Zmiany w przepisach z UODO na RODO wchodzą w życie 25.05.2018.

1. Możliwość wycofania zgody

Różnice:

– Obowiązek poinformowania (przed wyrażeniem zgody) o możliwości jej wwycofania oraz o tym, że wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przedj jej wycofaniem. Jest to istny wymóg, gdyż obecnie – pomimo, ze takie uprawnienie róWnież przysługuje na grundo uodo, niewle osób ma tego świadomość i czuje sie związana bezterminowo udzieloną zgodą.

– Drugie wymaganie dotyczy obowiązku zapewnienia przez administratora, aby wycofanie zgody było tak łatwe jak jej wyrażenie. Co w praktyce oznacza wskazany wymóg i jak go realizować? Otóż jeśli administrator planuje uzyskiwać zgodę, powinien już na tym wstępnym etapie przewidzieć mechanizm jej wycofania, a więc zastanowić się, jak zgodę tę będzie można odwołać. Dodatkowo, co warto podkreślić, wycofanie zgody ma być tak łatwe, jak jej wyrażenie. Przystępność wycofania zgody zazwyczaj odnoszona jest do środków komunikacji identycznych jak te, za pośrednictwem których zgoda została udzielana, np.: jeśli zgoda wyrażana jest na stronie internetowej poprzez tzw. checkboxy, na stronie powinna pojawić się również dodatkowa zakładka umożliwiająca wycofanie zgody. Jeśli zgodę można wyrazić w formie ustnej w trakcie rozmowy telefonicznej (np. za pośrednictwem infolinii), administrator powinien zagwarantować również analogiczną formę zakomunikowania mu chęci odwołania zgody. Istotą wskazanego wymogu jest bowiem to, aby nie dopuszczać do praktyk polegających przykładowo na tym, iż zgodę możemy wyrazić poprzez jedno kliknięcie na stronie internetowej, ale jeśli chcemy ją wycofać musimy wysłać tradycyjną pocztą pisemne oświadczenie.

2. Dobrowolność

RODO ogromny nacisk kładzie na dobrowolność wyrażanej zgody. Zwrócono uwagę na sytuacje, w których występuje brak równowagi pomiędzy pytającym o zgodę (administratorem), a osobą wyrażającą zgodę. Nie stanowi to jednak nowości. Sądy niejednokrotnie oceniając skuteczność zgody na gruncie Ustawy o ochronie danych osobowych, analizowały zależności pomiędzy stronami i to, czy zgoda rzeczywiście była udzielana w warunkach dobrowolności (np. wyrok NSA z dnia z dnia 6 września 2011 r., I OSK 1476/10, gdzie odniesiono się do relacji pracownik – pracodawca).

W RODO wprost wskazano również przykłady działań, skutkujących pozbawieniem zgody cechy dobrowolności, a mianowicie:

– uzależnianie wykonania umowy od wyrażenia zgody na przetwarzanie danych, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy (np. administrator nie musi zbierać danych na potrzeby realizacji konkretnej umowy, ale pomimo to uzależnia jej wykonanie od wyrażenia zgody na przetwarzanie danych),

– brak możliwości niewyrażenia zgody bez negatywnych konsekwencji – negatywne konsekwencje należałoby interpretować jako odnoszące się do sytuacji prawnej, a nie np. możliwości skorzystania z rabatów przyznawanych przez administratora,

– brak możliwości wyrażenia zgody z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne (np. kandydat do pracy w spółce X musi obligatoryjnie wyrazić dodatkową zgodę na udostępnienie jego danych osobowych spółce Y),

– uzależnianie wykonania umowy od wyrażenia zgody, mimo że do jej wykonania zgoda nie jest niezbędna – dotyczy to np. zbierania zgody w przypadku, gdy istnieje inna przesłanka umożliwiająca przetwarzanie danych (przykładowo zbieranie zgody, gdy przetwarzanie danych jest niezbędne do wypełnienia obowiązku prawnego spoczywającego na administratorze i osoba, której dane dotyczą nie ma w rzeczywistości możliwości zadecydowania o tym, czy jej dane będą przetwarzane czy też nie).

3. Zapytanie o zgodę

Teoretycznie RODO wprowadza nowe wymagania dotyczące tego, w jaki sposób należy pytać o zgodę. W rzeczywistości jednak wymogi te są nam dobrze znane. Wprawdzie nie przewiduje ich wprost Ustawa o ochronie danych osobowych, ale wynikają one z dotychczasowego orzecznictwa i decyzji GIODO. Np.:

wyodrębnienie oświadczenia o wyrażeniu zgody od innych treści (tzn. zgoda nie może być „wpleciona” w treść umowy, regulaminu itp.) – przykładowo wyrok NSA z dnia 4 kwietnia 2003 r., II SA 2135/02,

wyraźna zgoda – przykładowo decyzja GIODO z dnia 30 kwietnia 2004 r., GI- DEC-DIS-105/04/208,

zgoda nie może mieć charakteru abstrakcyjnego, osoba wyrażająca zgodę musi zrozumieć istotę zgody, jej cel i skutki, musi więc posiadać pełne rozeznanie, konkretnie przez kogo i w jakim celu jej dane będą przetwarzane – przykładowo – wyrok NSA z dnia 10 stycznia 2013 r., I OSK 2029/11.

W RODO podkreślono jednak, iż zapytanie o zgodę ma być zwięzłe i w przypadku, gdy odbywa się w formie elektronicznej nie może zakłócać niepotrzebnie korzystania z usługi. Pytania te nie mogą być zatem uciążliwe dla osób, do których są kierowane.

4. Rozliczalność

W Ustawie o ochronie danych osobowych nie znajdziemy przepisu odnoszącego się wprost do obowiązku zbierania dowodów potwierdzających uzyskanie zgody. W praktyce jednak, jeśli administrator nie jest w stanie tego wykazać, nie dysponuje podstawą prawną umożliwiającą mu przetwarzanie danych osobowych (jeśli powołuje się oczywiście właśnie na tej przesłance). Zatem również na gruncie obecnie obowiązujących przepisów, przestrzeganie zasady rozliczalności w tym względzie, jest wymagane. RODO obowiązek ten tylko dodatkowo podkreśla.

Podsumowanie

1. Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.

2. Jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Część takiego oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie niniejszego rozporządzenia nie jest wiążąca.

3. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.

4. Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *