Przedsiębiorcy nie będą musieli zbierać nowych oświadczeń od osób, które już zgodziły się na przetwarzanie swoich danych. Niewykluczone jednak, że powinni przesłać im dodatkowe informacje.
GIODO ma coraz więcej pracy / Dziennik Gazeta Prawna
Nikt nie wie, ile wiążących wciąż zgód na przetwarzanie danych osobowych funkcjonuje w obrocie prawnym. Na pewno można mówić o setkach milionów, niewykluczone, że o miliardach. Duże firmy telekomunikacyjne, banki czy ubezpieczyciele uzyskały miliony takich zgód, chociażby na przesyłanie promocyjnych ofert swym klientom. Ale nawet niewielki sklep internetowy zdążył w ciągu kilku lat działalności zebrać po kilkanaście, kilkadziesiąt takich oświadczeń od robiących w nim zakupy konsumentów.
Nic więc dziwnego, że pytanie o ważność uzyskanych dotychczas zgód pod rządami nowego unijnego rozporządzenia o ochronie danych osobowych 2016/679 (czyli tzw. RODO) jest jednym z najbardziej frapujących dzisiaj przedsiębiorców. Konieczność uzyskiwania oświadczeń na nowo oznaczałaby bowiem gigantyczne koszty. Co więcej, można się spodziewać, że nie wszystkie osoby, które wcześniej godziły się na przetwarzanie swych danych, ponownie postąpiłyby tak samo. Byłoby to też dla konsumentów zwyczajnie bardzo dokuczliwe, bo przecież nie brakuje osób, które w ciągu minionych lat złożyły po kilkadziesiąt czy kilkaset takich oświadczeń. Teraz, w ciągu najbliższych miesięcy, otrzymaliby dziesiątki czy setki listów lub telefonów z prośbą o ponowne potwierdzenie zgody.
Sytuacja powinna się wyjaśnić w ciągu najbliższych dni.
– Problem ten dostrzegają również inne organy ochrony danych z UE i dlatego będzie on w tym tygodniu przedmiotem dyskusji podczas spotkania jednej z podgrup Grupy Roboczej Art. 29, która pracuje nad nowymi wytycznymi Grupy dotyczącymi zgody. Zatem kwestia tego, czy trzeba będzie ponownie pozyskiwać zgodę wobec braku uprzedniego poinformowania podmiotu danych o możliwości jej wycofania, powinna zostać w sposób jednolity rozstrzygnięta w najbliższych dniach. Należy więc oczekiwać spójnego stanowiska wszystkich unijnych organów ochrony danych osobowych w tej sprawie – mówi dr Edyta Bielak-Jomaa, generalny inspektor ochrony danych osobowych.
Informować czy nie?
Problem bierze się z art. 7 ust. 3 unijnego rozporządzenia. Zgodnie z nim osoba, której dane dotyczą, zanim podpisze zgodę na ich przetwarzanie, musi zostać poinformowana o tym, że ma prawo do jej cofnięcia. Polskie przepisy gwarantują możliwość wycofywania takiej zgody, ale dotychczas nie było konieczności informowania o tym uprawnieniu klientów. Od 25 maja 2018 r., kiedy to zacznie być stosowane nowe rozporządzenie, będzie już taki obowiązek.
Na razie GIODO opowiedział się za utrzymaniem ważności zgód zebranych dotychczas przez przedsiębiorców.
„Pod warunkiem że poinformowano osobę, której dane dotyczą, o możliwości wycofania zgody w dowolnym momencie, a wycofanie zgody jest równie łatwe jak jej wyrażenie” – napisał w poradniku opublikowanym na stronie http://www.giodo.gov.pl.
Konieczność przekazania informacji o prawie do cofnięcia zgody bez wątpienia jest mniej kosztowna niż zbieranie wszystkich zgód od nowa. Jeśli kontakt z klientem odbywa się drogą elektroniczną, wystarczyłoby przesłać mu e-mail z taką informacją. Inną opcją byłoby dołączenie jej np. do przesyłanej faktury.
Nie wszyscy jednak dostrzegają potrzebę przekazywania tych dodatkowych informacji.
– Mam poważną wątpliwość co do potrzeby informowania osób, które już wyraziły zgodę na przetwarzanie swych danych, o prawie do jej cofnięcia. Po pierwsze dlatego, że polskie przepisy już przewidują możliwość odwołania zgody, choć nie wymagają informowania o tym przed jej uzyskaniem. Po drugie, motyw 171 unijnego rozporządzenia mówi wprost, że osoba, której dane dotyczą, nie musi wyrażać ponownej zgody, o ile jest ona wyrażona zgodnie z warunkami przewidzianymi w RODO. A warunki wyrażenia zgody ulegają rozluźnieniu, a nie obostrzeniu względem dzisiejszego polskiego porządku prawnego. Dlatego ja uznałbym, że wyrażone dotychczas zgody obowiązują bez spełnienia jakichkolwiek dodatkowych warunków, w tym również bez konieczności informowania o możliwości ich cofnięcia – uważa dr Maciej Kawecki, zastępca dyrektora departamentu zarządzania danymi, koordynator krajowej reformy ochrony danych osobowych w Ministerstwie Cyfryzacji.
Wspomniany przez niego motyw 171 rozporządzenia stanowi, że „jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia”.
Bez przepisów przejściowych
Ostatecznie wszystko powinno się rozstrzygnąć w najbliższym czasie. Wspomniane przez dr Edytę Bielak-Jomaa spotkanie Grupy Roboczej Art. 29 jest zaplanowane na dzisiaj. Jest szansa, że unijne organy ochrony danych osobowych wypracują na nim spójne stanowisko, które będzie podstawą do wytycznych obowiązujących we wszystkich państwach członkowskich UE.
Pojawia się pytanie, czy problemu tego nie mógłby rozwiązać polski ustawodawca, wprowadzając do nowej ustawy o ochronie danych osobowych konkretne regulacje. Okazuje się, że Ministerstwo Cyfryzacji rozważało taką możliwość.
– Początkowo chcieliśmy wprowadzić do projektu przepisy przejściowe, które miały regulować wprost te kwestie. Na chwilę obecną odstąpiliśmy jednak od takiego rozwiązania. Ustawa z założenia ma być bowiem aktem obowiązującym przez dłuższy czas w przyjętej przez parlament treści. Nie można z kolei wykluczyć, że wskutek prowadzonej debaty publicznej na forum krajowym i unijnym stanowiska w zakresie przenoszalności zgód będą ewoluowały. Jest to więc obszar, który powinien być regulowany raczej wytycznymi choćby Grupy Roboczej Art. 29, GIODO czy prezesa nowego Urzędu Ochrony Danych Osobowych – wyjaśnia dr Maciej Kawecki. – Dlatego też w tej chwili zakładamy, że ustawa nie będzie tego wprost regulować. Bacznie jednak obserwujemy sprawę – dodaje.
Nie ma natomiast żadnych wątpliwości, że od 25 maja 2018 r. wszyscy przedsiębiorcy zbierający nowe zgody na przetwarzanie danych osobowych będą musieli przed ich uzyskaniem poinformować klientów o prawie do ich odwołania w dowolnym momencie.