Coraz więcej zgód na przetwarzanie danych osobowych

Krajowe wymagania okazały się, wbrew oczekiwaniom, bardziej rygorystyczne niż unijne rozporządzenie. Na które nowe przepisy warto zwrócić szczególną uwagę? Wskazuje dr hab. Bogdan Fischer, Partner, Radca Prawny w Kancelarii Prawnej Chałas i Wspólnicy.

Od ponad miesiąca obowiązuje ustawa wdrażająca RODO, tj. ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO. Ze względu na niewielką ilość przepisów przejściowych, większość zasad ma zastosowanie od 4 maja br., również te odnoszące się do usług on-line.

Polecamy: INFORLEX Ekspert

NOWOŚĆ na Infor.pl: Prenumerata elektroniczna Dziennika Gazety Prawnej KUP TERAZ!

Zmiany w ustawie o świadczeniu usług drogą elektroniczną a zasada minimalizacji

Podczas prac projektowych nad nowym kształtem ustawy o świadczeniu usług drogą elektroniczną (uśude) zakładano usunięcie szeregu dotychczasowych przepisów, w tym art. 18 ust. 1-4. Ostatecznie tego nie uczyniono i artykuł 18 ust. 1-2 zawiera katalog danych niezbędnych do realizacji usługi. W rzeczywistości przetwarzanie niektórych z nich, takich jak  np. numer PESEL, może naruszać zasadę minimalizacji, czyli przetwarzania przez administratora tylko adekwatnego, ograniczonego katalogu danych.

Traktowanie przepisu uśude jako zwalniającego z konieczności dokonywania odpowiedniej oceny w przypadku kontroli może być ryzykowne i należy być w tym przypadku ostrożnym. Dla przetwarzania innych danych dotyczących usługobiorcy, a które nie są niezbędne do świadczenia usług drogą elektroniczną wymagana jest zgoda. Według artykułu 18 ust. 4 stanowi ona podstawę przetwarzania  danych dla celów reklamy, badania rynku oraz zachowań i preferencji użytkowników z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości świadczonych usług. Dlatego nie może być bez niej mowy np. o profilowaniu dla przyznania rabatu, czy oferowania zgodnej z preferencjami reklamy w oparciu o inne wcześniej dopuszczone przez RODO podstawy profilowania, np. uzasadniony interes administratora.

Zgoda będzie konieczna wbrew brzmieniu art. 22 RODO nawet wówczas, gdy kategoryzowanie nie prowadzi do automatycznego podjęcia decyzji.

Nowy wymiar zgody

W dotychczasowym orzecznictwie polskiego organu ds. ochrony danych osobowych zgoda była traktowana w takich przypadkach jako jedna z podstaw przetwarzania danych, ale nie jedyna.

Pojawienie się wymogu uzyskiwania zgody poprzez kolejne wyskakujące okienka wydaje się być nadmierne (kosztowne i uciążliwe), kiedy możliwe jest zastosowanie innego rozwiązania, np. gdy jest ona potrzebna do zawarcia lub wykonania umowy, a także wykonania obowiązków prawnych ciążących na administratorze.

Wymóg zgody użytkownika – będącego osobą fizyczną – na przetwarzanie informacji pozostawiono również w art. 161 ust. 3 Prawa telekomunikacyjnego (PT). Ma ona zastosowanie do innych danych niż wymienione w tym przepisie w ust. 2. Ponadto, nie zawiera on katalogu danych, co oznacza, że zgoda jest konieczna do przetwarzania wszystkich informacji o użytkowniku.

Twarde wymagania odnośnie zgody w uśude i PT muszą być uwzględniane w procedurach wewnętrznych, rodząc poza dodatkowymi kosztami dla usługodawców, konieczność rozwiązywania praktycznych i formalnych problemów np. w przypadku cofnięcia zgody. Nadmierność oczekiwanych, ale i koniecznych do wyrażenia zgód, jest również odczuwana przez każdego użytkownika i w rzeczywistości może prowadzić do uśpienia jego czujności i wrażliwości na zagrożenia.

Warto dodać, że w świetle nowych przepisów warunki udzielenia zgody pozostają takie same, a każdy użytkownik w dowolnym momencie może cofnąć wcześniej udzieloną zgodę bez ponoszenia jakichkolwiek konsekwencji.

dr hab. Bogdan Fischer, Partner, Radca Prawny w Kancelarii Prawnej Chałas i Wspólnicy