o takim uprawnieniu zależy ważność tej zgody. To kluczowy problem, bo Grupa Robocza Art. 29, interpretująca RODO w swoich uwagach podkreśla, że dotychczasowe oświadczenia mogą być ważne, jeśli spełniają wymogi tego rozporządzenia. Trochę to dziwi, bo organy nadzorcze, które tworzą grupę, powinny wiedzieć, że w większości przypadków administratorzy nie powiadamiali o tych kwestiach, bo nie musieli — zauważa prawnik.

Przez dłuższy czas w polskiej ustawie nie zapisywano wprost prawa do wycofania zgody. Powszechnie przyjmowano, że jeśli ktoś na coś przystał, to powinien móc także się z tego wycofać. Prawodawca doszedł jednak do wniosku, że należy w przepisach taką możliwość wskazać, i wprowadził odpowiednią zmianę w ustawie. Ale nie dodał obowiązku informowania klientów o takim uprawnieniu. A tego wymaga teraz RODO.

— Moim zdaniem, obecne pozwolenia powinny zachować ważność, jeśli spełniono wszystkie obowiązujące teraz wymagania. Warto jednak skontaktować się z klientem. Nie po to, aby spytać go, czy można kontynuować przetwarzanie danych, lecz aby uzupełnić informacje z tym związane, w tym o prawie do wycofania zgody. Najlepiej przekazać wszystkie kwestie wynikające z przepisów — twierdzi Damian Karwala. Mówi, że co prawda Grupa Robocza art. 29, która zostanie przekształcona 25 maja w Europejską Radę Ochrony Danych, w wytycznych co do stosowania przyszłych zasad zaznaczyła, że administrator pod rządami nowych przepisów musi poinformować o prawie do cofnięcia zgody i powinien zapewnić taką możliwość. I przyznała, że dyrektywa unijna nie nakładała takiego obowiązku. Stwierdzenie takich faktów nie jest jednak dla firm przesądzającą wskazówką.

Stanowiska urzędowe

Teraz przedsiębiorcy i administratorzy czekają na efekt konsultacji publicznych, którym grupa poddała wytyczne i które niebawem powinny zakończyć się wydaniem jej kolejnego stanowiska. Damian Karwala podkreśla, że na razie liberalnie do sprawy podchodzi np. Ministerstwo Cyfryzacji. — Z informatora ministerstwa dotyczącego RODO płynie wniosek, że jeśli pozwolenia odpowiadają warunkom przewidzianym w naszej obecnej krajowej ustawie, to będą ważne również po 25 maja. W takim przypadku administrator może kontynuować przetwarzanie na podstawie starych oświadczeń klientów — podkreśla radca.

Zwraca uwagę, że odmienne stanowisko wydaje się zajmować generalny inspektor ochrony danych osobowych (GIODO), który podkreśla, że punktem odniesienia dla uznania ważności dotychczas zebranych pozwoleń mogą być jedynie przepisy RODO, a nie obecnej ustawy, nawet jeśli, zbliżona w tym zakresie do nowych wymogów. Z opinii generalnego inspektora, którego funkcję pełni dr Edyta Bielak-Jomaa, wynika, że ważność zachowuje wola klienta uzyskana w sposób spełniający cztery kryteria: dobrowolności (czyli swobodnego wyboru), konkretności (cel przetwarzania określony precyzyjnie, a zgoda nie może być blankietowa ani ogólna), świadomości (klient musi rozumieć, na co się godzi) i jednoznaczności.

Generalny inspektor, przywołując wytyczne Grupy Roboczej Art. 29, zwraca też uwagę na jej opinię dotyczącą art. 13 RODO z wykazem informacji dla klienta. Przytacza m.in. taki cytat: „Jako że nie wszystkie elementy wymienione w artykułach 13 i 14 muszą zawsze występować jako warunek świadomej zgody, rozszerzone obowiązki informacyjne na mocy RODO niekoniecznie przeciwstawiają się ciągłości zgody wyrażonej przed jego wejściem”.

GIODO stwierdza, że firmy nie muszą automatycznie pozyskiwać pozwoleń na nowo. Istotne jest, aby odpowiadały one warunkom stawianym przez unijne rozporządzenie. Jeden np. wymaga zapewnienia klientowi cofnięcia swojej woli w dowolnym momencie i równie łatwo, jak ją wyraził. Jeżeli zrobił to np. za pośrednictwem strony internetowej, aplikacji czy poczty elektronicznej, odwołanie powinno być możliwe za pomocą tego samego interfejsu. GIODO podkreśla, że ta łatwość wykonania określonych czynności będzie decydująca dla uznania oświadczenia za ważne po 25 maja.

— Zachęcamy firmy do przeglądu stosowanych klauzul i mechanizmów pozyskiwania zgody i upewnienia się, że spełniają standardy określone w ogólnym rozporządzeniu i nie ma potrzeby zbierania pozwoleń jeszcze raz — radzi generalny inspektor.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Puls Firmy / Problem z RODO: wystąpić o zgodę czy nie?