Tworzymy, wdrażamy i nadzorujemy realizację Polityk Bezpieczeństwa Danych Osobowych opartych na przepisach RODO dla Firm z wielu branż

RODO - czy zgody na przetwarzanie danych osobowych, uzyskane przed wejściem w życie wytycznych RODO będą ważne po 25 maja 2018 roku?

2018-06-10 09:13:30 || zgody-na-przetwarzanie-danych-osobowych-rodo

Zgody na przetwarzanie danych osobowych


Zgody na przetwarzanie danych osobowych, które zostały pozyskane w oparciu o przepisy Ustawy o ochronie danych osobowych, obowiązującej przed wejściem z życie wytycznych RODO, nie tracą swojej ważności, pod warunkiem, że sposób wyrażenia tej zgody odpowiada wytycznym ogólnego rozporządzenia o ochronie danych osobowych (RODO). W związku z powyższym, Administratorzy Danych Osobowych (ADO) powinni dokonać przeglądu dotychczas stosowanych klauzul i mechanizmów uzyskiwania zgody oraz upewnić się, że spełniają one standardy RODO. W praktyce, ADO powinien sprawdzić przede wszystkim czy uzyskana zgoda spełnia kryteria opisane w art. 4 pkt 11, 6 ust. 1 lit. a, 7 oraz 9 ust. 2 lit. a i w motywach 32, 33, 42, 43 RODO, tj.: • czy zgoda została udzielona w konkretnym celu, tj. czy nie była wywnioskowana z innych oświadczeń, milcząca, lub polegająca na domyślnym zaznaczeniu okienek przez usługodawcę, • czy wraz z zapytaniem o wyrażenie zgody spełniony został obowiązek informacyjny (np. czy wyraźnie wskazano kto jest Administratorem Danych Osobowych)., • czy zgoda, została wyrażona dobrowolnie, jednoznacznie, świadomie i konkretnie dla określonych celów, ze świadomością różnego zakresu wrażliwości przetwarzania danych osobowych. Ważne: Administrator Danych Osobowych (ADO), w celu spełnienia zasady rozliczalności, musi być w stanie wykazać, że zgoda na przetwarzanie danych osobowych została w ogóle udzielona i spełnia wyżej wymienione warunki. Kryteria jakie powinna spełniać zgoda na przetwarzanie danych osobowych zgodnie z wytycznymi RODO: • dobrowolność - zgoda na przetwarzanie danych osobowych jest dobrowolna wtedy, gdy osoba ją wyrażająca ma swobodę wyboru, a wyrażenie lub odmowa wyrażenia zgody nie ma wpływu na inne uprawnienia tej osoby, każdy rodzaj nacisku, przymusu, czy inne wywieranie wpływu na podmiot danych (czyli na osobę, której dane osobowe dotyczą) , uniemożliwiające wyrażenie wolnej woli powoduje, że zgoda jest nieważna. Przykłady zgód na przetwarzanie danych osobowych, które nie spełniają wytycznych RODO w zakresie dobrowolności: - połączenie zgody na cele marketingowe z akceptacją ogólnych warunków umowy, czyli przypadek, gdy cel przetwarzania nie jest niezbędny do realizacji umowy, przy czym należy pamiętać, że sama umowa jest podstawą przetwarzania danych osobowych, niezbędnych do jej realizacji i w tym przypadku nie jest konieczne uzyskanie odrębnej zgody, - zgody nie można uznać za dobrowolną również wtedy, gdy podmiot danych nie ma możliwości jej wyrażenia odrębnie na różne operacje przetwarzania danych osobowych, gdy przetwarzanie danych osobowych jest prowadzone w kilku celach, to należy uzyskać odrębną zgodę dla każdego z tych celów. • konkretność - zgoda na przetwarzanie danych osobowych spełnia wymóg konkretności wtedy, gdy w sposób dokładny i precyzyjny został przedstawiony cel przetwarzania danych osobowych podmiotowi danych oraz wskazany został rodzaj i zakres tych danych, a w przypadku większej ilości celów, zgoda została wyrażona odrębnie dla każdego z tych celów, przy czym należy wyraźnie oddzielić informacje związane z uzyskaniem zgody na działania w zakresie przetwarzania danych osobowych od informacji dotyczących innych kwestii. • świadomość - zgoda na przetwarzanie danych osobowych jest świadoma, gdy zostaje udzielona przez osobę prawidłowo poinformowaną, za pomocą prostego, zrozumiałego dla tej osoby języka. • jednoznaczność - kryterium jednoznaczności zostaje spełnione, gdy zgoda zostaje wyrażona w formie oświadczenia lub wyraźnego działania potwierdzającego, co oznacza, że wyrażenie zgody nie może budzić wątpliwości co do zamiaru jej udzielenia. Od momentu wejścia w życie wytycznych RODO punktem odniesienia dla uznania dotychczas zebranych zgód na przetwarzanie danych osobowych za ważne, będzie ich zgodność z wymaganiami ogólnego rozporządzenia w sprawie ochrony danych osobowych. Jedną z najbardziej istotnych kwestii, związanych ze zgodami uzyskanymi przed wejściem w życie rozporządzenia RODO, które muszą zostać zweryfikowane i uaktualnione jest poinformowanie osób fizycznych o możliwości wycofania zgody oraz zagwarantowanie przez ADO możliwości wycofania takiej zgody w sposób równie prosty i przejrzysty, jak w przypadku jej wyrażenia. Zagadnieniem budzącym wiele wątpliwości jest w związku z tym odpowiedź na pytanie, czy wobec osób, których dane osobowe są obecnie przetwarzane (także na podstawie zgody), należy spełnić rozszerzony na gruncie RODO obowiązek informacyjny. W celu uniknięcia zarzutu przetwarzania danych osobowych bez podstawy prawnej po 25 maja 2018 r. ADO muszą dokonać weryfikacji treści i warunków dotychczas uzyskanych zgód pod katem wymagań RODO, bowiem przetwarzanie danych osobowych bez podstawy prawnej wiąże się z ryzykiem nałożenia dotkliwej, administracyjnej kary pieniężnej. (Źródło: https://uoodo.pl/)