GIODO dość regularnie publikuje wyjaśnienia i wskazówki dotyczące tego, w jaki sposób trzeba będzie podchodzić do kwestii ochrony danych osobowych po 25 maja 2018 r. Biuro GIODO korzysta przy tym z publikacji Grupy Roboczej art. 29. To taki unijny organ doradczy, zajmujący się prywatnością i danymi osobowymi. W przyszłości Grupa Robocza zostanie zastąpiona przez Europejską Radę Ochrony Danych, a jej działalność regulowana będzie w treści nowego rozporządzenia dotyczącego ochrony danych.
Wskazówki tej grupy roboczej są nieocenioną pomocą przy interpretowaniu postanowień RODO i rozwiązywaniu budzących wątpliwości problemów.
Przykładowo, ostatnio na polskiej stronie internetowej GIODO pojawiły się informacje dotyczące tego jak rozwiązywać problemy wynikające z konieczności wyrażenia zgody na przetwarzanie danych osobowych. Budzącą pewne wątpliwości kwestią było to, czy zgoda wyrażona pod rządami starych przepisów (czyli przed 25 maja 2018 r.) będzie ważna również później, czyli wtedy gdy RODO wejdzie w życie.
Samo rozporządzenie ogólne o ochronie danych mówi na ten temat tak:
Jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia. (motyw 171).
Fakt wyrażenia zgody wcześniej jest więc uznawany jako wiążący również pod rządami nowych przepisów, ale w przypadku spełnienia pewnych warunków. Sposób wyrażenia zgody musi bowiem odpowiadać warunkom wskazanym w nowych przepisach.
Tym samym, według GIODO zgoda musi spełniać cztery warunki:
Zgoda musi być wyrażona dobrowolnie – oznacza to, że osoba wyrażająca zgodę (czyli ta, której dane dotyczą) może swobodnie wybrać, czy chce taką zgodę wyrazić, czy też nie. Nie kieruje się przy tym jakimś poleceniem, przymusem, a świadomie uznaje, że chce aby jej dane były przetwarzane w taki a nie inny sposób,
Zgoda musi być konkretna – zgoda dotyczy precyzyjnie wskazanego celu i zakresu przetwarzanych danych. Przykładowo, jeśli ktoś wyraził zgodę na przetwarzanie danych w związku z celami marketingowymi, to jego dane nie mogą być przetwarzane do realizacji jakiegoś innego celu (np. badań rynkowych). Nie jest możliwe uzyskanie zgody ogólnej, np. do przetwarzania danych w jakimkolwiek celu administrator uzna to za potrzebne.
Zgoda musi być wyrażona świadomie – czyli osoba, która wyraża taką zgodę, musi zostać poinformowana w zrozumiały sposób, na co się godzi. Musi wiedzieć w jaki sposób i po co jej dane będą przetwarzane. Taki obowiązek informacyjny ciąży na tym, kto uzyskuje zgodę, czyli na administratorze danych. Informacje te muszą trafić do osoby, której dane dotyczą przed wyrażeniem zgody, a nie po.
Zgoda musi być jednoznaczna – osoba, która ją wyraża, musi podjąć jakąś czynność (np. zaznaczenie okienka w formularzu na stronie internetowej) aby ją wyrazić. Zgoda nie może być w tym zakresie wywiedziona z jakichś innych działań (np. samego podania danych osobowych) i nie może być dorozumiana. To osoba, której dane dotyczą ma dokonać działania, które do wyrażenia tej zgody doprowadzą.
Spełnienie tych warunków umożliwia opieranie się o wyrażoną wcześniej zgodę również po 25 maja 2018 r. To jest dobra informacja. Dlaczego? Bo te zasady dotyczące zgody, są już znane od kilku lat i nie można mówić o jakiejkolwiek rewolucji. Powoływała się na nie zarówno grupa robocza art. 29, jak i polski organ ochrony danych osobowych i działo się to zanim pojawił się temat wdrożenia RODO.
Innymi słowy, jeżeli dotychczas wyrażona zgoda była uzyskana w prawidłowy sposób, spokojnie może zostać uznana za ważną podstawę przetwarzania danych osobowych według nowego rozporządzenia UE dot. ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO).