Krzysztof Sobczak: Czy wchodzące w życie 25 maja tego roku unijne rozporządzenie ogólne o ochronie danych osobowych (RODO) reguluje sposób traktowania zgód na przetwarzanie danych osobowych uzyskanych przed tą datą?
Paweł Litwiński: Jest z tym pewien problem, a wynika on stąd, że samo RODO tej kwestii nie rozstrzyga w sposób jednoznaczny – w RODO w ogóle brak jest przepisów przejściowych, co samo w sobie sprawia problemy. Jedynym punktem odniesienia jest motyw 171 preambuły do RODO. Stanowi on tak: Jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia.
Czytaj: Mogą być problemy ze starymi zgodami na przetwarzanie danych>>
Ale czym jest „sposób” wyrażenia zgody?
Słuszność w mojej ocenie ma GIODO, kiedy pisze w opinii dot. ważności zgód, że sposób wyrażenia zgody to spełnienie – lub nie – przez zgodę tych wymagań, które dla zgody właśnie przewiduje RODO. A więc zgoda, żeby zachować ważność na gruncie RODO, powinna zostać udzielona dobrowolnie, świadomie, być konkretna i jednoznaczna. Są to warunki przewidziane przez RODO w art. 4 pkt 11. I oczywiście w ten sposób prawo działa wstecz, bo oceniamy, czy zgoda udzielna na gruncie ustawy o ochronie danych osobowych jest zgodna z RODO, czyli z aktem prawnym nie obowiązującym wtedy. I tak, jest to sprzeczne z zasadami wykładni oświadczeń woli obowiązującymi w polskim prawie, czyli z wykładnią oświadczeń woli z uwzględnieniem okoliczności istniejących w chwili ich składania – a nie kilka lat później. Ale niestety tak to zostało uregulowane w RODO.
Do czego więc należy odnosić udzielone kiedyś zgody?
Żeby ocenić, czy zgoda udzielona np. w 2005 r. zachowa ważność po 25 maja 2018 r. trzeba ocenić, czy ta zgoda – w chwili jej zbierania – spełniała kryteria dobrowolności, świadomości, konkretności i jednoznaczności. Co przy tym ważne, te kryteria były w polskim prawie znane od lat – przykładowo, NSA sformułował warunki konkretności i jednoznaczności zgody już w 2003 r.! Z dużym prawdopodobieństwem można więc założyć, że jeżeli zgoda została zebrana przed 25 maja 2018 r. i w chwili zbierania była zgodna z ustawą o ochronie danych osobowych, orzecznictwem sądowym i zaleceniami GIODO, to spełnia kryteria dobrowolności, świadomości, konkretności i jednoznaczności.
A co z kwestią informowania o możliwości odwołania zgody?
To kwestia najważniejsza i najbardziej dyskusyjna. Rzeczywiście RODO nakłada taki obowiązek na administratorów danych – przy zbieraniu zgód trzeba informować o możliwości odwołania zgody i ten obowiązek jest zaliczany do kilku najważniejszych obowiązków informacyjnych, tak przez Komisję Europejską, jak i przez Grupę Roboczą Art. 29. Ale nie oznacza to jeszcze, że jest to warunek zachowania ważności przez zgody udzielone wcześniej – tymczasem GIODO w maju 2017 r. stwierdził, że zgody zachowają ważność: pod warunkiem, że poinformowano osobę, której dane dotyczą, o możliwości wycofania zgody w dowolnym momencie
Jakie byłyby praktyczne skutki takiej interpretacji?
Takie podejście oznaczałoby, że żadna ze zgód udzielonych przed 25 maja 2018 r. nie zachowa ważności, bo choć zgodę można było odwołać, to nikt o tym nie informował, bo … nie przewidywał tego art. 24 i 25 ustawy o ochronie danych osobowych.
Jak się wydaje, takie podejście, jakie zaprezentował GIODO w maju 2017 r., nie jest prawidłowe. Dostrzegł to również GIODO, który w stanowisku z grudnia 2017 r. pisze tak: Wydaje się, że przekazanie tej informacji należy rozumieć w szerszym kontekście konieczności stworzenia mechanizmów zapewniających możliwość łatwego wycofania zgody, jako jeden z aspektów autonomii informacyjnej osób, których dane dotyczą. Informacje, jak wycofać zgodę, mają w tym kontekście zasadnicze znaczenie.
Jak więc mają sobie z tym poradzić administratorzy?
Istotne jest nie to, co miało miejsce w chwili zbierania zgody – przypomnę, nikt nie informował o możliwości wycofania zgody – ale to, co ma miejsce dzisiaj: czy administrator dzisiaj informuje o możliwości wycofania zgody, czy stworzył mechanizmy umożliwiające łatwe wycofanie zgody itp. Trzeba więc informować o tym, że zgodę można wycofać – np. przy okazji wysyłania faktur do klientów, czy przy okazji mailingów reklamowych; trzeba stworzyć mechanizmy wycofywania zgody, np. na stronie internetowej. Jeżeli te warunki odnośnie do wycofania zgody będą spełnione, a sama zgoda w chwili jej udzielania spełniała kryteria dobrowolności, świadomości, konkretności i jednoznaczności, wówczas w mojej ocenie zgody udzielone przed 25 maja 2018 r. zachowają ważność na gruncie RODO.
Czytaj: Potrzebne będą nowe zgody na przetwarzanie danych?>>