Zewsząd słychać głosy, że wiele firm po 25 maja nie będzie mogło używać swoich baz marketingowych. A wszystko za sprawą unijnego rozporządzenia RODO, które dla pozyskanych wcześniej zgód na przetwarzanie danych osobowych ustanawia nowe kryteria. Zgody, które ich nie spełnią, stracą ważność. Stąd w biznesie zrozumiały popłoch.
Pisaliśmy o tym w DGP w ubiegłym tygodniu („Przedwiosenne porządki w bazach danych”, DGP nr 41 z 27 lutego), ale dziś wracamy do tematu, zamieszczając pełne stanowisko generalnego inspektora ochrony danych osobowych. A o kwestie, których ono nie rozstrzyga, pytamy dodatkowo Piotra Drobka, zastępcę dyrektora departamentu edukacji społecznej i współpracy międzynarodowej w Biurze GIODO.
Jakie działania powinien podjąć przedsiębiorca, aby uporządkować posiadaną bazę zgód na przetwarzanie danych w celach marketingowych i upewnić się, że będą one ważne po 25 maja?
Wszystkie zgody, które zostały zebrane przed 25 maja 2018 r., należy ocenić pod kątem zgodności z przepisami RODO. W tym celu przedsiębiorca powinien przejrzeć całe zasoby zgód, jakie posiada. Powinien przeanalizować przy tym m.in. to: w jaki sposób je odbierał, jak one wyglądały, w jakich okolicznościach były zbierane. Potem powinien spojrzeć na kryteria, które zgoda powinna spełniać po 25 maja 2018 r., i sprawdzić, czy w każdym przypadku tak było. Te kryteria zostały m.in. opisane w wytycznych Grupy Roboczej Art. 29, wskazujemy je i omawiamy w naszym stanowisku.
Co w sytuacji, gdy przedsiębiorca stwierdzi, że posiadane przez niego zgody spełniają zasadniczo kryteria RODO, ale jednak nie do końca, np. brakuje jakiejś klauzuli? Czy w tej sytuacji może przyjąć taktykę: dodzwonię, uzupełnię?
Jeżeli okaże się, że zgody zebrane wcześniej nie spełniają któregokolwiek z wymogów RODO, to w pierwszej kolejności przedsiębiorca powinien zastanowić się, czy są one właściwą podstawą przetwarzania danych osobowych, bo być może istnieje inna przesłanka uprawniająca do wykorzystywania tych danych. Często zdarzały się bowiem przypadki zbierania zgód w sytuacji, gdy do przetwarzania danych uprawniał np. szczególny przepis prawa. Pozyskiwanie zgód w takich przypadkach wprowadza osoby, które je wyrażają, w błąd. Jeśli jednak zgoda była właściwą przesłanką, a nie spełnia wymogów RODO, należy ponownie zwrócić się do klientów o jej wyrażenie. Nie może być mowy o jakichś uzupełnieniach.
Czyli w praktyce może wysłać np. e-maila do wszystkich osób z pytaniem?
W takim przypadku przedsiębiorca może zwrócić się do klientów o wyrażenie zgody, korzystając z dowolnego, preferowanego sposobu komunikacji. Jeśli używa w tym celu np. e-maila, to dodatkowo powinien pamiętać, by na tę formę kontaktu mieć zgodę wyrażoną na podstawie ustawy o świadczeniu usług drogą elektroniczną. Jeśli zaś chodzi o pozyskanie nowej zgody na przetwarzanie danych osobowych, to trzeba zadbać, aby ta – uzyskana w nowych okolicznościach – spełniała wszystkie wymogi RODO. Czyli muszą być spełnione wszystkie wskazane w RODO obowiązki informacyjne i wszystkie kryteria. Zgoda musi być: dobrowolna, konkretna, świadoma, jednoznaczna. Radzę zatem zacząć od prawidłowego skonstruowania komunikatu, jaki przekazany zostanie klientowi.
A jeśli klient nie odpowie na e-maila?
To nie mamy zgody na przetwarzanie jego danych. Wyrażenie zgody musi wiązać się z aktywnym oświadczeniem bądź działaniem. Milczenia nie możemy uznać za wyrażenie zgody.
Czy możemy wysłać e-maila ponownie? Co do tego powstał spór.
Nie jestem przekonany, że przedsiębiorca powinien ponawiać taką wysyłkę. Bo ile razy miałby to robić? Aż do skutku? Aż klient zareaguje?
A czy przy braku odpowiedzi na e-maila można np. zadzwonić?
Trudno odpowiedzieć na to pytanie jednoznacznie, zero-jedynkowo. Wiele zależy od tego, w jaki sposób przedsiębiorca utrzymuje relacje z klientami. Można wyobrazić sobie np. taką sytuację, że co prawda zgodę uzyskał na piśmie, ale klienci kontaktują się z nim elektronicznie, np. poprzez konto na portalu społecznościowym czy za pośrednictwem strony internetowej. I wydaje się, że na tego typu stałym kanale kontaktu moglibyśmy ponowić prośbę o wyrażenie nowej zgody, tak by klient – kontaktując się z nami – nie mógł jej pominąć. I wtedy sytuacja stanie się prosta: albo klient wyrazi zgodę, albo nie. Znacznie trudniej będzie w przypadku, gdy komunikacja przebiega najczęściej w odwrotną stronę – przedsiębiorca posiada bazę klientów i to on zazwyczaj inicjuje kontakt. To, co można radzić – że jeżeli przedsiębiorcy kontaktują się z klientami – powinni wykorzystać te sytuacje do uzyskania nowych zgód.
Co jeśli przedsiębiorcy nie dopełnią obowiązku uzyskania nowych zgód przed 25 maja?
Jeżeli zgody są wadliwe, to 25 maja 2018 r. nie będzie podstawy, żeby przetwarzać dane. Inaczej mówiąc: tych danych przedsiębiorca już nie może w swojej w bazie mieć, musi je usunąć. Stąd warto się starać, by proces uaktualniania zgód zamknąć przed 25 maja.
Czy próbował pan szacować, jaki procent zgód będzie ważnych po tej dacie?
Trudno to w praktyce ocenić. Trzeba bowiem pamiętać, że zgody były zbierane na przestrzeni ostatnich kilkunastu lat. Istnieje ryzyko, że im wcześniej były uzyskiwane – tym większe będą problemy z wykazaniem zgodności z nowymi przepisami. Przypomnę w tym miejscu choćby o tym, że dopiero od 2011 r. do ustawy o ochronie danych osobowych dodano przepis, w którym wprost wskazano, że zgodę na przetwarzanie danych można odwołać w każdej chwili. Choć dla GIODO było oczywiste, że to oświadczenie woli, więc zawsze możemy je zmienić, to w praktyce spotykaliśmy się z przypadkami, w których klientom odmawiano realizacji takiego uprawnienia. Dlatego można zakładać, że dopóki w ustawie nie było przepisu wprost wskazującego na takie uprawnienie, osoba, która wyrażała zgodę, mogła nie wiedzieć o możliwości jej odwołania. Niemniej na gruncie ustawy o ochronie danych osobowych nie było obowiązku informowania o możliwości wycofania zgody, co będzie konieczne w świetle RODO. Jednak nie oznacza to automatycznie, że zgody te 25 maja br. stracą ważność. Nadal będą ważne, nawet jeśli obowiązek informacyjny był spełniony w innym zakresie, niż będzie musiał być realizowany na gruncie RODO. Dlatego tak ważne jest, by na kwestie zgód patrzeć kompleksowo, całościowo. Choć w tym kontekście, o którym rozmawiamy, warto wskazać na jeden kluczowy element, jakim jest łatwość odwołania zgody. Musi być ona tak samo łatwa do zrealizowania, jak wyrażenie zgody. Nie powinno być żadnych utrudnień w tym względzie. Obawiam się, że w praktyce z tym może być największy problem. Jeżeli przedsiębiorca w ogóle nie przewidywał możliwości wycofania zgody albo nie zapewniał takiej możliwości – to teraz w świetle RODO – taka zgoda nie będzie ważna.
Ze spełnieniem jakich kryteriów przedsiębiorcy mogą mieć jeszcze problemy?
Jedną z takich kwestii, która może być problematyczna, jest dobrowolność. RODO wymaga bowiem, by zgoda była dobrowolna. Dobrowolna – oznacza to, że mogę nie wyrazić zgody i nie poniosę żadnych negatywnych konsekwencji z tego powodu, że jej nie wyraziłem. Wyrażenie zgody na przetwarzanie danych osobowych nie może być zatem warunkiem realizacji umowy. Przypominam, że w przypadku umowy mamy inną podstawę prawną uprawniającą do przetwarzania danych. A zatem na przykład nie można uzależnić realizacji umowy od zgody na marketing. Jeżeli coś jest dobrowolne – nie może być wymuszone. I to jest kluczowe w ocenie dobrowolności uzyskanej zgody.
Dlaczego akurat z tym mogą być największe problemy?
Wynika to z faktu, że rozumienie pojęcia „dobrowolność” na przestrzeni ostatnich dziesięciu lat było różne. Podam przykład, jeszcze kilka lat temu dopuszczalne były takie sytuacje, kiedy przedsiębiorca podsuwał klientowi klauzulę takiej treści: „Podanie danych osobowych jest dobrowolne, ale bez podania danych niemożliwe będzie zrealizowanie umowy/usługi”. I uznawano, że jest to ważna zgoda. Ale tak wyrażona zgoda nie będzie już ważna na gruncie RODO. Problem w tym, że przedsiębiorcy mają zgody zbierane na przestrzeni wielu lat: 3, 5, a nawet 10. W momencie zbierania być może były zgodne z ówczesnym prawem albo ówczesną praktyką rozumienia tego prawa. Ale często może być tak, że coś, co było rozumiane jako dobrowolne, obecnie już nie jest.
Załóżmy, że przedsiębiorca posiada zgody odpowiednio zebrane i po 25 maja zachowają ważność. Czy po tej dacie musi przekazywać jakieś informacje klientom?
Nie. Był jakiś czas temu pomysł, żeby w ciągu dwóch lat przedsiębiorca spełnił obowiązek informacyjny według nowych wymogów RODO, ale z tego pomysłu zrezygnowano.
A jak ten obowiązek informacyjny się zmieni?
Oprócz tego, że prawodawca unijny ten obowiązek informacyjny rozbudował, to dodatkowo nałożył wymóg, aby sposób poinformowania był taki, by odbiorcy mieli szansę w prosty sposób zapoznać się z komunikatem i byli w stanie go zrozumieć. Co oznacza, że informacje, jakie kierowane będą do klienta, muszą być przekazane zrozumiałym językiem, w prosty sposób, dostępny dla danego klienta. I ten obowiązek dotyczy wszelkiej komunikacji z klientami. To jest prawdziwe wyzwanie. Bo do tej pory w Polsce często było tak, że tworzono noty informacyjne, które były poprawne z prawnego punktu widzenia, ale odbiorca nie miał szansy przekazanego komunikatu zrozumieć. I to jest bardzo istotna zmiana, którą powinniśmy wdrożyć od 25 maja 2018 r. Wskazówki, jak kształtować taką komunikację, znajdziemy m.in. w przygotowanych przez Grupę Roboczą Art. 29 wytycznych dotyczących przejrzystości (WP 260).
Stanowisko GIODO dotyczące ważności zgód na przetwarzanie danych osobowych
Zgody na przetwarzanie danych osobowych zebrane na podstawie ustawy o ochronie danych osobowych nie tracą ważności. Należy się jednak upewnić, czy zostały pozyskane zgodnie z wymaganiami określonymi w RODO, tak by zapewnić osobom wyrażającym zgodę swobodę wyboru.
Zgoda, która dotychczas została pozyskana, jest nadal ważna, o ile jest ona zgodna z warunkami określonymi w rozporządzeniu. Takie stanowisko wynika bezpośrednio z treści motywu 171 ogólnego rozporządzenia o ochronie danych (RODO): „jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia”. RODO nie przewiduje przepisów przejściowych w stosunku do dyrektywy 95/46/WE. Ważność zachowuje zatem zgoda, która została pierwotnie zebrana w sposób gwarantujący osobie, której dane dotyczą, złożenie oświadczenia spełniającego następujące kryteria:
● dobrowolność – zgoda oznaczać musi możliwość realnego, swobodnego wyboru, nie może być wymuszona; brak wyrażenia zgody nie może również powodować negatywnych konsekwencji dla osoby, której dane dotyczą; motyw 43 RODO zwraca szczególną uwagę w tym kontekście na sytuację, w której istnieje wyraźny brak równowagi pomiędzy administratorem a osobą, której dane dotyczą, np. w relacji pracodawca-pracownik;
● konkretność – zgoda musi określać precyzyjnie cel przetwarzania danych oraz wskazywać zakres danych; niedopuszczalne jest zbieranie zgód blankietowych, ogólnych; należy również wyraźnie oddzielić informacje związane z uzyskaniem zgody od informacji dotyczących innych kwestii;
● świadomość – przed uzyskaniem zgody należy zapewnić niezbędne informacje osobom, których dane dotyczą, aby umożliwić im podejmowanie świadomych decyzji i zrozumienie, na co wyrażają zgodę; prosząc o zgodę, administratorzy powinni upewnić się, że używają jasnego i prostego języka;
● jednoznaczność – ważna zgoda wymaga jednoznacznego okazania w formie oświadczenia lub wyraźnego działania potwierdzającego, co oznacza, że osoba, której dane dotyczą, musi podjąć celowe działanie w celu wyrażenia zgody na określone przetwarzanie.
Administrator musi być w stanie to wykazać (zgodnie z zasadą rozliczalności).
Analiza poprawności wszystkich dotychczasowych zgód powinna zatem w pierwszej kolejności uwzględniać to, czy zebrane dotychczas zgody opatrzone były wyraźnym wskazaniem administratora danych i określeniem celu przetwarzania danych, nie były dorozumiane z oświadczeń innej treści, milczące (niepodjęcie działań nie może oznaczać zgody) lub polegające na domyślnym zaznaczeniu okienek przez usługodawcę. Każdy administrator będzie musiał ocenić, czy pozyskane przez niego zgody spełniają kryteria opisane w art. 4 pkt 11 (dobrowolności, konkretności, świadomości i jednoznaczności), art. 6 ust. 1 lit. a w związku z art. 7 oraz art. 9 ust. 2 lit. a RODO.
Zagadnienie to zostało omówione szerzej w Wytycznych Grupy Roboczej Art. 29 dotyczących zgody (WP259). Wytyczne wyjaśniają kwestie pozyskiwania zgód, w tym również kwestię ważności zgód zebranych przed 25 maja 2018 r., czyli przed dniem, w którym zaczniemy stosować RODO. W związku z licznymi pytaniami, ten ostatni aspekt – ważności zgód zebranych na podstawie ustawy o ochronie danych osobowych – wymagał dodatkowych wyjaśnień. Szczególnie w kontekście warunków wyrażenia zgody określonych w art. 7 RODO.
Przedmiotem dyskusji było brzmienie art. 7 ust. 3 RODO, które wyraźnie wskazuje na konieczność zapewnienia, że zgoda może zostać wycofana w dowolnym momencie. Jej wycofanie musi być równie łatwe, jak jej wyrażenie, co oznacza, że jeśli zgoda była pozyskana przy użyciu interfejsu użytkownika (na przykład za pośrednictwem strony internetowej, aplikacji, strony logowania, interfejsu urządzenia IoT lub poczty elektronicznej), jej odwołanie powinno być możliwe za pomocą tego samego interfejsu elektronicznego. Owa łatwość odwołania zgody w każdym momencie będzie decydująca w uznaniu, czy dotychczas zebrane zgody zachowają ważność.
Co więcej, na każdym administratorze ciąży obowiązek poinformowania osoby, której dane dotyczą, o możliwości odwołania zgody, zanim ta zgoda zostanie wyrażona. Ma to związek z zasadą przejrzystości i koniecznością poinformowania osób, których dane dotyczą, o sposobie realizacji ich praw (motyw 39 RODO wskazuje że „osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem”). Unijny ustawodawca zdecydował się wyróżnić ten konkretny obowiązek informacyjny administratora sytuując go w przepisie określającym warunki wyrażenia zgody. Wydaje się, że przekazanie tej informacji należy rozumieć w szerszym kontekście konieczności stworzenia mechanizmów zapewniających możliwość łatwego wycofania zgody, jako jeden z aspektów autonomii informacyjnej osób, których dane dotyczą. Informacje, jak wycofać zgodę, mają w tym kontekście zasadnicze znaczenie.
Oczywiście każdy administrator, który opiera operacje przetwarzania danych na zgodzie osoby, musi spełnić szereg obowiązków informacyjnych określonych w art. 13 RODO. W praktyce właściwa realizacja tych obowiązków jest niezbędna do uznania, że zgoda została wyrażona w sposób świadomy. Jak podkreślono jednak w ostatnich Wytycznych Grupy Roboczej Art. 29 dotyczących zgody (WP 259), art. 13 ust. 2 RODO należy rozumieć w sposób, który nie wyklucza ważności zebranych zgód w sytuacji, kiedy nie wszystkie informacje określone w tym przepisie zostały przekazane osobie, której dane dotyczą w momencie pozyskiwania zgody (zostały np. zawarte w polityce prywatności). „Jako że nie wszystkie elementy wymienione w artykułach 13 i 14 muszą zawsze występować jako warunek świadomej zgody, rozszerzone obowiązki informacyjne na mocy RODO niekoniecznie przeciwstawiają się ciągłości zgody wyrażonej przed wejściem w życie RODO”, czytamy w Wytycznych.
Mając powyższe na uwadze oraz uwzględniając fakt, że prawny obowiązek poinformowania osoby o możliwości wycofania zgody jest elementem obowiązków informacyjnych towarzyszących gromadzeniu danych osobowych (art. 13. ust. 2 lit. c RODO), administratorzy przetwarzający dane osobowe na podstawie zgody wyrażonej na mocy ustawy o ochronie danych osobowych nie muszą automatycznie pozyskiwać wszystkich zgód na nowo. Jeszcze raz należy jednak podkreślić, że ważność pierwotnie pozyskanych oświadczeń musi odpowiadać wszystkim wymaganiom, jakie wobec zgód formułuje RODO.
W tym kontekście fakt, iż zgoda spełnia standardy ustawy o ochronie danych osobowych, czyli odpowiada wymogom prawnym aktualnym w momencie ich zbierania, nie będzie miał charakteru decydującego. Również zasada lex retro non agit (niedziałania prawa wstecz) nie będzie miała w tym przypadku zastosowania, bowiem konieczność dostosowania zgód do wymogów RODO w żaden sposób nie wpływa na skuteczność i prawidłowość stosunków prawnych ukształtowanych przed wejściem w życie RODO. Punktem odniesienia dla uznania ważności dotychczas zebranych zgód na przetwarzanie danych będą zatem jedynie przepisy RODO zawierające wymagania wobec tej konkretnej podstawy prawnej przetwarzania danych.
Zachęcamy więc do przeglądu stosowanych klauzul i mechanizmów pozyskiwania zgody i upewnienia się, że spełniają standardy określone w ogólnym rozporządzeniu i nie ma potrzeby zbierania zgód raz jeszcze. Co więcej, pamiętając o zasadzie rozliczalności, warto dokumentować wszelkie czynności związane z pozyskiwaniem zgód – np. kiedy i w jakich okolicznościach zostały pozyskane oraz w jaki sposób spełniono obowiązek informacyjny.