Sergiu Cretu
Foto: Tuca Zbarcea & Asociatii
In continuarea articolului de saptamana trecuta privind consimtamantul pentru prelucrarea datelor conform GDPR, in aceasta parte a materialului voi vorbi despre: consimtamantul expres in cazuri speciale, aspectele formale privind consimtamantul, consimtamantul in cazul prelucrarii datelor minorilor, precum si despre dreptul de retragere a consimtamantului.
1. Cand este necesar consimtamantul “expres” / “explicit” Directiva 95/46/CE impune existenta consimtamantului expres (explicit) doar in cazul datelor cu caracter special (e.g. origine rasiala sau etnica, convingeri politice sau religioase, date privind starea de sanatate sau viata sexuala) (1).In schimb, potrivit Legii nr. 677/2001, consimtamantul pentru prelucrarea datelor trebuie sa fie expres si neechivoc fara a se face distinctie in ceea ce priveste tipurile de date prelucrate, respectiv date obisnuite sau speciale.Aceasta necorelare legislativa cu legislatia europeana a suscitat, in practica, intrebari in ceea ce priveste modul in care trebuie interpretate dispozitiile din art. 5 alin. (1) din Legea nr. 677/2001, respectiv daca era necesar consimtamantul expres (explicit) in orice situatie, sau doar in cazul datelor speciale, conform celor stabilite de Directiva 95/46/CE (act normativ pe care Legea nr. 677/2001 trebuia sa il transpuna in dreptul intern).GDPR mentine diferentierea inclusa in Directiva 95/46/CE dintre consimtamantului neechivoc pentru datele personale obisnuite si consimtamantul neechivoc si explicit (expres) pentru datele cu caracter special (2), inlaturand practic dilemele aparute in baza Legii nr. 677/2001 cu privire la natura consimtamantului in cazul datelor obisnuite.
Trebuie mentionat insa ca, in plus fata de prelucrarea datelor speciale, GDPR stabileste si alte ipoteze in care este necesar un consimtamant neechivoc si expres (explicit), respectiv: prelucrarea datelor in cazul restrictionarii prelucrarii de catre persoana vizata (art. 18 (2) GDPR); adoptarea unor decizii pe baza unor prelucrari automate, inclusiv activitati de profilare (art. 22 (1) GDPR); transferul datelor personale in state carora nu li s-a recunoscut un nivel de protectie adecvat (art. 49 (1) a) GDPR).
2. Consimtamantul minorilor
GDPR adreseaza in mod expres subiectul consimtamantului minorilor, plecand de la premisa “ca acestia au nevoie de o protectie specifica a datelor lor cu caracter personal, intrucat pot fi mai putin constienti de riscurile, consecintele, garantiile in cauza si drepturile lor in ceea ce priveste prelucrarea datelor cu caracter personal”. GDPR aminteste ca aceasta protectie este necesara, in special, in contextul activitatilor de marketing adresat copiilor, crearea de profiluri de personalitate sau de utilizator, al colectarii datelor cu caracter personal privind copiii in momentul utilizarii serviciilor oferite direct copiilor (respectiv, in general in contextul serviciilor oferite de societatile informationale).
Ca atare, GDPR stabileste ca prelucrarea datelor minorilor pe baza de consimtamant va fi legala doar daca minorul care si-a dat consimtamantul are cel putin 16 ani (3).
In cazul copiilor sub varsta de 16 ani, va fi necesar acordul sau autorizarea consimtamantului din partea parintelui / tutorelui. Este important de mentionat ca operatorii vor trebui sa depuna eforturi rezonabile (pe baza tehnologiilor disponibile) pentru a verifica daca parintele / tutorele si-a dat acordul sau a autorizat consimtamantul minorului.
In fine, pentru a asigura conditia “consimtamantului informat”, in cazul minorilor notele de informare care stau la baza consimtamantului trebuie sa fie exprimate intr-un limbaj simplu si clar, astfel incat minorii sa il poata intelege cu usurinta. Astfel, operatorii trebuie sa aiba in vedere ca, in acest caz, exigentele in ceea ce priveste simplitatea si accesibilitatea limbajului sunt si mai stricte.
3. Aspecte formale privind consimtamantul
GDPR prevede in mod expres ca, indiferent de forma prin care consimtamantul este manifestat, operatorul trebuie sa fie in masura sa demonstreze ca persoana vizata si-a dat consimtamantul pentru prelucrarea datelor personale. Operatorii vor trebui deci sa pastreze dovezile privind exprimarea consimtamantului persoanei vizate. Aceasta cerinta este in special relevanta pentru operatorii care se bazeaza pe consimtamantul verbal. Acestia vor trebui sa fie mai atenti in utilizarea unei astfel de metode de exprimare a consimtamantului, consimtamantul verbal fiind, de regula, mai greu de probat.
GDPR stabileste ca solicitarea pentru obtinerea consimtamantului trebuie sa fie clara si inteligibila astfel incat persoana vizata sa inteleaga pe deplin scopul acestei cereri si efectele acordarii consimtamantului. Ca atare, ca regula, solicitarile de genul “prin bifarea acestei casutei va dati consimtamantul pentru prelucrarea datelor conform politicii de confidentialitate” nu vor satisface aceasta conditie.
4. Dreptul de retragere a consimtamantului
In contextul actualei legislatii, dreptul a-si retrage a consimtamantul reprezinta o manifestare a dreptului la opozitie la persoanei vizate. GDRP, insa, reglementeaza in mod distinct acest drept, obligand totodata operatorii sa informeze persoanele vizate, inainte ca acestea sa-si dea consimtamantul, cu privire la existenta acestui drept si conditiile de exercitare a lui.
La acest moment, cu exceptia consimtamantului pentru scop de marketing, retragerea consimtamantului presupune parcurgerea unei proceduri (de regula) elaborate stabilita si comunicata de operator. GDPR simplifica aceasta procedura in favoarea persoanei vizate. Astfel, operatorii vor trebui sa isi regandeasca sistemul de prelucrare a datelor in sensul simplificarii mecanismelor de retragere a consimtamantului de prelucrare a datelor (acestea trebuie sa fie comode si usor de utilizat, la un nivel cel putin echivalent mecanismului de obtinere a consimtamantului).
5. Consimtamantul obtinut inainte de intrarea in vigoare a GDPR
Daca prelucrarea datelor se fundamenteaza pe consimtamantul exprimat conform legislatiei acum in vigoare, respectand si conditiile din GDPR, nu este necesar ca persoana vizata sa isi dea inca o data acordul pentru prelucrarea datelor.
Evident, operatorii vor trebui sa-si faca un audit al mecanismelor de prelucrare a datelor (inclusiv a modului in care este exprimat consimtamantul) pentru a verifica daca acestea corespund conditiilor stabilite de GDPR.
Pana la intrarea in vigoare a GDPR au ramas doar cateva luni. Prin urmare, acest demers ar trebui facut cat mai repede. In caz contrar, operatorii risca sa ramana descoperiti la momentul intrarii in vigoare a regulamentului, acesta aducand cu sine, ca un alt element de noutate, sanctiuni administrative mai severe decat cele aplicabile acum.
——————–
1. Notiunea de consimtamant explicit nu a fost definita nici in Directiva 95/46/CE, nici in Legea nr. 677/2001. Explicatiile acestui termen sunt insa expuse in Opinia Grupului de Lucru Articolul 24 nr. 15/2011.
2. De altfel, problema consimtamantului neechivoc vs. explicit a suscitat intense dezbateri si negocieri in procedura de aprobare a GDPR. In proiectul de regulament initial formulat de Comisie s-a propus ca pentru orice tip de prelucrare sa fie necesar consimtamantul explicit. Asa cum rezulta din documentul interinstitutional cu privire la procesul de adoptarea a GDPR, solutia mentinuta acum in GDPR (respectiv consimtamant neechivoc pentru date personale obisnuite si consimtamant explicit pentru date speciale) a fost agreata in ultima runda de negocieri pe marginea textului regulamentului: “On the final outstanding issues that were discussed in trilogue, the following balance was achieved. The way in which consent is to be given by data subjects remains ‘unambiguous’ for all processing of personal data, with the clarification that this requires a ‘clear affirmative action’, and that consent has to be ‘explicit’ for sensitive data.” (http://data.consilium.europa.eu/doc/document/ST-15039- 2015-INIT/en/pdf)
3. GDPR ofera libertatea Statelor Membre de a stabili o limita minima de varsta mai mica, insa care nu poate fi sub 13 ani
Un articol semnat de Sergiu Cretu (sergiu.cretu@tuca.ro), Senior Associate al Tuca Zbarcea & Asociatii