Nowe pojęcie zgody i danych pseudonimicznych na gruncie RODO
20 gru 2017
Zgodnie z RODO zgoda na przetwarzanie danych osobowych wyrażona przez osobę, której dane dotyczą, musi być dobrowolna, konkretna, świadoma i jednoznaczna. Nadto, zgoda może być udzielona w dwóch formach:
- przez oświadczenie osoby, której dane dotyczą,
- wyraźne działanie.
W porównaniu z aktualnie obowiązującymi przepisami, pojęcie zgody na gruncie RODO uległo nieznacznej zmianie. Niemniej jednak, nowe sformułowanie zgody może być korzystniejsze. Stwierdzenie „wyraźne działanie potwierdzające” może bowiem prowadzić do uznania, iż takim działaniem będzie czynność wysłania cv w celach rekrutacyjnych, czy też przekazanie wizytówki w trakcie spotkania.
W myśl RODO na Administratorze danych przetwarzającym dane osobowe na podstawie zgody ciąży ciężar udowodnienia faktu, iż osoba, której dane dotyczą, wyraziła zgodę na ich przetwarzanie.
Z kolei jeżeli zgoda wyrażona przez osobę w formie pisemnego oświadczenia dotyczy również dodatkowych upoważnień, to zapytanie o zgodę powinno w sposób wyraźny odróżniać je od pozostałych kwestii, a przy tym być sformułowane jasnym i prostym językiem. W innym przypadku, część oświadczenia niezgodna z przepisami RODO nie będzie wiązała stron.
RODO daje również osobie, której dane dotyczą, uprawnienie do wycofania zgody w każdym czasie. Jednakże powyższa czynność nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Administrator danych jest zobowiązany poinformować o tym fakcie taką osobę przed wyrażeniem przez nią zgody. Nadto, wycofanie zgody powinno być tak samo proste, jak jej wyrażenie.
Konkludując, analizując dobrowolność udzielonej zgody bada się, czy między innymi od zgody na przetwarzanie danych nie było uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie było konieczne do realizacji takiej umowy.
RODO dodało również nowe pojęcie danych pseudonimicznych.
Na czym polega pseudonimizacja?
Jest to przetworzenie danych osobowych w taki sposób, by nie można było ich już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, o ile takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie.
Przykład: stosowanie wewnętrznego numeru klienta zamiast jego danych osobowych.
Konsekwencją zastosowania pseudonimizacji może być zminimalizowanie wystąpienia naruszeń bezpieczeństwa informacji. Tym samym wprowadzenie przez RODO nowego pojęcia stanowi pozytywną zmianę wobec aktualnie obowiązujących przepisów, które nie dostrzegały tego typu danych.