Comsimțământ GDPR. Ghid complet pentru operatori
Oana Neghină, Consilier Juridic
Pe scurt
GDPR stabilește standarde ridicate pentru obținerea consimțământului. Însă, în multe cazuri nu veți avea nevoie de consimțământ. Dacă luarea consimțământului este dificilă, căutați un alt temei.
Consimțământul înseamnă a oferi persoanelor posibilitatea de a alege și a controla. Consimțământul real ar trebui să responsabilizeze indivizii, să vă construiți încrederea și implicarea și să vă îmbunătățiți reputația.
- Verificați practicile de consimțământ și formularele de consimțământ existente. Actualizați consimțământul dacă nu întâlnește standardele GDPR.
- Consimțământul necesită un opțiune pozitivă. Nu utilizați căsuțe pre-bifate sau alte metode prestabilite.
- Consimțământul explicit necesită o declarație foarte clară și specifică.
- Păstrați formularele de consimțământ separate de contracte sau termeni și condiții.
- Fiți specifici și minuțioși, pentru a obține consimțământul separat pentru scopuri diferite. Un consimțământ vag sau mascat nu este suficient.
- Fiți clari și conciși.
- Facilitați retragerea consimțământului de către persoanele vizate.
- Păstrați dovezi ale consimțământului – cine, când, cum și ce le-ați spus oamenilor.
- Păstrați consimțământul în curs de examinare și actualizați-l dacă intervine schimbare.
- Evitați să cereți consimțământul pentru a prelucra o precondiție a unui serviciu.
Ar trebui să te asiguri că:
- Consimțământul este cel mai potrivit temei pentru prelucrare.
- Formularul de consimțământ este separat în mod clar de contract sau termeni și condiții.
- Oamenii pot să opteze pozitiv.
- Nu se folosesc căsuțe pre-bifate sau orice alt tip de consimțământ implicit.
- Se foloște un limbaj clar, simplu, ușor de înțeles.
- Se specifică de ce se solicită datele și ce se va face cu ele.
- Oferim opțiuni distincte („stratificate”) pentru a consimți separat de diferite scopuri sau tipuri de prelucrare.
- Denumim organizația noastră și orice operator terț care se va baza pe consimțământ.
- Le spunem persoanelor că își pot retrage consimțământul.
- Ne asigurăm că persoanele pot refuza să-și dea consimțământul fără a fi în detrimentul lor.
- Evităm ca consimțământul să fie o condiție prealabilă a unui serviciu.
- Dacă oferim servicii online direct copiilor, solicităm consimțământul numai dacă există măsuri de verificare a vârstei, dacă au sub 16 ani, vom solicita consimțământul părinților.
- Menținem o evidență a momentului și a modului în care am obținut consimțământul de la individ.
- Menținem o evidență exactă a ceea ce li sa spus în acel moment.
- Revizuim regulat consimțămintele pentru a verifica dacă relația, prelucrarea și scopurile nu s-au schimbat.
- Avem procese în vigoare pentru a reînnoi consimțământul la intervale adecvate, inclusiv orice consimțământ parental.
- Considerăm utilizarea unor tablouri de bord pentru confidențialitate sau a altor instrumente de gestionare a preferințelor drept o chestiune de bună practică.
- Facilităm retragerea consimțământului în orice moment și dăm indicații despre acest lucru.
- Acționăm în urma retragerii consimțământului cât mai curând posibil.
- Nu sancționăm persoanele care doresc să-și retragă consimțământul.
Ce mai e nou?
GDPR stabilește un standard ridicat pentru consimțământ, dar cea mai mare schimbare este însemnătatea în practică a mecanismelor de consimțământ.
GDPR clarifică faptul că indicația consimțământului trebuie să fie lipsită de ambiguitate și să aibă o acțiune afirmativă. În mod specific interzice căsuțele pre-bifate. De asemenea, este nevoie o procedură distinctă („granulară”) de consimțământ pentru operațiuni distincte de prelucrare. Formularele de consimțământ ar trebui să fie separate de contract și nu ar trebui, în general, să fie o condiție prealabilă pentru achiziționarea unui serviciu.
Trebuie să păstrați înregistrări clare pentru a demonstra consimțământul.
GDPR oferă un drept specific de retragere a consimțământului. Trebuie să le spuneți oamenilor despre dreptul lor de a se retrage și să le ofere modalități ușoare de retragere a consimțământului în orice moment.
Autoritățile publice, angajatorii și alte organizații aflate într-o poziție de conducere ar putea afișa mai greu un consimțământ valabil acordat.
Trebuie să revizuiți consimțămintele existente și mecanismele de consimțământ pentru a verifica dacă acestea respectă GDPR. În acest caz, nu este nevoie să obțineți un nou consimțământ.
De ce este important consimțământul?
Consimțământul este un temei pentru prelucrare, iar consimțământul explicit poate, de asemenea, să legitimizeze folosirea unor categorii speciale de date. Consimțământul poate fi, de asemenea, relevant în cazul în care individul și-a exercitat dreptul la restricție, iar consimțământul explicit poate legitima luarea automată a deciziei și transferurile de date peste hotare.
Consimțământul autentic ar trebui să pună indivizii într-o poziție de control, să construiască încredere și angajament și să vă îmbunătățească reputația.
Dacă vă bazați pe consimțământul necorespunzător sau nevalabil, acest lucru ar putea distruge încrederea și vă poate afecta reputația – și vă poate expune unor amenzi mari.
Când este potrivit consimțământul?
Consimțământul este un temei pentru prelucrare, dar există și alternative. Consimțământul nu este în mod inerent mai bun sau mai important decât aceste alternative. Dacă luarea consimțământului este dificilă, trebuie să luați în considerare utilizarea unei alternative.
Consimțământul este potrivit dacă puteți oferi oamenilor posibilitatea reală de a alege și a controla modul în care utilizați datele lor. Dar dacă nu puteți oferi o alegere reală, consimțământul nu este valabil. Dacă puteți prelucra datele cu caracter personal fără consimțământ, solicitarea consimțământului poate fi înșelătoare și nedreaptă.
Autoritățile publice, angajatorii și alte organizații aflate într-o poziție de putere asupra persoanelor ar trebui evite să se bazeze pe consimțământ, cu excepția cazului în care pot demonstra că este acordat în mod liber.
Ce reprezintă consimțământul valabil?
Consimțământul trebuie acordat în mod liber; acest lucru înseamnă a oferi oamenilor posibilitatea reală de a alege și control asupra modului în care le utilizați datele.
Consimțământul ar trebui să fie evident și să necesite o opțiune pozitivă. Formularele de consimțământ trebuie să fie evidente, separate de alți termeni și condiții, concise, ușor de înțeles și ușor de utilizat.
Consimțământul trebuie să acopere în mod specific numele operatorului, scopurile prelucrării și tipurile de activități de prelucrare.
Nu există o limită de timp stabilită pentru consimțământ. Cât durează aceasta va depinde de context. Trebuie să revizuiți și să actualizați acordul, după caz.
Cum ar trebui să obținem, să înregistrăm și să gestionăm consimțământul?
Asigurați-vă că formularul de consimțământ este evident, concis, separat de contract sau termeni și condiții și ușor de înțeles. Include:
- Denumirea organizației dvs.; numele oricăror operatori terți care se vor baza pe consimțământ;
- de ce solicitați datele;
- ce veți face cu ele; și
- faptul că persoanele fizice își pot retrage consimțământul în orice moment.
Trebuie să le cereți utilizatorilor să acționeze pozitiv. Cel mai bun mod de a opta pozitiv este de a semna un formular de consimțământ în care le explicați pentru ce anume le prelucrați datele, ce faceți cu ele și ce drepturi au. Nu utilizați căsuțe pre-bifate, casete de renunțare sau alte setări implicite. Ori de câte ori este posibil, furnizați opțiuni separate („stratificate”) pentru a consimți la diferite scopuri și diferite tipuri de prelucrare.
Păstrați înregistrări pentru a dovedi consimțământul – cine a consimțit, când, cum și ce li s-a spus.
Facilitați retragerea consimțământului oricând persoanele vizate aleg să o facă. Luați în considerare utilizarea instrumentelor de gestionare a preferințelor.
Păstrați consimțămintele luate și actualizați-le dacă se schimbă ceva. Revizuiți periodic consimțămintele în activitatea dumneavoastră.
