Po wejściu w życie RODO/GDPR zgoda na przetwarzanie danych osobowych pozostaje ważna, lecz nie w każdym przypadku.
W związku ze zbliżającym się wejściem w życie Ogólnego Rozporządzenia o Ochronie Danych Osobowych pojawia się pytanie, czy zgody na przetwarzanie danych osobowych wyrażone na gruncie dotychczasowej ustawy o ochronie danych osobowych pozostaną skuteczne i ważne po dniu 25 maja 2018 roku, w którym zacznie być stosowane RODO/GDPR?
W treści przepisów samego RODO, ani też projektu ustawy o ochronie danych osobowych, która zastąpi ustawę dotychczas obowiązującą, nie znajdziemy odpowiedzi na to istotne pytanie. Jednakże wskazówki zawarte są w Preambule RODO, w której w motywie 171 pada stwierdzenie, że przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów. Jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia. Dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia.
Polski organ nadzoru wypowiedział się w tej kwestii w ramach cyklu „ROK DO RODO – SPRAWDZIAN GOTOWOŚCI cz. 6. ZGODA NA PRZETWARZANIE DANYCH” publikowanego na stronie internetowej GIODO. W zamieszczonym tam materiale wskazano, że „[…] większość otrzymanych dotychczas zgód zachowa ważność także pod rządami ogólnego rozporządzenia. Pod warunkiem, że poinformowano osobę, której dane dotyczą o możliwości wycofania zgody w dowolnym momencie, a wycofanie zgody jest równie łatwe jak jej wyrażenie. Zachęcamy więc do przeglądu stosowanych klauzul i mechanizmów pozyskiwania danych i upewnienia się, że spełniają standardy określone w ogólnym rozporządzeniu i nie ma potrzeby zbierania zgód raz jeszcze”.
W tym miejscu warto wskazać, jakie są to standardy. Otóż jeśli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania. W szczególności w przypadku pisemnego oświadczenia składanego w innej sprawie powinny istnieć gwarancje, że osoba, której dane dotyczą, jest świadoma wyrażenia zgody oraz jej zakresu. Zgodnie z dyrektywą Rady 93/13/EWG oświadczenie o wyrażeniu zgody przygotowane przez administratora powinno mieć zrozumiałą i łatwo dostępną formę, być sformułowane jasnym i prostym językiem i nie powinno zawierać nieuczciwych warunków. Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych. Wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.
Aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach. Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna.