• Krzysztof Dziemian

Wykazanie i wycofanie zgody RODO

Kiedy zadbamy już o wszystkie atrybuty zgody, o których piszemy tutaj:

https://www.rodo.pl/post/dobrowolna_zgoda

https://www.rodo.pl/post/konkretna-zgoda

https://www.rodo.pl/post/swiadoma-zgoda

https://www.rodo.pl/post/okazanie-woli-zgoda


To zgodnie z art. 7 RODO, musimy dobrze udokumentować proces wyrażenia zgody.

"Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych."


W tym celu należy tak zaprojektować system pobierania zgód, aby wykazać, że dana osoba prawidłowo wyraziła zgodę, ograniczając przy tym zakres przetwarzania danych jedynie do koniecznych.

W swoich Wytycznych Grupa Robocza art. 29 pisze:


„administrator może prowadzić rejestr uzyskanych oświadczeń o wyrażeniu zgody, tak aby mógł wykazać, w jaki sposób i kiedy uzyskano zgodę oraz jakie informacje przekazano osobie, której dane dotyczą, w momencie uzyskania zgody. Administrator musi być również w stanie wykazać, że osoba, której dane dotyczą, została poinformowana, a procedura zastosowana przez administratora spełniała wszystkie właściwe kryteria uzyskania ważnej zgody. Argumentem za takim wymogiem w przepisach RODO jest fakt, że to administrator jest odpowiedzialny za uzyskanie ważnej zgody od osób, które dane dotyczą i wdrożone mechanizmy zgody. Przykładowo w kontekście internetowym administrator mógłby przechowywać informacje na temat sesji, w ramach której udzielono zgodę, wraz z dokumentacją obiegu zgody w czasie tej sesji, jak również kopię informacji przedstawionych wówczas osobie, której dane dotyczą. Niewystarczające byłoby natomiast jedynie odniesienie się do prawidłowej konfiguracji strony internetowej.”


A jak wygląda wycofanie zgody ?


To na co szczególną uwagę zwracają twórcy RODO oraz nasz UODO, to łatwość wycofania zgody.


Za utrudnianie wycofania jej, w Polsce konsekwencje poniosła już Spółka ClickQuickNow Sp. z o.o., która otrzymała karę w wysokości 201 tys. zł. - https://uodo.gov.pl/pl/138/1246


Zgodnie z art. 7 ust. 3 RODO administrator musi zapewnić, by osoba, której dane dotyczą, mogła wycofać zgodę z taką samą łatwością, z jaką jej udzieliła i w dowolnym momencie.


W związku z powyższym, jeśli użytkownik zapisał się do newsletteru po przez wpisanie wiadomości e-mail i kliknięcie, to równie łatwo powinien móc taką zgodę wycofać. Podobnie rzecz ma się w przypadku plików cookies, jeśli wyrażamy klikając „Zgadzam się” to równie łatwo powinniśmy mieć możliwość „odzgodzenia się” na stronie internetowej.

Więcej na ten temat tutaj: https://www.rodo.pl/post/zgoda-cookies


Jakiekolwiek utrudnianie wycofania zgody lub przypadki, w wyniku których wycofująca zgodę osoba fizyczna ponosi np. konsekwencje w zakresie jakości świadczenia usług lub wycofanie takie wymaga od osoby jakiejś płatności, wiązać się może z karą nałożoną przez Urząd.


Co dalej ?

„Po wycofaniu zgody administratorzy mają obowiązek usunąć dane, które przetwarzano na jej podstawie, zakładając, że nie ma innych celów uzasadniających dalsze ich przechowywanie ."


O nieważności zgody należy również pamiętać, że w przypadkach kiedy operacje przetwarzania zmienią się lub ewoluują w sposób znaczący, wówczas wcześniej wyrażona zgoda, traci swoją ważność.


Po zakończeniu czynności przetwarzania, wycofaniu zgody - dowód na wyrażenie i odwołanie zgody, nie powinno być przechowywany dłużej niż jest to bezwzględnie konieczne do wywiązania się z prawnego obowiązku lub do ustalenia, dochodzenia lub obrony przed roszczeniami. Należy pamiętać więc o przekazaniu powyższej informacji w obowiązku informacyjnym, na początku procesu lub po wycofaniu zgody.



Pozdrawiamy,

Zespół rodo.pl


https://uodo.gov.pl/pl/10/428

https://eur-lex.europa.eu/legal- content/PL/TXT/?uri=CELEX%3A32016R0679


45 wyświetlenia

Ostatnie posty

Zobacz wszystkie