ZRP
Tuca Zbarcea & Asociatii

Consimțământul – Reguli noi pentru un temei tradițional de prelucrare a datelor personale (Partea I)

19 Septembrie 2017   |   Sergiu CREȚU, Senior Associate al Țuca Zbârcea & Asociații

Autorul încearca să inventariez, pe scurt, regulile noi expres reglementate legislativ începând cu 25 mai 2018, precum și câteva dintre potențialele implicații pentru operatorii de date cu caracter personal.

 
 
Nu mai este demult o noutate faptul că pe 25 mai 2018 va intra în vigoare Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE („GDPR”).

Un aspect important adresat în GDPR vizează un temei tradițional al prelucrării datelor cu caracter personal - consimțământul persoanelor vizate. Evident, discuția privind acest temei al prelucrării nu poate fi epuizată în câteva pagini. Prin urmare, nu voi încerca decât să inventariez, pe scurt, regulile noi expres reglementate legislativ începând cu 25 mai 2018, precum și câteva dintre potențialele implicații pentru operatorii de date cu caracter personal.


Astfel, în prima parte a acestui articol voi vorbi despre noua definiție a consimțământului și despre condițiile prevăzute de GDPR pentru un consimțământ valabil. În a doua parte a acestui articol, voi vorbi despre consimțământul expres în cazuri speciale, despre aspectele formale privind consimțământul, despre consimțământul în cazul prelucrării datelor minorilor, precum și despre dreptul de retragere a consimțământului.

1. Consimțământul: definiție și condiții

Potrivit art. 4 alin. (11) din GDPR: „consimțământ al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate” (subl. mea).

Această definiție este mai largă decât cea prevăzută de Directiva 95/46/CE. Dincolo de o definiție formal mai amplă, GDPR include în alte secțiuni o serie de elemente care circumstanțiază condițiile pe care consimțământul trebuie să le îndeplinească pentru a fi considerat valabil. Aceste elemente vor fi prezentate, pe scurt, în cele ce urmează.

1.1.     Trebuie să fie liber

Deși această condiție nu este nouă (este prevăzută în definiția consimțământului din Directiva 95/46/CE), GDPR oferă totuși mai multe explicații în ceea ce privește semnificația acesteia. Potrivit GDPR consimțământul nu va fi liber exprimat dacă:

•    Persoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în măsură să refuze sau să își retragă consimțământul fără a fi prejudiciată;
•    Există un dezechilibru evident între persoana vizată și operator. Spre exemplu, această cerință expres reglementată în lege va pune în discuție validitatea consimțământului angajaților pentru prelucrarea datelor de către angajatori, într-un mod mult mai categoric decât până acum;
•    Modul de acordare a consimțământului nu permite ca acesta să fie dat pe diferite operațiuni de prelucrare a datelor, deși acest lucru este adecvat în cazul particular. Ca atare, operatorii nu vor mai putea să folosească declarații de consimțământ de tipul ”catch all”;
•    Executarea unui contract sau prestarea unui serviciu este condiționată de consimțământ, deși consimțământul nu este necesar pentru executarea contractului.

2.2. Trebuie să fie specific

Un consimțământ foarte larg dat pentru scopuri generale / nedeterminate, nu este valid. Pentru a fi considerat valabil, operatorii trebuie să identifice clar scopurile prelucrării, iar consimțământul trebuie să acopere toate activitățile de prelucrare efectuate în același scop. În plus, dacă prelucrarea datelor se face în mai multe scopuri, consimțământul ar trebui dat pentru toate scopurile prelucrării.

În situația în care prelucrarea datelor se face în scopuri de cercetare științifică, nu este obligatoriu să se identifice pe deplin scopul prelucrării ce face obiectul cercetării științifice, fiind suficient ca persoanele vizate să poată să își dea consimțământul doar pentru anumite domenii de cercetare identificate de operator. Ar trebui totuși să se respecte cerința privind „granularitatea” consimțământului, respectiv să se ofere posibilitatea persoanei vizate de a-și da acordul doar pentru anumite domenii de cercetare sau părți ale proiectelor de cercetare (în măsura permisă de scopul preconizat).

1.3. Trebuie să fie informat

Atât reglementările actuale, cât și GDPR prevăd că orice prelucrare de date cu caracter personal ar trebui efectuată într-o manieră transparentă, prin informarea persoanelor vizate cu privire la existența prelucrării datelor și a condițiilor în care sunt prelucrate datele. Față de reglementările actuale, Art. 13 si 14 din GDPR prevăd o serie de informații noi pe care trebuie să le furnizeze operatorul (e.g. temeiul juridic al prelucrării; durata preconizată a prelucrării datelor sau criteriile pentru determinarea perioadei; dacă există un proces decizional automatizat etc.).

În plus față de reglementările actuale, GDPR aduce câteva precizări și în ceea ce privește modalitatea de comunicare acestor informații cu impact direct asupra validității consimțământului.

Astfel, informațiile și comunicările referitoare la prelucrarea datelor trebuie să fie ușor accesibile și ușor de înțeles, prin utilizarea unui limbaj simplu și clar. Cu alte cuvinte, operatorii vor trebui să reviziteze conținutul notelor de informare și să se asigure că se respectă simplitatea și claritatea mesajului. Notele de informare cu termeni foarte tehnici, cu un limbaj greoi pentru un simplu consumator, probabil nu vor respecta această cerință și, astfel, vor putea pune în discuție validitatea consimțământului.

De asemenea, cerința unui limbaj clar și accesibil ar putea pune probleme operatorilor care-și desfășoară activitatea în mediul on-line, în măsura în care informarea ar fi redactată într-o limbă străină (care ar putea să nu fie cunoscută de persoanele vizate).

1.4. Trebuie să fie neechivoc


Caracterul neechivoc nu este o cerință nouă în legislația datelor cu caracter personal. Art. 5 alin. (1) din Legea nr. 677/2001 stabilește că, în principiu, orice prelucrare a datelor personale poate fi efectuată numai dacă persoana vizată şi-a dat consimțământul neechivoc pentru acea prelucrare. Totuși, nici Directiva 95/46/CE, nici Legea nr. 677/2001 nu explică semnificația acestui termen.

GDPR aduce câteva clarificări în ceea ce privește semnificația consimțământului neechivoc. Astfel, pentru a fi considerat neechivoc, acesta trebuie să îmbrace forma unei declarații sau a unei acțiuni care arată în mod clar intenția persoanei vizate de a-și da consimțământul1

Dacă vorbim de consimțământul exprimat sub forma unei declarații, lucrurile sunt destul de clare (aici intră declarațiile în formă scrisă și semnate, precum și declarațiile verbale ale persoanelor vizate cu privire la acceptul prelucrării datelor).

Care sunt acțiunile care arată în mod clar intenția persoanei de a-și da consimțământul? Mai jos câteva exemple furnizate chiar de GDPR:

a)    bifarea unei căsuțe când persoana vizitează o pagină web;
b)    alegerea setărilor pentru serviciile societății informaționale; sau
c)     orice altă declarație sau acțiune care indică în mod clar într-un context dat acceptarea de către persoana vizată a prelucrării propuse.

În ipoteza generală prevăzută la punctul c), ar putea fi incluse următoarele exemple:

•    furnizarea adresei de e-mail în contextul creării unui cont pe o platformă on-line într-o căsuță în dreptul căreia este indicat faptul că furnizarea este opțională, iar sub căsuță un scurt mesaj de genul „adresa de e-mail va fi utilizată pentru a vă trimite comunicări comerciale cu produsele și/sau serviciile noastre”;
•    prelucrarea datelor privind dimensiunile corporale de către un croitor dacă persoana vizată solicită crearea unui element vestimentar și astfel furnizează dimensiunile corporale.

Important, GDPR prevede în mod expres că absența unui răspuns sau a unei acțiuni nu poate fi considerată consimțământ valabil. De asemenea, căsuțele bifate în prealabil în paginile web sau aplicațiile software nu vor putea fi invocate drept mecanisme viabile de exprimare a consimțământului.

În fine, GDPR prevede că, în cazul în care declarația persoanei vizate se referă la mai multe aspecte, cererea privind consimțământul trebuie să fie prezentată într-o formă care o diferențiază în mod clar de celelalte aspecte (e.g. nu va satisface condiția unui consimțământ neechivoc o declarație care include grupat acordul pentru încheierea unui contract și acordul privind prelucrarea datelor).

Sergiu CREȚU (sergiu.cretu@tuca.ro), Senior Associate al Țuca Zbârcea & Asociații




1.  Exprimarea utilizată în limba engleză este ”by a statement or by a clear affirmative action”, iar în limba franceză este ”par une déclaration ou par un acte positif clair”. Versiunea în limba română utilizează noțiunea de „acțiune fără echivoc”, o opțiune nefericită a traducătorilor români din instituțiile Uniunii Europene, întrucât, practic, se încearcă explicarea unui termen (i.e. consimțământ neechivoc), folosindu-se de însuși termenul ce se dorește a fi explicat.


 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


 

Ascunde Reclama
 
 

POSTEAZA UN COMENTARIU


Nume *
Email (nu va fi publicat) *
Comentariu *
Cod de securitate*







* campuri obligatorii


Articol 341 / 11003
 

Ascunde Reclama
 
 
 
BREAKING NEWS
ESENTIAL
LegiTeam: ZRP recrutează avocat definitiv pentru departamentul Litigii
(P) Primul cartier de case active ce oferă costuri ZERO la energie e în Snagov
Cristina Costache, Head of Legal Strauss România: Această poziție cere înțelegerea întregului business în care este implicată atât compania, cât și grupul din care face parte. Suntem deopotrivă responsabili pentru rezultatele firmei, chiar dacă suntem ‘departament de suport’
Litigiile lunii Octombrie: Două nume noi în ring alături de BCR. Șarje masive, cu sute de litigii, ale unor entități din energie și din sfera financiară
Dentons lansează serviciul Nextlaw In-House Solutions
Schoenherr și Dragne & Asociații în bătălia juridică dintre BCR și frații Micula
Cum reușește PeliFilip să atragă talente. Alina Iancu, HR Manager: Recrutarea unui avocat bun nu este un proces greu dacă de la începutul procesului de selecție identifici criteriile care definesc un bun profesionist și există instrumente și acțiuni în procesul de recrutare prin care se evaluează acele criterii
Cum afectează majorarea tarifelor firmele de avocatură americane. Onorariile au crescut, în medie, cu 4%, dar cererea stagnează
Yolanda Ghiță-Blujdescu, Associate, Piețe de Capital Clifford Chance Badea, după un stagiu de 6 luni la o bancă de invesții din Londra: În Londra, am învățat ce înseamnă cu adevărat „să ai sânge rece” în momente de criză reală, cum a fost decizia de Brexit
RTPR Allen & Overy, alături de sindicatul de bănci la Oferta Publică a Sphera Franchise Group. Avocații implicați în proiect
LegiTeam: Zamfirescu Racoţi & Partners recrutează avocat senior pentru departamentul de Drept Penal
LegiTeam: Reff & Associates is looking for Experienced | Senior Lawyer – Competition & Commercial, Employment, Insolvency
 
Citeste pe SeeNews Digital Network
  • BizBanker

  • BizLeader

      in curand...
  • SeeNews

    in curand...