Esti aici: Studii de caz Analize si solutii GDPR Consimtamantul - obtinere, dovada, gestionare si revocare

Consimtamantul - obtinere, dovada, gestionare si revocare

20 Ian 2019

Raspuns oferit de
Laurentiu Petre Avocat

Tags: Consimtamantpersoana vizataGDPR

1. Aspecte generale
Consimtamantul este definit in GDPR ca fiind orice manifestare de vointa libera, specifica, informata si lipsita de ambiguitate a persoanei vizate prin care aceasta accepta, printr-o declaratie sau printr-o actiune fara echivoc, ca datele cu caracter personal care o privesc sa fie prelucrate (art. 4 pct. 11).
Consimtamantul exprimat in mod valabil trebuie sa respecte urmatoarele cerinte:

sa fie liber/liber exprimat: presupune lipsa oricarui element de presiune sau de influenta asupra persoanei vizate pentru exprimarea vointei sale, respectiv o posibilitate reala de alegere si un control real din partea persoaneI vizate asupra datelor cu caracter personal;
sa fie specific: implica definirea clara a scopului pentru care a fost obtinut consimtamantulsisepararea informatiilor referitoare la obtinerea consimtamantului de alte date si informatii;
sa fie dat in cunostinta de cauza:se refera la furnizarea de informatii persoanelor vizate inainte de obtinerea consimtamantului pentru ca acestea sa poata lua decizii constiente, sa inteleaga aspectele pentru care isi exprima acordul, precum si de a beneficia de dreptul de retragere a consimtamantului;
sa contina o manifestare de vointa lipsita de ambiguitate: implica obtinerea unei actiuni fara echivoc sau a unei declaratii din partea persoanelor vizate.

2. Consimtamant vs. alte temeiuri de prelucrare
Consimtamantul personei vizate reprezinta unul dintre cele sase temeiuri legale de prelucrare a datelorcu caracter personal, alaturi de executarea unui contract (lit. b), indeplinirea unei obligatii legale (lit.c), protejarea interesele vitale ale persoanei vizate (lit. d), indeplinirea unei sarcini care serveste unui interes public (lit. e) si interesul legitim al operatorului (lit. f), asa cum sunt definite in cuprinsul articolului 6 din GDPR.
Stabilirea incidentei unuia dintre cele sase temeiuri de prelucrare trebuie sa se faca anterior desfasurarii oricarei activitati de prelucrare si in legatura cu scopul in care sunt prelucrate datele cu caracter personal (art. 13 alin. (1) lit. c) si/sau art. 14 alin. (1) lit. d) GDPR). Incidenta temeiurilor de prelucrare este esentiala pentru operator pentru ca, ulterior, acesta nu va putea schimba temeiurile intre ele (de exemplu, operatorul nu va putea justifica retroactiv lipsa sau nevaliditatea consimtamantului cu interesul legitim al prelucrarii).

IMPORTANT!
Consimtamantul poate reprezenta un temei legal adecvat de prelucrare doar in masura in care persoanei vizate i se ofera, in mod real, controlul si posibilitatea de a face o alegere in ceea ce priveste acceptarea sau refuzarea termenilor, fara a suferi un prejudiciu.

3. Obtinerea consimtamantului
Regulamentul stabileste ca pentru un consimtamant valabil este necesara o declaratie din partea persoanei vizate sau o actiune neechivoca, adica o manifestare activa de vointa.
Sintagma o actiune fara echivoc se refera la faptul ca persoana vizata a actionat in mod deliberat pentru a consimti la o anumita prelucrare. In ceea ce priveste existenta unei declaratii din partea persoanei vizate , aceasta poate sa fie facuta in scris, inclusiv in format electronic, sau verbal.

ATENTIE!
Utilizarea casutelor pre-bifate nu este valabila in contextual GDPR. Tacerea sau inactivitatea persoanei vizate, precum si simpla continuare a unui serviciu nu sunt considerate manifestari active ale consimtamantului.

In anumite situatii, atunci cand este posibilsa existe un risc major privind protectia datelor, este necesar obtinerea unuiconsimtamant explicit din partea persoanelor vizate. Astfel de situatii se intalnesc in cazul prelucrarii unor categorii speciale de date (art. 9 GDPR), transferurilor de date catre tari terte sau organizatii internationale in absenta garantiilor adecvate (art. 49 GDPR), precum si in cazul unui proces decizional individual automatizat, inclusiv crearea de profiluri (art. 22 GDPR).

Sintagma consimtamant explicit are in vederemodalitatea concreta in care consimtamantul este exprimat de persoana vizata si vine sa intareasca consimtamantul obisnuit despre care se face referire inGDPR.In sensul termenului de explicit este necesara o confirmare expresa, uneori chiar suplimentara a consimtamantului, indiferent de modalitatea aleasa de operator(declaratie semnata,completarea unuiformular online, trimiterea unui e-mail, incarcarea unui document scanat care poarta semnatura persoanei vizate sau prin utilizarea unei semnaturi electronice, inregistrarea unei convorbiritelefonice sau verificarea in doua etape pentru confirmarea acordului).

Obtinerea consimtamantului prin declaratie scrisa. De regula, pentru obtinerea consimtamantului din partea persoanelor vizate printr-o declaratie scrisa,se foloseste un model pus la dispozitie de operator. Aceasta declaratie trebuie sa aiba in vedere, in principal, dispozitiile de la art. 7, 13, 14, 15-22 GDPR.
Obtinerea consimtamantului in format electronic. Obtinerea consimtamantului in format electronic se va putea face si prin completarea unui formular electronic, prin trimiterea unui e-mail, prin incarcarea unui document scanat care poarta semnatura persoanei vizate.

In cazul in care consimtamantul va fi acordat in urma uneicereri transmise in format electronic, solicitarea consimtamantului nu va trebui sa perturbe in mod inutil utilizarea serviciului pentru care se acorda consimtamantul.

4. Dovada consimtamantului
GDPR instituie in mod expres operatorului sarcina probei in ceea ce priveste dovada consimtamantului persoanei vizate. Astfel, potrivit art. (7) alin. (1) GDPR, in cazul in care prelucrarea se bazeaza pe consimtamant, operatorul trebuie sa fie in masura sa demonstreze ca persoana vizata si-a datconsimtamantul pentru prelucrarea datelor sale cu caracter personal.

Operatorul poate tine o evidenta fizica a declaratiilor de consimtamant, atunci cand este cazul, pentru a demonstra modul in care a fost obtinut consimtamantul, momentulsicontinutul informatiilor furnizate persoanei vizate la acel moment.

Dovada luarii consimtamantului in format electronic va fi stocata in baza de date si dupa ce acesta va fi retras, pana la respectarea obligatiilor legale, dupa caz, sau pana la disparitia unui potential litigiu intre operator si persoana vizata.

5. Gestionarea consimtamantului
Operatorul trebuie sa se asigure ca respecta urmatoarele principii in ceea ce priveste gestionarea consimtamantului cu privire la prelucrarea datelor cu caracter personal acordat de catre persoanele vizate:

consimtamantul este revizuit periodic pentru a verifica daca relatia, prelucrarea si scopurile prelucrarii s-au schimbat;
are implementate procese de reinnoire a consimtamantului la intervale de timp adecvate, inclusiv orice acorduri parentale;
procesul de retragere a consimtamantului este facil si se poate exercita in orice de catre persoanele vizate; acest lucru este cunoscut de persoanele vizate;
atunci cand o persoana vizata formuleaza o cerere de retragere a consimtamantului, se actioneaza cat mai repede posibil;
nu sunt penalizate persoanele vizate care doresc sa isi retraga consimtamantul.

RECOMANDARI!

Nu exista un termen-limita stabilit cu privire la durata de valabilitate a consimtamantului persoanelor vizate, avand in vedere ca aceasta durata poate sa varieze in functie de contextul prelucrarii, de scopul pentru care a fost obtinut si de tipul operatiunilor de prelucrare. Este suficienta obtinerea o singura data a consimtamantului, insa trebuie obtinut un nou consimtamant daca scopul pentru care sunt prelucrate datele se schimba sau daca se prevede un scop suplimentar, ce nu a fost avut in vedere la obtinerea consimtamantului initial.

6. Prelucrarea datelor cu caracter personal ale copiilor
Prelucrarea datelor cu caracter personal ale copiilor se va face numai dupa verificarea daca acestia au varsta de 16 ani implinita. Daca copilul are sub varsta de 16 ani, consimtamantul va fi obtinut numai de la titularul raspunderii parintesti asupra copilului.
Daca utilizatorii afirma ca au implinit varsta minima necesara pentru consimtamantul obtinut in format electronic, se vor efectua verificari pentru a se asigura ca aceasta afirmatie este adevarata prin introducerea datei nasterii.

In cazul in care exista dubii cu privire la varsta copilului, se vor lua masuri prin verificarea confirmarii via e-mail a persoanei care exprima consimtamantul in numele copiluluicare este titularul raspunderii parintesti. In aceasta situatie, verificarea nu se va putea face decat dupa obtinerea consimtamantului parintelui.
Consimtamantul acordat sau autorizat de titularul raspunderii parintesti expira odata ce minorul a atins varsta minima obligatorie pentru exprimarea consimtamantului digital. Dupa implinirea varstei minime obligatorii, va fi obtinut un nou consimtamant.

7. Revocarea consimtamantului
Regulamentul ii acorda institutiei revocariisau retrageriiconsimtamantului un rol foarte important. Astfel, persoana vizata isi poate retrage consimtamantul in orice moment, aplicandu-se procedura obtinerii acestuia. Retragerea consimtamantului nu afecteaza legalitatea prelucrarii efectuate pe baza consimtamantului inainte de retragerea acestuia.
Inainte de luarea consimtamantului, persoana vizata va fi informata in mod clar si expres despre dreptul de a-si retrage oricand consimtamantul, prin intermediul formularului de consimtamant, prin inserarea unui paragraf la inceputul formularului, inainte de orice alt text.

Retragerea consimtamantului in ceea ce priveste prelucrarea unorcategoriispeciale de date nu afecteaza consimtamantul obtinut pentru prelucrarea celorlalte date, altele decat cele considerate sensibile. Retragerea consimtamantului care vizeaza un anumitscop al prelucrarii nu afecteaza prelucrarile de date care au un alt scop pentru care a fost obtinut un consimtamant valabil.

Persoana vizata trebuie sa isi poata retrage consimtamantul fara a fi prejudiciata, adica operatorul sa poata faca posibil acest lucru fara a scadea calitatea serviciului.
Operatorul trebuie sa stearga datele prelucrate pe baza consimtamantului dupa retragerea acestuia, in situatia in care nu exista un alt scop sau temei al prelucrarii care sa justifice pastrarea lor in continuare. Orice modificare a temeiului legal de prelucrare trebuie notificata persoanei vizate in conformitate cu art. 13 si 14 din GDPR.

Cererea de retragere a consimtamantului
Persoana responsabila de analiza solicitarii de retragere a consimtamantului primite din partea persoanelor vizate trebuie sa fie o persoana cu atributii in ceea ce priveste prelucrarea datelor cu caracter personal. Persoana responsabila trebuie sa fie nominaliza si adusa la cunostinta salariatilor operatorului, potrivit procedurilor interne.
In vederea analizarii solicitarilor primite din partea persoanelor vizate, responsabilul va putea sa obtina informatii inclusiv de la alte departamente sau structuri ale operatorului.

Anexa 1
Registrul de evidenta a consimtamantului
Ca buna practica, orice declaratie de obtinere a consimtamantului din partea persoanelor vizate, primita printr-o declaratie scrisa, ar trebui sa se inregistreze la un departament/persoana desemnat/a in mod expres de operator si sa se completeze in registrul special de evidenta a consimtamantului
Consimtamantului. Registrul se completeaza, se pastreaza si se actualizeaza de catre o persoana desemnata de operator, cu atributii in ceea ce priveste prelucrarea datelor cu caracter personal. Persoana responsabila cu inregistrarea si actualizarea solicitarilor din partea persoanelor vizate trebuie sa fie nominaliza si adusa la cunostinta salariatilor operatorului, potrivit procedurilor interne.
REGISTRUL DE EVIDENTA A CONSIMTAMANTULUI
I. Informatii generale

Denumire operator
Datele de contact ale operatorului
Date operatori asociati (daca se aplica)
Ofiter protectia datelor DPO (daca este cazul)
Nume si prenume
E-mail
Telefon
Reprezentanti ai operatorului (daca este cazul)
Nume si prenume
E-mail
Telefon
II. Nr./Referinte/Departament
II. Persoana Vizata
Nume si prenume
Numar utilizator online
Numar identificare sesiune
IV. Data acordarii consimtamantului
V. Modalitatea acordarii consimtamantului
Declaratie consimtamant formular pe hartie
Bifare casuta consimtamant explicit pe hartie
Bifare casuta consimtamant explicit in format electronic
Executare clic buton/link online de acordare consimtamant explicit
Selectarea unei optiuni DA/NU vizibile online
Raspuns la un mesaj e-mail prin care se solicita consimtamantul Raspunsul DA" la o solicitare verbala clara a consimtamantului
VI. Acord parental (pentru copiii sub varsta de 16 ani, daca este cazul)
VII. Informatii comunicate la data colectarii consimtamantului
VIII. Scopul prelucrarii datelor pentru care s-a solicitat consimtamantul
IX. Revizie periodica a consimtamantului
X. Retragere consimtamant (DA/NU)
XI. Data retragerii consimtamantului
XII. Link catre consimtamant formular (daca este cazul)

Newsletter PortalProtectiaDatelor.ro

Munca la domiciliu - Aspecte practice privind GDPR

Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!