Pe scurt
Consimțământul, pentru a fi valabil, trebuie să îndeplinească anumite condiții;
Operatorul trebuie să poată face dovada că a obținut un consimțământ valabil;
Consimțământul trebuie acordat separat pentru fiecare scop specific al prelucrării;
Consimțământul poate fi retras la fel de ușor cum a fost dat, în orice moment și în mod gratuit, dar nu neapărat prin aceeași acțiune;
Este nevoie de consimțământul părinților pentru prelucrarea datelor copiilor sub 16 ani.
Consimțământul este definit de Regulament drept „orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;”
Operatorul trebuie să poată face dovada că a obținut un consimțământ valabil.
Pentru a fi valabil, consimțământul trebuie să îndeplinească cumulativ următoarele condiții:
• să fie dat în mod liber;
• să fie specific;
• să fie informat;
• să fie lipsit de ambiguitate;
Consimțământul trebuie să fie dat în mod liber
Potrivit Grupului de Lucru Art. 29 , consimțământul trebuie să fie o alegere reală pentru persoana vizată. Dacă persoana nu are o alegere reală, se simte obligată să își dea consimțământul sau urmează să suporte consecințe negative dacă nu își dă acordul, consimțământul nu este valabil.
Exemplu: O aplicație mobilă de streaming muzical editare solicită utilizatorilor să aibă activată localizarea GPS pentru utilizarea serviciilor sale. Aplicația informează utilizatorii că va utiliza datele colectate în scopuri de publicitate comportamentală. Nici geolocalizarea și nici publicitatea comportamentală nu sunt necesare pentru furnizarea serviciului de streaming muzical. Întrucât utilizatorii nu pot utiliza aplicația fără a fi de acord cu această prelucrare, consimțământul nu poate fi considerat ca fiind acordat în mod liber.
! În situația unui dezechilibru de putere, ca de exemplu, în relația angajator – angajat, consimțământul nu este valabil decât în cazuri excepționale. Prin urmare, recomandarea ar fi ca temeiul prelucrării datelor angajaților să nu fie consimțământul.
Pentru a fi liber, consimțământul trebuie acordat separat pentru fiecare scop specific al prelucrării.
Consimțământul trebuie să fie specific
Operatorul trebuie să obțină consimțământul persoanei separat pentru fiecare activitate de prelucrare. Pentru fiecare scop, trebuie furnizate informațiile specifice cu privire la datele prelucrate. Dacă se dorește utilizarea datelor colectate în scopuri noi, trebuie obținut un nou consimțământ înainte de a prelucra datele în noile scopuri.
Exemplu: „O rețea de televiziune prin cablu colectează datele personale ale abonaților, pe baza consimțământului acestora, pentru a le prezenta sugestii personalizate pentru filme. După un timp, rețeaua TV decide că ar dori să permită terților să trimită (sau să afișeze) publicitate vizată pe baza obiceiurilor de vizionare ale abonatului. Având în vedere acest nou scop, este necesar un nou consimțământ.”
Consimțământul trebuie să fie informat
Există elemente obligatorii care trebuie prezentate persoanei înainte de a i se cere consimțământul: identitatea fiecărui operator, scopul prelucrării, tipurile de date colectate, existența dreptului de retragere a consimțământului și, dacă e cazul, informații despre profilare sau decizii automate cu impact semnificativ și informații privind posibilele riscuri de transfer către state terțe UE.
Informarea trebuie să utilizeze un limbaj simplu și ușor de înțeles și trebuie să se diferențieze de termenii generali. Dacă consimțământul este obținut pe hârtie, informarea trebuie să fie distinctă față de alte documente, astfel încât să se evidențieze și să atragă atenția. Utilizarea unui mod stratificat de prezentare a informației este un aspect pe care operatorii ar trebui să îl ia în calcul.
Consimțământul trebuie să fie lipsit de ambiguitate
Recomandarea este să se facă uz de declarații scrise, însă, întrucât acest lucru nu este întotdeauna realist se poate apela la alternative precum declarații verbale înregistrate, răspunsuri la e-mail-uri și mesaje electronice, căsuțe cu posibilitate de bifare etc.
Alte aspecte privind consimțământul
GDPR obligă operatorii să se asigure că consimțământul poate fi retras la fel de ușor cum a fost dat, în orice moment și în mod gratuit, dar nu neapărat prin aceeași acțiune. Retragerea consimțământului nu trebuie să aducă prejudicii. Neîndeplinirea unui mecanism de retragere duce la eșecul validității acordului. În cazul retragerii, prelucrarea care a avut loc anterior rămâne legală, însă prelucrarea ulterioară trebuie să înceteze. Un nou consimțământ valabil este necesar.
Nu este permisă migrarea tacită din consimțământ către altă bază legală pentru procesare.
În privința copiilor, dacă aceștia au vârsta sub 16 ani, consimțământul trebuie dat sau autorizat de reprezentantul legal (de obicei, părintele). Statele membre pot reduce această vârsta la 13 ani. În funcție de riscul prelucrării, consimțământul părinților se va obține diferit: pentru activități cu risc scăzut se poate realiza o verificare pe e-mail, însă pentru cele cu risc mare, este nevoie de măsuri suplimentare. Odată ce copilul a ajuns la vârsta consimțământului digital (16 ani), un nou consimțământ este necesar direct de la subiect.
În situația în care consimțământul a fost obținut în conformitate cu Legea nr. 677/2001 este valabil dacă respectă condițiile stabilite de GDPR. Totuși, Grupul de Lucru Art. 29 avertizează că GDPR introduce standarde mult mai stricte care necesită revizuirea tuturor mecanismelor privind consimțământul și nu simpla actualizare a notelor de informare. Grupul avertizează în special operatorii care se bazează pe un consimțământ inactiv, cum este cazul colectării consimțământului prin utilizarea unor căsuțe pre-bifate.
Exemplu: Un blog transmite o dată pe săptămână newsletter abonaților. Consimțământul abonaților a fost luat în mod implicit, printr-o căsuță deja bifată. În acest caz, consimțământul nu este valabil, iar blogul ar trebui să colecteze un nou consimțământul care să îndeplinească standardele GDPR. Dacă persoanele nu își vor da consimțământul, prelucrarea va înceta.