Niniejszym wpisem chcielibyśmy rozpocząć serię artykułów dotyczących RODO, czyli Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Rozporządzenie to będzie stosowane od dnia 25.05.2018 r. i niesie za sobą gruntowną reformę przepisów o ochronie danych osobowych w całej Unii Europejskiej.
W naszym serwisie będziemy omawiać stopniowo kolejne zmiany wprowadzane przez RODO oraz skutki, jakie te zmiany wywołują dla przedsiębiorców.
Zacznijmy od zgód na przetwarzanie danych osobowych. Zgody takie były wymagane także na podstawie dotychczas obowiązujących przepisów. Świadomość konieczności uzyskania takich zgód jest wysoka, chociaż nie każdy wie, że zgoda nie jest i nigdy nie była wymagana, jeżeli dane osobowe są przetwarzane wyłącznie w celu wykonania umowy albo w celu marketingu bezpośredniego własnych towarów i usług administratora danych (zob. art. 23 ust. 1 pkt 3 oraz art. 23 ust. 1 pkt 5 w zw. z art. 23 ust. 4 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, t.j. Dz. U. z 2016 r. poz. 922 – dalej jako UODO). RODO nie zmienia dotychczasowych zasad, a jedynie doprecyzowuje pewne kwestie.
Zarówno obecne, jak i nowe przepisy zawierają definicję zgody na przetwarzanie danych osobowych. Obecnie rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie (art. 7 pkt 5 UODO). Z kolei w nowych przepisach zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
Zgoda wg RODO musi mieć następujące cechy:
I. „Dobrowolność”
Ten aspekt nie był dotąd wyrażany wprost w ustawie, ale nikt nie ma wątpliwości, że zgoda musi być dobrowolna. O ile dla każdego oczywiste jest, że do wyrażenia zgody nie można nikogo zmusić przymusem czy groźbą, to już nie każdy zdaje sobie sprawę, że zgoda nie może być warunkiem zawarcia umowy i o taką dobrowolność chodzi tutaj przede wszystkim.
Podkreślenie dobrowolności zgody ma na celu uniknięcie sytuacji, gdy warunkiem zawarcia umowy jest zgoda na przetwarzanie danych dla innych celów niż wykonanie umowy, np. aby przekazać dane innemu podmiotowi na jego potrzeby marketingowe.
II. „Konkretność”
Jak czytamy w preambule do RODO, zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Także dotychczas nie było wątpliwości, że zgoda musi być konkretna, a przy jej konstruowaniu należy trzymać się zasady „jedna zgoda, jeden cel”.
III. „Świadomość wyrażenia”
O pełnej dobrowolności wyrażenia zgody z pewnością można mówić tylko wówczas, gdy osoba udzielająca takiej zgody jest świadoma, czego ta zgoda dotyczy, tj. że wyraża zgodę na przetwarzanie danych osobowym w konkretnym celu. W obecnej ustawie ta cecha zgody nie była wskazana wprost, ale polski ustawodawca zakwalifikował zgodę jako „oświadczenie woli”, a takie oświadczenie może być złożone tylko świadomie. Taka kwalifikacja zgody na przetwarzanie danych osobowych pozwala na zastosowanie przepisów o wadach oświadczenia woli, tj. przede wszystkim daje możliwość powołania się na błąd i uchylenie się od skutków prawnych złożonego oświadczenia. RODO nie zmieni kwalifikacji zgody jako oświadczenia woli, a więc nadal wyrażający zgodę będzie mógł powołać się na wadliwość złożonego oświadczenia na podstawie przepisów k.c.
IV. „Jednoznaczność okazania woli”
Zarówno obecnie, jak i po wejściu w życie RODO, zgoda nie może być dorozumiana. Kwestia ta została rozwinięta w preambule do RODO, gdzie wskazano, że zgoda może mieć na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody.
Dość częstym błędem jest domyślnie zaznaczony checkbox dotyczący zgody na przetwarzanie danych osobowych, co stanowi naruszenie obecnych przepisów; będzie to również niezgodne z wymogami RODO.
Potrzebujesz formuły zgody dostosowanej do wymogów RODO? Zapraszamy do kontaktu.