25 maja 2018 roku wejdzie w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), z angielska zwane General Data Protection Regulation czyli GDPR. Wprowadzi ono może nie rewolucyjne, ale dosyć istotne zmiany w ochronie danych osobowych.
Przyjrzymy się zmianom jakie zostaną wprowadzone w zakresie wyrażania przez klienta zgody na przetwarzanie danych.
W oświadczeniu klienta o wyrażeniu zgody na przetwarzanie danych musi się znaleźć określenie celu w jakim dane będą przetwarzane
Nie jest to zmiana rewolucyjna, a nawet można zaryzykować stwierdzenie, że nie jest to żadna zmiana w stosunku do tego co jest obecnie, ponieważ aktualnie obowiązująca ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w art. 24 ust. 1 pkt 2 przewiduje obowiązek poinformowania klienta o celu zbierania danych. W praktyce jaka wytworzyła się na polskim rynku powoduje to, że owo poinformowanie następuje już na formularzu zgody na przetwarzanie danych, który podpisuje klient (podobnie jak pozostałe obowiązki informacyjne z art. 24 ustawy). Po wejściu w życie GDPR zgoda klienta będzie skorelowana z celem, a w sytuacji gdy dane klienta zaczną być przetwarzane w celu innym niż pierwotnie wskazany w zgodzie, będzie trzeba o tym klienta poinformować.
Odrębność oświadczenia?
Tu jest istotna zmiana i pierwsza wątpliwość interpretacyjna. Zgodnie z art. 7 ust. 2 GDPR, jeżeli klient wyraża zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem, a część takiego oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie niniejszego rozporządzenia nie jest wiążąca. Często zdarza się przecież tak, że w oświadczeniu zgody klienta są zawarte także inne zgody (na przykład na otrzymywanie informacji handlowej drogą elektroniczną), często sama zgoda jest zawarta np. w treści umowy, która przede wszystkim reguluje inne kwestie. Wątpliwość interpretacyjna jest taka, czy oświadczenie dotyczące danych osobowych musi zostać redakcyjnie wyodrębnione i opatrzone oddzielnym podpisem. Moim zdaniem – nie. Ale oczywiście czas pokaże.
Administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych, a klient może w każdej chwili wycofać zgodę
Nic nowego. To samo mamy obecnie, ponieważ w przypadku kontroli przestrzegania przepisów o ochronie danych jakoś trzeba się wylegitymować podstawą do przetwarzania danych, w tym zgodą klienta, jeżeli ona jest. W interesie administratora jest więc archiwizowanie zgód (w formie pisemnej) albo utrwalanie ich w inny sposób. Teraz ta kwestia została zapisana wprost w przepisach. Możliwość wycofania zgody przewiduje obecnie art. 7 pkt 5 polskiej ustawy, więc i w tej kwestii GDPR nie wprowadza nic nowego.
Nowa klauzula dotycząca okresu przetwarzania danych
Poważnym novum jest natomiast obowiązek dokładnego wskazania klientowi przez jaki czas dane będą przechowywane lub, jeżeli to nie będzie możliwe, obowiązek wskazania kryteriów jakie będą brane pod uwagę przy ustalaniu tego okresu. Oczywiście w interesie przedsiębiorców przetwarzających dane klientów jest korzystanie z tej drugiej opcji, chyba że ktoś już wie kiedy zakończy działalność. Wymagać to będzie wprowadzenia do oświadczenia zgody klienta odpowiednich sformułowań.
Dodatkowe informacje
Administrator uzyskujący zgodę musi także poinformować klienta o prawie wniesienia skargi do organu nadzorczego. Przy wyrażaniu przez klienta zgody na przetwarzanie danych powstanie też obowiązek poinformowania go o danych kontaktowych powołanego u administratora inspektora ochrony danych. A o tym, kiedy inspektor ochrony danych będzie musiał być powoływany napiszemy w oddzielnej notce już wkrótce.