Sari direct la conținut

Revizuirea Ghidului privind consimțământul – un pas în plus către implementarea GDPR

STOICA & Asociatii

La data de 10 aprilie 2018, a fost revizuit Ghidul privind consimțământul, adoptat de Grupul de lucru Articolul 29, la data de 28 noiembrie 2017, cu scopul de a facilita implementarea Regulamentului nr. 2016/679 („GDPR”) din perspectiva regimului aplicabil consimțământului persoanelor vizate.

În măsura în care acesta a fost obținut în mod valabil, consimțământul persoanei vizate, acordat pentru unul sau mai multe scopuri specifice, reprezintă unul dintre cele șase temeiuri legale ale operațiunilor de prelucrare de date (art. 6 alin. (1) GDPR). În plus, GDPR instituie o serie de obligații suplimentare în sarcina operatorilor de date, decurgând din condițiile de valabilitate a consimțământului persoanelor vizate pentru prelucrarea datelor care le aparțin, în raport cu scopurile prelucrării și natura activității de prelucrare de date desfășurate.

Art. 4 pct. 11 GDPR definește consimțământul ca fiind „orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate”.

Ghidul privind consimțământul clarifică această noțiune, pas cu pas, astfel:

• Consimțământ liber exprimat

Un consimțământ liber exprimat implică posibilitatea reală, efectivă a persoanelor vizate de a accepta și, respectiv, de a se opune ca datele care le aparțin să fie prelucrate pentru scopuri clar determinate, în lipsa oricăror constrângeri de orice natură (intimidare, presiuni ș.a.) și fără a exista riscul de a suporta consecințe negative în cazul în care nu își exprimă consimțământul în consecință (spre exemplu, costuri substanțial mai mari pentru serviciul furnizat ori chiar refuzul prestării respectivului serviciu în lipsa consimțământului pentru prelucrarea datelor). În acest sens, trebuie acordată o atenție particulară acelor raporturi juridice specifice care implică, în mod inerent, un dezechilibru între părți (cum este cazul raporturilor de muncă dintre angajați și angajatori ori relației dintre cetățeni și autoritățile publice). În asemenea situații, trebuie analizat dacă, în concret, persoana vizată avea posibilitatea reală de a alege dacă acceptă sau nu termenii și condițiile în care are loc prelucrarea de date cu caracter personal, astfel cum sunt stabilite de operator, fără a exista vreun element de constrângere, presiune sau incapacitate de a își exprima voința în mod liber.

În privința acestor operatori de date (angajatorii și, respectiv, autoritățile publice), de cele mai multe ori, alte temeiuri legale sunt mai adecvate pentru a legitima prelucrarea datelor cu caracter personal (spre exemplu, îndeplinirea unei obligații legale care îi revine operatorului ori protejarea intereselor vitale ale persoanei vizate ori ale altei persoane fizice).

În ceea ce privește raporturile contractuale, articolul 7 alin. (4) GDPR are un rol important pentru a evalua dacă persoana vizată și-a exprimat consimțământul în mod liber. Astfel, trebuie ținut seama de situația în care executarea unui contract (incluzând ipoteza furnizării unui serviciu) este condiționată de exprimarea consimțământului pentru prelucrarea datelor cu caracter personal de către un cocontractant, deși, în realitate, prelucrarea datelor nu este necesară pentru executarea acelui contract. Scopul acestei prevederi este, în esență, acela de a evita situațiile în care consimțământul pentru prelucrarea datelor cu caracter personal devine, în mod direct sau indirect, o „contraprestație” pentru executarea obligațiilor cocontractantului. Pornind de la exemplul plasării unei comenzi on-line (contract de vânzare încheiat la distanță), vor fi necesare executării contractului date cu caracter personal, precum adresa și numărul de telefon (pentru ca bunurile să poată fi livrate la adresa cumpărătorului) ori informații legate de contul bancar, pentru a putea fi procesată plata cu cardul. Din această perspectivă, trebuie să existe o legătură directă și obiectivă între prelucrarea de date cu caracter personal și scopul executării contractului.

Pe de altă parte, putem avea în vedere următoarea ipoteză: o aplicație mobilă pentru editarea fotografiilor solicită utilizatorilor, pentru a putea folosi aplicația, activarea localizării GPS; din moment ce utilizatorii nu pot folosi aplicația în lipsa activării serviciilor de localizare, în condițiile în care aceasta nu este necesară pentru editarea foto și excede, astfel, serviciului de bază furnizat, în acest caz, consimțământul nu poate fi considerat ca liber exprimat.

În situația în care datele pentru prelucrarea cărora se solicită consimțământul sunt necesare pentru executarea contractului, fundamentul prelucrării datelor îl va constitui, cel mai probabil, ipoteza reglementată la art. 6 alin. (1) lit. b) GDPR (prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract), astfel că nu este necesar ca operatorul să utilizeze un alt temei juridic, cum este obținerea consimțământului persoanelor vizate.

În cazul în care un serviciu implică mai multe operațiuni de prelucrare servind mai multor scopuri, persoanele vizate trebuie să aibă libertatea de a alege scopul pe care îl acceptă, fără a fi nevoite să adere necondiționat la un „pachet” de scopuri de prelucrare. În asemenea situații, Ghidul recomandă operatorilor separarea scopurilor și solicitarea unui consimțământ distinct pentru diferitele operațiuni de prelucrare a datelor cu caracter personal. „Granularitatea” (ce desemnează separarea scopurilor și obținerea consimțământului pentru fiecare scop în parte) este strâns legată de necesitatea consimțământului de a fi specific. Un exemplu concret în care consimțământul nu poate fi considerat ca valabil exprimat este acela în care, prin intermediul aceleiași solicitări de consimțământ, un vânzător le solicită clienților săi consimțământul de a le colecta și utiliza datele atât pentru transmiterea de oferte, cât și pentru transferul acestor date cu caracter personal către entități terțe (companii intra-grup, parteneri comerciali etc.).

• Consimțământ specific

Pentru a respecta condiția unui consimțământ specific, Ghidul prevede, printre altele, faptul că, la momentul solicitării consimțământului persoanelor vizate, operatorul trebuie să specifice în mod clar scopul prelucrării (pentru a evita modificarea ulterioară a acestuia ori lărgirea treptată a scopurilor prelucrării). În al doilea rând, operatorul trebuie să separe scopurile și să solicite consimțământul pentru fiecare scop în parte (în cazul în care activitățile de prelucrare de date urmăresc două sau mai multe scopuri). Totodată, în cazul în care declarația de consimțământ este parte integrantă, spre exemplu, a unor Termeni și condiții care tratează și alte aspecte, este necesar ca operatorul să separe informațiile legate de obținerea consimțământului pentru prelucrarea datelor cu caracter personal de informațiile referitoare la alte aspecte. Acestea reprezintă doar câteva garanții menite să asigure persoanelor vizate un control efectiv asupra datelor care le aparțin.

Astfel, dacă un operator prelucrează date pe baza consimțământului persoanelor vizate și dorește să prelucreze aceste date pentru un nou scop, operatorul trebuie să solicite un nou consimțământ de la persoanele vizate, întrucât consimțământul originar nu legitimează alte noi scopuri de prelucrare (sub rezerva ipotezelor în care prelucrarea ulterioară are loc în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, caz în care Regulamentul permite o serie de derogări, sub rezerva unor garanții adecvate pentru persoanele vizate).

• Consimțământ în cunoștință de cauză

În temeiul art. 5 din Regulament, transparența este una dintre cerințele esențiale ale prelucrării datelor cu caracter personal, inerentă principiului legalității. Astfel, consimțământul persoanelor vizate trebuie exprimat în cunoștință de cauză, iar furnizarea de informații persoanelor vizate anterior exprimării consimțământului este absolut necesară pentru a le permite acestora să înțeleagă natura activității de prelucrare și eventualele riscuri la care se expun, într-un limbaj clar și accesibil pentru un neprofesionist.

O serie de informații minimale trebuie furnizate persoanelor vizate pentru obținerea consimțământului: identitatea operatorului, scopul fiecărei operațiuni de prelucrare pentru care se solicită consimțământul, tipul datelor care vor fi colectate și utilizate, existența dreptului de retragere a consimțământului, informații privind utilizarea datelor pentru deciziile bazate exclusiv pe prelucrarea automatizată (inclusiv crearea de profiluri) și, dacă este cazul, posibilele riscuri legate de transferurile de date către țări terțe, în absența unei decizii privind caracterul adecvat al nivelului de protecție și a unor garanții adecvate. Pentru a se conforma dispozițiilor Regulamentului, operatorii trebuie să furnizeze persoanelor vizate o listă completă a destinatarilor sau a categoriilor de destinatari cărora urmează să le fie divulgate datele cu caracter personal și, inclusiv, a persoanelor împuternicite de operatori (dacă există).

Consimțământ explicit

În sensul Regulamentului, consimțământul explicit se traduce printr-o acțiune neechivocă din partea persoanei ale cărei date cu caracter personal urmează a fi prelucrate. Această acțiune poate consta într-o declarație scrisă (semnarea acestei declarații de către persoana vizată nu este obligatorie, dar va constitui o dovadă în plus pentru operator) sau orice altă acțiune fără echivoc: completarea unui formular electronic, bifarea unei casete, trimiterea unui e-mail, transmiterea unui document scanat și semnat de persoana vizată prin e-mail sau fax, încărcarea pe platforma operatorului a declarației purtând semnătura electronică a persoanei vizate etc. Inclusiv declarațiile orale pot reprezenta, în anumite situații, un consimțământ valabil exprimat, însă poate fi dificil pentru operator să dovedească faptul că obținerea consimțământului din partea persoanelor vizate s-a făcut cu respectarea condițiilor prevăzute de Regulament.

Se recomandă operatorilor verificarea în două etape a consimțământului, modalitate aptă să asigure valabilitatea consimțământului astfel exprimat. Spre exemplu, la momentul transmiterii primei comenzi pe un site, clientul are posibilitatea de a bifa printr-un click opțiunea de a primi periodic, la adresa indicată pentru livrarea produselor, un newsletter cu oferte personalizate. Totodată, operatorul transmite persoanei vizate pe e-mail un link de verificare pe care aceasta trebuie să îl acceseze sau un SMS cu un cod de verificare, pentru confirmarea acordului la abonare.

Este de reținut faptul că simpla abstențiune nu valorează consimțământ implicit. Din această perspectivă, mecanismele de obținere a consimțământului de tipul „opt – out” (prin care persoana ale cărei date sunt colectate trebuie sa debifeze o opțiune pre-bifată în cazul în care nu dorește să îi fie prelucrate datele) nu pot fi considerate valabile pe terenul Regulamentului.

Nu în ultimul rând, pentru anumite categorii de date (cum este cazul categoriilor speciale de date, prevăzute la art. 9 GDPR), precum și pentru anumite activități de prelucrare (spre exemplu, transferul de date către țări terțe sau organizații internaționale care nu oferă garanții adecvate ori în cazul creării de profiluri), exprimarea unui consimțământ explicit joacă un rol esențial.

Condiții suplimentare

GDPR prevede în mod expres obligația operatorului de a demonstra faptul că a obținut consimțământul persoanei vizate în mod valabil (sarcina probei revine, prin urmare, operatorului), însă nu conține dispoziții cu privire la modul în care acest lucru trebuie realizat. În acest sens, Ghidul oferă o serie de exemple utile: păstrarea unei evidențe a declarațiilor de consimțământ primite; păstrarea documentației fluxului de lucru, precum și o copie a informațiilor furnizate persoanelor vizate (în cazul în care consimțământul a fost exprimat în cadrul unei sesiuni on-line); înregistrarea declarațiilor orale ale persoanelor vizate obținute în timpul unui apel telefonic etc.

Se recomandă reînnoirea consimțământului în mod periodic, la intervale de timp adecvate, astfel încât persoanele vizate să fie bine informate asupra modului în care datele lor sunt folosite și pentru a-și putea exercita în mod efectiv drepturile garantate de Regulamentul european.

În mod similar, operatorul trebuie să poată demonstra faptul că persoana vizată este în măsură să își retragă, în orice moment, consimțământul pentru prelucrarea datelor care o privesc, fără a fi prejudiciată în vreun fel. Retragerea consimțământului trebuie să fie la fel de accesibilă și simplă precum exprimarea acestuia (este recomandat ca retragerea consimțământului să poată fi făcută prin intermediul aceluiași canal de comunicare utilizat pentru obținerea lui: spre exemplu, dezabonarea prin e-mail, folosirea unui click al mouse-ului în cadrul aceleiași interfețe etc.). Altfel spus, exprimarea consimțământului este, în mod necesar, un proces reversibil, iar operatorul trebuie să facă posibilă retragerea consimțământului fără a fi nevoie de o plată adițională și fără scăderea calității serviciului.

Ghidul privind consimțământul aduce și o serie de lămuriri suplimentare în ceea ce privește prelucrarea datelor cu caracter personal aparținând copiilor (în legătură cu serviciile societății informaționale), precum și în privința prelucrării de date în scopuri de cercetare științifică.

Consimțământul obținut sub imperiul Directivei nr. 95/46/CE

Operatorii care, în prezent, prelucrează date pe baza consimțământului persoanelor vizate obținut în conformitate cu dispozițiile Legii nr. 677/2001 (prin care au fost transpuse dispozițiile Directivei nr. 95/46/CE) nu trebuie, în mod obligatoriu, să reînnoiască complet toate raporturile bazate pe consimțământul persoanelor vizate în vederea implementării GDPR.

Cu toate acestea, este important ca, până la intrarea în vigoare a Regulamentului, operatorii să revizuiască mecanismele de informare a persoanelor vizate și obținere a consimțământului acestora, pentru a se asigura că, astfel cum au fost implementate, acestea sunt valabile inclusiv pe terenul noii reglementări (incluzând, dar fără a ne rezuma la revizuirea politicilor de confidențialitate, a contractelor cu angajații implicați în activitățile de prelucrare, cu eventualii parteneri comerciali ori cu persoanele împuternicite ori la revizuirea eficacității sistemelor IT și de securitate).

Din această perspectivă, în privința unora dintre obligațiile operatorului, GDPR impune un standard mai ridicat. Ca exemplu, reamintim faptul că GDPR impune operatorilor să păstreze evidențele și referințele necesare pentru a putea demonstra obținerea și administrarea consimțământului în mod compatibil cu dispozițiile Regulamentului. De asemenea, consimțământul trebuie exprimat printr-o declarație sau o acțiune fără echivoc. În considerarea acestei exigențe, acei operatori care au obținut consimțământul persoanelor vizate prin intermediul unor mecanisme prin care consimțământul este prezumat, în lipsa unei acțiuni contrare din partea persoanelor vizate ori operatorii ale căror proceduri interne nu permit retragerea consimțământului în condiții la fel de accesibile pentru persoanele vizate precum cele folosite pentru acordarea consimțământului, vor trebui să revizuiască procedurile de informare, obținere și, după caz, retragere a consimțământului, pentru a se conforma standardelor impuse de GDPR (și, în consecință, să solicite un nou consimțământ informat de la persoanele ale căror date sunt prelucrate).

Pe de altă parte, Ghidul privind consimțământul subliniază faptul că, deși Regulamentul impune o obligație de informare mai extinsă în sarcina operatorului prin raportare la prevederile Directivei nr. 95/46/CE (spre exemplu, obligația operatorului de a informa persoana vizată inclusiv cu privire la temeiul legal al prelucrării, astfel cum rezultă din art. 13 și 14 din Regulament), acest lucru nu invalidează în mod automat continuitatea și valabilitatea consimțământului obținut înainte de intrarea în vigoare a GDPR.

Ceea ce este important, sub aspectul tranziției de la Directivă la Regulament, este faptul că operatorii trebuie să identifice și să stabilească în mod corect, încă de la început, temeiul prelucrării datelor cu caracter personal, întrucât Regulamentul – odată intrat în vigoare – nu va permite operatorilor schimbarea temeiului legal pe parcursul aceleiași activități de prelucrare a datelor cu caracter personal. În acest sens, în Ghidul privind consimțământul se precizează că, dacă un operator nu poate să reînnoiască, în mod compatibil cu dispozițiile GDPR, consimțământul persoanelor vizate și dacă nu poate să efectueze tranziția la respectarea Regulamentului fundamentând prelucrarea datelor pe o bază legală diferită (asigurându-se, totodată, că prelucrarea datelor este legală și documentată în mod corespunzător), activitățile de prelucrare trebuie să fie oprite.

În concluzie, analizând drepturile persoanelor vizate și obligațiile corelative care incumbă operatorilor, putem observa că mecanismele de solicitare și exprimare a consimțământului funcționează potrivit principiului „vaselor comunicante”. Toate exigențele care trebuie respectate pentru a obține un consimțământ valabil pe terenul Regulamentului sunt interconectate. Controlul persoanelor vizate asupra modului în care sunt prelucrate datele cu caracter personal care le aparțin trebuie să fie efectiv, și nu doar iluzoriu, fiind esențială respectarea tuturor condițiilor prevăzute de Regulament, astfel cum sunt clarificate și detaliate și în cuprinsul celorlalte instrumente formale puse la dispoziție (Ghidul privind consimțământul, Opinia nr. 15/2011 privind definiția consimțământului, Opinia nr. 2/2017 privind prelucrarea datelor la locul de muncă ș.a.).

Chiar și în ipoteza în care consimțământul persoanelor vizate este temeiul prelucrării, aceasta nu presupune o libertate mai mare pentru operator în privința modului în care alege să prelucreze datele. Faptul că persoanele vizate și-au dat acordul la prelucrare nu conduce la atenuarea rigorii celorlalte obligații ale operatorului, acesta fiind în continuare ținut să respecte limitările legate de scopul prelucrării și de stocare, principiul reducerii la minimum a datelor (doar atât cât este necesar în raport cu scopurile prelucrării), exactitatea, integritatea și confidențialitatea datelor cu caracter personal, păstrând documente care să ateste respectarea obligațiilor sale.

Un articol semnat de Andreea Micu, Partener și Yolanda Beșleagă, Junior Lawyer, Stoica & Asociații

ARHIVĂ COMENTARII