RODO: czy dotychczasowe zgody na przetwarzanie danych pójdą do kosza?


Dotychczas zebrane zgody na przetwarzanie danych osobowych nie utracą swojej ważności jeżeli zostały uzyskane zgodnie z wymaganiami określonymi w art. 7 RODO.

Jak wynika ze stanowiska Generalnego Inspektora Ochrony Danych Osobowych (GIODO) nie ma konieczności potwierdzania ważności zgód uzyskanych przez przedsiębiorców na podstawie obecnie obowiązującej ustawy o ochronie danych osobowych. Warunkiem jest jednak zgodność tych zgód
z rozporządzeniem Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO) oraz wykazanie, że uzyskane zgody zostały wyrażone przez daną osobę w sposób świadomy, dobrowolny, konkretny i jednoznaczny.

GIODO w uzasadnieniu swojego stanowiska powołuje się na treść motywu 171 ogólnego rozporządzenia o ochronie danych (RODO), zgodnie z którym „jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia”.


Co więcej, Grupa Robocza powołana na mocy art. 29 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, będąca niezależnym podmiotem
o charakterze doradczym już wcześniej podjęła się omówienia tego tematu wydając wytyczne, z których wynikało, że posiadane zgody nie stracą automatycznie swej ważności wraz z wejściem w życie RODO jeżeli będą odpowiadać przepisom rozporządzenia.

Wątpliwości w tym zakresie pojawiły się w związku z interpretacją warunku określonego w art. 7 ust. 3 RODO odnośnie prawa konsumenta do odwołania zgody w dowolnym momencie i poinformowania go o takiej możliwości zanim taką zgodę wyrazi, albowiem dotychczas nie było konieczności udzielania takich informacji przez przedsiębiorców. W związku z powyższym nasuwało się pytanie „Czy, aby zgoda ta zachowała ważność należy poinformować każdego konsumenta, który takiej zgody wcześniej udzielił o możliwości jej wycofania w dowolnym momencie?”. Zgodnie ze stanowiskiem GIODO nie ma takiej konieczności, wystarczy bowiem stworzyć odpowiednie mechanizmy zapewniające możliwość wycofania zgody w dowolnym momencie.

Jednocześnie GIODO w swoim stanowisku zachęca administratorów danych osobowych „do przeglądu stosownych klauzul i mechanizmów pozyskiwania zgód i upewnienia się że spełniają standardy określone w ogólnym rozporządzeniu i nie ma potrzeby zbierania zgód raz jeszcze. Co więcej, pamiętając o zasadzie rozliczalności, warto dokumentować wszelkie czynności związane z pozyskiwaniem zgód – np. kiedy i w jakich okolicznościach zostały pozyskane oraz w jaki sposób spełniono obowiązek informacyjny.”

Zasada rozliczalności jest również jedną z istotniejszych kwestii wprowadzonych przez rozporządzenie. Zgodnie z tą zasadą administrator danych osobowych będzie zobligowany do wdrożenia odpowiednich środków technicznych i organizacyjnych do przechowywania uzyskanych  przez przedsiębiorcę danych, które muszą być zgodne z zawartymi w rozporządzeniu zasadami tj. zasadą zgodności z prawem, rzetelności i przejrzystości, zasadą ograniczenia celu przetwarzania danych, zasadą minimalizacji danych, zasadą prawidłowości danych, zasadą ograniczenia przechowania danych oraz zasadą integralności i poufności danych. Brak zastosowania chociażby jednej z tych zasad spowoduje naruszenie przepisów rozporządzenia.

Przypominamy, że ogólne rozporządzenie o ochronie danych osobowych (RODO) zacznie obowiązywać 25 maja 2018 roku.