Nu mai este demult o noutate faptul ca pe 25 mai 2018 va intra in vigoare Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE ("GDPR").

Sergiu CretuFoto: Tuca Zbarcea & Asociatii

Un aspect important adresat in GDPR vizeaza un temei traditional al prelucrarii datelor cu caracter personal - consimtamantul persoanelor vizate. Evident, discutia privind acest temei al prelucrarii nu poate fi epuizata in cateva pagini. Prin urmare, nu voi incerca decat sa inventariez, pe scurt, regulile noi expres reglementate legislativ incepand cu 25 mai 2018, precum si cateva dintre potentialele implicatii pentru operatorii de date cu caracter personal.

Astfel, in prima parte a acestui articol voi vorbi despre noua definitie a consimtamantului si despre conditiile prevazute de GDPR pentru un consimtamant valabil. In a doua parte a acestui articol, voi vorbi despre consimtamantul expres in cazuri speciale, despre aspectele formale privind consimtamantul, despre consimtamantul in cazul prelucrarii datelor minorilor, precum si despre dreptul de retragere a consimtamantului.

1. Consimtamantul: definitie si conditii

Potrivit art. 4 alin. (11) din GDPR: "consimtamant al persoanei vizate inseamna orice manifestare de vointa libera, specifica, informata si lipsita de ambiguitate a persoanei vizate prin care aceasta accepta, printr-o declaratie sau printr-o actiune fara echivoc, ca datele cu caracter personal care o privesc sa fie prelucrate" (subl. mea).

Aceasta definitie este mai larga decat cea prevazuta de Directiva 95/46/CE. Dincolo de o definitie formal mai ampla, GDPR include in alte sectiuni o serie de elemente care circumstantiaza conditiile pe care consimtamantul trebuie sa le indeplineasca pentru a fi considerat valabil. Aceste elemente vor fi prezentate, pe scurt, in cele ce urmeaza.

1.1. Trebuie sa fie liber

Desi aceasta conditie nu este noua (este prevazuta in definitia consimtamantului din Directiva 95/46/CE), GDPR ofera totusi mai multe explicatii in ceea ce priveste semnificatia acesteia. Potrivit GDPR consimtamantul nu va fi liber exprimat daca:

  • Persoana vizata nu dispune cu adevarat de libertatea de alegere sau nu este in masura sa refuze sau sa isi retraga consimtamantul fara a fi prejudiciata;
  • Exista un dezechilibru evident intre persoana vizata si operator. Spre exemplu, aceasta cerinta expres reglementata in lege va pune in discutie validitatea consimtamantului angajatilor pentru prelucrarea datelor de catre angajatori, intr-un mod mult mai categoric decat pana acum;
  • Modul de acordare a consimtamantului nu permite ca acesta sa fie dat pe diferite operatiuni de prelucrare a datelor, desi acest lucru este adecvat in cazul particular. Ca atare, operatorii nu vor mai putea sa foloseasca declaratii de consimtamant de tipul "catch all";
  • Executarea unui contract sau prestarea unui serviciu este conditionata de consimtamant, desi consimtamantul nu este necesar pentru executarea contractului.

2.2. Trebuie sa fie specific

Un consimtamant foarte larg dat pentru scopuri generale / nedeterminate, nu este valid. Pentru a fi considerat valabil, operatorii trebuie sa identifice clar scopurile prelucrarii, iar consimtamantul trebuie sa acopere toate activitatile de prelucrare efectuate in acelasi scop. In plus, daca prelucrarea datelor se face in mai multe scopuri, consimtamantul ar trebui dat pentru toate scopurile prelucrarii.

In situatia in care prelucrarea datelor se face in scopuri de cercetare stiintifica, nu este obligatoriu sa se identifice pe deplin scopul prelucrarii ce face obiectul cercetarii stiintifice, fiind suficient ca persoanele vizate sa poata sa isi dea consimtamantul doar pentru anumite domenii de cercetare identificate de operator. Ar trebui totusi sa se respecte cerinta privind "granularitatea" consimtamantului, respectiv sa se ofere posibilitatea persoanei vizate de a-si da acordul doar pentru anumite domenii de cercetare sau parti ale proiectelor de cercetare (in masura permisa de scopul preconizat).

1.3. Trebuie sa fie informat

Atat reglementarile actuale, cat si GDPR prevad ca orice prelucrare de date cu caracter personal ar trebui efectuata intr-o maniera transparenta, prin informarea persoanelor vizate cu privire la existenta prelucrarii datelor si a conditiilor in care sunt prelucrate datele. Fata de reglementarile actuale, Art. 13 si 14 din GDPR prevad o serie de informatii noi pe care trebuie sa le furnizeze operatorul (e.g. temeiul juridic al prelucrarii; durata preconizata a prelucrarii datelor sau criteriile pentru determinarea perioadei; daca exista un proces decizional automatizat etc.).

In plus fata de reglementarile actuale, GDPR aduce cateva precizari si in ceea ce priveste modalitatea de comunicare acestor informatii cu impact direct asupra validitatii consimtamantului.

Astfel, informatiile si comunicarile referitoare la prelucrarea datelor trebuie sa fie usor accesibile si usor de inteles, prin utilizarea unui limbaj simplu si clar. Cu alte cuvinte, operatorii vor trebui sa reviziteze continutul notelor de informare si sa se asigure ca se respecta simplitatea si claritatea mesajului. Notele de informare cu termeni foarte tehnici, cu un limbaj greoi pentru un simplu consumator, probabil nu vor respecta aceasta cerinta si, astfel, vor putea pune in discutie validitatea consimtamantului.

De asemenea, cerinta unui limbaj clar si accesibil ar putea pune probleme operatorilor care-si desfasoara activitatea in mediul on-line, in masura in care informarea ar fi redactata intr-o limba straina (care ar putea sa nu fie cunoscuta de persoanele vizate).

1.4. Trebuie sa fie neechivoc

Caracterul neechivoc nu este o cerinta noua in legislatia datelor cu caracter personal. Art. 5 alin. (1) din Legea nr. 677/2001 stabileste ca, in principiu, orice prelucrare a datelor personale poate fi efectuata numai daca persoana vizata si-a dat consimtamantul neechivoc pentru acea prelucrare. Totusi, nici Directiva 95/46/CE, nici Legea nr. 677/2001 nu explica semnificatia acestui termen.

GDPR aduce cateva clarificari in ceea ce priveste semnificatia consimtamantului neechivoc. Astfel, pentru a fi considerat neechivoc, acesta trebuie sa imbrace forma unei declaratii sau a unei actiuni care arata in mod clar intentia persoanei vizate de a-si da consimtamantul*.

Daca vorbim de consimtamantul exprimat sub forma unei declaratii, lucrurile sunt destul de clare (aici intra declaratiile in forma scrisa si semnate, precum si declaratiile verbale ale persoanelor vizate cu privire la acceptul prelucrarii datelor).

Care sunt actiunile care arata in mod clar intentia persoanei de a-si da consimtamantul? Mai jos cateva exemple furnizate chiar de GDPR:

a) bifarea unei casute cand persoana viziteaza o pagina web;

b) alegerea setarilor pentru serviciile societatii informationale; sau

c) orice alta declaratie sau actiune care indica in mod clar intr-un context dat acceptarea de catre persoana vizata a prelucrarii propuse.

In ipoteza generala prevazuta la punctul c), ar putea fi incluse urmatoarele exemple:

  • furnizarea adresei de e-mail in contextul crearii unui cont pe o platforma on-line intr-o casuta in dreptul careia este indicat faptul ca furnizarea este optionala, iar sub casuta un scurt mesaj de genul "adresa de e-mail va fi utilizata pentru a va trimite comunicari comerciale cu produsele si/sau serviciile noastre";
  • prelucrarea datelor privind dimensiunile corporale de catre un croitor daca persoana vizata solicita crearea unui element vestimentar si astfel furnizeaza dimensiunile corporale.
  • Important, GDPR prevede in mod expres ca absenta unui raspuns sau a unei actiuni nu poate fi considerata consimtamant valabil. De asemenea, casutele bifate in prealabil in paginile web sau aplicatiile software nu vor putea fi invocate drept mecanisme viabile de exprimare a consimtamantului.

In fine, GDPR prevede ca, in cazul in care declaratia persoanei vizate se refera la mai multe aspecte, cererea privind consimtamantul trebuie sa fie prezentata intr-o forma care o diferentiaza in mod clar de celelalte aspecte (e.g. nu va satisface conditia unui consimtamant neechivoc o declaratie care include grupat acordul pentru incheierea unui contract si acordul privind prelucrarea datelor).

-----------------

*Exprimarea utilizata in limba engleza este "by a statement or by a clear affirmative action", iar in limba franceza este "par une declaration ou par un acte positif clair". Versiunea in limba romana utilizeaza notiunea de "actiune fara echivoc", o optiune nefericita a traducatorilor romani din institutiile Uniunii Europene, intrucat, practic, se incearca explicarea unui termen (i.e. consimtamant neechivoc), folosindu-se de insusi termenul ce se doreste a fi explicat.

Un articol semnat de Sergiu Cretu (sergiu.cretu@tuca.ro), Senior Associate al Tuca Zbarcea & Asociatii