Termin wejścia w życie – RODO (ogólne rozporządzenie o ochronie danych[1]) zbliża się wielkimi krokami. 25 maja 2018 roku w sposób istotny zmienią się zasady ochrony danych osobowych w całej UE. Zmiany nie ominą również zasad wyrażania zgody na przetwarzanie danych osobowych.
Obecnie na gruncie obowiązujących przepisów, zgoda jest podstawową przesłanką (podstawą prawną) przetwarzania danych osobowych, w szczególności w obszarze marketingu, promocji i reklamy. Wobec czekających zmian, kluczowe jest rozważenie jaki – na gruncie przepisów RODO – charakter ma zgoda oraz w jaki sposób powinna być zbierana, a także ustalenie czy dotychczas zebrane zgody zachowają ważność i czy będą tym samym stanowiły skuteczną podstawę prawną przetwarzania danych osobowych.
Co to jest zgoda?
Na gruncie obowiązujących przepisów ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych zgoda jest to oświadczenie woli, którego treścią jest zezwolenie na przetwarzanie danych osobowych tego, kto składa oświadczenie. Ustawa podkreśla dodatkowo, że zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści oraz, że może być odwołana w każdym czasie. W oparciu o praktykę GIODO oraz orzecznictwo sądów przyjmuje się ponadto, że z treści zgody powinno w sposób niebudzący wątpliwości wynikać, w jakim celu, jakim zakresie została złożona i przez kogo dane osobowe będą przetwarzane. Osoba udzielająca zgody powinna mieć pełną świadomość tego, na co się godzi.
Zgoda w rozumieniu RODO
RODO wskazuje natomiast, że „zgoda osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych” (art. 4 pkt 11 RODO).
Jakie zatem zmiany czekają nas po wejściu w życie RODO w zakresie zgody na przetwarzanie danych osobowych? W pierwszej kolejności łatwo dostrzec zmiany charakteru prawnego zgody. Oświadczenie woli, o którym mowa w obowiązującej ustawie, zastąpi forma oświadczenia lub wyraźnego działania potwierdzającego. A zatem dotychczasowych zakaz domniemania zgody, czyli dorozumiewania zgody z zachowania danej osoby, zostanie zliberalizowany i dopuszczone będzie wyrażenie zgody przez „działanie potwierdzające”. Nie oznacza to jednak, że każda czynność może zostać uznana za wyrażenie zgody albo że można domniemywać zgodę. Czynność potwierdzająca powinna być jednoznaczna i wyrażająca w konkretnej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych. Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych (nadal zgoda powinna być odrębna dla każdego celu przetwarzania). Dobrowolność może natomiast oznaczać zakaz uzależnienia świadczenia usług od wyrażenia zgody na przetwarzanie danych osobowych oraz możliwość odmowy wyrażenia zgody.
Ale jak w praktyce będzie wyglądało wyrażanie zgody przez działanie potwierdzające? Wskazówek w tym zakresie można szukać w preambule RODO, gdzie czytamy, że „działanie potwierdzające jako wyrażenie zgody na przetwarzanie danych osobowych może polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych”. Rozporządzenie wskazuje nam jednocześnie, że milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny oznaczać zgody (!).
Czy zatem często stosowana praktyka – pozostawienia adresu e-mail w celu otrzymywania newslettera może zostać uznana za wyrażenie zgody na przetwarzanie danych poprzez działania potwierdzające. W pewnych okolicznościach i przy zachowaniu warunków określonych w RODO wydaje się, że będzie to możliwe. Konieczne jest, aby osoba pozostawiająca swój adres była świadoma sposobu oraz celów dla jakich jej dane będą przetwarzane. Osoba wyrażająca zgodę musi również znać tożsamość administratora danych. Dodatkowo, mając na uwadze, że administrator musi być w stanie wykazać, że osoba, której dane dotyczą wyraziła zgodę (zgodnie z przepisami), konieczne będzie zastosowanie odpowiednich rozwiązań w tym celu (np. przesłanie wiadomości e-mail z linkiem potwierdzającym).
W celu zapewnienia należytej ochronnych danych osobowych RODO wyraźnie akcentuje, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Ma to zapewnić rzetelność i przejrzystość przetwarzania danych w stosunku do osób, których dane dotyczą. A zatem należy pamiętać, aby oświadczenia o wyrażeniu zgody na przetwarzanie danych osobowych przygotowane przez administratorów miały zrozumiałą i łatwo dostępną formę, były sformułowane jasnym i prostym językiem i nie zawierały nieuczciwych warunków.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).