Despre Consimțământ și problematica adoptării lui ca temei legal al prelucrării datelor cu caracter personal

Prelucrarea datelor cu caracter personal este în general interzisă, cu excepția cazului în care este permisă în mod expres de lege sau persoana vizată și-a dat consimțământul pentru prelucrare. Deși este unul dintre cele mai cunoscute baze legale pentru prelucrarea datelor cu caracter personal, consimțământul este doar una dintre cele șase temeiuri legale menționate în Regulamentul general privind protecția datelor (GDPR).
Celelalte sunt: ​​contractul, obligațiile legale, interesele vitale ale persoanei vizate, interesul public și interesul legitim, conform articolului 6 alineatul (1) GDPR.

Cerințele de bază pentru eficacitatea unui consimțământ legal valid sunt definite la articolul 7 și specificate în continuare în considerentul 32 din GDPR. Astfel, consimțământul trebuie să fie liber, specific, informat și lipsit de ambiguitate:

“Consimțământul ar trebui acordat printr-o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoștință de cauză și clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declarație făcută în scris, inclusiv în format electronic, sau verbal.”
 

Pentru a obține consimțământul acordat în mod liber, acesta trebuie acordat voluntar. Elementul „liber” presupune o alegere reală a persoanei vizate. Orice element de presiune sau influență inadecvată care ar putea afecta rezultatul acelei alegeri face ca acest temeil legal al prelucratii, consimțământul, să fie invalid. În acest sens, textul regulamentului ia în considerare un anumit dezechilibru între operator și persoana vizată.

De exemplu, într-o relație angajator-angajat: Angajatul poate să-și facă griji că refuzul său de a-și acorda consimțământul poate avea consecințe negative grave asupra relației sale de muncă, astfel consimțământul poate fi o bază legală pentru prelucrare doar în câteva circumstanțe excepționale.
Executarea unui contract nu poate fi dependentă de consimțământul de a prelucra date cu caracter personal suplimentare, care nu sunt necesare pentru executarea respectivului contract.

Pentru ca un consimțământ să fie informat și specific, persoana vizată trebuie să fie cel puțin informată cu privire la identitatea operatorului, ce fel de date vor fi prelucrate, cum vor fi utilizate și scopul operațiunilor de prelucrare. Persoana vizată trebuie, de asemenea, informată cu privire la dreptul său de a-și retrage oricând consimțământul, conform articolului 7, alineat 3:

 Persoana vizată are dreptul să își retragă în orice moment consimțământul. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia. Înainte de acordarea consimțământului, persoana vizată este informată cu privire la acest lucru. Retragerea consimțământului se face la fel de simplu ca acordarea acestuia.

Retragerea trebuie să fie la fel de ușoară ca și acordarea consimțământului. După caz, operatorul trebuie, de asemenea, să informeze despre utilizarea datelor pentru luarea automată a deciziilor, posibilele riscuri ale transferurilor de date din cauza absenței unei decizii de adecvare sau a altor garanții adecvate.

Consimțământul trebuie să fie legat de unul sau mai multe scopuri specificate, care trebuie apoi explicate suficient. În cazul în care consimțământul ar trebui să valideze prelucrarea unor categorii speciale de date cu caracter personal, informațiile pentru persoana vizată trebuie să se refere în mod expres la aceasta. ( recital 32 ):

Dacă prelucrarea datelor se face în mai multe scopuri, consimțământul ar trebui dat pentru toate scopurile prelucrării. În cazul în care consimțământul persoanei vizate trebuie acordat în urma unei cereri transmise pe cale electronică, cererea respectivă trebuie să fie clară și concisă și să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimțământul.

Trebuie să existe întotdeauna o distincție clară între informațiile necesare pentru consimțământul informat și informațiile despre alte aspecte contractuale. ( Articolul 7, alineat 4 )

 Atunci când se evaluează dacă consimțământul este dat în mod liber, se ține seama cât mai mult de faptul că, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiționată sau nu de consimțământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract.

Nu în ultimul rând, consimțământul trebuie să fie clar, ceea ce înseamnă că necesită fie o declarație, fie un act afirmativ clar. Consimțământul nu poate fi implicit și trebuie să fie dat întotdeauna printr-un opt-in, o declarație sau o actiune – de ex de bifat o casuta -, astfel încât să nu existe o înțelegere greșită că persoana vizată și-a dat consimțământul pentru prelucrarea respectivă. Acestea fiind spuse, nu există o cerință de formă pentru consimțământ, chiar dacă consimțământul scris este recomandat din cauza răspunderii operatorului. Prin urmare, poate fi dat și în formă electronică.

În acest sens, consimțământul copiilor și adolescenților în legătură cu serviciile societății informaționale este un caz special. Pentru cei sub 16 ani, există o cerință suplimentară de acord sau autorizare din partea titularului răspunderii părintești. Limita de vârstă face obiectul unei clauze de flexibilitate. Statele membre pot prevedea o vârstă mai mică prin legislația națională, cu condiția ca această vârstă să nu fie sub vârsta de 13 ani.
Atenție și la faptul că, în situația în care se colectează electronic consimțământul din partea titularului răspunderii părintești :

Operatorul depune toate eforturile rezonabile pentru a verifica în astfel de cazuri că titularul răspunderii părintești a acordat sau a autorizat consimțământul, ținând seama de tehnologiile disponibile.

În practică, verificarea presupune fie o sesiune video cu titularului răspunderii părintești, fie se poate încarca o poză în care acesta prezintă cartea de identitate. Dacă aveți alte sugestii vă rugăm să ni le transmiteți.

Atunci când o ofertă de servicii nu se adresează în mod explicit copiilor, nu se mai aplica această regulă. Totuși, acest lucru nu este valabil pentru ofertele care se adresează atât copiilor, cât și adulților.

După cum se poate vedea, consimțământul nu este unica variantă atunci când identificăm temeiul legal  pentru  prelucrarea datelor cu caracter personal. Mai ales că autoritățile europene pentru protecția datelor au precizat clar

„că, dacă un operator alege să se bazeze pe consimțământ pentru orice parte a prelucrării, trebuie să fie pregătit să respecte această alegere și să oprească acea parte a prelucrării dacă o persoană își retrage consimțământul. ”

Interpretat strict, aceasta înseamnă că operatorului nu i se permite să treacă de la consimțământ la interesul legitim odată ce persoana vizată își retrage consimțământul. Acest lucru se aplică chiar dacă inițial a existat un interes legitim valabil.

Prin urmare, consimțământul ar trebui să fie întotdeauna ales ca ultimă opțiune și cu foarte mare atenție pentru prelucrarea datelor cu caracter personal.

Articole GDPR relevante

Art 4 – Definitii

Art 6 Legalitatea prelucrării 

Art 7 Condiții privind consimțământul (recitaluri 32, 33, 42, 43)

Art 8  Condiții aplicabile în ceea ce privește consimțământul copiilor în legătură cu serviciile societății informaționale (recital 38)

Articolul 9 – Prelucrarea de categorii speciale de date cu caracter personal (recital 51, 52, 53, 54, 55, 56)

Articolul 22 – Procesul decizional individual automatizat, inclusiv crearea de profiluri (recital 71, 72)

Articolul 49 – Derogări pentru situații specifice (recital 111, 112, 113, 114, 115, 116)

Ghiduri

  •  Ghid privind consimțământul GDPR (Link)
  • Consimțămantul (Link) (Link)
  •  WP 259 – Orientări privind consimțământul (Link)
  • European Commission ► Când este valabil consimțământul? (Link)
  •  Handbook on European data protection law – Consent, page 111 (Link)