Czy stare zgody marketingowe pozostaną ważne? Czyli RODO, GIODO i zgoda na przetwarzanie danych.

[RODO] Czy zgody marketingowe pozostaną ważne?

Zawartość

Jednym z najczęściej pojawiających się pytań dotyczących RODO jest pytanie o ważność zebranych wcześniej zgód na przetwarzanie danych osobowych. RODO – w przeciwieństwie do dotychczasowych przepisów – zawiera bardzo jasną i konkretną definicję zgody. W związku z tym istnieje ryzyko, że dotychczas zbierane zgody nie będą ważne. Kiedy tak będzie? Kiedy zgoda zostanie ważna i jak przygotować zgody na RODO – postaram się odpowiedzieć w naszym krótkim tekście.

RODO a „stare” zgody na przetwarzanie danych

Na szczęście RODO wprost, w motywie 171 rozporządzenia, wskazuje, że dotychczasowe zgody pozostaną ważne. Zgodnie z nowymi przepisami:
„osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia”
– czyli jeśli zgody, które zbierałeś do tej pory były zbierane w sposób przewidziany zgodnie z przepisami RODO, to nie musisz się niczego obawiać. Natomiast jeśli Twoja zgoda nie spełnia warunków z RODO – od 25 maja 2018 roku będzie nieważna. Czyli nie będziesz mógł jej wykorzystać w celu, w którym została udzielona. O warunkach jakie RODO stawia zgodzie – przeczytasz niżej.

Kiedy zgoda na przetwarzanie danych pozostaje ważna?

RODO określa następujące warunki, które muszą spełnione aby dotychczasowe „stare” zgody pozostały ważne i można było się na nie powoływać:

  1. Dobrowolność – zgoda musi być wyrażona dobrowolnie, nie może być wymuszona. W szczególności brak wyrażenia zgody nie może wiązać się z negatywnymi konsekwencjami dla zainteresowanego.
  2. Konkretność – zgoda powinna być konkretna, czyli wskazywać na dany cel w jakim dane osobowe są zbierane. Warto w treści zgody wskazać również zakres danych, których zgoda dotyczy (takie stanowisko prezentuje GIODO), jednakże nie jest to wymóg zawarty w RODO – zwłaszcza, że niezależnie od samej zgody istnieje obowiązek informacyjny, w ramach którego należy poinformować właśnie o zakresie zbieranych danych.
  3. Świadomość – użytkownik, który wyraża zgodę musi być świadomy swojego działania i związanych z nim konsekwencji. Nie powinieneś ukrywać zgody w regulaminach czy robić tego w sposób niezrozumiały.
  4. Jednoznaczność – wyrażenie zgody powinno być dokonywane w sposób jednoznaczny, a użytkownik powinien wykonać w tym celu jakieś działanie. Nie możesz więc stosować domyślnie zaznaczonych checkboxów.
  5. Możliwość wykazania udzielonej zgody – to na administratorze ciąży obowiązek wykazania, że zgoda została udzielona. Dlatego też zadbaj o jej prawidłowe udokumentowanie (logi, zapisy w bazach danych, itp.).
  6. Możliwość odwołania zgody – osoba, która wyraziła Ci zgodę na przetwarzanie danych osobowych powinna mieć możliwość odwołania jej w równie prosty sposób, jak sposób jej wyrażenia.

Zgoda „wymuszona” a RODO

Z chwilą gdy RODO zacznie być stosowane nie będzie już możliwe uzależnianie świadczenia usługi od wyrażenia odrębnej zgody, np. marketingowej. Oznacza to, że wszystkie „wymuszone” w ten sposób zgody przestaną być zgodne z prawem. Czy to jednak oznacza, że wszystkie zgody, które uzyskałeś w zamian za udostępnienie np. darmowego e-booka staną się nieważne? Nie. Bardzo wiele zależy od tego w jaki sposób zbierałeś te zgody i czy to rzeczywiście była zgoda. Nie mniej – powinieneś zrobić przegląd tak zebranych zgód i w razie wątpliwości co do ich legalności – od 25 maja zaprzestać przetwarzać dane, których zgody dotyczą. Chyba, że na przetwarzanie tych danych masz inną podstawę prawną (np. umowę).

RODO a double opt-in

Wbrew obiegowej opinii – RODO nie wprowadziło generalnego obowiązku stosowania procedury double opt-in przy zbieraniu zgód marketingowych. Ale… w prawie zawsze jest jakieś ale. W przypadku zgód marketingowych RODO to nie wszystko. Są jeszcze m.in. przepisy prawa telekomunikacyjnego, a te wymagają potwierdzenia zgody udzielonej drogą elektroniczną. Tym samym w polskim prawie obowiązek stosowania mechanizmów double opt-in dla większości zgód marketingowych istnieje od… 2014 roku. Zgody zebrane bez double opt-in mogą być kwestionowane.

W przypadku zgód do których double opt-in z prawa telekomunikacyjnego nie ma zastosowania (np. zgody na przetwarzanie danych o stanie zdrowia) – wystarczy sama zgoda, bez konieczności jej potwierdzania. Nie mniej – ze względu na to, ze to Ty jako administrator musisz wykazać, że ktoś udzielił Ci zgodę – mocno rekomendujemy double opt-in.

Audyt zgód marketingowych i nie tylko marketingowych

Jeśli zastanawiasz się czy Twoja baza marketingowa będzie zgodna z prawem po wejściu w życie RODO? To przed 25 maja powinieneś przeprowadzić audyt zgód marketingowych i podstaw przetwarzania danych osobowych w Twojej firmie. RODO od Ciebie co prawda tego nie wymaga, ale przecież nie chcesz 25 maja obudzić się bez bazy marketingowej czy bazy użytkowników (jeśli przetwarzasz ją w oparciu o zgodę, np. dotyczącą danych wrażliwych).

Jak taki audyt powinien wyglądać? Powinieneś zebrać treść zgód, które wyrażali użytkownicy na przestrzeni czasu, następnie przypisać te zgody do poszczególnych danych i zweryfikować ich zgodność z kryteriami wymienionymi wcześniej. Musisz również sprawdzić czy jesteś w stanie udokumentować fakt wyrażenia zgody – np. posiadasz numer IP i datę jej udzielenia. Jeśli stosowałeś double opt-in – to jeszcze lepiej.

Zgoda zebrana niezgodnie z RODO – co dalej?

Jeśli już przejrzałeś wszystkie zgody, które zebrałeś i masz pewność, że treść checkboxów i innych mechanizmów pozwala na dalsze przetwarzanie danych – świetnie! Najczęściej jednak audyt zgód może okazać się niemożliwy lub zbyt kosztowny. W takim wypadku bezpieczniej jest przyjąć, że zgody nie są dostosowane do RODO. O braku zgodności zgód z RODO możesz dowiedzieć się również po samym audycie.

Co masz zrobić jeśli Twoje zgody nie są zgodne z przepisami rozporządzenia? Przede wszystkim –25 maja utracisz podstawę do przetwarzania danych objętych zgodą. Np. bazy marketingowej. Od tego dnia nie będziesz mógł przetwarzać tych danych – w praktyce najpóźniej 24 maja powinieneś więc usunąć dane objęte niezgodnymi z RODO zgodami (chyba, że masz inną podstawę do ich przetwarzania). Nie będziesz więc mógł wysyłać mailingów promocyjnych do osób, których zgoda na przetwarzanie ich danych nie była zgodna z przepisami RODO.

Ale uwaga! Do 25 maja masz jeszcze trochę (choć niewiele) czasu i możesz naprawić swoje błędy. Przede wszystkim – zmienić treść obecnie zbieranych zgód, tak aby te udzielane teraz były już dostosowane do RODO.

A co ze starymi zgodami? Być może ich treść pozwala Ci ponownie zapytać zainteresowanych czy nadal podtrzymują swoje zgody? W takim przypadku możesz poprosić swoich użytkowników o nowe, zgodne z RODO zgody. Masz jednak na to czas tylko do 24 maja.

Stare zgody a obowiązek informacyjny z RODO

Rozporządzenie o ochronie danych osobowych przewiduje bardzo rozbudowany obowiązek informacyjny – jestem niemal pewien, że zbierając wcześniej zgody nie przekazałeś sporej części wskazanych w RODO informacji. Choćby tej o prawie do wycofania zgody w dowolnym momencie. Brak spełnienia obowiązku informacyjnego zgodnego z RODO nie wpłynie jednak negatywnie na ważność Twoich zgód. Takie stanowisko wyraża również GIODO (o czym dalej).

Czy jednak musisz przekazać te informacje po 25 maja? Z RODO wprost nie wynika taki obowiązek. Stoimy jednak na stanowisku, że w przypadku historycznych zgód warto – przy pierwszej czynności (np. wysłaniu mailingu) poinformować użytkowników o ich prawach i przekazać im informacje wymagane m.in. przez artykuł 13 rozporządzenia o ochronie danych osobowych. Ten obowiązek najłatwiej będzie spełnić za sprawą polityki prywatności.

Jakie kary grożą mi za niezgodne z RODO zgody marketingowe?

Jeśli Twoje dotychczasowe zgody są niezgodne z RODO – to tak jakbyś ich nie miał. Czyli wysłanie mailingu w oparciu o starą niezgodną z RODO zgodę będzie takim samym naruszeniem jak wysłanie tego samego maila nie mając żadnej zgody. Grożą Ci więc za nie takie same sankcje i kary pieniężne sięgające nawet 20 milionów euro. Oczywiście – skala naruszenia będzie trochę inna i organ wymierzając karę prawdopodobnie uwzględni to, że kiedyś zgodę miałeś. Będzie to okoliczność łagodząca, która powinna (ale nie musi) wpłynąć na zmniejszenie kwoty kary.

GIODO a ważność zgód na przetwarzanie danych osobowych

Temat ważności zgód po wejściu w życie przepisów RODO (znanego też pod anglojęzycznym skrótem GDPR) został omówiony w stanowisku GIODO. Z tym stanowiskiem, z 29 grudnia 2017 roku, możesz zapoznać się tutaj: http://www.giodo.gov.pl/pl/1520281/10303

Stanowisko to w zasadzie nie odbiega od naszego poglądu w tej sprawie i interpretacji przepisów przeprowadzonej przez prawników naszej kancelarii. Przy czym – co już wskazałem, my w przeciwieństwie do GIODO stoimy na stanowisku, że z treści zgody nie musi wprost wynikać zakres danych objętych zgodą. Nie mniej – od dłuższego czasu (co najmniej od 2014 roku) w modelowych zgodach marketingowych przygotowywanych dla naszych Klientów umieszczamy zakres danych, których zgoda dotyczy. Oczywiście – jego pozostawienie (a więc dłuższa treść zgody) jest zawsze decyzją indywidualną.

DORA, AI Act, NIS2, i PSR: Jak nowe regulacje zmienią branże FinTech i IT?

Chcesz wiedzieć, co te zmiany oznaczają dla Ciebie i Twojej firmy? Dołącz do naszego bezpłatnego webinaru.

Tomasz Klecor

Partner zarządzający
w kancelarii Legal Geek