Jednym z najistotniejszych tematów, które zajmują obecnie biznes jest udzielenie odpowiedzi na pytanie czy zgody na przetwarzanie danych osobowych wyrażone na gruncie ustawy o ochronie danych osobowych pozostaną skuteczne i ważne po dniu 25 maja 2018 r., w którym zacznie być stosowane GDPR. W przedmiocie tym wypowiedział się w ostatnim czasie Generalny Inspektor Ochrony Danych Osobowych. Z uwagi na istotne skutki prawne wynikające z przedstawionej przez organ interpretacji zachęcamy do zapoznania się z poniższym tekstem.
Zgoda na przetwarzanie danych w UODO
Zarówno w obecnie obowiązującej UODO, jak i GDPR, które zacznie obowiązywać od 25 maja 2018 r. zgoda na przetwarzanie danych osobowych, wyrażona przez osobę, której dane dotyczą, jest jedną z przesłanek legalizujących ten proces. Na gruncie tych dwóch aktów prawnych inaczej jednak przedstawiają się warunki, jakie oświadczenie to musi spełniać i okoliczności w jakich musi być wyrażone, aby było wiążące i stanowiło o legalności procesu przetwarzania danych osobowych.
Art. 23 ust. 1 pkt 1 UODO stanowi, iż przetwarzanie danych jest dopuszczalne wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych osobowych. Stosownie zaś do treści art. 7 pkt 5 UODO przez zgodę rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie, przy czym zgoda taka nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, a dodatkowo może być odwołana w każdym czasie.
Analiza powyższych przepisów oraz orzecznictwo GIODO w tym zakresie wskazuje, iż obecnie dla zalegalizowania procesu przetwarzania danych osobowych na przesłance zgody osoby, której dane te dotyczą, wystarczającym jest odebranie od niej oświadczenia woli w tym przedmiocie, przy zapewnieniu jej w momencie podejmowania tej decyzji odpowiedniej swobody, dobrowolności i odrębności tego oświadczenia. Niewątpliwie, na ważność zgody osoby, która ją wyraziła nie ma wpływu okoliczność niepoinformowania jej uprzednio o możliwości cofnięcia tej zgody na każdym etapie przetwarzania jej danych osobowych. Aktualnie obowiązująca Ustawa stanowi bowiem jedynie o takim uprawnieniu osoby, która zgodę taką wyraziła. Nie nakazuje natomiast informowania jej o tym przez administratora.
Zgoda na przetwarzanie danych w GDPR
Inaczej kwestia ta została uregulowana w GDPR, gdzie w art. 7 ust. 3 czytamy, iż osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.
Stara zgoda na przetwarzanie danych po 25 maja 2018
Literalne brzmienie tego przepisu nakazuje przyjąć, iż ważność tego oświadczenia i możliwość zalegalizowania procesu przetwarzania danych osobowych na przesłance zgody, od 25 maja 2018 r. uzależniona będzie od spełnienia dodatkowego wymogu, a mianowicie poinformowania osoby, która zgodę taką ma wyrazić, o możliwości jej wycofania w dowolnym momencie, przy czym informacja ta musi być skierowana do tej osoby jeszcze przed złożeniem przez nią tego oświadczenia.
Pytanie zatem jak po 25 maja 2018 r. powinna wyglądać klauzula zgody na przetwarzanie danych osobowych i czy zgody wyrażone przed 25 maja 2018 r. będą stanowiły ważne przesłanki przetwarzania danych osobowych także po tej dacie.
Biorąc pod uwagę treść art. 4 pkt 11 GDPR, zgodnie z którym zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych, treść samego oświadczenia o wyrażeniu zgody na przetwarzanie danych osobowych, wydaje się, nie będzie wymagała większych zmian redakcyjnych. Tak jak obecnie istotnym będzie zapewnienie osobie wyrażającej zgodę swobody tego działania, dobrowolności, a także świadomości odnośnie do celu przetwarzania i administratora danych. Zmiana, zdaje się, polegać będzie natomiast na konieczności poinformowania, zamieszczenia bezpośrednio przed treścią oświadczenia o wyrażeniu zgody na przetwarzanie danych osobowych, informacji o tym, iż w przypadku wyrażenia zgody, osoba ta będzie miała możliwość jej wycofania w dowolnym momencie; wycofanie zgody nie wpłynie na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem, a także, choć nie wynika to wprost z przepisu, ale wydaje się być zasadnym w kontekście jego treści, o sposobie w jaki osoba ta będzie mogła zgodę taką wycofać. Przytoczony powyżej przepis art. 7 ust. 3 GDPR wskazuje bowiem wprost, iż osoba, która ma wyrazić zgodę ma być poinformowana w ww. zakresie, zanim wyrazi zgodę, zatem zanim podpisze stosowne oświadczenie; zanim zaznaczy checkbox przy takim oświadczeniu czy też zanim wyrazi taką zgodę ustnie.
Motyw 171 GDPR punktem wyjścia do dyskusji
Punkt wyjścia dla rozważań na temat aktualności zgód wyrażonych pod rządami UODO, po 25 maja 2018 r. stanowi natomiast Motyw 171 GDPR. Czytamy w nim bowiem, że przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów. Jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody,
jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia.
Warunki wyrażenia zgody w GDPR zostały omówione powyżej.
Literalna wykładnia ww. motywu wskazuje, iż administratorzy danych osobowych, którzy przed 25 maja 2018 r. przetwarzać będą dane osobowe na podstawie zgody osoby, której te dane dotyczą, aby móc legalnie przetwarzać je także po 25 maja 2018 r. powinni być w stanie wykazać w tej dacie, po pierwsze, iż zgody te zostały wyrażone w sposób świadomy i dobrowolny czyli, że treść tych oświadczeń nie została od nich wymuszona (w momencie wyrażania zgody, osoba składająca to oświadczenie sama zaznaczyła checkbox, a nie, że może był on już uprzednio z automatu zaznaczony), ani domniemana z innych oświadczeń woli tych osób, a po drugie, że zanim osoby te takie oświadczenia złożyły, zostały poinformowane o możliwości wycofania wyrażonej zgody na każdym etapie przetwarzania. Stosownie bowiem do treści przytoczonych wcześniej artykułów tj. art. 4 pkt 11 i art. 7 ust. 3 GDPR takie będą warunki wyrażenia zgody na gruncie tego aktu prawnego. W przeciwnym razie po 25 maja 2018 r. nie będą oni mogli kontynuować tego przetwarzania.
Opinia GIODO o zgodach
Powyżej zaprezentowany sposób wykładni przepisów GDPR został podzielony przez GIODO w ramach cyklu „ROK DO RODO – SPRAWDZIAN GOTOWOŚCI cz. 6. ZGODA NA PRZETWARZANIE DANYCH” publikowanego na stronie internetowej organu. W zamieszczonym materiale wskazano, że „[…] większość otrzymanych dotychczas zgód zachowa ważność także pod rządami ogólnego rozporządzenia. Pod warunkiem, że poinformowano osobę, której dane dotyczą o możliwości wycofania zgody w dowolnym momencie, a wycofanie zgody jest równie łatwe jak jej wyrażenie. Zachęcamy więc do przeglądu stosowanych klauzul i mechanizmów pozyskiwania danych i upewnienia się, że spełniają standardy określone w ogólnym rozporządzeniu i nie ma potrzeby zbierania zgód raz jeszcze”.
Natomiast na nasze pytanie co do obowiązku poinformowania osoby, o jej prawie do wycofania zgody, jeszcze przed jej wyrażeniem w stosunku do zgód zebranych pod reżimem UODO, GIODO wypowiedział się następująco:
„Przedmiotem trwającej teraz dyskusji jest kwestia obowiązku uprzedniego poinformowania podmiotu danych o możliwości wycofania zgody (vide art. 7 ust. 3 RODO). Choć przepisy ustawy o ochronie danych osobowych przewidują obecnie możliwość odwołania zgody w każdym czasie (o czym wprost stanowi jej art. 7 pkt 5), to jednak nie wskazano w nich wprost, że o takiej możliwości należy poinformować osoby, których dane dotyczą. Na problem ten, którego GIODO ma pełną świadomość, zwróciliśmy już uwagę, publikując na naszej stronie internetowej część 6 Sprawdzianu gotowości do RODO, o którym Pan wspomina.
Problem ten dostrzegają również inne organy ochrony danych z UE i dlatego będzie on przedmiotem dyskusji podczas przyszłotygodniowego spotkania jednej z podgrup Grupy Roboczej Art. 29 (27 czerwca 2017 r.), która pracuje nad nowymi wytycznymi Grupy dotyczącymi zgody. Zatem kwestia tego, czy trzeba będzie ponownie pozyskiwać zgodę wobec braku uprzedniego poinformowania podmiotu danych o możliwości jej wycofania, powinna zostać w sposób jednolity rozstrzygnięta w najbliższych dniach. Należy więc oczekiwać spójnego stanowiska wszystkich unijnych organów ochrony danych osobowych w tej sprawie”.
Tak rygorystyczna wykładnia literalna przepisów GDPR powoduje znaczne perturbacje po stronie organizacji przetwarzających dane osobowe. Należy zauważyć, że nawet podmioty, które na gruncie UODO zebrały poprawną zgodę na przetwarzanie danych osobowych, na podstawie argumentacji GIODO, po dniu 25 maja 2018 r. musiałyby zebrać te zgody na nowo. Generowałoby to znaczne koszty oraz straty businessowe. Należy bowiem założyć, że część z klientów, których dane do tej pory są przetwarzane w sposób legalny i zgodnie z ich dyspozycją, z różnych powodów nie wyraziłoby tej zgody po raz wtóry.
Wykładnia celowościowa zgody przyjazna dla biznesu
Próbując postawić się w roli adwersarza GIODO oraz szukając argumentów przemawiających za wykładnią nieco bardziej probiznesową (a na takie podejście liczy cały rynek) oprzeć się można na wykładni celowościowej – która wiedzie prymat przy interpretowaniu prawa przez Trybunał Sprawiedliwości Unii Europejskiej – obejmującej nie tylko omówiony wyżej motyw 171 GDPR, ale także przepisy odnoszące się do warunków wyrażenia zgody pod rządami GDPR.
Wydaje się, iż można przyjąć, że założeniem prawodawcy unijnego było zbudowanie takich uprawnień osoby, której dane dotyczą, które zagwarantują jej swobodę w wyrażeniu zgody, świadomość co do możliwości jej wycofania oraz łatwość tej operacji. Podkreślić należy również, że GDPR nie wskazuje w sposób sztywny sposobów realizacji obowiązków ciążących na administratorach danych, wskazując jedynie na efekt jaki ma być osiągnięty. Taki sposób skonstruowania przepisów GDPR gwarantuje, że będą one elastycznie dostosowywać się do profilu każdej organizacji oraz zachodzących w niej zmian. Dlatego, można zastanawiać się czy wystarczającym dla osiągnięcia przez administratorów – którzy dotąd wykazali się należytą starannością przy zbieraniu zgód – opisanego wyżej celu, nie byłoby poinformowanie osób, których dane osobowe przetwarzają oni aktualnie na podstawie odebranych od nich zgód, o możliwości każdoczesnego ich wycofania oraz dostarczenie im narzędzia umożliwiającego w łatwy sposób skorzystanie z tego uprawnienia. Efekt jaki byłby osiągnięty tym zabiegiem pokrywałby się z założeniami prawodawcy unijnego. Jedynym mankamentem tej wykładni byłby brak zapewnienia tej osobie, wiedzy w tym zakresie na etapie pierwotnego wyrażenia zgody. Brak jest bowiem, z powodów obiektywnych, możliwości cofnięcia się do tego momentu.
Staranny administrator dążący do zagwarantowania jednostce jej wszystkich uprawnień wynikających z GDPR, nie powinien być obciążany ponoszeniem kosztów nieadekwatnych do zapewnienia osobie wiedzy, o której mowa powyżej. Wiedza ta byłaby co prawda zagwarantowana na etapie późniejszym, ale etap ten wynikałby z okoliczności pojawienia się nowych przepisów prawa (co nie powinno obciążać starannego administratora). GDPR odchodzi bowiem od nakładania na administratorów sformalizowanych obowiązków nierzutujących wprost na bezpieczeństwo danych i uprawnienia informacyjne jednostek. Dlatego też oczekiwanym przez biznes jest pozyskanie stanowiska organu nadzorczego w przedmiocie akceptowalności powyższego rozwiązania.
Autorki: Marta Bargiel – Kaflik, Monika Gierałtowska – Karpowicz
