15 Septembrie, 2019

Consimțământul – Reguli noi pentru un temei tradițional de prelucrare a datelor personale (II)

În continuarea articolului de săptămâna trecută (vezi aici) privind consimțământul pentru prelucrarea datelor conform GDPR, în această parte a materialului voi vorbi despre: consimțământul expres în cazuri speciale, aspectele formale privind consimțământul, consimțământul în cazul prelucrării datelor minorilor, precum și despre dreptul de retragere a consimțământului.

1. Când este necesar consimțământul „expres” / „explicit”

Directiva 95/46/CE impune existența consimțământului expres (explicit) doar în cazul datelor cu caracter special (e.g. origine rasială sau etnică, convingeri politice sau religioase, date privind starea de sănătate sau viața sexuală) [1].

În schimb, potrivit Legii nr. 677/2001, consimțământul pentru prelucrarea datelor trebuie să fie expres și neechivoc fără a se face distincție în ceea ce privește tipurile de date prelucrate, respectiv date obișnuite sau speciale. Această necorelare legislativă cu legislația europeană a suscitat, în practică, întrebări în ceea ce privește modul în care trebuie interpretate dispozițiile din art. 5 alin. (1) din Legea nr. 677/201, respectiv dacă era necesar consimțământul expres (explicit) în orice situație, sau doar în cazul datelor speciale, conform celor stabilite de Directiva 95/46/CE (act normativ pe care Legea nr. 677/2001 trebuia să îl transpună în dreptul intern).

GDPR menține diferențierea inclusă în Directiva 95/46/CE dintre consimțământului neechivoc pentru datele personale obișnuite și consimțământul neechivoc și explicit (expres) pentru datele cu caracter special [2], înlăturând practic dilemele apărute în baza Legii nr. 677/2001 cu privire la natura consimțământului în cazul datelor obișnuite.

Trebuie menționat însă că, în plus față de prelucrarea datelor speciale, GDPR stabilește și alte ipoteze în care este necesar un consimțământ neechivoc și expres (explicit), respectiv: prelucrarea datelor în cazul restricționării prelucrării de către persoana vizată (art. 18 (2) GDPR); adoptarea unor decizii pe baza unor prelucrări automate, inclusiv activități de profilare (art. 22 (1) GDPR); transferul datelor personale în state cărora nu li s-a recunoscut un nivel de protecție adecvat (art. 49 (1) a) GDPR).

2. Consimțământul minorilor

GDPR adresează în mod expres subiectul consimțământului minorilor, plecând de la premisa „că aceștia au nevoie de o protecţie specifică a datelor lor cu caracter personal, întrucât pot fi mai puţin conştienţi de riscurile, consecinţele, garanţiile în cauză şi drepturile lor în ceea ce priveşte prelucrarea datelor cu caracter personal”. GDPR amintește că această protecție este necesară, în special, în contextul activităților de marketing adresat copiilor, crearea de profiluri de personalitate sau de utilizator, al colectării datelor cu caracter personal privind copiii în momentul utilizării serviciilor oferite direct copiilor (respectiv, în general în contextul serviciilor oferite de societățile informaționale).

Ca atare, GDPR stabilește că prelucrarea datelor minorilor pe bază de consimțământ va fi legală doar dacă minorul care și-a dat consimțământul are cel puțin 16 ani [3].

În cazul copiilor sub vârsta de 16 ani, va fi necesar acordul sau autorizarea consimțământului din partea părintelui / tutorelui. Este important de menționat că operatorii vor trebui să depună eforturi rezonabile (pe baza tehnologiilor disponibile) pentru a verifica dacă părintele / tutorele și-a dat acordul sau a autorizat consimțământul minorului.

În fine, pentru a asigura condiția „consimțământului informat”, în cazul minorilor notele de informare care stau la baza consimțământului trebuie să fie exprimate într-un limbaj simplu și clar, astfel încât minorii să îl poată înțelege cu ușurință. Astfel, operatorii trebuie să aibă în vedere că, în acest caz, exigențele în ceea ce privește simplitatea și accesibilitatea limbajului sunt și mai stricte.

3. Aspecte formale privind consimțământul

GDPR prevede în mod expres că, indiferent de forma prin care consimțământul este manifestat, operatorul trebuie să fie în măsură să demonstreze că persoana vizată și-a dat consimțământul pentru prelucrarea datelor personale. Operatorii vor trebui deci să păstreze dovezile privind exprimarea consimțământului persoanei vizate. Această cerință este în special relevantă pentru operatorii care se bazează pe consimțământul verbal. Aceștia vor trebui să fie mai atenți în utilizarea unei astfel de metode de exprimare a consimțământului, consimțământul verbal fiind, de regulă, mai greu de probat.

GDPR stabilește că solicitarea pentru obținerea consimțământului trebuie să fie clară și inteligibilă astfel încât persoana vizată să înțeleagă pe deplin scopul acestei cereri și efectele acordării consimțământului. Ca atare, ca regulă, solicitările de genul „prin bifarea acestei căsuței va dați consimțământul pentru prelucrarea datelor conform politicii de confidențialitate”, nu vor satisface această condiție.

4. Dreptul de retragere a consimțământului

În contextul actualei legislații, dreptul a-și retrage a consimțământul reprezintă o manifestare a dreptului la opoziție la persoanei vizate. GDRP, însă, reglementează în mod distinct acest drept, obligând totodată operatorii să informeze persoanele vizate, înainte ca acestea să-și dea consimțământul, cu privire la existența acestui drept și condițiile de exercitare a lui.

La acest moment, cu excepția consimțământului pentru scop de marketing, retragerea consimțământului presupune parcurgerea unei proceduri (de regulă) elaborate stabilită și comunicată de operator. GDPR simplifică această procedură în favoarea persoanei vizate. Astfel, operatorii vor trebui să își regândească sistemul de prelucrare a datelor în sensul simplificării mecanismelor de retragere a consimțământului de prelucrare a datelor (acestea trebuie să fie comode și ușor de utilizat, la un nivel cel puțin echivalent mecanismului de obținere a consimțământului).

5. Consimțământul obținut înainte de intrarea în vigoare a GDPR

Dacă prelucrarea datelor se fundamentează pe consimțământul exprimat conform legislației acum în vigoare, respectând și condițiile din GDPR, nu este necesar ca persoana vizată să îşi dea încă o dată acordul pentru prelucrarea datelor.

Evident, operatorii vor trebui să-și facă un audit al mecanismelor de prelucrare a datelor (inclusiv a modului în care este exprimat consimțământul) pentru a verifica dacă acestea corespund condițiilor stabilite de GDPR.

Până la intrarea în vigoare a GDPR au rămas doar câteva luni. Prin urmare, acest demers ar trebui făcut cât mai repede. În caz contrar, operatorii riscă să rămână descoperiți la momentul intrării în vigoare a regulamentului, acesta aducând cu sine, ca un alt element de noutate, sancțiuni administrative mai severe decât cele aplicabile acum.

Sergiu Cretu_Tuca ZbarceaAutor: Sergiu CREȚU (sergiu.cretu@tuca.ro)

Senior Associate al 
Țuca Zbârcea & Asociații
_____________________________________________

[1] Noțiunea de consimțământ explicit nu a fost definită nici în Directiva 95/46/CE, nici în Legea nr. 677/2001. Explicațiile acestui termen sunt însă expuse în Opinia Grupului de Lucru Articolul 24 nr. 15/2011.

[2] De altfel, problema consimțământului neechivoc vs. explicit a suscitat intense dezbateri și negocieri în procedura de aprobare a GDPR. În proiectul de regulament inițial formulat de Comisie s-a propus ca pentru orice tip de prelucrare să fie necesar consimțământul explicit. Așa cum rezultă din documentul interinstituțional cu privire la procesul de adoptarea a GDPR, soluția menținută acum în GDPR (respectiv consimțământ neechivoc pentru date personale obișnuite și consimțământ explicit pentru date speciale) a fost agreată în ultima rundă de negocieri pe marginea textului regulamentului: „On the final outstanding issues that were discussed in trilogue, the following balance was achieved. The way in which consent is to be given by data subjects remains “unambiguous” for all processing of personal data, with the clarification that this requires a “clear affirmative action”, and that consent has to be “explicit” for sensitive data.” 

[3] GDPR oferă libertatea Statelor Membre de a stabili o limită minimă de vârstă mai mică, însă care nu poate fi sub 13 ani 

Ai nevoie de Regulamentul nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal? Poţi cumpăra actul la zi, în format PDF sau MOBI, de AICI!

comentarii

Despre autor  ⁄ Ţuca Zbârcea şi Asociaţii

Ţuca Zbârcea & Asociaţii este o firmă de avocatură de tip „full service”, având un portofoliu format din numeroase companii naţionale şi multi-naţionale, importante instituţii financiare, precum şi autorităţi publice şi instituţii guvernamentale. Ţuca Zbârcea & Asociaţii oferă servicii pluridisciplinare prin intermediul echipei de avocaţi, propriilor divizii de specialitate sau reţelei de colaborări teritoriale şi internaţionale. Cu o echipă formată din peste 100 de avocaţi în cadrul biroului din Bucureşti. Ţuca Zbârcea & Asociaţii operează un sediu secundar în Cluj-Napoca, cât şi un birou de reprezentanţă în Madrid, Spania. Date de contact: Tel.: + 40 21 204 88 90, fax: + 40 21 204 88 99, e-mail: office@tuca.ro, web: www.tuca.ro.

Fara comentarii

Scrie un comentariu