Do końca marca podmioty biznesowe oraz osoby fizyczne mogą zgłaszać uwagi do przewodnika – instrukcji po GDPR (GDPR consent guidance), udostępnionego do konsultacji przez brytyjskie Biuro Informacji Komisarz Elizabeth Denham (Information Commisoner’s Office).
Opublikowany przewodnik wyjaśnia w przystępny sposób uregulowanie przez GDPR jednego z podstawowych założeń przetwarzania danych osobowych tj. zgody właściciela danych na ich przetwarzanie. Dokument zawiera m.in. listę kontrolną dla praktyków ochrony danych osobowych, umożliwiającą szybkie sprawdzenie poprawności stosowanych mechanizmów przetwarzania danych oraz treści zbieranych zgód. „Zgodę”, stosownie do art. 4 pkt 11 GDPR, zdefiniowano jako: „dobrowolne, konkretne, świadome i jednoznaczne okazanie woli w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwalającego na przetwarzanie danych osobowych dotyczących danej osoby”.
Autorzy przewodnika poruszają 9 kwestii:
- Oceniając (stosownie do art. 7 ust. 4 GDPR) dobrowolność zgody i podstawy przetwarzania danych, w tym czy jest ona niezbędna do wykonania umowy, dopuszcza się stosowanie zachęt do jej wyrażania w postaci możliwości uzyskania darmowej usługi od podmiotu zbierającego dane.
- W przewodniku doprecyzowano, iż tam, gdzie GDPR wprost nie wymaga, aby zgoda została wyrażona w sposób wyraźny (np. w odniesieniu do podstaw przetwarzania szczególnych kategorii danych osobowych, takich jak dane wrażliwe) może ona mieć charakter dorozumiany tj. zgoda interpretowana z aktywnego zachowania podmiotu danych. Niemniej, zgoda na przetwarzanie danych zawsze musi mieć charakter aktywnego zachowania (affirmative opt-in act). Milczenie, „okienka” domyślnie zaznaczone lub niepodjęcie działania odznaczenia „okienka”, nie powinny zatem oznaczać zgody (zob. motyw 32 GDPR).
- Wyraźna zgoda (wtedy, gdy GDPR jej wymaga) może mieć postać pisemnego (w tym elektronicznego) lub ustnego oświadczenia woli.
- W przewodniku zwrócono uwagę na brak przepisów GDPR, które by określały wprost jak długo dane osobowe mogą być przetwarzane. W tym zakresie zasugerowano uwzględnienie usprawiedliwionego oczekiwania podmiotu danych. Przy czym podmiot danych może wycofać zgodę w każdej chwili. Jednocześnie podkreślono, iż zgoda rodziców wygasa w momencie uzyskania przez dziecko wieku umożliwiającego samodzielne (skuteczne) wyrażenie woli (w wieku 16, a w niektórych przypadkach 13 lat).
- W razie wątpliwości co do posiadania aktualnych zgód na przetwarzanie danych osób z danego zbioru danych, przewodnik rekomenduje odświeżanie ich raz na 2 lata.
- W przewodniku zwrócono uwagę na to, że GDPR nie określa reguł dotyczących zdolności do czynności prawnych osób i sugeruje, że kwestię tę należy rozstrzygać na podstawie kryteriów wyrażonych w GDPR tj. świadomej zgody opartej na uprzednim poinformowaniu.
- Podmioty uzyskujące zgody na przetwarzanie powinny prowadzić rejestr lub posiadać odpowiednie narzędzia elektroniczne, które umożliwiają ewidencjonowanie zebranych zgód. Może być to pomocne przy późniejszych ich weryfikacjach pod kątem aktualności.
- W wytycznych położono nacisk na uprawnienie użytkownika do wycofania zgody w dowolnym momencie. Podmioty gromadzące dane zobowiązane są do informowania użytkowników o takiej możliwości.
- Swoboda wyrażenia zgody może być zakłócona w przypadkach, gdy może występować brak równorzędności pomiędzy podmiotem, a użytkownikiem (podmioty publiczne, pracodawcy). Wówczas zaleca się uzasadnienie przetwarzania danych na innej podstawie prawnej.
Jak wynika z powyższych punktów, dokument omawia przede wszystkim nowe aspekty, jakie niesie za sobą nieco zmieniony reżim wyrażania zgody na przetwarzanie danych – zmienionego pod kątem korzyści dla użytkownika (konsumenta). Warto zaznaczyć, iż w toku konsultacji z pewnością pojawią się propozycje rozwiązań kwestii niedoprecyzowanych w GDPR i rekomendacje, tym samym, ulegną dalszemu rozwinięciu np. o obszar odnoszący się do zgód wyrażanych w przypadku, gdy dane osobowe dotyczą dzieci.
Autor: Mirosław Gumularz