Pozyskiwanie danych osobowych na nowych zasadach

W obliczu rozwoju technologicznego oraz informatyzacji życia codziennego, unijny prawodawca zdecydował się zmodyfikować i ujednolicić zasady dotyczące ochrony danych osobowych. W efekcie 27 kwietnia 2016 r. przyjęto unijne rozporządzenie, zwane również RODO, które zacznie powszechnie obowiązywać 25 maja 2018 r. Z tym dniem zostanie uchylona obowiązująca dyrektywa 95/46/WE, na podstawie której przyjęto polską ustawę o ochronie danych osobowych. Niemniej jednak, w dalszym ciągu jedną z podstaw przetwarzania danych osobowych, będzie zgoda osoby, której te dane dotyczą.

Niezbędna aprobata

Wobec występujących na gruncie obowiązującej dyrektywy problemów interpretacyjnych, w RODO sprecyzowano cechy, jakimi powinna charakteryzować się zgoda. Dodano nowy przepis, który reguluje zasady i warunki wyrażenia przez osobę zgody. Dotychczasowa definicja zgody, została na gruncie RODO zmodyfikowana. Przewiduje ona, że jak dotychczas, zgoda powinna być dobrowolna, konkretna i świadoma. Powinna być także – co jest novum w RODO –wyrażona w formie jednoznacznej czynności, tj. oświadczenia lub wyraźnego działania, z której wynika, że dana osoba zezwala na przetwarzanie jej danych osobowych. Przepis ten zakłada, że wyrażenie zgody może nastąpić wyłącznie poprzez aktywne działanie osoby, której dane mają być przetwarzane. Wykluczone zatem będzie dorozumiane bądź milczące udzielenie zgody. W konsekwencji, w przypadkach, w których zgoda nie będzie spełniała powyższych wymogów, nie będzie skuteczna.

Zgodnie z rozporządzeniem, nie można uznać, że wyrażenie zgody było dobrowolne, jeżeli osoba składająca takie oświadczenie, nie miała realnego lub wolnego wyboru lub też nie może odmówić wyrażenia lub cofnięcia zgody bez negatywnych dla niej konsekwencji. Przykładem takich nieuprawnionych praktyk może być np. traktowanie przez administratora milczenia, jako zgody na przetwarzanie danych, bądź domyślne zaznaczenie okienka w elektronicznym formularzu, bez aktywnego udziału osoby, której dane mają być przetwarzane.

Przyzwolenie można cofnąć

RODO przewiduje ponadto, że samo zapytanie o wyrażenie zgody na przetwarzanie danych, musi być bardzo wyraźne, a osoba, której dane dotyczą, ma prawo w każdej chwili cofnąć to przyzwolenie. Nowością jest to, że wycofanie zgody musi być równie łatwe, jak jej wyrażenie. Może to jednak rodzić problemy natury faktycznej. Obecnie częstą praktyką jest zaznaczenie okienka w przedmiocie wyrażenia zgody, co jest dokonywane np. podczas zawierania umowy. Natomiast w celu cofnięcia zgody, dana osoba musi sporządzić samodzielnie oświadczenie o jej wycofaniu, np. w postaci e-maila czy pisma. To, w świetle przepisów rozporządzenia, należałoby uznać za bardziej skomplikowane niż samo wyrażenie aprobaty poprzez zaznaczenie okienka. Prowadziłoby to tym samym do niezgodności takiej praktyki z nowymi przepisami.

Dzieci pod szczególną ochroną

Szczególną ochroną na gruncie prawa ochrony danych osobowych wymagają dzieci, gdyż mogą one nie być świadome ryzyk i konsekwencji, związanych z udostępnianiem i przetwarzaniem takich danych. Wobec tego RODO w artykule 8 reguluje warunki zgody dziecka na przetwarzanie danych osobowych w przypadku usług społeczeństwa informacyjnego, tj. przede wszystkim na wszelkiego rodzaju portalach społecznościowych.

Powołany przepis przewiduje, że dozwolone jest przetwarzanie danych dziecka, które ukończyło 16 lat. Jeżeli jednak nie osiągnęło tego wieku, przetwarzanie jego danych jest dopuszczalne wyłącznie w przypadkach, gdy zgodę na to wyraził jego rodzic lub opiekun prawny. Administrator zaś, przy uwzględnieniu dostępnej mu technologii, będzie obowiązany podjąć rozsądne starania w celu zweryfikowania, czy wyrażona przez opiekuna prawnego zgoda jest rzeczywista. Będzie to z pewnością stanowić wyzwanie dla administratorów portali internetowych. Nowe przepisy prawdopodobnie wymuszą na usługodawcach nowe zasady pozyskiwania wspomnianej aprobaty.

Wprowadzenie powyższych zmian będzie wymagało zatem weryfikacji dotychczasowej praktyki administratorów pod kątem jej zgodności z przepisami, a przede wszystkim dostosowania formularzy, w tym tych dotyczących uzyskiwania zgód oraz wprowadzenia zmian w prowadzonej dokumentacji.

Autor: Miłosz Mazewski

CHCESZ DOWIEDZIEĆ SIĘ WIĘCEJ O RODO W TWOJEJ FIRMIE?
Prześlij nam swoje dane kontaktowe, skontaktujemy się.