Edyta Duchnowska: Zgoda na przetwarzanie danych osobowych – zmiany z RODO

Prawo

Edyta Duchnowska: Zgoda na przetwarzanie danych osobowych – zmiany z RODO

Nowe rozporządzenie o ochronie danych osobowych (RODO) wywołuje u przedsiębiorców wiele obaw. RODO zacznie obowiązywać już niebawem, bo od 25 maja. Trzeba się do tego dobrze przygotować, aby nic nie mogło nas zaskoczyć.

Tematyka ochrony danych osobowych i ich przetwarzania dotyczy obecnie wielu restauratorów. Internetowe zamówienia, opcja dowozu dań do klientów oraz reklamy i promocje SMS są co raz bardziej popularne. Być może niedługo już będą to instrumenty niezbędne przy prowadzeniu dobrze prosperującego lokalu gastronomicznego.

Decydując się na rozszerzenie działalności poprzez wykorzystanie środków komunikacji elektronicznej do kontaktów z klientami, nie można zapominać o związanych z tym obowiązkach. Do utworzenia baz klientów, w których przetwarzane są ich dane osobowe w celach marketingowych czy reklamowych niezbędne jest uzyskanie zgody. Uzyskanie zgody na przetwarzanie danych osobowych nie jest niczym nowym. Taki obowiązek przewidywała już ustawa o ochronie danych osobowych obowiązująca w polskim systemie prawnym. RODO rozszerza jednak definicję zgody i wprowadza kilka nowych rozwiązań. Od maja zgoda będzie mogła mieć nadal formę oświadczenia, ale także, co jest nowością, wyraźnego działania potwierdzającego.

RODO rozwiewa też wszelkie wątpliwości, co do tego, w jakiej formie można wyrazić zgodę. Zgoda na przetwarzanie danych osobowych może być wyrażona pisemnie, elektronicznie lub ustnie w formie oświadczenia. Wprost wskazano zaś, że milczenie, domyślnie zaznaczone w formularzu internetowym okienka lub niepodjęcie żadnych działań nie mogą być interpretowane jako wyrażenie zgody. Zgoda musi być świadoma, a ponadto niezwykle istotne są warunki, w jakich zostanie ona udzielona. Przesądzają one bowiem o jej skuteczności.

Zgoda będzie uznawana za świadomą jedynie wtedy, gdy osobie ją wyrażającą zostanie przekazany minimalny zakres informacji, w skład którego wchodzą: tożsamość administratora oraz cele przetwarzania danych osobowych. Udzielona zgoda powinna dotyczyć wszystkich czynności przetwarzania danych dokonywanych w tym samym celu lub celach. Jeżeli zaś przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele.

Udzieloną zgodę konsument ma prawo zawsze, w każdym czasie wycofać bez żadnych konsekwencji. RODO nakłada na przedsiębiorców obowiązek poinformowania już przed wyrażeniem zgody o możliwości wycofania zgody i o fakcie, iż wycofanie zgody nie wpływa na przetwarzanie danych osobowych, które zostało dokonane wcześniej na jej podstawie. Zgoda nie jest więc udzielana bezterminowo.

Największą trudność może przysporzyć obowiązek zapewnienia, aby wycofanie zgody było tak proste, jak samo jej udzielenie. Trzeba to rozumieć, jako użycie do wycofania zgody środków komunikacji identycznych, jak te, których używa się do wyrażenia zgody. Tym samym, jeżeli udzielenie zgody na stronie internetowej następuje poprzez zaznaczenie odpowiedniego okienka, w ten sam sposób musimy zorganizować możliwość jej odwołania. Takie rozwiązanie ma za zadanie zabezpieczyć interesy konsumenta, tak, aby odwołanie zgody nie było bardziej uciążliwe niż jej udzielenie.

Jedną z najważniejszych kwestii jest dobrowolność przy wyrażeniu zgody (w związku z często występującą nierównością podmiotów). RODO wskazuje nawet przykładowe działania, kiedy zgoda traci cechy dobrowolności. Są to działania podlagające na, m.in.: uzależnieniu wykonania umowy od wyrażenia zgody na przetwarzanie danych osobowych (w przypadku, gdy nie jest to niezbędne do jej wykonania) czy przewidywaniu negatywnych konsekwencji przy niewyrażeniu zgody.

Obowiązująca ustawa o ochronie danych osobowych nie przewiduje zasad pytania o zgodę. Zasady te wynikały z orzecznictwa i decyzji GIODO. RODO potwierdza w swych zapisach wypracowane wcześniej zasady. I tak, aby uzyskać zgodę należy wyodrębnić treść tego oświadczenia od innych zapisów, a zgoda obowiązkowo musi być udzielona wyraźnie i nie może być abstrakcyjna. Co oznacza nieabstrakcyjny charakter zgody? Osoba udzielająca zgody musi rozumieć, m.in.: w jakim celu zgody udziela, jakie są skutki zgody oraz kto będzie przetwarzał jej dane osobowe. Z drugiej strony samo zapytanie o zgodę musi być zwięzłe, nieuciążliwe dla konsumenta i nie może zakłócać korzystania z wybranej usługi.

Dodatkowo należy wskazać, że RODO po raz pierwszy podejmuje kwestię warunków udzielenia zgody na przetwarzanie danych osobowych przez dzieci. Przetwarzanie danych dzieci jest zgodne z prawem w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku (czyli oferowanie posiłków wchodzi w ten zakres). Możliwe będzie przetwarzanie danych osobowych dziecka, które ukończyło 16 rok życia (państwa członkowskie będą mogły obniżyć granicę wiekową, ale musi ona wynosić co najmniej 13 lat). Gdy z usługi korzystać ma osoba poniżej przewidzianej granicy wieku, zgodę na przetwarzanie jej danych osobowych będzie musiał wyrazić (lub zaaprobować) rodzic lub opiekun. Po stronie przedsiębiorcy leży więc wypracowanie rozsądnych mechanizmów, pozwalających na zweryfikowanie, czy osoba udzielająca zgody osiągnęła odpowiedni wiek lub czy osoba mająca władzę rodzicielską lub prawo do opieki nad dzieckiem zgodę potwierdziła lub wyraziła. Nie będzie to łatwe zadanie, a prawidłowe rozwiązania pozwoli prawdopodobnie ocenić dopiero praktyka, orzecznictwo i decyzje GIODO wydawane w tej sprawie.

Pozostaje pytanie, co się stanie ze zgodami udzielonymi przed 25 maja 2018 r? Czy mamy obowiązek zbierania nowych zgód, udzielonych zgodnie z przepisami RODO? RODO w preambule wyjaśnia, że jeżeli przetwarzanie danych osobowych odbywa się na podstawi zgody uzyskanej zgodnie z obowiązującymi wówczas przepisami, nie ma potrzeby udzielania zgody ponownie, jeżeli sposób wyrażenia zgody odpowiada warunkom przewidzianym w RODO.

W praktyce, jeżeli zgody były zbierane zgodnie z ustawą o ochronie danych oraz przy uwzględnieniu wypracowanego orzecznictwa i decyzji GIODO, to nie ma potrzeby zbierania i udzielania nowych zgód. Należy jednak zwrócić szczególną uwagę na stosowane wcześniej zapisy i sprawdzić, m.in.: czy gwarantowały one możliwość świadomego wyrażenia zgody, czy zawierały informacje dotyczące administratora i celów przetwarzania danych osobowych, czy gwarantowały udzielnie zgody dobrowolnie oraz czy przy wyrażaniu zgody nie stosowano oznaczonych domyślnie okienek.

RODO nie wprowadza dużych zmian w kwestii sposobu udzielania zgodny na przetwarzanie danych osobowych. Normuje jednak i ujednolica problemy prawne wynikające wcześniej z orzecznictwa i decyzji GIODO. Całkowitą nowością jest natomiast uregulowanie zasad wyrażenia zgody na przetwarzanie danych osobowych przez dzieci i wiążące się z tym obowiązki.

 

Edyta Duchnowska

Radca prawny

Kancelaria Radcy Prawnego Edyta Duchnowska

www.duchnowska.pl

www.prawowrestauracji.pl

Izabela Wardaszko

Aplikant radcowski