Kiedy zadbamy już o wszystkie atrybuty zgody, o których piszemy tutaj:
To zgodnie z art. 7 RODO, musimy dobrze udokumentować proces wyrażenia zgody.
"Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych."
W tym celu należy tak zaprojektować system pobierania zgód, aby wykazać, że dana osoba prawidłowo wyraziła zgodę, ograniczając przy tym zakres przetwarzania danych jedynie do koniecznych.
W swoich Wytycznych Grupa Robocza art. 29 pisze:
„administrator może prowadzić rejestr uzyskanych oświadczeń o wyrażeniu zgody, tak aby mógł wykazać, w jaki sposób i kiedy uzyskano zgodę oraz jakie informacje przekazano osobie, której dane dotyczą, w momencie uzyskania zgody. Administrator musi być również w stanie wykazać, że osoba, której dane dotyczą, została poinformowana, a procedura zastosowana przez administratora spełniała wszystkie właściwe kryteria uzyskania ważnej zgody. Argumentem za takim wymogiem w przepisach RODO jest fakt, że to administrator jest odpowiedzialny za uzyskanie ważnej zgody od osób, które dane dotyczą i wdrożone mechanizmy zgody. Przykładowo w kontekście internetowym administrator mógłby przechowywać informacje na temat sesji, w ramach której udzielono zgodę, wraz z dokumentacją obiegu zgody w czasie tej sesji, jak również kopię informacji przedstawionych wówczas osobie, której dane dotyczą. Niewystarczające byłoby natomiast jedynie odniesienie się do prawidłowej konfiguracji strony internetowej.”
A jak wygląda wycofanie zgody ?
To na co szczególną uwagę zwracają twórcy RODO oraz nasz UODO, to łatwość wycofania zgody.
Za utrudnianie wycofania jej, w Polsce konsekwencje poniosła już Spółka ClickQuickNow Sp. z o.o., która otrzymała karę w wysokości 201 tys. zł. - https://uodo.gov.pl/pl/138/1246
Zgodnie z art. 7 ust. 3 RODO administrator musi zapewnić, by osoba, której dane dotyczą, mogła wycofać zgodę z taką samą łatwością, z jaką jej udzieliła i w dowolnym momencie.
W związku z powyższym, jeśli użytkownik zapisał się do newsletteru po przez wpisanie wiadomości e-mail i kliknięcie, to równie łatwo powinien móc taką zgodę wycofać. Podobnie rzecz ma się w przypadku plików cookies, jeśli wyrażamy klikając „Zgadzam się” to równie łatwo powinniśmy mieć możliwość „odzgodzenia się” na stronie internetowej.
Więcej na ten temat tutaj: https://www.rodo.pl/post/zgoda-cookies
Jakiekolwiek utrudnianie wycofania zgody lub przypadki, w wyniku których wycofująca zgodę osoba fizyczna ponosi np. konsekwencje w zakresie jakości świadczenia usług lub wycofanie takie wymaga od osoby jakiejś płatności, wiązać się może z karą nałożoną przez Urząd.
Co dalej ?
„Po wycofaniu zgody administratorzy mają obowiązek usunąć dane, które przetwarzano na jej podstawie, zakładając, że nie ma innych celów uzasadniających dalsze ich przechowywanie ."
O nieważności zgody należy również pamiętać, że w przypadkach kiedy operacje przetwarzania zmienią się lub ewoluują w sposób znaczący, wówczas wcześniej wyrażona zgoda, traci swoją ważność.
Po zakończeniu czynności przetwarzania, wycofaniu zgody - dowód na wyrażenie i odwołanie zgody, nie powinno być przechowywany dłużej niż jest to bezwzględnie konieczne do wywiązania się z prawnego obowiązku lub do ustalenia, dochodzenia lub obrony przed roszczeniami. Należy pamiętać więc o przekazaniu powyższej informacji w obowiązku informacyjnym, na początku procesu lub po wycofaniu zgody.
Pozdrawiamy,
Zespół rodo.pl