Πώς παρέχεται έγκυρα και πώς αποδεικνύεται η συγκατάθεση; Πρακτική καθοδήγηση με σκοπό τη διασφάλιση συμμόρφωσης με τον GDPR από την WP29
Επιμέλεια: Γεώργιος Π. Κανέλλος
Με τις νέες κατευθυντήριες γραμμές της η Ομάδα Εργασίας του άρθρου 29 παρέχει μία διεξοδική ανάλυση της έννοιας της συγκατάθεσης στον Κανονισμό 2016/679, τον Γενικό Κανονισμό για την Προστασία Δεδομένων (στο εξής: GDPR).
Η έννοια της συγκατάθεσης, όπως χρησιμοποιείται στην οδηγία για την προστασία δεδομένων (στο εξής: οδηγία 95/46/ΕΚ) καθώς και στην ισχύουσα οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες, έχει εξελιχθεί. Ο GDPR διευκρινίζει και εξειδικεύει περαιτέρω τις απαιτήσεις απόκτησης και απόδειξης έγκυρης συγκατάθεσης. Οι εν προκειμένω κατευθυντήριες γραμμές επικεντρώνονται σε αυτές τις αλλαγές, παρέχοντας πρακτική καθοδήγηση με σκοπό τη διασφάλιση συμμόρφωσης με τον GDPR και εξελίσσοντας την Γνωμοδότηση 15/2011 αναφορικά με τη συγκατάθεση.
Η συγκατάθεση παραμένει η μία από τις έξι νόμιμες βάσεις για την επεξεργασία προσωπικών δεδομένων, σύμφωνα με την κατηγοριοποίηση του άρθρου 6 του GDPR.1
Κατά την έναρξη δραστηριοτήτων που εμπεριέχουν επεξεργασία προσωπικών δεδομένων, ένας υπεύθυνος επεξεργασίας πρέπει πάντα να αφιερώνει χρόνο για να αξιολογήσει εάν η κατάλληλη νόμιμη βάση για την επικείμενη επεξεργασία είναι η συγκατάθεση ή εάν αντίθετα μία άλλη βάση πρέπει να επιλεγεί.
Γενικά, η συγκατάθεση μπορεί να αποτελέσει κατάλληλη νόμιμη βάση εάν σε ένα υποκείμενο δεδομένων προσφέρεται έλεγχος και προσφέρεται μία γνήσια επιλογή αναφορικά με την αποδοχή ή απόρριψη των όρων που έχουν προσφερθεί ή απόρριψη αυτών χωρίς ζημία.
Όταν αιτείται συγκατάθεση, ένας ελεγκτής έχει καθήκον να αξιολογήσει κατά πόσο αυτό πληροί όλες τις απαιτήσεις για την απόκτηση έγκυρης συγκατάθεσης. Σε περίπτωση απόκτησης σε πλήρη συμμόρφωση με τον GDPR, η συγκατάθεση είναι ένα εργαλείο που δίνει στα υποκείμενα δεδομένων τον έλεγχο σχετικά με το κατά πόσο ή όχι τα προσωπικά δεδομένα που τους αφορούν θα υποστούν επεξεργασία. Σε αντίθετη περίπτωση, ο έλεγχος του υποκειμένου δεδομένων καθίσταται πλασματικός και η συγκατάθεση θα αποτελεί μία άκυρη βάση για επεξεργασία, καθιστώντας την δραστηριότητα επεξεργασίας παράνομη.2
Οι υπάρχουσες Γνωμοδοτήσεις της Ομάδας Εργασίας του άρθρου 29 (WP29) σχετικά με τη συγκατάθεση3 παραμένουν σχετικές, όπου είναι συνεπείς με το νέο νομικό πλαίσιο, καθώς ο GDPR κωδικοποιεί την υπάρχουσα καθοδήγηση και γενική καλή πρακτική της WP29 και τα περισσότερα από τα καθοριστικά στοιχεία της συγκατάθεσης παραμένουν τα ίδια υπό το καθεστώς του GDPR.
Για το λόγο αυτό, σε αυτό το έγγραφο, η WP29 επεκτείνει και ολοκληρώνει προηγούμενες Γνωμοδοτήσεις σε συγκεκριμένα θέματα που περιλαμβάνουν αναφορά στη συγκατάθεση υπό το καθεστώς της οδηγίας 95/46/ΕΚ, χωρίς να τις αντικαθιστά.
Όπως αναφέρεται στην Γνωμοδότηση 15/2011 σχετικά με τον ορισμό της συγκατάθεσης, η πρόσκληση σε άτομα για αποδοχή μίας πράξης επεξεργασίας δεδομένων θα πρέπει να υπόκειται σε αυστηρές απαιτήσεις, καθώς αφορά τα θεμελιώδη δικαιώματα των υποκειμένων δεδομένων και ο ελεγκτής επιθυμεί να εμπλακεί σε μία πράξη επεξεργασίας που ενδέχεται να είναι παράνομη χωρίς τη συγκατάθεση του υποκειμένου επεξεργασίας.4 Ο κρίσιμος ρόλος της συγκατάθεσης υπογραμμίζεται στα άρθρα 7 και 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης.
Επιπλέον, η απόκτηση συγκατάθεσης επίσης δεν αρνείται ή με οποιονδήποτε τρόπο δεν υποβαθμίζει τις υποχρεώσεις του ελεγκτή να τηρεί τις αρχές της επεξεργασίας που κατοχυρώνονται στον GDPR, ιδίως το άρθρο 5 του GDPR αναφορικά με την αντικειμενικότητα, την αναγκαιότητα και την αναλογικότητα, καθώς και με την ποιότητα των δεδομένων. Ακόμα και αν η επεξεργασία των προσωπικών δεδομένων βασίζεται στη συγκατάθεση του υποκειμένου δεδομένων, αυτό δε νομιμοποιεί τη συλλογή δεδομένων η οποία δεν είναι αναγκαία σε σχέση με ένα συγκεκριμένο σκοπό επεξεργασίας και είναι θεμελιωδώς αθέμιτη.5
Εντωμεταξύ, η WP29 έχει επίγνωση της αναθεώρησης της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες (οδηγία 2002/58/ΕΚ). Η έννοια της συγκατάθεσης στο προσωρινό κείμενο του κανονισμού για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες παραμένει συνδεδεμένη με την έννοια της συγκατάθεσης στον GDPR.6 Οι οργανισμοί είναι πιθανόν να χρειάζονται συγκατάθεση υπό το καθεστώς του νομοθετήματος για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες για τα περισσότερα μηνύματα ή κλήσεις εμπορικής προώθησης μέσω διαδικτύου, και για τις διαδικτυακές μεθόδους ανίχνευσης συμπεριλαμβανομένων και αυτών με χρήση cookies ή εφαρμογών ή άλλου λογισμικού. Η WP29 έχει ήδη προβεί σε συστάσεις και καθοδήγηση προς τον ευρωπαίο νομοθέτη σχετικά με την πρόταση για ένα κανονισμό για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες.7
Αναφορικά με την ισχύουσα οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες, η WP29 σημειώνει ότι οι αναφορές στην κατηργημένη οδηγία 95/46/ΕΚ θα ερμηνεύονται ως αναφορές στον GDPR.
Αυτό εφαρμόζεται επίσης σε αναφορές στη συγκατάθεση στην ισχύουσα οδηγία 2002/58/ΕΚ, σε περίπτωση που ο κανονισμός για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες δεν θα έχει τεθεί (ακόμα) σε ισχύ στις 25 Μαΐου 2018.
Σύμφωνα με το άρθρο 95 του GDPR, πρόσθετες υποχρεώσεις σε σχέση με την επεξεργασία όσον αφορά την παροχή δημοσίως διαθέσιμων υπηρεσιών ηλεκτρονικών επικοινωνιών σε δημόσια δίκτυα επικοινωνιών δεν θα επιβάλλονται στον βαθμό που η οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες επιβάλλει συγκεκριμένες υποχρεώσεις με τον ίδιο σκοπό. Η WP29 παρατηρεί ότι οι απαιτήσεις για τη συγκατάθεση υπό το καθεστώς του GDPR δεν θεωρούνται ως «πρόσθετη υποχρέωση», αλλά μάλλον σαν προϋποθέσεις για νόμιμη επεξεργασία. Κατά συνέπεια, οι όροι για την απόκτηση έγκυρης συγκατάθεσης που προβλέπονται στον GDPR εφαρμόζονται σε καταστάσεις που εμπίπτουν στο πεδίο εφαρμογής της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες.
Δείτε αναλυτικά τις κατευθυντήριες γραμμές εδώ.
- 1. Το άρθρο 9 του GDPR παρέχει ένα κατάλογο με πιθανές εξαιρέσεις στην απαγόρευση επεξεργασίας ειδικών κατηγοριών δεδομένων. Μία από τις εν λόγω εξαιρέσεις είναι η κατάσταση κατά την οποία το υποκείμενο επεξεργασίας δεδομένων παρέχει ρητή συγκατάθεση στη χρήση αυτών των δεδομένων.
- 2. Βλέπε επίσης Γνωμοδότηση 15/2011 σχετικά με τον ορισμό της συγκατάθεσης (WP 187), σσ. 6-8, και/ή Γνωμοδότηση 06/2014 σχετικά με την έννοια των εννόμων συμφερόντων του ελεγκτή δεδομένων με βάση το άρθρο 7 της οδηγίας 95/46/ΕΚ (WP 217), σσ. 9, 10, 13 και 14.
- 3. Ιδίως, Γνωμοδότηση 15/2011 σχετικά με τον ορισμό της συγκατάθεσης (WP 187).
- 4. Γνωμοδότηση 15/2011, σελίδα σχετικά με τον ορισμό της συγκατάθεσης (WP 187), σελ. 8.
- 5. Βλέπε επίσης Γνωμοδότηση 15/2011 σχετικά με τον ορισμό της συγκατάθεσης (WP 187), και άρθρο 5 του GDPR.
- 6. Σύμφωνα με το άρθρο 9 του προτεινόμενου κανονισμού για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες, εφαρμόζονται ο ορισμός και οι προϋποθέσεις της συγκατάθεσης που προβλέπονται στα άρθρα 4(11) και 7 του GDPR.
- 7. Βλέπε Γνωμοδότηση 03/2016 σχετικά με την αξιολόγηση και αναθεώρηση της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες (WP 240).