Πρακτική καθοδήγηση για την παροχή και απόδειξη της συγκατάθεσης – Πρακτικά παραδείγματα για υπεύθυνους επεξεργασίας (π.χ. ιστοσελίδες, applications) σχετικά με την υποχρέωσης διαφάνειας
Η Ομάδα Εργασίας του άρθρου 29* εξέδωσε αναθεωρημένες κατευθυντήριες γραμμές (Guidelines) σχετικά με δύο από τα πιο κρίσιμα σημεία του νέου Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR).
Συγκατάθεση
Η έννοια της συγκατάθεσης, όπως χρησιμοποιείται στην οδηγία για την προστασία δεδομένων (οδηγία 95/46/ΕΚ) καθώς και στην ισχύουσα οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες, έχει εξελιχθεί.
Ο GDPR διευκρινίζει και εξειδικεύει περαιτέρω τις απαιτήσεις απόκτησης και απόδειξης έγκυρης συγκατάθεσης.
«Συγκατάθεση» του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν (Άρθρο 4 GDPR)
Οι εν προκειμένω κατευθυντήριες γραμμές επικεντρώνονται σε αυτές τις αλλαγές, παρέχοντας πρακτική καθοδήγηση με σκοπό τη διασφάλιση συμμόρφωσης με τον GDPR και εξελίσσοντας την Γνωμοδότηση 15/2011 αναφορικά με τη συγκατάθεση.
Η συγκατάθεση παραμένει η μία από τις έξι νόμιμες βάσεις για την επεξεργασία προσωπικών δεδομένων, σύμφωνα με την κατηγοριοποίηση του άρθρου 6 του GDPR.
Κατά την έναρξη δραστηριοτήτων που εμπεριέχουν επεξεργασία προσωπικών δεδομένων, ένας υπεύθυνος επεξεργασίας πρέπει πάντα να αφιερώνει χρόνο για να αξιολογήσει εάν η κατάλληλη νόμιμη βάση για την επικείμενη επεξεργασία είναι η συγκατάθεση ή εάν αντίθετα μία άλλη βάση πρέπει να επιλεγεί.
Διαβάστε επίσης: Τι είναι η παραβίαση δεδομένων (data breach) και ποιες είναι οι σχετικές υποχρεώσεις;
Γενικά, η συγκατάθεση μπορεί να αποτελέσει κατάλληλη νόμιμη βάση εάν σε ένα υποκείμενο δεδομένων προσφέρεται έλεγχος και προσφέρεται μία γνήσια επιλογή αναφορικά με την αποδοχή ή απόρριψη των όρων που έχουν προσφερθεί ή απόρριψη αυτών χωρίς ζημία.
Διαφάνεια
Η υποχρέωση της διαφάνειας (transparency) αποτελεί επίσης μία κομβικής σημασίας έννοια στον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR)
Η διαφάνεια αποτελεί γενική υποχρέωση στον GDPR, με εφαρμογή σε τρεις κεντρικούς τομείς:
1) την παροχή πληροφοριών στα υποκείμενα των δεδομένων σχετικά με τη σύννομη επεξεργασία των δεδομένων τους,
2) τον τρόπο με τον οποίο οι υπεύθυνοι επεξεργασίας δεδομένων επικοινωνούν με τα υποκείμενα των δεδομένων σχετικά με τα δικαιώματά τους βάσει του GDPR, και
3) τον τρόπο με τον οποίο οι υπεύθυνοι επεξεργασίας διευκολύνουν την άσκηση των δικαιωμάτων από τα υποκείμενα των δεδομένων.
Η αρχή της διαφάνειας απαιτεί οποιαδήποτε ενημέρωση που απευθύνεται στο κοινό ή στο υποκείμενο των δεδομένων να είναι συνοπτική, εύκολα προσβάσιμη και εύκολα κατανοητή και να χρησιμοποιείται σαφής και απλή διατύπωση και, επιπλέον, κατά περίπτωση, απεικόνιση. (Προοίμιο GDPR)
Οι οδηγίες της WP29 τυγχάνουν επίσης εφαρμογής στην ερμηνεία της αρχής της διαφάνειας – στο μέτρο που απαιτείται συμμόρφωση με αυτήν – κατά την επεξεργασία δεδομένων σύμφωνα με την οδηγία (ΕΕ) 2016/680 (Law Enforcement Directive – LED).
Όπως επισημαίνεται στις οδηγίες της WP 29, η διαφάνεια, η οποία αποτελεί ένα χαρακτηριστικό με μακρά ιστορία στη νομοθεσία της Ευρωπαϊκής Ένωσης, αφορά στην καλλιέργεια εμπιστοσύνης στις διαδικασίες που επηρεάζουν τους πολίτες, επιτρέποντάς τους να κατανοήσουν και αν κριθεί αναγκαίο, να τις αμφισβητήσουν.
Σύμφωνα με το άρθρο 5 παρ. 1α του GDPR, η διαφάνεια αποτελεί θεμελιώδη πτυχή των αρχών της σύννομης και θεμιτής επεξεργασίας των δεδομένων, ενώ είναι άρρηκτα συνδεδεμένη με τη νεοείσακτη αρχή της λογοδοσίας στο πλαίσιο του GDPR.
Σύμφωνα άλλωστε με το άρθρο 5.2 του GDPR, ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει ότι τα δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων.
Δείτε τις ανανεωμένες κατευθυντήριες γραμμές για τη συγκατάθεση εδώ και τη διαφάνεια εδώ.
* Η Ομάδα Εργασίας του άρθρου 29 είναι ένα ανεξάρτητο συμβουλετικό σώμα που ασχολείται με την προστασία των δεδομένων προσωπικού χαρακτήρα και την ιδιωτικότητα στην Ευρωπαϊκή Ένωση. Συστάθηκε με βάση το άρθρο 29 της Οδηγίας 95/46/EC, ενώ οι αρμοδιότητές του περιγράφονται στο άρθρο 30 της ίδιας Οδηγίας, καθώς και στο άρθρο 15 της Οδηγίας 2002/58/EC.