Wchodząca w życie zmiana w ustawie o ochronie danych osobowych budzi wiele obaw i wątpliwości wśród administratorów serwisów internetowych. Jedna z nich dotyczy uzyskiwania ponownej zgody na przetwarzanie danych w przypadku, w którym ta, którą posiadamy, została udzielona przed 25 maja 2018 roku, czyli terminem, w którym wchodzi w życie rozporządzenie o ochronie danych osobowych. Spróbujmy więc odpowiedzieć na pytanie, czy RODO rodzi wymóg uzyskania ponownej zgody na przetwarzanie danych.
Kiedy zgoda nie będzie potrzebna?
Kwestia ponownego proszenia o zgodę na przetwarzanie danych osobowych wzbudziła wiele kontrowersji i podzieliła środowisko administratorów danych oraz prawników. Obecnie jednak uznaje się, że jeśli administrator jest w posiadaniu danych osobowych, które niezbędne są do wykonywania umowy, zebranie ponownych zgód nie jest potrzebne. Ponadto, warto wspomnieć o zapisie w ustawie, który stanowi: „jeżeli przetwarzanie ma za podstawę zgody w myśl dyrektywy 95/46/WE osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom ogólnego rozporządzenia”. Oznacza to, że jeśli zgoda została podjęta w sposób świadomy – ponowne jej wyrażenie w związku z wprowadzeniem RODO nie będzie potrzebne. Jeśli jednak administrator korzystał z rozwiązań takich jak domyślnie zaznaczone zgody – konieczne będzie ich ponowne zebranie w sposób jasno określony w nowych przepisach prawa. Równie ważny jest fakt, czy zebrane przed 25 maja zgody na przetwarzanie danych osobowych zawierały dokładne zapisy dotyczące celu wyrażenia zgody (a więc informację o tym, w jaki sposób administrator będzie dysponował naszymi danymi). Jeśli takich danych brak – również musimy liczyć się z koniecznością zebrania ponownych zgód na przetwarzanie danych osobowych, zgodnie z aktualnymi przepisami prawa.
Jakie formy wyrażania zgody wprowadza RODO?
Zgodnie z art. 4, RODO definiuje się zgodę jako: dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Co jednak oznacza to w praktyce? Jakie formy wyrażania zgody wprowadzają zmiany w ustawie o ochronie danych osobowych? Informacje na ten temat znajdziemy w preambule rozporządzenia. Formy wyrażania zgody na przetwarzanie danych osobowych to między innymi pisemna zgoda, zgoda wyrażona ustnie lub poprzez zaznaczenie okienka na stronie internetowej. W tym przypadku warto pamiętać, że wszystkie „domyślnie zaznaczone” okienka wyrażające zgodę na przetwarzanie danych mogą zostać odebrane jako naruszenie praw osoby do ochrony swoich danych. Co równie ważne, zgoda musi zostać udzielona na każdy z celów, w jakich będą wykorzystywane dane osoby ją wyrażającej. Mowa tu więc o przetwarzaniu, archiwizowaniu, udostępnianiu osobom trzecim czy nawet usuwaniu ich i niszczeniu. Do każdej z tych czynności administrator musi więc otrzymać osobną zgodę. W tym miejscu warto wspomnieć również o tym, że ustawa o ochronie danych osobowych wyraźnie zaznacza, że każda osoba w każdej chwili może wycofać swoją zgodę na przetwarzanie danych osobowych.