RODO potknęło się na starych pozwoleniach

opublikowano: 18-03-2018, 22:00

Przy zbieraniu danych osobowych administrator musi informować o możliwości wycofania się ze zgody na ich przetwarzanie

Zbliżająca się reforma ochrony danych osobowych, a w zasadzie niejednoznacznie sformułowane przepisy unijnego rozporządzenia (RODO), sprawiły, że wydano trzy stanowiska w sprawie możliwości honorowania pozwoleń na przetwarzanie danych uzyskanych według dotychczasowych zasad. Na dodatek to trzy inne opinie, a problem jest tym trudniejszy do rozwikłania, że wydały je ważne instytucje — podkreślali uczestnicy konferencji „Pulsu Biznesu” na temat marketingu i sprzedaży w zgodzie z regulacjami RODO.

Xawery Konarski, starszy partner w kancelarii Traple Konarski Podrecki i Wspólnicy, podkreślił, że RODO stosuje się również do wcześniej zebranych i przetwarzanych danych osobowych, chyba że z treści określonego przepisu wynika co innego. Jego zdaniem, mimo że przyszłe obowiązki wymagają przekazania klientom o wiele więcej informacji niż obecnie, nie będzie potrzeby ich uzupełniania. Jest to wyraźnie określone w art. 13 unijnego rozporządzenia.
Zobacz więcej

BEZ UZUPEŁNIEŃ

Xawery Konarski, starszy partner w kancelarii Traple Konarski Podrecki i Wspólnicy, podkreślił, że RODO stosuje się również do wcześniej zebranych i przetwarzanych danych osobowych, chyba że z treści określonego przepisu wynika co innego. Jego zdaniem, mimo że przyszłe obowiązki wymagają przekazania klientom o wiele więcej informacji niż obecnie, nie będzie potrzeby ich uzupełniania. Jest to wyraźnie określone w art. 13 unijnego rozporządzenia. Fot. Marek Wiśniewski

— Skuteczność dotychczasowych pozwoleń to pewna słabość unijnego rozporządzenia — ocenił adwokat Xawery Konarski, starszy partner w kancelarii Traple Konarski Podrecki i Wspólnicy, która była partnerem konferencji.

Kłopot w tym, że unijne rozporządzenie, które ma być stosowane bezpośrednio w krajach Wspólnoty od 25 maja, rozszerza katalog informacji dotyczących przetwarzania danych do przekazania osobom, od których są one pozyskiwane. Dłuższy jest m.in. wykaz ich uprawnień, z którymi powinni być oni zapoznani. Pominięcie nawet części z nich przekreśli prawo przedsiębiorcy do korzystania z danych klienta.

Ponieważ według obowiązujących jeszcze zasad obowiązek informacyjny jest znacznie prostszy, wielu administratorów nie wie, jak do posiadanych pozwoleń stosować szersze wymagania wynikające z RODO. Unijny prawodawca postanowił temu zaradzić, ale w efekcie przysporzył kłopotów.

Nieważne, ważne…

Xawery Konarski przypomniał, że Grupa Robocza art. 29, która przygotowała reformę, w końcowym etapie prac wprowadziła do preambuły rozporządzenia motyw (nr 171) odnoszący się do pozwoleń na przetwarzanie danych pozyskanych według zasad sprzed reformy. Mowa w nim, że jeżeli zgoda była uzyskana w myśl dyrektywy 95/46/WE, to podmiot, którego dotyczą dane, nie musi ponownie jej udzielać, jeśli pierwotny sposób jej wyrażenia odpowiada warunkom RODO.

— Z tego wniosek, że dotychczas zebrane pozwolenia zachowają ważność, o ile są zgodne z RODO. Powstało pytanie: co to znaczy? Mamy na to trzy wyjaśnienia: Grupy Roboczej art. 29, a w kraju generalnego inspektora i resortu cyfryzacji, z których pierwsze jest najmniej korzystne — skomentował adwokat.

Jak wyjaśnił, wśród wymagań RODO jest zamieszczenie w klauzulach informacyjnych dla klienta stwierdzenia o możliwości wycofania zgody i mechanizmu tego działania. Według grupy roboczej brak takich informacji oznacza, że zgoda nie spełni warunków rozporządzenia.

— To najmniej korzystne stanowisko, bo w dotychczasowym stanie prawnym nie było takiego wymogu. Grupa robocza uznała tę kwestię za kluczową. Nie przywiązuje takiej wagi do innych nowych obowiązków, jak np. podania podstawy przetwarzania danych czy informacji o jego okresie. Odniosła się ona także do pomysłów firm, aby w mejlingach wysyłać informacje o możliwości odwołania zgody i „dokleić” je do poprzednio przekazanych klauzul. Grupa robocza zaznaczyła jednak, że powiadomienie o prawie do odwołania zgody musi być przekazane na etapie zbierania danych — stwierdził Xawery Konarski.

Zwrócił przy tym uwagę, że sposób cofania zgody musi być taki sam jak jej wyrażania. Gdy np. pozyskał ją pracownik call center, to musi być również możliwość odwołania jej telefonicznie. Zdaniem adwokata, mniej restrykcyjne stanowisko prezentuje Generalny Inspektor Ochrony Danych Osobowych (GIODO), według którego brak wspomnianych informacji nie oznacza automatycznie bezskuteczności zgody.

— Również w kancelarii tak uważamy, oczywiście jeśli zachowane są istotne wymagania co do pozyskania zgody, czyli aby była ona konkretna, świadoma i dobrowolna — podkreślił partner kancelarii Traple Konarski Podrecki i Wspólnicy.

Jego zdaniem, najlepsze stanowisko wydało Ministerstwo Cyfryzacji (MC), które powołuje się na zasadę aktualności obowiązującą w pawie administracyjnym. Resort nie podziela poglądu, że pozwolenia pozyskane przed 25 maja powinny być po tej dacie uzupełniane o informacje o prawie do ich odwołania. Wniosek z tego, że według MC pozostaną one ważne, jeśli je zebrano, stosując się do „starej” ustawy o ochronie danych osobowych. Prawnicy z kancelarii Traple Konarski Podrecki i Wspólnicy mają co prawda wątpliwości, czy ministerstwo jest powołane do wydawania wykładni, niemniej z pewnością jego stanowisko jest jednoznacznie korzystne dla przedsiębiorców.

Test równowagi

Również adwokat dr Grzegorz Sibiga, także z Traple Konarski Podrecki i Wspólnicy, przypomniał, że moment wywiązania się z przekazania klauzul informacyjnych jest prawnie określony — zarówno w ustawie o ochronie danych osobowych, jak i w RODO. Chodzi o chwilę, gdy dane są zbierane. Jednocześnie zaznaczył, że nie ma obowiązku uzupełniania pozwoleń o nowe informacje. Jest to natomiast konieczne, gdy nastąpi znacząca zmiana podczas ich przetwarzania.

— Taką zmianą może być profilowanie. Jeżeli firma wcześniej nie stosowała pewnych technologii, korzystała z prostych narzędzi marketingowych i potem je zmieniła, musi o tym poinformować — wyjaśnił dr Grzegorz Sibiga.

Zwrócił ponadto uwagę, że jeżeli podstawą gromadzenia i wykorzystywania danych osobowych jest prawnie uzasadniony interes przedsiębiorcy, a przesłanką do tego może być marketing bezpośredni, wówczas zaprzestać tego należy na wyraźny sprzeciw wniesiony przez osobę, której dane dotyczą. Zaznaczył, że RODO w zasadzie nie zmienia dotychczasowych zasad, aczkolwiek jego przepisy lepiej obrazują, o co chodzi w kierowaniu się usprawiedliwionym celem przetwarzania danych. Wymaga to ponadto wyważenia interesów administratora oraz praw i wolności osób.

— W takim teście równowagi firma musi ocenić swój interes pod kątem niezbędności i legalności — oraz wpływ sposobu przetwarzania danych na konkretne osoby. W marketingu może chodzić o określone techniki, zwłaszcza inwazyjne, jak np. poziom profilowania. Administrator musi przeanalizować, czy nie może innymi sposobami zrealizować tego samego celu, ale też czy poniesie negatywne konsekwencje, jeśli nie zastosuje jakiejś technologii. Kluczowa jest jednak ocena, czy osoba, której dane dotyczą, może przewidzieć, że jej dane będą przetwarzane w określonym celu. Nie może być tym zaskoczona. I tak np. brak informacji o profilowaniu może sprawić, że ktoś nie spodziewał się, że będzie segmentowany czy porównywany — mówił dr Grzegorz Sibiga.

Jak wyjaśnił — jeśli z analizy wyniknie, że przeważa interes administratora danych, wówczas może je przetwarzać. Może to robić także wówczas, gdy trudno jednoznacznie ocenić, po czyjej stronie jest przewaga. Nie ma natomiast prawa, gdy jest wyraźnie po stronie osoby, od której dane miałyby być pozyskane.

Sprawdź program konferencji "Efektywne wdrożenie RODO/GDPR", 9-10.04.2018, Warszawa >>

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Być może zainteresuje Cię też:

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Puls Firmy / RODO potknęło się na starych pozwoleniach