Zarówno w obecnym stanie prawnym, jak i na gruncie Rozporządzenia, zgoda na przetwarzanie danych osobowych wyrażona przez osobę, której dane dotyczą, jest jedną z przesłanek legalizujących przetwarzanie danych osobowych.
Jednak Rozporządzenie wprowadza istotne zmiany w zakresie pozyskiwania zgody na przetwarzanie danych osobowych. Wspomniane zmiany wymuszą wprowadzenie modyfikacji do procesu pozyskiwania zgody po 25 maja 2018 r., jak również mogą skutkować koniecznością ponownego pozyskania takiej zgody od osób, które zgody udzieliły na podstawie obecnie obowiązujących przepisów.
Na gruncie Rozporządzenia „zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Zatem podstawowymi przesłankami konstrukcyjnymi zgody są dobrowolność, konkretność, świadomość i jednoznaczność. Wyrażenie zgody powinno być oparte o zasadę opt- in, która wymaga od podmiotu danych podjęcia pozytywnego działania (np. zaznaczenia okienka zgody). Rozporządzenie wyklucza natomiast dopuszczalność modeli opt-out, które wykorzystują bierność lub milczenie, a często po prostu nieuwagę, osoby, której dane dotyczą (np. poprzez domyślne zaznaczenie okienka zgód).
Co istotne, Rozporządzenie uelastycznia podejście do wyrażania zgody względem obecnych regulacji, dopuszczając wyrażenie zgody nie tylko poprzez złożenie oświadczenia woli, ale także poprzez jej okazanie w inny sposób, np. poprzez wybór odpowiednich ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też inne zachowanie, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą zaakceptowała proponowane warunki przetwarzania jej danych osobowych. Złożenie oświadczenia o wyrażeniu zgody na przetwarzanie danych osobowych nie wymaga żadnej szczególnej formy.
Jednak administrator danych musi być w stanie wykazać, że osoba, której dane dotyczą, taką zgodę wyraziła. Należy zatem wdrożyć odpowiednie środki organizacyjne i techniczne w zakresie utrwalania faktu wyrażenia zgody na przetwarzanie danych osobowych przez podmioty danych.
Zgodnie z przepisami Rozporządzenia osoba, której dane dotyczą, ma prawo w dowolnym czasie wycofać zgodę na przetwarzanie danych osobowych. Co prawda powyższe uprawnienie występuje także na gruncie obecnych przepisów, jednak Rozporządzenie dodatkowo wymaga, aby w momencie zbierania danych osoba, której dane dotyczą, została o tym uprawnieniu poinformowana. Rozporządzenie wskazuje ponadto, że wycofanie zgody powinno być równie łatwe jak jej udzielenie. Administratorzy danych powinni zatem opracować procedury umożliwiające wycofanie zgody w sposób analogiczny do sposobu jej udzielenia.
Zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.
Rozporządzenie znacząco poszerza katalog informacji, jakie powinny być przekazane podmiotowi danych w momencie zbierania danych, m.in. wymagając wskazania okresu, przez jaki dane będą przechowywane, podanie informacji o prawie do cofnięcia zgody oraz informacji o zautomatyzowanym podejmowaniu decyzji. W związku z powyższym większość administratorów będzie musiała zaktualizować zakres informacji podawanych osobom, których dane dotyczą, w momencie zbierania danych.
Jak wynika z powyższego, Rozporządzenie wprowadza wiele zmian w zakresie procesu pozyskiwania zgody na przetwarzanie danych osobowych. W związku ze zbliżającym się terminem stosowania Rozporządzenia (25 maja 2018 r.) przedsiębiorcy powinni zweryfikować czy mechanizmy, które stosują do pozyskiwania i przetwarzania danych są zgodne z nową regulacją i jakie niezbędne zmiany należałoby wprowadzić.
Należy także przeanalizować, czy będzie można kontynuować przetwarzanie danych na podstawie zgody uzyskanej przed datą rozpoczęcia stosowania nowych regulacji. Zgodnie z motywem 171 preambuły Rozporządzenia, jeżeli przetwarzanie ma za podstawę zgodę w myśl obecnych przepisów, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, o ile pierwotny sposób jej wyrażenia odpowiada warunkom Rozporządzenia.