Consimțământ GDPR. Cum obții un consimțământ valabil pentru prelucrare? (I)
Ruxandra Sava, Avocat, CIPP/E
Cu ocazia întâlnirii din luna noiembrie 2017, Grupul de lucru Articolul29 a adoptat două ghiduri (cu privire la „Transparență” și „Consimțământ”) în vederea asigurării unei aplicări armonizate a Regulamentului General privind Protecția Datelor începând cu data de 25 mai 2018. Acestea au fost lansate în vederea consultării publice până la data de 23 ianuarie 2018.
În prezentul articol, vom rezuma aspectele relevante cuprinse în Ghidul Grupului de Lucru Articolul 29 cu privire la consimțământ.
Consimțământ GDPR – puncte cheie
Potrivit Regulamentului, există șase temeiuri legale în baza cărora datele cu caracter personal pot fi prelucrate în mod legal: a) consimțământul; b) încheierea sau executarea unui contract; c) îndeplinirea unei obligații legale a operatorului; d) protejarea intereselor vitale ale persoanei vizate sau ale altei persoane fizice; e) îndeplinirea unei sarcini aferente unui interes public; și f) în scopul interesului legitim al operatorului sau al unei terțe.
Important de menționat este faptul că cele șase temeiuri legale se află, potrivit Regulamentului, pe poziție de egalitate. Așa cum vom arăta în cele ce urmează, obținerea unui consimțământ valabil potrivit GDPR nu este o sarcină ușoară, de aceea recomandarea noastră este să vă orientați către alte temeiuri legale, urmând să apelați la consimțământ ca ultimă variantă.
Implementează GDPR rapid, simplu și eficient!
Consimțământul este unul dintre cele șase temeiuri legale în baza cărora datele cu caracter personal pot fi prelucrate legal, dar și unul dintre temeiurile în baza căruia datele personale pot fi transferate către un stat din afara Uniunii.
Consimțământul este definit în Art. 4 pct. 11 din Regulament drept „orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;”
Operatorul trebuie să poată face dovada că a obținut un consimțământ valabil. Consimțământul GDPR este un act juridic unilateral al persoanei vizate. Totuși, obținerea acestuia nu exonerează operatorul de începlinirea celorlalte obligații pe care le are potrivit legii.
Consimțământul… Ce condiții trebuie îndeplinite pentru valabilitate?
Pentru a fi valabil, consimțământul trebuie să îndeplinească cumulativ următoarele condiții:
- să fie dat în mod liber;
- să fie specific;
- să fie informat;
- să fie lipsit de ambiguitate;
Cu privire la anumite categorii de date sensibile (de exemplu, datele medicale, genetice, biometrice, datele care dezvăluie originea rasială, etnică, convingerile religioase, filozofice), în situația transferurilor către state terțe UE fără garanții adecvate și în situația deciziilor automate cu efect semnificativ, consimțământul trebuie să îndeplinească o cerință suplimentară: să fie explicit. Consimțământul copiilor este, de asemenea, supus unor condiții suplimentare, așa cum vom arăta în cele ce urmează.
- Consimțământul trebuie să fie dat în mod liber
Potrivit Grupului de Lucru, consimțământul trebuie să fie o alegere reală pentru persoana vizată. Dacă persoana nu are o alegere reală, se simte obligată să își dea consimțământul sau urmează să suporte consecințe negative dacă nu își dă acordul, consimțământul nu este valabil.
În situația în care consimțământul este asociat unor termeni și condiții care nu pot fi negociați sau în situația în care nu poate fi acordat sau retras fără prejudicii, vorbim despre un consimțământ nevalid.
Utilizarea unui serviciu condiționată de acordarea consimțământului este permisă doar dacă prelucrarea datelor este necesară pentru executarea respectivului contract. Grupul de Lucru precizează că această condiționare trebuie interpretată strict: “trebuie să existe o legătură directă și obiectivă între prelucrarea datelor și scopul executării contractului”.
Exemplu oferit de Grupul de Lucru:
„O aplicație pentru editarea fotografiilor solicită utilizatorilor să aibă locația GPS activată pentru utilizarea serviciilor, datele privind geolocalizarea fiind colectate în scopuri de publicitate comportamentală. Geolocalizarea nu este necesară pentru furnizarea serviciului de editare foto. Dacă utilizatorul nu poate folosi aplicația fără a fi de acord cu prelucrarea acestor date, contimțământul nu este acordat în mod liber.”
În situația unui dezechilibru de putere, ca de exemplu, în relația angajator – angajat, consimțământul nu este valabil decât în cazuri excepționale. Prin urmare, recomandarea Grupul este ca temeiul legal de prelucrare a datelor angajaților să nu fie consimțământul.
Datele personale nu pot fi oferite drept plata pentru serviciile online gratuite, consimțământul fiind valabil numai dacă sunt puse la dispoziție servicii echivalente care nu depind de utilizarea datelor cu caracter personal, fără costuri suplimentare, subiectul având, astfel, libertatea de a alege. Similar, dacă persoana decide să își retragă consimțământul, nu sunt permise costuri suplimentare sau dezavantaje.
Pentru a fi liber, consimțământul trebuie acordat separat pentru fiecare scop specific al prelucrării
- Consimțământul trebuie să fie specific
Operatorul trebuie să obțină consimțământul persoanei separat pentru fiecare activitate de prelucrare. Pentru fiecare scop, trebuie furnizate informațiile specifice cu privire la datele prelucrate. Dacă se dorește utilizarea datelor colectate în scopuri noi, trebuie obținut un nou consimțământ înainte de a prelucra datele în noile scopuri.
Exemplu oferit de Grupul de Lucru:
„O rețea de televiziune prin cablu colectează datele personale ale abonaților, pe baza consimțământului acestora, pentru a le prezenta sugestii personalizate pentru filme. După un timp, rețeaua TV decide că ar dori să permită terților să trimită (sau să afișeze) publicitate vizată pe baza obiceiurilor de vizionare ale abonatului. Având în vedere acest nou scop, este necesar un nou consimțământ.”
- Consimțământul trebuie să fie informat
Grupul de Lucru furnizează o listă de elemente obligatorii care trebuie prezentate persoanei înainte de a i se cere consimțământul: identitatea fiecărui operator, scopul prelucrării, tipurile de date colectate, existența dreptului de retragere a consimțământului și, dacă e cazul, informații despre profilare sau decizii automate cu impact semnificativ și informații privind posibilele riscuri de transfer către state terțe UE.
Informarea trebuie să utilizeze un limbaj simplu și ușor de înțeles și trebuie să se diferențieze de termenii generali. Dacă consimțământul este obținut pe hârtie, informarea trebuie să fie distinctă față de alte documente, astfel încât să se evidențieze și să atragă atenția. Utilizarea unui mod stratificat de prezentare a informației este un aspect pe care operatorii ar trebui să îl ia în calcul.
- Consimțământul trebuie să fie lipsit de ambiguitate
Tăcerea, inacțiunea sau căsuțele pre-bifate nu valorează consimțământ GDPR. Grupul de Lucru recomandă operatorilor să facă uz de declarații scrise, însă, întrucât acest lucru nu este întotdeauna realist se poate apela la alternative precum declarații verbale înregistrate, raspunsuri la e-mail-uri și mesaje electronice, căsuțe cu posibilitate de bifare activă. Grupul menționează că „GDPR pune la dispoziția controlorilor obligația de a dezvolta modalități de abordare a acestei probleme”.
SURSE
