Consimțământul în era GDPR
Article Consimțămantul in era GDPR

La 2 ani  de la intrarea în vigoare a Regulamentului UE 2016/67 (GDPR), operatorii din mediul online încă au dificultăți în implementarea corectă a acestuia, cu toate că principiile în jurul cărora a fost elaborat nu sunt un element de noutate pentru noi, existând în legislația naționala încă din 2001 o lege privind protecția datelor personale, legea nr. 677/2001, care însă a fost mai mult ignorată decât aplicata dat fiind amenzile mici pe care le prevedea și, probabil, lipsa unui organ de control eficient. 

Trebuie subliniat faptul că Regulamentul are impact asupra tuturor activităților de comerț electronic care colectează, stochează, utilizează și analizează datele vizitatorilor și clienților din SEE (Spațiul Economic European).

Una din cele mai mari provocări întâlnite în mediul online este legat de identificarea corecta a condițiilor privind legalitatea prelucrării datelor, menționate la art. 6 din Regulament. Cu alte cuvinte, pentru a putea prelucra datele persoane, trebuie sa ne asigurăm ca ne încadram în cel puțin una dintre cele 6 condiții. Suna simplu, nu? Chiar este, însa alegerea trebuie făcuta numai în urma unei analize cu minuțioase a scopului prelucrării datelor. 

 

De exemplu, în comerțul online cele mai uzuale temeiuri de prelucrare sunt:

  • executarea unui contract (ex: prelucrarea datelor necesare pentru înregistrarea comenzilor, facturare, livrare, etc)
  • interes legitim (ex: informarea clienților cu privire la scadența asigurărilor, oferta pentru consumabilele unui echipament achiziționat în prealabil, etc)
  • consimțământ (ex: marketing online, profilare automata)

Având în vedere că marketingului este un instrument esențial în comerțul online și care, de regula, se poate realiza doar în baza consimțământului, în cele ce urmează vom analiza succint care sunt particularitățile consimțământului și de ce specialișitii ne recomanda să-l folosim doar ca ultima varianta atunci când stabilim legalitatea prelucrării.

 

Ce este consimțământul?

Pe scurt, consimțământul reprezinta o acțiune prin care acceptam ca datele noastre să fie prelucrate. 

Pentru a fi valabil, consimțământul trebuie sa fie oferit printr-o declarație sau printr-o acțiune clară și trebuie să îndeplinească cumulativ următoarele condiții: sa fie liber exprimat, specific, informat, lipsit de ambiguitate și, în cazurile în care vorbim de date sensibile, sa fie un consimtamant explicit.

Este esențial să înțelegem când și cum să ne bazăm pe consimțământ, GDPR-ul impunând standarde foarte înalte pentru acesta. Astfel, considerând sensibilitatea consimțământului și preîntâmpinând necesitatea unor lămuriri suplimentare, Grupul de lucru “Articolul 29” (WP29) a elaborat, încă dinaintea intrării în vigoare a Regulamentului, ghidul “Orientări privind consimțământul în temeiul Regulamentului 2016/679”, un instrument foarte amănunțit în care sunt explicate toate aspectele care privesc consimțământul, oferind și exemple practice edificatoare, pe care va recomandăm să-l consultați, putând fi descarcat prin accesarea următorului link: wp29_consimtamant.

 

Ce riscați atunci când consimțământul nu îndeplinește cerințele de valabilitate?

Deși de cele mai multe ori afectarea imaginii companiei și pierderea încrederii clienților pot valora mai mult decât cuantumul unei amenzi, în cazul GDPR-ului amenzile nu sunt  deloc neglijabile. Conform art. 83 alin. (5), pentru încălcările condițiilor privind consimțământul, se poate ajunge la aplicarea de amenzi administrative de până la 20.000.000 EUR sau de până la 4 % din cifra de afaceri anuală, luându-se în calcul valoarea cea mai mare. 

Plecând de la ideea că obținerea unui consimțământ valabil nu costa cu nimic mai mult decât unul nul, toți operatorii din mediul online ar trebui să-și pună următoarea întrebare: “Cât ne poate costa lipsa unei decizii responsabile?”.

 

Recomandări minimale privind consimțământul în mediul online  

  • consimțământul implică o alegere reală și un control real din partea persoanelor
  • consimțământul necesită un opt-in pozitiv
  • nu utilizați căsuțe pre-bifate sau orice altă metodă de consimțământ implicit
  • fiți specifici și "granulari", pentru a obține consimțământul separat pentru prelucrări separate. Consimțământul vag sau deghizat nu este suficient
  • fiți clari și concisi, utilizând un limbaj simplu
  • menționați toți operatorii cu care veți împărtăși datele prelucrare în baza consimțământului
  • facilitați o retragere ușoară a consimțământului
  • păstrați evidenta consimțământului. Existenta acestuia trebuie să poată fi dovedita
  • actualizați consimțământul pentru orice schimbare apărută
  • evitați să vă acordați consimțământul pentru a procesa o precondiție a unui serviciu
  • oferirea de servicii online, care necesita consimțământ, direct copiilor sub 16 ani, este necesar ca respectivul consimțământ sa fie acordat sau autorizat de titularul răspunderii parintești
  • redactați o politica privind protecția datelor care să corespundă în totalitate activităților dumneavoastră. Evitați să copiați poticile altora sau să le publicați pe cele incluse în diverse kit-uri GDPR accesibile pe internet, fără a le optimiza conform specificului activității voastre

Solicitarea consimțământului pentru cookie-uri

Chiar dacă anumite tipuri de cookie-uri sunt necesare pentru buna funcționare a unui site web, altele pot contribui la identificarea unui utilizator și urmărirea comportamentală a acestuia. Astfel operatorii au obligația de a trata cookie-urile cu aceeași responsabilitate și rigurozitate cu care tratăm prelucrarea datelor personale, inclusiv în ceea ce privește solicitarea consimțământului.

Astfel, pentru a obține un comsimțământ valabil privind utilizarea cookie-urilor, trebuie să respectam:

  • solictarea consimțământul separat pentru fiecare tip de activitate (preferinte, statistici, marketing)
  • evitarea utilizării căsuțelor pre-bifate sau orice altă metodă de consimțământ implicit
  • oferirea posibilitâții ca utilizatorul să-și retragă consimțământul la fel de ușor cum și l-a acordat (nu-ll direcționăm să modifice setările din browser)
  • evitarea solicitării consimțământului pentru a procesa o precondiție a unui serviciu (nu interzicem accesul la site dacă nu ne este oferit consimțământul)
  • elaborarea unei unei politici privind utilizarea cookie-urilor, care poate fi distinctă sau integrată în politica de confidențialitate

Ce informații trebuie să oferim atunci când solicităm un consimțământ?

  • identitatea operatorului care solicita datele
  • scopul fiecărei operațiuni de prelucrare pentru care se solicită consimțământul
  • tipul de date care vor fi colectate și utilizate
  • existența dreptului de retragere a consimțământului
  • informații privind utilizarea datelor pentru procesul decizional automatizat (dacă este cazul)
  • informații privind posibilele riscuri legate de transferurile de date din cauza lipsei unei decizii privind caracterul adecvat al nivelului de protecție și a garanțiilor adecvate (dacă este cazul)

Cum verificăm dacă am obținut un consimțământ valid?

Doar 5 minute sunt necesare pentru o analiză completă a validității consimțământului, 5 minute care va pot scapă de mari posibile bătăi de cap sau amenzi, parcurgând următorul checklist elaborat de ICO.

 

Solicitarea consimțământului

☐ Am verificat dacă alegerea consimțământului este cea mai potrivită bază legală pentru procesare.

☐ Am solicitat consimțământul printr-o acțiune clara, separată de termenii și condițiile noastre.

☐ Solicităm un opt-in pozitiv.

☐ Nu folosim cutii pre-bifate sau orice alt tip de consimțământ implicit.

☐ Folosim un limbaj clar, simplu, ușor de înțeles.

☐ Specificăm de ce vrem nevoie de acele date și ce vom face cu ele.

☐ Oferim opțiuni distincte ("granulare") pentru consimțăminte separate pentru fiecare scop și tip de procesare în parte.

☐ Menționăm identitatea noastră și orice operator asociat care prelucra datele în baza consimțământului.

☐ Înainte de acordarea consimțământului informăm asupra posibilității retragerii acestuia și modul de realizare a acestei acțiuni.

☐ Ne asigurăm că indivizii pot refuza să-și dea acordul fără prejudicii.

☐ Evitam să vă acordam consimțământul pentru a procesa o precondiție a unui serviciu.

☐ Ne asigurăm ca nu oferim servicii online, pentru care este necesar consimțământul, în mod direct minorilor sub 16 ani, fără acordul titularului răspunderii părintești 

 

Înregistrarea consimțământului

☐ Menținem o evidență a momentului și a modului în care am obținut consimțământul de la individ.

☐ Menținem o evidență exactă a ceea ce li s-a comunicat în acel moment.

 

Gestionarea consimțământului

☐ Revizuim în mod regulat consimțămintele pentru a verifica dacă relația, prelucrarea și scopurile nu s-au schimbat.

☐ Am implementat proceduri privind reîmprospătarea  consimțământul la intervale adecvate.

☐ Facilitam o ușoară retragere consimțământul în orice moment și comunicam clar modul în care acest lucru se poare realiza

☐ Dispunem retragerea consimțământului în cel mai scurt timp posibil

☐ Nu penalizăm persoanele care doresc să-și retragă consimțământul

 

Să luăm un exemplu din mediul online autohton:

1. Pentru a descărca broșura unui autovehicul, de pe site-ul oficial al unuia dintre cei mai mari producători mondiali, ne sunt solicitate nume, prenume și adresa de e-mail. Suntem informați ca datele noastre vor fi transferate partenerilor producătorului “în scopul îmbunatățirii activității comerciale”. Continuând să citim informarea, ni se impune să declarăm că “prezentul consimțământ este dat liber”, cu toate ca accesul la broșură este condiționat de oferirea consimțământului.

Captură ecran www.toyota.ro, data 06.12.2018

 

Acest operator a elaborat o politică de confidențialitate stratificată, pentru fiecare tip de prelucrare existând câte o informare separată desprinsă din politica generală. Din informarea aferentă prelucrării în vederea transmiterii broșurii aflăm că datele noastre vor fi păstrate timp de 6 ani și pot fi transmise partenerilor operatorului, în scopul îmbunatățirii activității comerciale, mai multe informații despre acești parteneri fiind consemnate în Politica de Confidențialitate (generala), printre aceștia numărându-se și “agenții de publicitate, de marketing și de promovare”. 

 

Astfel, analizând informarea, termenii și condițiile din perspectiva GDPR-ului, putem constata cu ușurință elemente care, în cazul unui control, ar putea determina invaliditatea acestuia:

  • consimțământul este solicitat pentru a procesa o precondiție a unui serviciu (descărcarea unei broșuri în vederea achizitionarii unui autoturism)
  • accesul la broșură este constrâns de acordarea consimțământului
  • consimțământul nu este solicitat separat pentru fiecare activitate de preluare
  • nu este clar cine și în ce scop va avea acces la datele noastre
  • perioada de stocare de 6 ani ar putea fi dificil de justificat

 

Aceleași suspiciuni planează și asupra solicitării consimțământului privind utilizarea cookie-urilor. În momentul solicitării consimțământului nu avem toate datele necesare luarii unei decizii în cunoștință de cauză, pentru a avea acces la aceste informații fiind necesar sa accesam sectiunea “Setari cookie-uri” unde descoperim ca toate opt-in-urile aferente scopurilor utilizării acestora sunt pre-bifate:

 

Captura ecran www.toyota.ro, data 09.12.2018

 

Concluzie

Solicitați consimțământul numai pentru prelucrările de date care nu se încadrează în niciunul din celelalte 5 temeiuri care legalizează prelucrarea. Dacă prelucrarea se bazează pe consimțământ asigurați-va ca respectă în totalitate principiile valabilității acestuia. 

 

Ai intrebări? Nu ezita să ne scrii la office@decalex.ro sau contacteaza-ne aici.

 

Share:
Decalex
Autor: DECALEX

PUNE O INTREBARE