Bez wątpienia znajdujemy się w chwili obecnej w bardzo trudnym okresie dla każdego przedsiębiorcy w związku z przetwarzaniem przez niego danych osobowych. Z jednej bowiem strony przedsiębiorcy są zobowiązani do przetwarzania danych osobowych zgodnie z obowiązującym stanem prawnym a więc ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: u.o.d.o). Z drugiej, ponad rok temu weszło w życie rozporządzenie 2016/679 o ochronie danych osobowych (dalej: RODO). Rozporządzenie zacznie być powszechnie obowiązujące od maja 2018 r. ale ogrom przewidzianych w nim zmian względem obecnych zasad ochrony danych osobowych wymusza podjęcie przygotowań już teraz. Z sytuacją taką wiąże się jednak znaczna liczba problemów.
Jednym z najtrudniejszych zagadnień związanych z dostosowaniem każdej organizacji do nowego unijnego systemu ochrony danych osobowych, jest udzielenie odpowiedzi na pytanie, dotyczące konieczności ponownego zrealizowania obowiązku poinformowania osób o przetwarzaniu ich danych osobowych oraz wymóg ponownego odebrania zgody na przetwarzanie danych. Zagadnienie to jest problematyczne z co najmniej czterech względów.
Po pierwsze nowe zasady realizowania obowiązku informacyjnego oraz wymogi skutecznego odebrania zgody na przetwarzanie danych osobowych znacznie się względem siebie różnią porównując obowiązujący oraz przyszły stan prawny. W obowiązującym stanie prawnym art. 7 pkt 5 u.o.d.o. wskazuje, że zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie. Przepis jest więc restrykcyjny i wyłącza w każdym przypadku możliwość odebrania takiej zgody chociażby poprzez zamieszczenie stosownej klauzuli w regulaminie świadczenia usług drogą elektroniczną. Jednocześnie jednak brak jest obowiązku poinformowania osób których dane dotyczą o prawie do cofnięcia takiej zgody – które skądinąd każdemu przysługuje. Zgodnie z kolei z art. 13 ust. 2 lit. c RODO administrator podaje osobie, której dane dotyczą informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. Inne są również wymogi udzielenia zgody, zgodnie bowiem z art. 4 pkt 11 RODO zgoda oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego. Inna jest wreszcie treść przewidzianych w RODO obowiązków informacyjnych, inny jest nawet moment ich realizacji. Tytułem przykładu, art. 25 u.o.d.o. wskazuje, że w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych. Z koli art. 14 ust. 1 RODO wskazuje, że obowiązek taki powinno się zrealizować najpóźniej w ciągu miesiąca od pozyskania danych. Moment realizacji obowiązku uległ więc jak się wydaje wydłużeniu.
Po drugie, brak jest w RODO wyraźnych przepisów przejściowych w tym zakresie. Ustawodawca unijny nie wypowiedział się w żadnym zakresie co do przenoszalności zrealizowanych już obowiązków informacyjnych i wymogu bądź nie ich aktualizacji. Nie wypowiedział się również w przedmiocie tego, czy w razie konieczności aktualizacji, powinna być ona podjęta względem całego obowiązku poprzez ponowne jego zrealizowanie, czy może wystarczy go dosłownie „zaktualizować”. Natomiast ustawodawca unijny w motywie 171 RODO wypowiedział się, w przedmiocie losu prawnego zgód na przetwarzanie danych odebranych na podstawie starego porządku prawnego. Wyjaśniono w nim, że jeżeli przetwarzanie ma opierać się na zgodzie odebranej na podstawie obecnych przepisów osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom RODO. Nie do końca wiadomo jednak, co to oznacza w praktyce.
Po trzecie, konieczne jest wskazanie relacji pomiędzy odpowiedzią na pytanie co do konieczności (bądź nie) ponownego realizowania (aktualizacji) wskazanych obowiązków a obowiązującą w postępowaniu administracyjnym zasadą aktualności. Jak wskazuje się bowiem w orzecznictwie sądów administracyjnych późniejsza zmiana przepisów stanowiących podstawę rozstrzygnięcia administracyjnego nie ma znaczenia dla oceny prawidłowości wydanej pod rządami poprzednio obowiązującej regulacji decyzji; por. wyrok NSA z 8 lipca 2011 r., I OSK 389/11, CBOSA. W postępowaniu administracyjnym obowiązuje zatem zasada aktualności (III SA/Kr 1197/14 – Wyrok WSA w Krakowie, zob. M. Krawczyk, Zasada aktualności a stosowanie prawa administracyjnego, Warszawa 2013).
Po czwarte z odpowiedzią na zadane w tekście pytania wiąże się konieczność podjęcia znacznych wydatków związanych z ponownym skontaktowaniem się z osobami których dane są przetwarzane. Oczywistym jest, że wysokość takich wydatków rośnie wprost proporcjonalnie do ilości osób których dane osobowe są przetwarzane.
Po piąte wreszcie, konieczność udzielenia trafnej odpowiedzi na wskazane pytania wzmocniona została wprowadzonymi do RODO sankcjami, związanymi z naruszeniem wskazanych obowiązków. Oba naruszenia tj. brak skutecznej zgody na przetwarzanie danych oraz niezrealizowanie obowiązku informacyjnego zagrożone zostały administracyjnymi karami finansowymi w wysokości do 20 000 000 EURO lub 4 % światowego rocznego obrotu.
Dokonując oceny wymogu ponownej aktualizacji bądź wykonania od nowa obowiązku informacyjnego wskazać warto wyrok Naczelnego Sądu Administracyjnego, zapadły parę lat temu w niemal identycznym stanie faktycznym. Rozpatrywana przez sąd sprawa dotyczyła braku wykonania przez bank obowiązku informacyjnego względem swoich klientów. W toku postępowania GIODO wskazał, że art. 24 u.o.d.o. wyraźnie statuuje obowiązek informacyjny w przypadku zbierania danych osobowych od osoby, której one dotyczą. NSA w wyroku wskazał więc, że obowiązek ten nie odnosi się więc do każdej formy przetwarzania danych, lecz tylko do ich zbierania. W momencie zbierania danych przez bank, tzn. l stycznia 1993 r. dla celów umowy o pracę i 26 stycznia 1993 r. dla celów rachunku bankowego, nie obowiązywała jeszcze przedmiotowa ustawa, w tym jej art. 24 ust. l. Bank nie miał więc obowiązku informowania Skarżącego o zbieraniu jego danych (Wyrok NSA z 11 kwietnia 2003 r., II SA 1578/02, Lex nr: 194462). W ocenie autora, powołany wyrok powinien znaleźć zastosowanie również w obowiązującym stanie prawnym. Obowiązek informacyjny wprowadzony w RODO znacznie różni się bowiem, od obowiązku przewidzianego u.o.d.o. – został poszerzony. Dotyczy on czynności pozyskiwania danych osobowych, a nie innych operacji przetwarzania danych osobowych – administrator podczas pozyskiwania danych osobowych podaje wszystkie wskazane informacje (art. 13 ust. 1 RODO). Skoro więc pozyskanie danych a więc operacja której dotyczy obowiązek informacyjny nastąpiła przed rozpoczęciem stosowania RODO, nie ma podstaw by stosować do niej w tym zakresie nowe przepisy. Wreszcie należy wskazać, że w wielu przypadkach ponowne zrealizowanie obowiązku informacyjnego wiąże się z koniecznością poszerzenia zakresu gromadzonych danych. Przepisy RODO wskazują z kolei wprost, że przewidziane w nim obowiązki nie powinny prowadzić do poszerzenia zakresu gromadzonych danych. W opisanym stanie faktycznym nie znajdzie więc zastosowania motyw 171 RODO, w świetle którego, przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów. Niezależnie od powyższego wskazać należy, że powołany motyw nie mający statusu normy prawnej nie znajduje swojego odzwierciedlenia w treści samego RODO. Zawiera również błąd legislacyjny. Nie jest bowiem możliwe dostosowanie przetwarzania danych do określonych wymogów, z mocą wsteczną. Tam gdzie obecnie pojawia się więc zwrot „wejście w życie” powinno zostać wprowadzone pojęcie „stosowania” a tam gdzie termin „stosowane”, termin „weszło w życie”. Błąd legislacyjny powstał już na etapie tworzenia wersji angielskiej a nie polskiej ogólnego rozporządzenia.
Sytuacja staje się bardziej problematyczna w przypadku pozyskiwania zgód na przetwarzanie danych. Uznając wskazane już powyżej argumenty za w pełni zasadne – w tym zasadę aktualności obowiązującą w postępowaniu administracyjnym, powinny znaleźć one zastosowanie również w odniesieniu do uzyskanych na podstawie u.o.d.o. zgód na przetwarzanie danych. W stosunku do zgód, ustawodawca unijny wprowadził szczególną regulację w motywie 171 RODO, w świetle którego, jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia. Nie jest do końca znana przyczyna, dlaczego ustawodawca unijny zdecydował się wyróżnić pozyskiwanie zgody od innych przesłanek przetwarzania danych i dlaczego wyłącznie w tym przypadku zdecydował się na wprowadzenie takiej „przejściowej” regulacji. W Polsce jako w jedynym państwie unijnym, wymogi co do odbieranej zgody na przetwarzanie danych które są wprost zdefiniowane w u.o.d.o. są dużo bardziej restrykcyjne niż w RODO. W literaturze przedmiotu postulowało się nawet, że restrykcyjność zgody przewidziana w polskiej regulacji wykracza poza wymogi przewidziane w obowiązującej obecnie dyrektywie 95/46. Tym samym każde zgodne z u.o.d.o. oświadczenie o wyrażeniu zgody na przetwarzanie danych, jest zgodne z RODO. Nie ma więc możliwości, by odbierana obecnie zgoda musiała być w Polsce konwalidowana po rozpoczęciu stosowania RODO. Jedyny wyjątek w tym zakresie dotyczy poinformowania o prawie do cofnięcia zgody. O ile bowiem obowiązujący porządek prawny przewiduje takie uprawnienie – nie ma normy analogicznej do wprowadzonej do RODO, a wskazującej na wymóg poinformowania o prawie do cofnięcia zgody. Poinformowanie takie wchodzi w zakres obowiązku informacyjnego a nie samego odebrania zgody. A jak zostało to już wskazane, nie ma prawnych podstaw dla uzasadnienia stanowiska, w świetle którego wszelkie obowiązki informacyjne powinny zostać na kanwie przyszłego stanu prawnego zaktualizowane.
Podsumowując podjęte w tekście rozważania, z uwagi na brak w tym zakresie wytycznych Grupy Roboczej art. 29, przepisy RODO nie dają w ocenie Omni Modo podstaw do uznania, że obowiązek informacji oraz zgody odbierane przed 25 maja 2018 r. będą musiały podlegać ponownej realizacji bądź aktualizacji już na kanwie nowego porządku prawnego.
