Consimtamantul pentru prelucrarea datelor este, conform art. 6 din Regulamentul (UE) 2016/679 (denumit în continuare GDPR), unul dintre cele șase temeiuri legale pentru prelucrarea datelor cu caracter personal. Tot în baza consimțământului persoanei vizate, datele personale pot fi transferate într-o țară terță UE, chiar dacă țara respectivă nu este considerată de către Comisie ca fiind o țară ce oferă un nivel „adecvat” de protecție.
Cu scopul de a promova aplicarea coerentă a GDPR, Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal (denumit în continuare ”Grupul de lucru”) a făcut publice câteva orientări în ceea ce privește consimtamantul persoanelor vizate – ca temei pentru prelucrarea datelor cu caracter personal.
Conform GDPR, consimtamantul pentru prelucrarea datelor constituie o manifestare liber exprimată, specifică, în cunoștință de cauză și clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declarație făcută în scris, inclusiv în format electronic, sau verbal. Pentru a fi valabil, consimtamantul pentru prelucrarea datelor cu caracter personal trebuie să indeplineacă o serie de condiții, pe care le vom exemplifica în cele ce urmează.
Este foarte important să stabilim încă de la început faptul că operatorii care solicită consimțământul unui utilizator de date nu pot, în principiu, să se bazeze pe celelalte temeiuri legale pentru prelucrarea datelor cu caracter personal prevăzute de articolul 6 din GDPR și să le invoce ca „back-up” atunci când nu pot să demonstreze obținerea unui consimțământ valabil.
De aceea, este esențial ca operatorii de date care se bazează pe consimtamantul persoanei vizate sa se asigure ca acest consimtamant este unul valabil in acceptiunea GDPR.
Prima condiție: consimtamantul pentru prelucrarea datelor trebuie să fie o manifestare liber exprimată
Grupul de lucru subliniază faptul că pentru a fi valabil, consimtamantul pentru prelucrarea datelor personale trebuie să fie exprimat în mod liber, respectiv să fie alegerea reală a persoanelor vizate. Consimțământul nu se consideră a fi acordat în mod liber și prin urmare nu este valabil dacă:
- este parte a unor Termeni și condiții care nu sunt supuși negocierii,
- persoana vizată nu poate refuza exprimarea consimțământului sau nu își poate retrage consimțământul exprimat fără să sufere anumite prejudicii,
- nu se permite persoanei vizate să-și acorde consimțământul separat pentru diferitele operațiuni de prelucrare a datelor, deși acest lucru este adecvat în cazul particular.
Este foarte important de menționat faptul că acordul (consimtamantul pentru prelucrarea datelor) nu va fi considerat ca fiind liber exprimat atunci când operatorul condiționează executarea unui contract sau prestarea unui serviciu de obținerea consimtamantului pentru prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acelui contract.
Grupul de lucru oferă un exemplu în acest sens: o aplicație de editare a fotografiilor cere utilizatorilor să activeze serviciul de localizare GPS pentru a o putea folosi, deși prelucrarea datelor de geolocalizare nu este necesară pentru furnizarea serviciilor de editare a fotografiilor. În acest caz, consimțământul exprimat de persoana vizată pentru prelucrarea datelor de geolocalizare nu este considerat unul valabil.
Particularități apar și în situația în care există un dezechilibru de putere între persoana vizată și operator, cum este, de exemplu, situația dintre angajat și angajator sau situația în care operator de date este o autoritate publică.
Situația angajat-angajator: Grupul de lucru avertizează că baza legală a prelucrării datelor cu caracter personal la locul de muncă nu ar trebui să fie consimțământul angajaților, deoarece este puțin probabil ca angajații să se simtă capabili de a răspunde în mod liber la o cerere de procesare sau de a refuza o asemenea cerere fără a suferi vreun prejudiciu. Tutuși, acest lucru nu înseamnă că angajatorii nu pot niciodată să se bazeze pe consimțământ ca temei legal pentru procesarea datelor.
Situația în care operator este o autoritate publică: În egală măsură, dezechilibrul puterii dintre persoana vizată și autoritatea publică care prelucrează datele cu caracter personal ar impune ca în aceste cazuri prelucrarea datelor să se facă în baza unui alt temei decât consimțâmântul, deși consimțământul nu este exclus în totalitate de GDPR.
Grupul de lucru oferă următorul exemplu în care consimțământul poate constitui temei valabil pentru prelucrarea datelor cu caracter personal de către o autoritate publică: o instituție publică de învătământ superior solicită studenților acordul în vederea folosirii fotografiei acestora în revista ce urmează să fie publicată de instituția de învătământ respectivă. În acest caz consimtamantul pentru prelucrarea datelor ar trebui considerat valabil câtă vreme studenților nu le va fi refuzat accesul la serviciile de educație și pot refuza exprimarea consimțământului fără să sufere vreun prejudiciu.
Dezechilibrul puterii trebuie luat în considerare în toate operațiunile de prelucrare care se bazează pe consimțământ. În acest sens, Grupul de lucru afirmă că orice element de presiune sau influență necorespunzătoare asupra persoanei vizate, care o împiedică să-și exercite voința liberă, va face ca acordul persoanei vizate (consimțământul) să nu fie valabil.
A doua condiție: consimtamantul pentru prelucrarea datelor trebuie să fie specific
Obținerea unui consimțământ valabil este întotdeauna precedată de determinarea explicită a scopurilor legitime în care datele cu caracter personal sunt prelucrate. Cerința consimțământului specific are la bază necesitatea de a asigura un grad de control al persoanelor vizate și de transparență pentru acestea. Specificitatea este strâns legată de cerința consimțământului informat.
Aceasta presupune ca persoana vizată să fie informată asupra scopului prelucrării iar consimțământul acesteia să fie dat pentru fiecare scop al prelucrării în parte. Dacă operatorul dorește să utilizeze datele colectate în scopuri noi, acesta trebuie să obțină un nou consimțământ din partea persoanelor vizate înainte de a face acest lucru.
A treia condiție: consimtamantul pentru prelucrarea datelor trebuie să fie informat
Cerința consimțământului informat derivă din principiul fundamental al transparenței impus de GDPR. Fără informații accesibile, persoanele vizate nu pot lua decizii în cunoștință de cauză astfel încât dreptul de control al persoanei vizate devine iluzoriu, iar consimțământul acesteia constituie o bază nevalidă pentru procesarea datelor.
Grupul de lucru a stabilit că cel puțin următoarele informații trebuie aduse la cunoștința persoanei vizate: identitatea operatorului, scopul prelucrării, datele cu caracter personal colectate, existența dreptului de retragere a consimțământului, informații privind utilizarea datelor pentru decizii bazate exclusiv pe prelucrarea automată (inclusiv crearea de profiluri) precum și informații despre posibilele riscuri de transfer de date către țări terțe.
Grupul de lucru stabilește că informarea persoanei vizate se poate face în formă scrisă, orală, audio sau vizuală punându-se mai mult accent asupra cerințelor de claritate și accesibilitate și nu neaparat pe cerințe de formă. Informarea trebuie să fie ușor de înțeles pentru o persoană obișnuită și să nu reprezinte o declarație cu conținut juridic. De asemenea, solicitarea de consimțământ trebuie să fie clar delimitată de alte aspecte.
Un alt aspect deosebit de important care se deduce din orientările Grupului de lucru îl reprezintă faptul că, se poate reține existența unui consimțământ valabil informat chiar dacă în solicitarea de obținere a consimțământului nu sunt menționate toate elementele articolelor 13 și/ sau 14 din GDPR, atâta timp cât aceste informații sunt divulgate în altă parte de către operator.
A patra condiție: consimtamantul pentru prelucrarea datelor trebuie să fie lipsit de ambiguitate
Consimtamantul pentru prelucrarea datelor trebuie să reprezinte o declarație sau o acțiune afirmativă din partea persoanei vizate, cum af fi spre exemplu bifarea unei căsuțe atunci când persoana vizitează un site sau orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării datelor sale cu caracter personal. Grupul de lucru subliniază faptul că declarațiile scrise, declarațiile verbale înregistrate și declarațiile electronice satisfac cerința existenței unui consimțământ lipsit de ambiguitate.
Prin urmare, absența unui răspuns (tăcerea/ inactivitatea), căsuțele bifate în prealabil sau absența unei acțiuni nu ar trebui să constituie un consimțământ. De asemenea, consimtamantul pentru prelucrarea datelor nu poate fi obținut în mod valabil prin aceeași acțiune prin care persoana vizată acceptă Termeni și condițiile generale ale unui serviciu.
Se mai precizează de către Grupul de lucru faptul că, atunci când solicitarea de consimțămând se face prin mijloace electronice, aceasta nu trebuie să perturbe în mod inutil utilizarea serviciului pentru care este solicitat consimțământul. Totuși, o acțiune prin care persoana vizată își exprimă consimțământul poate fi necesară atunci când o modalitate mai puțin deranjantă ar încălca cerința lipsei ambiguității în exprimarea consimțământului. Astfel, poate fi necesar ca o solicitare de consimțământ să întrerupă într-o oarecare măsură experiența de utilizare pentru a face această cerere eficientă.
Cerință specială: existența unui consimțământ explicit
În situația prelucrării unor date sensibile (definite la art. 9 din GDPR), în situația transferurilor de date către țări terțe UE fără existența unei decizii privind caracterul adecvat al nivelului de protecție sau în ipoteza unor decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri (conform articolului 22 din GDPR), se impune o cerință suplimentară, aceea a unui consimțământ explicit.
Termenul ”explicit” se referă la modul în care consimțământul este exprimat de către persoana vizată. Aceasta înseamnă că persoana vizată trebuie să dea o declarație expresă de consimțământ. Grupul de lucru sugerează faptul că o confirmare expresă a consimțământului făcută printr-o declarație scrisă satisface cerința unui consimtământ expres. Atunci când este cazul, operatorul ar putea să se asigure că declarația scrisă este semnată de persoana vizată.
Alte mijloace, în special în contextul electronic, pot include completarea unui formular electronic, trimiterea unui e-mail, încărcarea unui document scanat care poartă semnătura persoanei vizate, înregistrarea unei declarații verbale sau verificarea consimțământului prin intermediul unui proces de autentificare în două etape, cum ar fi un e-mail urmat de un mesaj SMS.
Condiții suplimentare
Obligația de a demonstra obținera unui consimțământ valabil revine operatorilor de date, aceștia fiind liberi să dezvolte metode care să respecte această cerință.
În ceea ce privește durata consimtamantului pentru prelucrarea datelor, aceasta va depinde de context, de scopul consimțământului inițial și de așteptările persoanei vizate. Dacă operațiunile de procesare se schimbă sau evoluează considerabil, consimțământul inițial nu mai este valabil. În acest caz, trebuie obținut un nou consimțământ. Grupul de lucru recomandă ca o bună practică actualizarea consimțământului la intervale adecvate de timp. Furnizarea din nou a tuturor informațiilor contribuie la asigurarea faptului că persoana vizată rămâne bine informată cu privire la modul în care sunt utilizate datele sale cu caracter personal.
Se mai menționează în orientările Grupului de lucru faptul că un operator nu poate dovedi obținerea unui consimțământ valabil printr-o simplă referite la o configurație corectă a site-ului prin intermediul căruia a obținut consimțământul.
De asemenea, GDPR obligă operatorii să se asigure că acordul poate fi retras în orice moment, la fel de ușor cum poate fi dat, dar nu neapărat prin aceeași acțiune. Cu toate acestea, Grupul de lucru constată că, în contextul electronic, dacă consimtamantul pentru prelucrarea datelor este obținut printr-o singură acțiune (click, glisare, apăsare de taste etc.), retragerea ar trebui să fie posibilă prin aceleași mijloace. Retragerea trebuie să fie, de asemenea, fără prejudicii (adică fără taxe).
În cazul retragerii, prelucrarea care a avut loc anterior rămâne legală, dar prelucrarea ulterioară trebuie să înceteze. În cazul în care operatorul dorește să continue prelucrarea datelor unui subiect după retragerea consimtământului pe o altă bază legală, acesta trebuie să evalueze oportunitatea procesării continue și să reia obligația de informare a persoanei vizate conform art. 13 și 14 din GDPR. Nu este permisă migrarea tacită din consimțământ către altă bază legală pentru procesare.
Domeniu specific de interes al GDPR – copiii
O protecție sporită este necesară atunci când sunt prelucrate date aparținând persoanelor fizice vulnerabile, cum ar fi, de exeplu, copiii. GDPR stabilește o vârstă de 16 ani pentru validitatea consimțământului pentru prelucrarea datelor cu caracter personal ale unui copil. Ca o particularitate, operatorii trebuie să manifeste o atenție sporită la limbajul folosit pentru informarea copiilor, respectiv să se asigure că acesta este clar și ușor accesibil unui copil.
Consimtamantul pentru prelucrarea datelor obținut în baza vechii reglementări
În ceea ce privește consimțământul obținut în temeiul Directivei 95/46/CE, acesta va fi considerat valabil în măsura în care este conform cu condițiile stabilite în GDPR.
Surse: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083
Sursa foto: https://pixabay.com/en/agree-english-consent-contract-1728448/