Grudzień 2017 r. przyniósł dwa nowe dokumenty Grupy Roboczej Art. 29 wyjaśniające, jak rozumieć przepisy RODO dotyczące zgody, którą należy uzyskać i informacji, które należy przekazać klientom w celu przetwarzania ich danych osobowych. Są to Wytyczne w sprawie zgody i Wytyczne w sprawie przejrzystości. Nowe dokumenty wskazują, że mija czas obszernych regulaminów pisanych drobnym drukiem. Administratorzy danych, którzy chcą zadbać o zgodność z RODO, lepiej zrobią, stawiając na system krótkich i łatwych do zrozumienia pytań oraz powiadomień.
Po pierwsze, wynika to z coraz bardziej restrykcyjnego rozumienia dobrowolnego charakteru zgody. Oczywiście zgoda nie jest dobrowolna, jeśli musi być udzielona dla zawarcia umowy, np. gdy aplikacja do obróbki zdjęć wymaga zgody na wykorzystywanie danych o lokalizacji. W Wytycznych w sprawie zgody zwraca się uwagę także na inny przypadek wyłączający dobrowolność: wymóg udzielenia zgody na przetwarzanie w kilku różnych celach w jednym oświadczeniu. Z takim przypadkiem będziemy mieli do czynienia np. jeśli dostawca usług nie zapyta odrębnie o zgodę na przesyłanie danych marketingowych i o zgodę na udostępnienie danych osobowych spółkom powiązanym.
Po drugie, wzrasta nacisk na to, aby zgoda była bardzo konkretna. Wykluczone jest nie tylko wskazane wyżej pobieranie jednej zgody w odniesieniu do kilku celów przetwarzania, ale też pobieranie jednej zgody w odniesieniu do jednego, lecz szeroko zakrojonego celu. Nawet jeśli wykonawca umowy nie jest pewien, jak dokładnie będzie przetwarzać dane osobowe, przygotowanie ogólnikowej treści zgody nie jest dobrym kierunkiem. Bezpieczniej będzie pobrać zgodę w zakresie węższym, ale możliwym do precyzyjnego opisania i ewentualnego uzupełnienia o dodatkową zgodę w przyszłości niż prewencyjnie prosić o zgodę ujętą szeroko z wykorzystaniem nieprecyzyjnych określeń.
Po trzecie, RODO wymaga, aby podmiot, którego dane mają być przetwarzane, udzielił zgody świadomie. Nie wystarczy jednak, że udzieli jej, zdając sobie sprawę, iż tego dokonuje. Nie należy też przyjmować, że wymóg zostanie spełniony, jeśli tylko nie zajdzie wadliwość oświadczenia woli z uwagi na „stan wyłączający świadome podjęcie decyzji”, o którym mowa w Kodeksie cywilnym. Pojęć zawartych w przepisach unijnych nie należy utożsamiać z tymi w prawie krajowym (o czym pisaliśmy szerzej w październiku). Wytyczne w sprawie zgody wskazują, że osoba świadomie zgadzająca się na przetwarzanie to taka, której uprzednio udzielono informacji o tym, kto będzie administratorem jej danych, jakie rodzaje danych będą zbierane i wykorzystywane, a także w jakich celach, w szczególności czy na potrzeby zautomatyzowanego podejmowania decyzji. Osoba proszona o zgodę powinna się także dowiedzieć, że nawet jeśli jej udzieli, będzie mogła ją w każdej chwili cofnąć.
Jednocześnie Wytyczne w sprawie zgody wyraźnie podkreślają, że informacje muszą być przekazywane prostym i zrozumiałym językiem. Niepoprawnym sposobem realizacji omawianych obowiązków jest przekazywanie uprawnionym podmiotom informacji w „długich, nieczytelnych politykach prywatności”, „oświadczeniach pełnych prawniczego żargonu” lub „ukrytych w ogólnych warunkach umownych”.
O ile Wytyczne w sprawie zgody wskazują na szereg ograniczeń, o tyle Wytyczne w sprawie przejrzystości podpowiadają, jak do tych ograniczeń się dostosować. Jednoznacznie dopuszczają one np. komunikaty w postaci powiadomień push. Taka forma pozwala dzielić wiadomości przekazywane klientom na krótsze fragmenty, które łatwiej przyswoić i które można prezentować w najodpowiedniejszym czasie. Przykładem może być wyświetlenie informacji o dostępie do danych lokalizacyjnych w chwili, kiedy użytkownik chce umieścić na zdjęciu logo miasta, w którym je zrobił. Tym samym administrator unika konieczności polegania na jednym dokumencie, jak polityka prywatności, który jest trudny do przyswojenia po pierwsze ze względu na jego obszerność, a po drugie ze względu oderwanie wielu jego postanowień od kontekstu, którego dotyczą (trudno zrozumieć wszystkie zasady korzystania z aplikacji, zanim się z niej skorzysta).
Ponadto Wytyczne w sprawie zgody przewidują, że reakcje klienta w odpowiedzi na takie komunikaty jak np. potwierdzenie, że zapoznał się z informacją lub udzielenie zgody, będą mogły być wyrażone na wiele sposobów niewymagających jakichkolwiek podpisów ani nawet zaznaczania specjalnych okienek. Grupa Robocza Art. 29 jako przykłady dopuszczalnych sposobów oświadczenia woli podaje przesunięcie palcem po ekranie, machnięcie ręką przed smart kamerą, obrócenie smartfonu na płaskiej powierzchni zgodnie z kierunkiem wskazówek zegara lub wykonanie nim w przestrzeni gestu, np. ósemki. Podkreśla się natomiast, że błędem będzie uznawanie za wyrażenie zgody przewinięcia na ekranie pełnej treści długiego wzorca umownego.
Zastąpienie regulaminu okazywanego przed zawarciem umowy krótszymi komunikatami kierowanymi do klienta w toku wykonywania umowy staje się więc na terenie Unii rozwiązaniem nie tylko dopuszczalnym, ale wręcz preferowanym – przynajmniej jeśli chodzi o dane osobowe. Wygląda na to, że można śmiało ciąć dotychczasowe regulaminy na fragmenty i zastanawiać się, na jakich etapach obsługi klienta kierować do niego poszczególne komunikaty.
Bartosz Troczyński