Czy twój sklep internetowy przetwarza dane osobowe na podstawie zgód uzyskanych pod rządami obecnie obowiązującej ustawy o ochronie danych osobowych? Pewnie tak i z pewnością będzie je nadal przetwarzał w ciągu następnych dwóch lat, kiedy to GDPR (nowe unijne rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/45/WE) będzie stosowane (pisaliśmy już o tym wcześniej).

Z perspektywy procesów przetwarzania danych osobowych, można się zastanawiać jak od 25 maja 2018 r. będzie funkcjonowało dalsze przetwarzanie danych osobowych – szczególnie administratorzy danych mogą zastanawiać się czy obecnie posiadane zgody stracą moc legalizującą, skoro dotychczasowe przepisy UE zostaną uchylone, a krajowe mają być zmienione.

Poniżej opisujemy, co stanie się ze „starymi zgodami”.

Uchylenie starej dyrektywy – co ze starami zgodami?

Z dniem 25 maja 2018 r. uchylona zostanie dyrektywa 95/46/WE, która została wdrożona do Polskiego porządku prawnego ustawą z dnia 29 sierpnia 1997 r o ochronie danych osobowych. Z tym dniem zasady przetwarzania danych osobowych w całej UE mają stać się jednolite oraz spójne (poza przypadkami w których zostaną dopuszczone szczególne krajowe regulacje).

GDPR w kilku miejscach reguluje kwestie przejściowe w odniesieniu do uchylanej dyrektywy.

W odniesieniu do procesów przetwarzania opartych na zgodach, kontynuowanych w dniu rozpoczęcia stosowania GDPR, należy zwrócić uwagę na fragment punktu (171) preambuły GDPR:

„(…) Jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia. (…)”

Zgodnie z powyższym fragmentem, stare zgody stanowiące obecnie podstawę do przetwarzania danych osobnych nie stracą swojej mocy, tzn. administrator będzie mógł kontynuować przetwarzanie danych osobowych, jeżeli spełnione są określone warunki z nowego rozporządzenia.

Może jednak będzie trzeba uzyskać nową zgodę?

Zarówno dyrektywa 95/45/WE, jak i obecnie obowiązująca ustawa o ochronie danych osobowych oraz GDPR stanowią, iż zgoda jest jedną z podstaw, które uprawniają do przetwarzania danych osobowych. W tym względzie GDPR nic nie zmienia.

Odnosząc się jednak do zadanego pytania o stare zgody, to wskazany fragment punktu (171) preambuły GDPR warunkuje dalszą „użyteczność” obecnych (starych już za niecałe dwa lata) zgód od tego w jaki sposób zgoda została pozyskana przez administratora. Odpowiedź na pytanie co się stanie ze „starymi” zgodami zależeć będzie od tego jak wyglądał pierwotny sposób ich zebrania. Zatem w każdym przypadku, gdy podstawą przetwarzania danych osobowych jest obecnie zgoda osoby, której dane dotyczą, uzyskana zgodnie z obecnie obowiązującymi przepisami, będzie onanadal podstawą do przetwarzania danych pod przepisami GDPR, tylko wtedy, gdy administrator danych wykaże, że sposób wyrażenia tej „starej” zgody odpowiada nowym wymaganiom wynikającym z GDPR.

W praktyce może to oznaczać konieczność uzyskania nowej zgody, biorąc pod uwagę wytyczne GDPR co do legalności przetwarzania danych osobowych, samej definicji zgody czy też warunków jej pozyskiwania. Oczywiście rozstrzygająca będzie interpretacja w/w punktu preambuły mająca odpowiedzieć na pytanie - czy oceniając posiadane dzisiaj zgody w kontekście regulacji GDPR mamy oceniać tylko zgodność samego sposobu wyrażenia zgody z przepisami GDPR (np. czy zgoda została wyrażona jako opt-in czy w sposób domyślnie zaznaczonego okienka), czy też jednak ocenić zgodę pod kątem każdego poszczególnego warunku wynikającego z przepisów GDPR (np. czy poinformowano o prawie do bycia zapomnianym czy też spełniono obowiązek informacyjny zgodnie z GDPR).

Mając jednak na uwadze założenia i cel GDPR, administrator danych powinien dokonać kompleksowej oceny posiadanej zgody, zarówno w odniesieniu do sposobu jej wyrażenia przez podmiot wyrażający zgodę, jak i jej treść oraz wszelkie obowiązki administratora związane z procesem jej pozyskania. Jeżeli w wyniku takiej oceny okaże się, iż obecna zgoda nie spełnia wymogów GDPR, zaistnieje konieczność uzyskania nowej zgody. Taką nową zgodę można uzyskać już dziś, oczywiście przy założeniu, że dzisiejsze procesy przetwarzania danych osobowych, w tym pozyskiwanie zgód, będą odpowiadały wymogom GDPR.
O tym jakie warunki pozyskiwania zgody nakłada GPDR napiszemy w następnym artykule.