RODO: jeszcze więcej zgód

Przeczytaj także: Zgody marketingowe - fakty i mity

Od kilku dni obowiązuje ustawa wdrażająca RODO, tj. ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO. Ze względu na niewielką ilość przepisów przejściowych, większość zasad ma zastosowanie od 4 maja br., również te odnoszące się do usług on-line.

Zmiany w uśude a zasada minimalizacji

Podczas prac projektowych nad nowym kształtem ustawy o świadczeniu usług drogą elektroniczną (uśude) zakładano usunięcie szeregu dotychczasowych przepisów, w tym art. 18 ust. 1-4. Ostatecznie tego nie uczyniono i artykuł 18 ust. 1-2 zawiera katalog danych niezbędnych do realizacji usługi. W rzeczywistości przetwarzanie niektórych z nich, takich jak np. numer PESEL, może naruszać zasadę minimalizacji, czyli przetwarzania przez administratora tylko adekwatnego, ograniczonego katalogu danych.

Traktowanie przepisu uśude jako zwalniającego z konieczności dokonywania odpowiedniej oceny w przypadku kontroli może być ryzykowne i należy być w tym przypadku ostrożnym. Dla przetwarzania innych danych dotyczących usługobiorcy, a które nie są niezbędne do świadczenia usług drogą elektroniczną wymagana jest zgoda. Według artykułu 18 ust. 4 stanowi ona podstawę przetwarzania danych dla celów reklamy, badania rynku oraz zachowań i preferencji użytkowników z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości świadczonych usług. Dlatego nie może być bez niej mowy np. o profilowaniu dla przyznania rabatu, czy oferowania zgodnej z preferencjami reklamy w oparciu o inne wcześniej dopuszczone przez RODO podstawy profilowania, np. uzasadniony interes administratora – mówi dr hab. Bogdan Fischer, Partner, Radca Prawny w Kancelarii Prawnej Chałas i Wspólnicy. Zgoda będzie konieczna wbrew brzmieniu art. 22 RODO nawet wówczas, gdy kategoryzowanie nie prowadzi do automatycznego podjęcia decyzji – dodaje.

Nowy wymiar zgody

W dotychczasowym orzecznictwie polskiego organu ds. ochrony danych osobowych zgoda była traktowana w takich przypadkach jako jedna z podstaw przetwarzania danych, ale nie jedyna. Pojawienie się wymogu uzyskiwania zgody poprzez kolejne wyskakujące okienka wydaje się być nadmierne (kosztowne i uciążliwe), kiedy możliwe jest zastosowanie innego rozwiązania, np. gdy jest ona potrzebna do zawarcia lub wykonania umowy, a także wykonania obowiązków prawnych ciążących na administratorze – wskazuje dr hab. Bogdan Fischer, Partner, Radca Prawny w Kancelarii Prawnej Chałas i Wspólnicy.

Wymóg zgody użytkownika – będącego osobą fizyczną – na przetwarzanie informacji pozostawiono również w art. 161 ust. 3 Prawa telekomunikacyjnego (PT). Ma ona zastosowanie do innych danych niż wymienione w tym przepisie w ust. 2. Ponadto, nie zawiera on katalogu danych, co oznacza, że zgoda jest konieczna do przetwarzania wszystkich informacji o użytkowniku.

Twarde wymagania odnośnie zgody w uśude i PT muszą być uwzględniane w procedurach wewnętrznych, rodząc poza dodatkowymi kosztami dla usługodawców, konieczność rozwiązywania praktycznych i formalnych problemów np. w przypadku cofnięcia zgody. Nadmierność oczekiwanych, ale i koniecznych do wyrażenia zgód, jest również odczuwana przez każdego użytkownika i w rzeczywistości może prowadzić do uśpienia jego czujności i wrażliwości na zagrożenia – mówi dr hab. Bogdan Fischer, Partner, Radca Prawny w Kancelarii Prawnej Chałas i Wspólnicy.

Warto dodać, że w świetle nowych przepisów warunki udzielenia zgody pozostają takie same, a każdy użytkownik w dowolnym momencie może cofnąć wcześniej udzieloną zgodę bez ponoszenia jakichkolwiek konsekwencji.