Czy stare zgody zachowają ważność? Czy stare zgody zachowają ważność?

Z perspektywy procesów przetwarzania danych osobowych opartych na zgodach, uzyskanych przed 25 maja 2018 r. zgodnie z dotychczasowymi przepisami o ochronie danych osobowych, wielu administratorów nadal zastanawia się czy stare zgody zachowają ważność.

Z dniem rozpoczęcia stosowania RODO tj. 25 maja 2018 r. uchylona zostanie dyrektywa 95/46/WE, która została wdrożona do polskiego porządku prawnego ustawą z dnia 29 sierpnia 1997 r o ochronie danych osobowych. Z tym dniem zasady przetwarzania danych osobowych w całej UE mają stać się jednolite oraz spójne (poza przypadkami w których zostaną dopuszczone szczególne krajowe regulacje). Nastąpi przejście do nowego podejścia w zakresie ochrony danych. 

W odniesieniu do procesów przetwarzania opartych na zgodach, uzyskanych na gruncie starych przepisów, a kontynuowanych w dniu rozpoczęcia stosowania RODO, należy zwrócić uwagę na fragment punktu (171) preambuły RODO:

„(…) Jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia. (…)”

Zgodnie z powyższym fragmentem, stare zgody stanowiące obecnie podstawę do przetwarzania danych osobnych nie stracą swojej mocy, tzn. administrator będzie mógł kontynuować przetwarzanie danych osobowych, jeżeli spełnione są określone warunki z nowego rozporządzenia.

Zarówno dyrektywa 95/45/WE, jak i obecnie obowiązująca ustawa o ochronie danych osobowych oraz RODO stanowią, iż zgoda jest jedną z podstaw, które uprawniają do przetwarzania danych osobowych. W tym względzie RODO nic nie zmienia.

Odnosząc się jednak do zadanego pytania o konieczność wymiany starych zgód, to wskazany fragment punktu (171) preambuły RODO warunkuje dalszą „użyteczność” starych zgód od tego w jaki sposób dana zgoda została odebrana.

Odpowiedź na pytanie co się stanie ze „starymi” zgodami zależeć zatem od sposobu ich zebrania oraz treści zgody i sposobu sformułowania samego oświadczenia.

Najwięcej wątpliwości pojawiło się w odniesieniu do informacji o cofnięciu zgody, którą zgodnie z RODO należy podać podczas pozyskiwania zgody (stanowi jeden z warunków zgody), co do tej pory nie było elementem zgody. Czy w związku z brakiem informacji w tym zakresie w starej zgodzie, zgodę taką należy odnowić?
 

Pytania co do ważności starej zgody, zostały częściowo wyjaśnione w ostatnich wytycznych Grupy Roboczej Artykułu 29 (GR 29) z 28 listopada 2017 r. . Potwierdzają one, iż uzyskane dotychczas zgody nie tracą automatycznie swej ważności, ale tylko pod warunkiem, iż spełnione są warunki RODO dot. zgody.

GR 29 wskazała wprost na konieczność uzyskania nowej zgody jeśli np. wcześniejsza zgoda była domniemana. Natomiast w kontekście prawa do cofnięcia zgody, GR 29 wskazała jedynie, że taki mechanizm jaki i informacja o tym musi istnieć, a jeżeli obecnie istniejące procedury uzyskiwania i zarządzania zgodą nie spełniają wymogów RODO, należy uzyskać nową zgodę. Jednak to stwierdzenie w kontekście kolejnego zdania jest niejasne, w którym GR 29 odwołuje się do ważności obecnej zgody nawet jeśli nie przekazano wszystkich informacji wg obecnego standardu i zakresu obowiązku informacyjnego. Pojawiły się od razu głosy, iż wytyczne w tym zakresie nie są jednoznaczne i stanowiska zajęło także Ministerstwo Cyfryzacji oraz GIODO.
 

Zgodnie z opublikowanym informatorem Ministerstwa Cyfryzacji  z 19.12.2017 r. , „(…) niepodanie przy zbieraniu danych informacji, które trzeba podawać na gruncie RODO, a których wcześniej podawać nie trzeba było, nie powoduje automatycznie, że tak udzielone zgody stracą ważność. Przykładem takiej sytuacji może być właśnie kwestia informowania o możliwości odwołania zgody.” W swojej wypowiedzi MC poszedł nawet o krok dalej, twierdząc, iż  „(…) zasada aktualności obowiązująca w prawie administracyjnym wyłącza uznanie, że pozyskanie zgodne z prawem zgody przed 25 maja 2018 r. powinny być po tej dacie uzupełniane o obowiązek poinformowania o prawie do ich odwołania.”  Jednak ostateczny głos w dyskusji należy, jak samo wskazało MC, do GIODO.

Wobec zaistniałych wątpliwości, oczekiwano, iż GIODO ostatecznie rozstrzygnie co ze starymi zgodami, szczególnie w odniesieniu do obowiązku informacyjnego, bądź ogólnie standardu wg którego należy oceniać zgody. GIODO zajął stanowisko dotyczące ważności zgód na przetwarzanie danych osobowych pod koniec grudnia. Według GIODO „Zgody na przetwarzanie danych osobowych zebrane na podstawie ustawy o ochronie danych osobowych nie tracą ważności. Należy się jednak upewnić, czy zostały pozyskane zgodnie z wymaganiami określonymi w RODO, tak by zapewnić osobom wyrażającym zgodę swobodę wyboru”. Najważniejszym dla GIODO jest zatem spełnienie wszystkich wymaganiom, jakie wobec zgody formułuje RODO.

GIODO niby odniósł się do kwestii braku informacji o cofnięciu zgody, stwierdzając, iż z uwag na fakt objęcia tej kwestii nowym obowiązkiem informacyjnym, administratorzy przetwarzający dane osobowe na podstawie zgody wyrażonej na mocy ustawy o ochronie danych osobowych, nie muszą automatycznie pozyskiwać wszystkich zgód na nowo. Co mogłoby wskazywać, iż w tym zakresie wystarczające będzie uzupełnienie brakującej informacji o możliwości cofnięcia zgody.

GIODO poszedł jednak krok dalej, wskazując, iż fakt, że zgoda spełnia standardy jeszcze obowiązującej starej ustawy o ochronie danych osobowych, czyli odpowiada wymogom prawnym aktualnym w momencie ich zbierania, nie ma mieć charakteru decydującego. Ocena ważności dotychczas zebranych zgód na przetwarzanie danych, zgodnie ze stanowiskiem GIODO ma być dokonana pod kątem przepisów RODO zawierających wymagania wobec tej konkretnej podstawy prawnej przetwarzania danych.
Przed administratorami stoi zatem konieczność oceny dotychczas zebranych zgód i ostateczne rozważanie czy posiadania zgoda odpowiada wymaganiom RODO czy nie. Jeśli nie, należy rozpocząć proces wymiany zgód i zakończyć go do 25 maja 2018 r. (jeśli procesu przetwarzania nie można oprzeć na innej podstawie prawnej).