W najbliższych dniach GIODO jednoznacznie przesądzi, czy dotychczas zebrane zgody na przetwarzanie danych osobowych pozostaną ważne. Firmy nie wyobrażają sobie innej odpowiedzi niż twierdząca.
To jedno z kluczowych pytań, jakie zadają sobie polscy przedsiębiorcy – czy dotychczas pozyskane od klientów zgody na przetwarzanie danych osobowych będą ważne pod rządami nowego unijnego rozporządzenia o ochronie danych osobowych (RODO). Gdyby okazało się, że nie, to musieliby pozyskać na nowo setki milionów takich zgód. Operacja dla nich niezwykle kosztowna, a dla konsumentów nadzwyczaj uciążliwa.
Opublikowana w środę opinia Grupy Roboczej Art. 29 (zgromadzenie rzeczników ochrony danych osobowych ze wszystkich państw UE; dalej: GR29) z jednej strony przesądza, że uzyskane dotychczas zgody nie tracą automatycznie swej ważności. Z drugiej jednak już w kolejnym zdaniu można przeczytać, że tylko wtedy, gdy spełniają warunki RODO.
– GR29 przyzwyczaiła nas do tego, że jej opinie nie zawsze są tak jednoznaczne, jak byśmy tego chcieli, ale kluczowe zdanie zawarte w opinii wydaje się jasne: zgody zbierane dzisiaj zgodnie z krajowymi przepisami o ochronie danych osobowych nie muszą być automatycznie zbierane od nowa – ocenia dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński.
Na ostateczne rozstrzygnięcie problemu polskie firmy muszą jeszcze trochę poczekać. Kluczowe będzie dla nich stanowisko generalnego inspektora ochrony danych osobowych.
– Po wydaniu wytycznych GR29 są już tylko dwie możliwości. Albo decydujemy, że pozyskane na podstawie dotychczasowych przepisów zgody zachowują ważność, albo uznajemy, że nie. Zdajemy sobie sprawę, jak kluczowa dla przedsiębiorców jest odpowiedź na to pytanie, dlatego mogę zadeklarować, że jeszcze w grudniu GIODO przedstawi jednoznaczne stanowisko w tej sprawie – podkreśla Paweł Makowski, radca GIODO. – Niezależnie od tego każdy administrator musi przeanalizować zebrane zgody pod kątem spełniania przez nie wszystkich warunków określonych w art. 7 RODO – dodaje.
Polacy uprzywilejowani
W czym leży istota problemu? Otóż wspomniany art. 7 RODO wskazuje warunki, jakie trzeba spełnić, żeby zgoda na przetwarzanie danych była ważna. Jednym z nich jest zagwarantowanie prawa do jej odwołania w dowolnym momencie i poinformowanie konsumenta o takim prawie, zanim udzieli zgody. Polskie przepisy gwarantują prawo do cofnięcia zgody, ale dotychczas nie zobowiązywały do powiadamiania o tym klientów.
Zdaniem dr. Wojciecha Wiewiórowskiego, zastępcy europejskiego inspektora ochrony danych, z samego tego faktu trudno jednak wywieść obowiązek pozyskania nowych zgód. – W Biurze Europejskiego Inspektora Ochrony Danych zawsze byliśmy zdania, że prawidłowo zebrane zgody pod rządami poprzedniej ustawy zachowują moc. Jeśli bowiem dotychczasowa sytuacja klienta, który poprawnie udzielił zgody, została co najwyżej poprawiona pod rządami RODO, to podstawowa zasada kontynuacji ochrony wskazuje, że ponowne zbieranie zgód byłoby nielogiczne – twierdzi zastępca EIOD.
Dlaczego więc opinia GR29 nie przesądza jednoznacznie, że zgody pozostają ważne? Prawdopodobnie dlatego, że różnie może wyglądać sytuacja w różnych krajach, a nawet u różnych administratorów danych.
– Opinia GR29 to pewnego rodzaju paradoks – zgody uzyskane przed RODO są prawidłowe, o ile są zgodne z RODO. RODO stawia tu szereg dość złożonych w praktyce wymogów. Zgody muszą być udzielone dobrowolnie, jednoznacznie, świadomie i konkretnie dla określonych celów, ze świadomością różnego zakresu wrażliwości przetwarzania danych. To przedsiębiorca musi umieć wykazać, że zgody spełniają te warunki i że w ogóle zostały udzielone – zauważa dr Łukasz Olejnik, niezależny badacz i konsultant cyberbezpieczeństwa i prywatności.
Idąc tym tropem należałoby dojść do wniosku, że polscy przedsiębiorcy są na dobrej pozycji wyjściowej. Zgodnie z naszymi krajowymi przepisami od dawna muszą bowiem spełniać wszystkie wspomniane warunki, jeśli chcą pozyskać zgodę na przetwarzanie danych.
– Nasze dotychczasowe przepisy były surowsze niż w wielu innych państwach. Nie dopuszczały chociażby, tak jak w niektórych krajach UE, zgód dorozumianych czy też zgód zakładających opt-out. U nas zgody muszą być wyrażone w sposób wyraźny, co oznacza, że spełniają wymagania RODO pod tym względem – wyjaśnia Paweł Makowski, radca GIODO.
Weryfikacja niezbędna
Jeśli więc krajowi przedsiębiorcy przestrzegali naszych surowszych od unijnych norm, to nie powinni mieć problemów z wykazaniem, że zgody były wyrażone w sposób jednoznaczny, dobrowolny i dla określonych celów. Jedyną kwestią sporną jest więc to, czy brak informacji o prawie do wycofania zgody może przesądzać o jej nieważności.
Doktor Paweł Litwiński uważa, że ważniejsze jest nie tyle samo wcześniejsze poinformowanie, co zapewnienie realnej możliwości wycofania zgody.
– GR29 wyraźnie wskazuje w swej opinii, że niepodanie przy zbieraniu danych informacji, które trzeba podawać na gruncie RODO, a których wcześniej przepisy nie wymagały, nie powoduje automatycznie, że tak udzielone zgody stracą ważność. Kluczowe wydaje się wdrożenie nowych mechanizmów i rozwiązań takich jak zapewnienie rozliczalności, czy danie możliwości łatwego odwołania zgody. W tym kontekście GR29 wyraźnie podkreśla, że trzeba zmienić istniejące procedury, a więc wprowadzić zmiany na przyszłość – argumentuje adwokat.
Nie musi to jednak automatycznie oznaczać, że każda z dotychczasowych zgód zachowa ważność.
– Prawdą jest, że niektórzy administratorzy nie są w stanie udowodnić, że faktycznie otrzymali zgodę na przetwarzanie, albo mają wątpliwości, czy aby na pewno była to zgoda dobrowolna. Ci zapewne będą się dodatkowo kontaktowali z klientami – zauważa dr Wojciech Wiewiórowski.
Tego samego zdania jest dr Łukasz Olejnik. – RODO to dużo nowych wymogów. Istnieje więc ryzyko, że wcześniej uzyskane zgody nie będą ważne. Część administratorów może sama chcieć je pozyskać na nowo, ponieważ przetwarzanie danych bez realnego posiadania zgody oznacza ryzyko kar – nawet do 20 mln euro – mówi.