GDPR Awareness Blog - GDPR Awareness

Go to content

Πότε & Πώς Χρησιμοποιείται η Συγκατάθεση με Βάση τον ΓΚΠΔ

GDPR Awareness
Στο πλαίσιο της προστασίας προσωπικών δεδομένων της ΕΕ, το θέμα της συγκατάθεσης και ο κύριος ρόλος της ως μία από τις έξι νόμιμες βάσεις για την επεξεργασία προσωπικών δεδομένων δεν είναι καινούργιος. Πράγματι, η συγκατάθεση αντιπροσωπεύει ένα από τα παλαιότερα στοιχεία σε αυτόν τον τομέα της νομοθεσίας και σε επίπεδο ΕΕ έχει βαθιά ρίζα τουλάχιστον μέχρι την οδηγία για την προστασία των δεδομένων του 1995.

Παρ 'όλα αυτά, ο ΓΚΠΔ έχει επεκτείνει τον προηγούμενο ορισμό, ορίζοντας υψηλότερα πρότυπα για τη συγκατάθεση και ότι αυτή πρέπει να είναι «οργανική, συνεχής και ενεργά διαχειριζόμενη επιλογή και όχι απλώς ένα εφάπαξ πλαίσιο συμμόρφωσης για να σημειωθεί και να αρχειοθετηθεί». Κατά συνέπεια η θέση αυτή αντικατοπτρίζει ότι η συγκατάθεση είναι σε «ανταγωνισμό» με τις άλλες νόμιμες βάσεις που αναφέρονται στον κανονισμό. Αυτό που θέλουμε να κάνουμε με αυτήν την ανάρτηση είναι να παρέχουμε μια επισκόπηση των πέντε κύριων απαιτήσεων συναίνεσης όπως αναφέρονται στον Κανονισμό και να δούμε σε ποια σενάρια αυτή η νόμιμη βάση ταιριάζει καλύτερα.

1. Να δίνεται ελεύθερα, χωρίς αντίκρισμα
Η πρώτη απαίτηση, η οποία αναφέρεται στο άρθρο 4.7 για την συγκατάθεση, είναι ότι αυτή πρέπει να «δίνεται ελεύθερα». Το στοιχείο «ελεύθερο» που αναφέρεται στον κανονισμό συνεπάγεται ότι το υποκείμενο επεξεργασίας έχει πραγματική επιλογή για το εάν θα παρέχει ή όχι τα προσωπικά του δεδομένα και ότι δεν είναι υποχρεωμένο να τα παρέχει καθόλου.
Επομένως, όταν το υποκείμενο επεξεργασίας δεν έχει πραγματική επιλογή επειδή είναι υποχρεωμένο να παρέχει συγκατάθεση ή διαφορετικά θα υπάρξει αρνητική συνέπεια, τότε η συγκατάθεση δεν είναι έγκυρη και πρέπει να βρεθεί άλλη κατάλληλη βάση.
Ας ρίξουμε μια ματιά σε δύο παραδείγματα που παρέχονται από το WP29 στις οδηγίες για τη συναίνεση.

2. Να είναι επ’ ακριβώς προσδιορισμένη και εξειδικευμένη
Η απαίτηση «ειδικής συναίνεσης» θέλει να διασφαλίσει έναν ορισμένο βαθμό ελέγχου και διαφάνειας από το υποκείμενο επεξεργασίας που δεν έχει αλλάξει με τον ΓΚΠΔ. Αυτή η απαίτηση συνδέεται πραγματικά με μία από τις 6 + 1 αρχές και συγκεκριμένα την αρχή του περιορισμού του σκοπού. Πράγματι, το υποκείμενο επεξεργασίας των δεδομένων θα δώσει τη συγκατάθεσή του για την επεξεργασία των προσωπικών δεδομένων μόνο για συγκεκριμένο σκοπό.
Ωστόσο, εάν ένας υπεύθυνος επεξεργασίας θέλει να επεξεργαστεί τα δεδομένα για άλλο σκοπό που με οποιονδήποτε τρόπο δεν είναι συμβατό με τον κύριο, τότε πρέπει να λάβει ξεχωριστή συγκατάθεση για αυτόν τον άλλο σκοπό, εκτός εάν μια άλλη νόμιμη βάση ταιριάζει καλύτερα.
Ας ρίξουμε μια ματιά σε ένα παράδειγμα που παρέχεται από το WP29 στις οδηγίες για τη συναίνεση.

3. Να είναι ενημερωμένη
Ο ΓΚΠΔ ενισχύει την απαίτηση ενημερωμένης συγκατάθεσης σε συνδυασμό με την αρχή της Διαφάνειας του άρθρου 6. Προκειμένου να ενημερωθεί το υποκείμενο επεξεργασίας, ο υπεύθυνος επεξεργασίας δεδομένων υποχρεούται να κοινοποιήσει στο υποκείμενο επεξεργασίας ορισμένα κρίσιμα στοιχεία για να κάνει την επιλογή του, όπως η ταυτότητα του υπευθύνου επεξεργασίας, ο σκοπός της επεξεργασίας, ο τύπος των δεδομένων που υποβάλλονται σε επεξεργασία και το δικαίωμα ανάκλησης της συγκατάθεσης.
Εκτός αυτού, το WP29 σημειώνει πώς "ανάλογα με τις περιστάσεις και το πλαίσιο μιας υπόθεσης, ενδέχεται να απαιτούνται περισσότερες πληροφορίες για να επιτρέψει στα υποκείμενα επεξεργασίας να κατανοήσουν πραγματικά τις διαδικασίες επεξεργασίας που υπάρχουν".
Τέλος, ο ΓΚΠΔ δεν ορίζει υποχρεωτικές απαιτήσεις σχετικά με τη μορφή με την οποία πρέπει να παρέχονται πληροφορίες για να υπάρξει ενημερωμένη συγκατάθεση. Επομένως, πληροφορίες μπορούν να παρουσιαστούν με διαφορετικούς τρόπους, όπως γραπτές / προφορικές δηλώσεις ή μηνύματα ήχου / βίντεο και όλες αυτές οι κατηγορίες πληροφόρησης – ενημέρωσης είναι έγκυρες.

4. Να είναι σαφής
Ο ΓΚΠΔ δηλώνει σαφώς ότι η συγκατάθεση απαιτεί μια σαφή δήλωση από το υποκείμενο των δεδομένων ή μια σαφή καταφατική πράξη (μέσω ενεργής κίνησης ή δήλωσης) που διασφαλίζει ότι το υποκείμενο επεξεργασίας συναινεί στη συγκεκριμένη επεξεργασία. Όσον αφορά την έννοια της "σαφούς καταφατικής πράξης", η αιτιολογική σκέψη του άρθρου 32 του κανονισμού αναφέρει ότι η συγκατάθεση μπορεί επίσης να συλλεχθεί μέσω γραπτής ή καταγεγραμμένης προφορικής δήλωσης, επίσης και με ηλεκτρονικά μέσα. Όταν οι γραπτές δηλώσεις, οι οποίες μπορεί να είναι σε διάφορες μορφές, πρέπει να είναι συμμορφωμένες με τον ΓΚΠΔ, σε αυτές η χρήση προεπιλεγμένων πλαισίων επιλογής (pre-ticked opt-in boxes) δεν είναι έγκυρη βάσει του ΓΚΠΔ.
Επιπλέον, η σιωπή ή η αδράνεια του υποκείμενο επεξεργασίας, καθώς και η απλή χρήση μιας υπηρεσίας δεν μπορεί να θεωρηθεί ούτως ή άλλως ως σαφής συγκατάθεση. Άλλες μορφές όπως η γενική αποδοχή, όπως στην περίπτωση γενικών όρων και προϋποθέσεων, δεν μπορούν να θεωρηθούν ως σαφή επιβεβαιωτική ενέργεια για συγκατάθεση.
Ας ρίξουμε μια ματιά σε δύο παραδείγματα που παρέχονται από το WP29 στις οδηγίες για τη συναίνεση.

5. Να είναι ανακλήσιμη
Η ανακτήσιμη συγκατάθεση είναι η τελευταία (αλλά όχι λιγότερο σημαντική) σημαντική απαίτηση που αναφέρεται στο ΓΚΠΔ στο άρθρο. 7(3). Εδώ, ο κανονισμός δεν προβλέπει την ανάκληση της συγκατάθεσης με τον ίδιο τρόπο που δόθηκε, αλλά "θα είναι τόσο εύκολο να αποσυρθεί η συγκατάθεση όσο και να δοθεί η συγκατάθεση". Ωστόσο, όταν η συναίνεση δίνεται με ηλεκτρονικά μέσα με ένα κλικ του ποντικού, με μια επιλογή ή πληκτρολόγηση, τα υποκείμενα επεξεργασίας επιτρέπεται συνήθως να ανακαλούν τη συγκατάθεση με τον ίδιο τρόπο. Επιπλέον, τα υποκείμενα επεξεργασίας θα πρέπει να μπορούν να αποσύρουν τη συγκατάθεση τους χωρίς καμία βλάβη ή ζημία, όπως η χρέωση τελών ή η μείωση των επιπέδων υπηρεσίας.
Είναι σημαντικό να σημειωθεί ότι εάν αποσυρθεί η συναίνεση, όλες οι εργασίες επεξεργασίας δεδομένων που βασίζονται σε αυτήν και πραγματοποιήθηκαν πριν από την απόσυρση, παραμένουν νόμιμες, όμως κάθε νέα επεξεργασία πρέπει να σταματήσει. Επιπλέον, εάν δεν υπάρχει άλλη νόμιμη βάση για την επεξεργασία δεδομένων (π.χ. διατήρηση λόγω άλλης νομοθεσίας) οποιαδήποτε αποτελέσματα επεξεργασίας μετά την απόσυρση της συγκατάθεση θα πρέπει να διαγραφούν από τον υπεύθυνο επεξεργασίας. Επομένως, είναι εξαιρετικά σημαντικό για τους υπευθύνους επεξεργασίας δεδομένων να εκτιμήσουν τους σκοπούς επεξεργασίας προσωπικών δεδομένων και ποια είναι η καταλληλότερη νόμιμη βάση.

Το συμπέρασμα αυτής της ευρείας επισκόπησης της συναίνεσης και των πολλών απαιτήσεών της, είναι ζωτικής σημασίας για τους υπευθύνους επεξεργασίας να εκτιμήσουν το επίπεδο συμμόρφωσής τους με τον ΓΚΠΔ και να επανεξετάσουν τις τρέχουσες δραστηριότητες επεξεργασίας τους, ελέγχοντας ότι εκείνες που βασίζονται στη συγκατάθεση είναι σύμφωνες με το υψηλότερα πρότυπα που θεσπίζει ο Κανονισμός.




Η CubeIQ και η KontakosMC, διαθέτοντας ομάδα εξειδικευμένων συμβούλων και δικηγόρων και σε συνεργασία με τους καλύτερους επαγγελματίες στον τομέα του ΙΤ βρίσκεται στη διάθεσή σας για να αναλάβει πλήρως ή μερικώς το Έργο Συμμόρφωσης με τον ΓΚΠΔ (GDPR) καθώς και να παράσχει διευκρινίσεις και κατευθύνσεις σχετικά με τις υποχρεώσεις που επιβάλλει ο νέος Κανονισμός με την διαχείριση δεδομένων Προσωπικού Χαρακτήρα.


####



Ποιούς Αφορά

Αφορά όλους τους οργανισμούς, εταιρίες και επαγγελματίες εντός της Ευρωπαϊκής Ένωσης εφόσον επεξεργάζονται Προσωπικά Δεδομένα Πολιτών της Ευρώπης.

Αφορά εταιρίες εκτός Ευρωπαϊκής Ένωσης εφόσον επεξεργάζονται Προσωπικά Δεδομένα Πολιτών της Ευρώπης.

© 2018 - 2020 CubeIQ Limited
Τι είναι Προσωπικά Δεδομένα

Όνομα και Επώνυμο
Διεύθυνση κατοικίας
Τηλέφωνο, email
Ηλικία, Φύλλο
Οικογενειακή κατάσταση
Επάγγελμα
Διεύθυνση εργασίας
ΑΦΜ
Οικονομική κατάσταση
Φυσικά χαρακτηριστικά
...
Τι είναι Ειδικά Δεδομένα

Ιατρικά, Θρησκευτικά, και Πολιτικά δεδομένα
Eρωτικές προτιμήσεις
Συμμετοχή σε οργανώσεις, σωματεία, ομάδες δράσης
Φυλή
Συνδικαλιστική δραστηριότητα
Άλλες δραστηριότητες
Συνήθειες και ενδιαφέροντα
...
GDPR Services On Time
GDPR Services
CubIQ Limited
KontakosMC LP
Back to content