Consimțământul și respectarea GDPR

GDPR este mai strict în ceea ce privește consimțământul decât înainte. Consimțământul rămâne una dintre temeiurile juridice pentru prelucrarea legală a datelor cu caracter personal. Cu toate acestea, atunci când este ales drept temei juridic, acesta adaugă drepturile generale ale persoanelor vizate. Atingerea conformității cu GDPR înseamnă a fi capabilă să satisfacă cerințele drepturilor persoanelor vizate atunci când doresc să exercite o astfel de solicitare.

Consimțământul ar trebui să fie dat printr-un act afirmativ clar care să stabilească o indicație specifică, informată și lipsită de ambiguitate. Acordul persoanei vizate cu privire la prelucrarea datelor este posibil și printr-o declarație scrisă, inclusiv prin mijloace electronice.

Cu acest consimțământ ca temei juridic se aplică norme suplimentare și grad de control al persoanei vizate asupra datelor sale personale. În timp ce sarcinile controlorilor și procesatorilor cresc, iar drepturile suplimentare legate de consimțământ se alătură drepturilor generale ale persoanelor vizate. În practică, acest lucru este dificil și necesită o posibilitate de gestionare a consimțământului. Deci, în orice moment este esențial să vedem care este cea mai bună bază juridică, deoarece consimțământul nu este cu siguranță ceva ușor de obținut. Cu toate acestea, în mai multe cazuri acesta va fi cel mai adecvat motiv legal sau poate singurul  pentru activitățile specifice de prelucrare a datelor cu caracter personal.

În conformitate cu GDPR

Atunci când consimțământul este ales ca bază legală de procesare în orice activitate de prelucrare a datelor, consimțământul trebuie să fie dovedit de către operatorul de date. Consimțământul trebuie, de asemenea, să fie dat în mod liber, specific, informat, lipsit de ambiguitate și dat de o declarație sau de o acțiune clară afirmativă. Toate aceste elemente sunt importante.

Prin alegerea unei abordări a consimțământului bazat pe acțiune, conformitatea cu GDPR nu înseamnă doar o obligație mai mare.  Modul în care este obținut consimțământul trebuie să se bazeze într-adevăr pe acțiunea clară a subiectului datelor. El este obținut prin  inactivitate, tăcere și alte câteva motive care ar putea face mai dificilă acordarea liberului consimțământ. Celelalte elemente menționate în ceea ce privește consimțământul sunt în mod evident legate de această noțiune de consimțământ activ.

Consimțământul este considerat liber numai în cazul în care se respectă reguli foarte specifice și absența condițiilor care dau acordul în mod liber

Dacă consimțământul pentru o activitate de prelucrare a datelor este însoțit de alți termeni și condiții pentru utilizarea serviciilor atunci consimțământul este considerat ca fiind liber acordat. Trebuie acordat consimțământul pentru fiecare activitate singulară (granularitate).

Mai mult, controlorii de date trebuie să utilizeze un limbaj clar și simplu referitor la scopul activității de prelucrare. Consimțământul trebuie să implice o alegere reală , prin care există mai multe noțiuni care dau acordul  în mod liber.

Consimțământul poate fi dat într-un context în care există un dezechilibru clar al puterii între operatorul de date și persoana vizată. În acest caz, consimțământul nu va fi considerat ca fiind acordat în mod liber.

Există, de asemenea, limite privind utilizarea unor forme de prelucrare a datelor, prin care este necesar un consimțământ explicit. El este o formă mai strictă de consimțământ, care în mod strict se aplică numai în anumite condiții.

Așa cum s-a spus, consimțământul privind prelucrarea datelor cu caracter personal trebuie să fie clar și limpede.

Consimțământul și consecințele / obligațiile privind consimțământul în detaliu

Recomandările și articolele GDPR determină modul în care trebuie acordat consimțământul. Ele sunt atribuțiile organizațiilor în ceea ce privește consimțământul și modul în care persoana vizată poate retrage consimțământul.

Acordul persoanei vizate asupra prelucrării datelor sale personale trebuie să se facă printr-un „act afirmativ clar”, așa cum am menționat deja. Nu trebuie doar să fie clar și afirmativ, trebuie să fie și o indicație specifică, informată și lipsită de ambiguitate a acestui acord.

Toate acestea au și mai multe consecințe.

  • Dăruirea liberă înseamnă că nu a existat  constrângere, presiune sau incapacitate de a exercita libera decizie. Acordul primit în mod liber înseamnă că acordul este utilizat ca temei juridic pentru prelucrarea legală a datelor . El poate fi retras în mod liber (și ușor) în orice moment de către persoana vizată fără consecințe negative sau prejudicii.
  • Informarea înseamnă că persoana vizată are cunoștință cu ce este de acord, ceea ce este datoria oricărei persoane care solicită consimțământul.
  • În mod clar, organizațiile nu pot ascunde acordul de prelucrare a datelor, precum și scopul și drepturile persoanei vizate.
  • Specific, consimțământul este acordat pentru scopul specific și în domeniul specific al motivelor pentru care este solicitat consimțământul.
  • Un act afirmativ este ceea ce am menționat anterior cu privire la dimensiunea activității din partea persoanei vizate.

Există multe considerente și articole care acoperă consimțământul, așa că verificați regulile pentru situația dvs. specifică. Cu titlu de exemplu: considerentul 33 din GDPR privește consimțământul și datele personale în domeniul cercetării științifice.

Diferența dintre consimțământul explicit și specific / lipsit de ambiguitate

O metodă de verificare în două etape este recomandată ca o opțiune bună în cazul consimțământului explicit.

Cu toate acestea, termenul de consimțământ explicit revine de câteva ori în GDPR. Dar și în categoriile de date speciale, privind procesul decizional și  privind derogările în cazul transferurilor internaționale de date.

În decembrie 2017, GDPR aprobă liniile directoare ale Grupului de lucru pentru protecția datelor , consimțământul explicit este unul dintre subiectele legate de consimțământ.

Consimțământul explicit este necesar în circumstanțe specifice în care există riscuri serioase pentru protecția datelor cu caracter personal. Se consideră că este adecvat un nivel și mai ridicat al controlului individual asupra datelor cu caracter personal.

Consimțământul explicit nu este același cu consimțământul specific și niciunul dintre ceilalți termeni utilizați în definirea consimțământului GDPR. Ghidurile menționate mai detaliază mecanismele de obținere a consimțământului explicit și în ce cazuri aveți nevoie de ele.