Zarówno w obecnym stanie prawnym, jak i na
gruncie Rozporządzenia, zgoda na przetwarzanie
danych osobowych wyrażona przez osobę, której
dane
dotyczą,
jest
jedną
z
przesłanek
legalizujących przetwarzanie danych osobowych.
Jednak Rozporządzenie wprowadza istotne zmiany
w zakresie pozyskiwania zgody na przetwarzanie
danych osobowych. Wspomniane zmiany wymuszą
wprowadzenie modyfikacji do procesu pozyskiwania
zgody po 25 maja 2018 r., jak również mogą
skutkować koniecznością ponownego pozyskania
takiej zgody od osób, które zgody udzieliły na
podstawie obecnie obowiązujących przepisów.
Na gruncie Rozporządzenia „zgoda” osoby, której
dane dotyczą oznacza dobrowolne, konkretne,
świadome i jednoznaczne okazanie woli, którym
osoba, której dane dotyczą, w formie oświadczenia
lub
wyraźnego
działania
potwierdzającego,
przyzwala na przetwarzanie dotyczących jej danych
osobowych. Zatem podstawowymi przesłankami
konstrukcyjnymi
zgody
są
dobrowolność,
konkretność,
świadomość
i
jednoznaczność.
Wyrażenie zgody powinno być oparte o zasadę opt-
in, która wymaga od podmiotu danych podjęcia
pozytywnego działania (np. zaznaczenia okienka
zgody).
Rozporządzenie
wyklucza
natomiast
dopuszczalność modeli opt-out, które wykorzystują
bierność lub milczenie, a często po prostu
nieuwagę, osoby, której dane dotyczą (np. poprzez
domyślne zaznaczenie okienka zgód).
Co istotne, Rozporządzenie uelastycznia podejście
do wyrażania zgody względem obecnych regulacji,
dopuszczając wyrażenie zgody nie tylko poprzez
złożenie oświadczenia woli, ale także poprzez jej
okazanie w inny sposób, np. poprzez wybór
odpowiednich ustawień technicznych do korzystania
z usług społeczeństwa informacyjnego lub też inne
zachowanie, które w danym kontekście jasno
wskazuje, że osoba, której dane dotyczą
zaakceptowała proponowane warunki przetwarzania
jej danych osobowych. Złożenie oświadczenia o
wyrażeniu zgody na przetwarzanie danych
osobowych nie wymaga żadnej szczególnej formy.
Jednak administrator danych musi być w stanie
wykazać, że osoba, której dane dotyczą, taką zgodę
wyraziła. Należy zatem wdrożyć odpowiednie środki
organizacyjne i techniczne w zakresie utrwalania
faktu wyrażenia zgody na przetwarzanie danych
osobowych przez podmioty danych.
Zgodnie z przepisami Rozporządzenia osoba, której
dane dotyczą, ma prawo w dowolnym czasie
wycofać
zgodę
na
przetwarzanie
danych
osobowych. Co prawda powyższe uprawnienie
występuje także na gruncie obecnych przepisów,
jednak Rozporządzenie dodatkowo wymaga, aby w
momencie zbierania danych osoba, której dane
dotyczą,
została
o
tym
uprawnieniu
poinformowana. Rozporządzenie wskazuje ponadto,
że wycofanie zgody powinno być równie łatwe jak
jej udzielenie. Administratorzy danych powinni
zatem
opracować
procedury
umożliwiające
wycofanie zgody w sposób analogiczny do sposobu
jej udzielenia.
Zapytanie o zgodę musi zostać przedstawione w
sposób pozwalający wyraźnie odróżnić je od
pozostałych kwestii, w zrozumiałej i łatwo
dostępnej formie, jasnym i prostym językiem.
Rozporządzenie
znacząco
poszerza
katalog
informacji, jakie
powinny być przekazane
podmiotowi danych w momencie zbierania danych,
m.in. wymagając wskazania okresu, przez jaki dane
będą przechowywane, podanie informacji o prawie
do
cofnięcia
zgody
oraz
informacji
o
zautomatyzowanym podejmowaniu decyzji. W
związku z powyższym większość administratorów
będzie musiała zaktualizować zakres informacji
podawanych osobom, których dane dotyczą, w
momencie zbierania danych.
Jak wynika z powyższego, Rozporządzenie
wprowadza wiele zmian w zakresie procesu
pozyskiwania zgody na przetwarzanie danych
osobowych. W związku ze zbliżającym się terminem
stosowania Rozporządzenia (25 maja 2018 r.)
przedsiębiorcy
powinni
zweryfikować
czy
mechanizmy, które stosują do pozyskiwania i
przetwarzania danych są zgodne z nową regulacją i
jakie niezbędne zmiany należałoby wprowadzić.
Należy także przeanalizować, czy będzie można
kontynuować przetwarzanie danych na podstawie
zgody uzyskanej przed datą rozpoczęcia stosowania
nowych regulacji. Zgodnie z motywem 171
preambuły Rozporządzenia, jeżeli przetwarzanie
ma za podstawę zgodę w myśl obecnych przepisów,
osoba, której dane dotyczą, nie musi ponownie
wyrażać zgody, o ile pierwotny sposób jej
wyrażenia odpowiada warunkom Rozporządzenia.
MILLER, CANFIELD,
W. BABICKI, A. CHEŁCHOWSKI I WSPÓLNICY SP.K.
ul. Batorego 28-32
81-366 Gdynia
Tel. +48 58 782-0050
Fax +48 58 782-0060
gdynia@pl.millercanfield.com
ul. Nowogrodzka 11
00-513 Warszawa
Tel. +48 22 447-4300
Fax +48 22 447-4301
warszawa@pl.millercanfield.com
ul. Skarbowców 23a
53-125 Wrocław
Tel. +48 71 780-3100
Fax +48 71 780-3101
wroclaw@pl.millercanfield.com
Zastrzeżenie: Niniejsza publikacja została przygotowana dla klientów i współpracowników kancelarii Miller Canfield. Ma ona na celu jedynie
przedstawienie streszczenia niektórych wydarzeń prawnych z wybranych dziedzin prawa. Z tego powodu informacje zawarte w niniejszej publikacji nie
powinny stanowić podstawy do podjęcia jakiejkolwiek decyzji dotyczącej określonego kierunku działania. Informacje te nie mogą też być traktowane
jako porada prawna ani nie zastępują szczegółowej opinii prawnej w konkretnej sprawie. W każdym przypadku należy skorzystać z usług doradców
prawnych w celu weryfikacji, czy odpowiednie przepisy prawa mają zastosowanie do określonej sytuacji.