Według Generalnego Inspektora Ochrony Danych Osobowych stare zgody nie stracą ważności, o ile spełniają wymogi z ustawy o ochronie danych osobowych. Ta bowiem jest bardziej restrykcyjna niż RODO. Należy się jednak upewnić, czy zostały pozyskane zgodnie z wymaganiami określonymi w RODO*.
Cztery ważne kryteria
Aby zgoda była ważna musi być:
dobrowolna - osoba, której dane dotyczą, ma możliwość dokonania rzeczywistego wyboru, przy czym nie zachodzi ryzyko wprowadzenia w błąd, zastraszenia, przymusu lub znaczących negatywnych konsekwencji, jeśli nie wyrazi zgody:
konkretna - musi być wskazany cel przetwarzania, np. zgadzam się na przetwarzanie w celach marketingowych, w tym profilowanie oraz celach analitycznych, moich danych osobowych zbieranych w ramach korzystania przeze mnie ze stron internetowych;
świadoma - musi odnosić się do konkretnych danych przetwarzanych w określny sposób i jednoznaczna (jasna i zrozumiała dla podpisującego);
jednoznaczna - jej wszystkie aspekty muszą być jasne dla podpisującego.
Maciej Kawecki, dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji, główny autor projektu krajowej ustawy o ochronie danych osobowych przypomina też, że nie można gromadzić danych na zapas. Np.serwisy z grami komputerowymi poza adresem mailowym, proszę o adres zamieszkania i numer telefonu. Jeżeli jednak konsument nie chce faktury, a transakcję obsługują firmy oferujące usługi płatnicze, te dane są zbędne.
RODO. Przewodnik ze wzorami [PRZEDSPRZEDAŻ] >>
Nie zawsze jednak zebranie zgody jest wymagane. Kiedy nie trzeba jej mieć? Na przykład, gdy przetwarzanie danych jest konieczne do realizacji umowy, np. sprzedaży w sklepie internetowym. Jeśli jednak sklep chce korzystać z danych klienta w celach marketingowych, np. chce mu wysyłać newsletter, korzystać z tzw. ciasteczek (profilowania), musi mieć jego zgodę.
Pytanie o ciasteczka
Wiele portali, np. Wirtualna Polska już wyświetlają prośby o wyrażenie zgody na przetwarzanie danych. WP w „wyskakującym okienku” informuje m.in.: komu mogą przekazać dane, jakie mamy prawa, jakie są podstawy prawne przetwarzania. Przede wszystkim jednak prosi o zgodę się na przetwarzanie danych w celach marketingowych, w tym profilowanie oraz w celach analitycznych. Obecnie korzystanie z plików cookies, które pozwalają śledzić aktywność w sieci, nie wymaga udzielenia wyraźnej zgody. Wystarczy, że odwiedzający stronę zostanie o tym poinformowany. Zasady wyrażania zgody na cookies reguluje dyrektywa o prywatności i łączności elektronicznej 2002/58/WE (ePrivacy)* . Ta jednak nie została jeszcze znowelizowana i pierwszeństwo ma RODO. A to wymaga świadomej zgody na konkretny cel. Nie wszyscy prawnicy uważają jednak, że RODO wymusiło zebranie zgód na „śledzenie ciasteczek”. Zgodnie bowiem z art. 11 RODO* jeżeli cele, w których administrator przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą, administrator nie ma obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji, wyłącznie po to, by zastosować się do rozporządzenia.
- W normalnej sytuacji dane pozyskiwane dzięki cookies nie pozwalają na identyfikację użytkowników stron - wyjaśnia Maciej Gawroński, radca prawny i partner w kancelarii Gawroński & Partners. - Stąd stosuje się do nich wyłączenie z art. 11 RODO. Podobnie w najnowszym dokumencie uzgodnieniowym Rozporządzenia e-Privacy pisze się, że na cookies nie potrzeba zgody „komunikacyjnej”: "Aby uspokoić obawy, że reklama on-line zostsnie objęta postanowieniami o marketigu bezpośrednim - nowy art.16(6a) wprost wyłącza reklamy wyświetlane publiczności niewymagające danych kontaktowych użytkownika końcowego" - tłumaczy Gawroński.
Prawo do bycia zapomnianym
Warto też pamiętać, że RODO przyznaje prawo do bycia zapomnianym. Osoba, której dane dotyczą, może więc żądać od administratora usunięcia jej danych osobowych, a także poinformowania o żądaniu innych, którym je upublicznił. Realizacji tego prawa można i należy jednak odmówić w dwóch przypadkach. Po pierwsze, gdy istnieje przepis prawa, który nakazuje przetwarzanie/przechowywanie danych osobowych przez określony czas - dotyczy to, np. dokumentacji medycznej, kadrowej, księgowej. Po drugie, dane są niezbędne do ustalenia, dochodzenia lub obrony roszczeń, np. przez internet kupiliśmy telefon komórkowy, i sprzedawca nie może od razu usunąć danych, bo przysługuje nam prawo do reklamacji.
* Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu.