Universuljuridic.ro PREMIUM
Aici găsiți informaţiile necesare desfăşurării activităţii dvs. profesionale.
Universuljuridic.ro PREMIUM pune la dispoziția profesioniștilor lumii juridice un prețios instrument de pregătire profesională. Oferim un volum vast de conținut: articole, editoriale, opinii, jurisprudență și legislație comentată, acoperind toate domeniile și materiile de drept. Clar, concis, abordăm eficient problematicile actuale, răspunzând scenariilor de activitate din lumea reală, în care practicienii activează.
Testează ACUM beneficiile Universuljuridic.ro PREMIUM prin intermediul abonamentului GRATUIT pentru 7 zile!
228 views
I. Introducere
În data de 4 mai 2020, Comitetul European pentru Protecţia Datelor („CEPD”) a adoptat „Orientările 05/2020 cu privire la consimțământ în temeiul Regulamentului 2016/679 (versiunea 1.1)”[1] („Orientările 05/2020”), prin care actualizează orientările emise anterior pe aceeași temă de către Grupul de Lucru „Articolul 29” („GL Art. 29”)[2].
Intenţia CEPD este ca noul document de referinţă pentru temeiul legal al consimţământului să îl înlocuiască pe cel precedent, fără a afecta însă alte orientări punctuale pe tema consimţământului prezente în documentele GL Art. 29.
Deși conţinutul orientărilor anterioare rămâne în mare parte identic (cu modificări formale, cum ar fi cele legate de înlocuirea GL Art. 29), CEPD a folosit această ocazie pentru a aduce o serie de noi clarificări legate de interpretarea prevederilor aplicabile consimţământului pentru prelucrarea datelor cu caracter personal conform GDPR.
Noutăţile aduse de CEPD se referă la următoarele două tematici principale:
– Condiţionarea accesului la conţinutul unui website de acceptarea plasării cookies.
– Deducerea consimţământului din diferite acţiuni ale utilizatorilor pe un website (scroll/swipe).
Acest articol descrie pe scurt modificările care au avut loc în optica organismului european și discută o serie de consecinţe asupra practicilor de solicitare a consimţământului.
II. Context
CEPD este un organ independent al Uniunii Europene alcătuit din șeful unei autorităţi de supraveghere din fiecare stat membru și din Autoritatea Europeană pentru Protecţia Datelor sau reprezentanţii respectivi ai acestora. Între sarcinile comitetului se regăsește emiterea de orientări, recomandări și bune practici pentru a încuraja aplicarea coerentă a GDPR – acte care nu au forţă juridică obligatorie în ordinea de drept a Statelor Membre.
Cu toate acestea, chiar dacă orientările CEPD nu au caracter juridic coercitiv, este important de reţinut că adoptarea acestora este rezultatul unei decizii în cadrul comitetului, la care participă prin vot liderii autorităţilor de supraveghere. Prin urmare, orientările CEPD sunt un punct de referinţă important pentru toţi actorii implicaţi în prelucrarea datelor personale, acestea oferind o previzibilitate mai mare modului în care regulile GDPR ar putea fi interpretate de o autoritate de supraveghere (mai ales când șeful acesteia a votat pentru a susţine respectiva orientare).
Anterior datei la care GDPR a devenit direct aplicabil, GL Art. 29 a emis un set de orientări pentru a pregăti terenul interpretării celor mai importante noţiuni din regulament. Printre acestea s-a numărat și consimţământul, analizat de către GL Art. 29 în cadrul orientărilor sale adoptate în formă revizuită la data de 10 aprilie 2018[3]. Începând cu data de 25 mai 2018, CEPD a înlocuit GL Art. 29, emiţând o declaraţie prin care a confirmat o serie de orientări și alte acte emise de predecesorul său[4].
În cazul specific al orientărilor GL Art. 29 pe tema consimţământului, deși au fost iniţial confirmate de comitet, CEPD a ales ca doi ani mai târziu să le actualizeze cu anumite exemple, care să răspundă, măcar parţial, la incertitudinea legată de diversele mecanisme de obţinere a consimţământului pentru plasarea de cookies și tehnologii similare. Astfel, aceste actualizări se regăsesc în noul document conţinând Orientările 5/2020.
III. Legătura dintre GDPR și legislaţia ePrivacy
Întrucât noutăţile din Orientările 5/2020 se referă și la problematica utilizării cookies și a tehnologiilor similare, este necesară o scurtă clarificare a legăturii dintre GDPR și legislaţia care a transpus Directiva 2002/58/CE privind prelucrarea datelor personale și protejarea confidenţialităţii în sectorul comunicaţiilor publice („Directiva ePrivacy”), atunci când vine vorba de regulile aplicabile consimţământului.
Normele juridice aplicabile plasării de cookies sau tehnologii similare sunt prevăzute în art. 4 alin. (5)-(6) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecţia vieţii private în sectorul comunicaţiilor electronice („Legea nr. 506/2004”)[5]. Pe scurt, regula din Legea nr. 506/2004 stabilește că, atât timp cât nu sunt strict necesare, cookie-urile nu pot fi plasate fără acordul utilizatorului. Mai departe, acordul utilizatorului trebuie să fie interpretat conform GDPR, pe baza următoarelor argumente: (a) Legea nr. 506/2004 se completează cu prevederile Legii nr. 677/2001, înlocuită în prezent cu GDPR și (b) Directiva ePrivacy, transpusă prin Legea nr. 506/2004, indică în mod explicit, în cadrul definiţiilor, că „acordul” unui abonat sau utilizator înseamnă consimţământului acordat de persoana vizată din Directiva 95/46/CE (în prezent înlocuită de GDPR)[6]. Aplicarea regulilor din GDPR referitoare la consimţământ, în domeniul de reglementare al Directivei ePrivacy este subliniat și de Orientările 5/2002, iar această corelaţie rămâne relevantă și în contextul eforturilor actuale de înlocuire a Directivei ePrivacy cu un nou regulament.
Prin urmare, datorită legăturii dintre GDPR și Directiva ePrivacy, respectiv Legea nr. 506/2004, orientările emise de CEPD cu privire la condiţiile de valabilitate a consimţământului sunt relevante și pentru aplicarea normelor referitoare la plasarea cookie-urilor și a altor tehnologii similare[7]. De altfel, Orientările 5/2020 sunt relevante ori de câte ori o normă juridică face trimitere la consimţământul definit în GDPR.
IV. Cerinţele de valabilitate a consimţământului puse în discuţie prin noile exemple adoptate de CEPD
GDPR a ridicat standardul la care este evaluată valabilitatea consimţământului pentru prelucrare datelor personale, adăugând criteriul lipsei de ambiguitate și a lipsei de echivoc a acţiunii persoanei vizate, precum și reglementând condiţii suplimentare în art. 7 din regulament.
Dintre condiţiile stabilite de GDPR pentru obţinerea unui consimţământ valabil, modificările aduse de Orientările 5/2020 pun în discuţie următoarele: condiţia de a fi liber exprimat, condiţia unei acţiuni clare și fără echivoc, respectiv posibilitatea persoanei vizate de a-și retrage consimţământul.
(i) consimțământul liber exprimat
Conform art. 4, pct. 11 din GDPR, consimţământul pentru prelucrarea datelor personale este o manifestare de voinţă liberă. De asemenea, art. 7 (4) din regulament stabilește un standard pentru a evalua caracterul liber al consimţământului: „Atunci când se evaluează dacă consimțământul este dat în mod liber, se ține seama cât mai mult de faptul că, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiționată sau nu de consimțământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract”.
Formularea art. 7 (4) este flexibilă și sugerează că se pot lua în considerare diferite criterii pentru a determina libertatea consimţământului, însă prezenţa unei condiţionări în raport cu executarea unui contract sau prestarea unui serviciu este un semnal puternic despre potenţiala lipsă de valabilitate.
Important de notat este că invalidarea ar avea loc doar atunci când prelucrarea datelor personale nu ar fi necesară pentru executarea contractului/prestarea serviciilor. Necesitatea se evaluează în funcţie de conţinutul respectivului contract sau alt tip de înţelegere, respectiv de natura serviciilor. Cade astfel în sarcina operatorului de date personale să analizeze ce date sunt necesare pentru executarea contractului/prestarea serviciilor și să stabilească dacă se va întemeia pe art. 6
(1) (a) – consimţământul sau pe 6 (1) (b) – contractul cu persoana vizată.
Întrucât această analiză implică o doză mare de apreciere proprie a operatorului, cu atât mai mult devin utile Orientările 5/2020, care oferă, în secţiunea 3, o serie întreagă de indicaţii teoretice și exemple practice. Dezechilibrul de putere între persoana vizată și operator, condiţionarea consimţământului, lipsa de granularitate a solicitării consimţământului și consecinţele negative pe care le-ar suferi persoana vizată în absenţa acordului, reprezintă cele patru faţete ale încălcării criteriului libertăţii consimţământului pentru prelucrarea datelor personale.
În particular, condiţionarea consimţământului se regăsește, printre altele, în situaţiile în care acordul pentru prelucrarea datelor personale ne-necesare este asimilat manifestării de voinţă de a încheia un contract. Modul nedecisiv în care este formulat art. 7 (4) din GDPR („…se ține seama cât mai mult de faptul că, printre altele…”) duce mai degrabă la concluzia că se indică o prezumţie de nevalabilitate a consimţământului, care ar putea fi răsturnată de către operator având în vedere alte elemente de fapt legate de relaţia dintre operator și persoana vizată[8]. Chiar și așa, întreg art. 7 din GDPR este stipulat pentru a proteja persoanele vizate și, prin urmare, se va interpreta și aplica cu stricteţe și în beneficiul persoanelor vizate.
Rămâne, de asemenea, importantă clarificarea conceptului de „date necesare pentru executarea unui contract”, deoarece orice prelucrare de date care cad în afara acestei necesităţi, va trebui să fie bazată pe un alt temei legal din cele indicate de art. 6 (1) din GDPR. CEPD afirmă că „trebuie să existe o legătură directă și obiectivă între prelucrarea datelor și scopul pentru care se încheie contractul”[9]. Din nou, se lasă la aprecierea operatorilor să stabilească ce este necesar pentru executarea unui contract, fiind furnizate câteva exemple.
(ii) acțiune clară și fără echivoc
Această condiţie presupune ca persoana vizată să realizeze o acţiune sau o declaraţie în sensul exprimării consimţământului său, din care să reiasă intenţia acesteia de a permite prelucrarea datelor. Inacţiunea sau tăcerea persoanei, sau simpla utilizare a unui serviciu nu pot fi interpretate ca acorduri pentru prelucrarea datelor. Nu este exclus ca acestea să poată fi interpretate ca manifestări de voinţă pentru alte acte juridice, dar nu pentru scopul specific al prelucrării datelor personale care nu sunt necesare executării respectivului act juridic.
De asemenea, tot pe această temă trebuie să fie avută în vedere jurisprudenţa recentă a CJUE. În Cauza C-673/17 Planet 49[10] Curtea a clarificat soarta căsuţelor pre-bifate utilizate pe un website, pentru dovedirea consimţământului utilizatorilor: „consimțământul prevăzut la aceste dispoziții nu este dat în mod valabil atunci când stocarea de informații sau dobândirea accesului la informațiile deja stocate în echipamentul terminal al utilizatorului unui site internet, prin cookie-uri, este autorizată prin intermediul unei căsuțe bifate în prealabil pe care acest utilizator trebuie să o debifeze în cazul în care refuză să își dea consimțământul”[11]. Adăugăm, pentru claritate, că este vorba de situaţiile în care plasarea de cookies este condiţionată de consimţământul utilizatorului, deci sunt excluse cookie-urile necesare, care pot fi plasate fără consimţământ.
(iii) dreptul de retragere a consimțământului
GDPR a reglementat în mod expres dreptul persoanei vizate de a-și retrage consimţământul acordat pentru prelucrarea datelor personale, în art. 7 (3). Această prevedere este cel mai eficient contra-argument împotriva ipotezei că temeiul consimţământului ar fi cel mai adecvat temei legal pentru prelucrarea datelor personale în general. Art. 7 (3) a creat un drept necondiţionat al persoanei vizate de a-și retrage consimţământul („în orice moment”, „la fel de simplu ca acordarea acestuia”), dacă prelucrarea s-a bazat pe acest temei. Prin urmare, operatorii care au solicitat consimţământul în cazul unor date personale care erau, de fapt, necesare pentru îndeplinirea unei obligaţii legale, pentru prestarea unor servicii sau pentru îndeplinirea unor interesele legitime, vor avea mereu sabia lui Damocles atârnând deasupra prelucrărilor întemeiate incorect.
Așa cum a structurat Orientările 5/2020, CEPD consideră că posibilitatea persoanei vizate de a-și retrage consimţământul conform art. 7 (3) din GDPR reprezintă o condiţie de valabilitate a consimţământului, deși acest aspect nu face parte din definiţia consimţământului din art. 4, pct. 11 din GDPR[12].
Deși poate fi considerată o observaţie superfluă, consimţământul este doar unul dintre temeiurile legale de prelucrare a datelor personale indicate în art. 6 (1) din GDPR – iar între aceste temeiuri nu există ierarhii. Prin urmare, consimţământul nu reprezintă regula pentru prelucrarea datelor personale și celelalte temeiuri excepţiile. Operatorii de date personale trebuie să evalueze de la caz la caz, în funcţie de caracteristicile și scopurile prelucrării, care este temeiul adecvat. Mai mult decât atât, rigurozitatea reglementării consimţământului în GDPR și fragilitatea acestuia ar trebui să ridice mari semne de întrebare persoanelor care promovează acest temei ca fiind cea mai la îndemână soluţie pentru a asigura legalitatea prelucrării.
* Este extras din Revista Română de Drept al Afacerilor nr. 2/2020.
[1] https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf
[2] Grupul de Lucru „Articolul 29”, Orientări privind consimțământul în temeiul Regulamentului 2016/679, adoptate la 28 noiembrie 2017, astfel cum au fost revizuite ultima dată și adoptate la 10 aprilie 2018, disponibile online la: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051 (accesat la 22 iunie 2020).
[3] Idem supra nr. 2.
[4] A se vedea Confirmarea nr. 1/2018 adoptată de CEPD la data de 25 mai 2018, disponibilă online la: https://edpb.europa.eu/sites/edpb/files/files/news/endorsement_of_wp29_documents_en_0.pdf (accesat la 22 iunie 2018).
[5] Normele invocate se referă la „stocarea de informații sau obținerea accesului la informația stocată în echipamentul terminal al unui abonat ori utilizator”. Pentru simplitate, în acest articol se va face referire generală la cookies, reţinând însă faptul că stocarea și obţinerea accesului la informaţie la care se referă art. 4 din Legea nr. 506/2004 poate fi realizată cu ajutorul unor tehnologii diverse.
[6] Art. 2 (f) din Directiva ePrivacy. Această definiţie nu se regăsește în mod explicit în Legea nr. 506/2004, astfel cum aceasta a fost modificată ulterior modificării Directivei ePrivacy. De asemenea, Legea nr. 506/2004 nu este consecventă în utilizarea noţiunilor, deoarece în art. 4 (5) face referire la „acord”, pe când în art. 12 (1) aplicabil comunicărilor comerciale face referire la „consimţământ”. Această inconsecvenţă apare și în varianta din limba română a Directivei ePrivacy, în schimb variantele în limba engleză și franceză a Directivei ePrivacy folosesc termenul „consent”, respectiv „consentement” în ambele situaţii.
[7] Concluzia este valabilă și în cazul consimţământului acordat pentru comunicări comerciale conform art. 12 din Legea nr. 506/2004.
[8] Un argument în plus pentru susţinerea ideii de prezumţie este formularea din considerentul (43) din GDPR. Din păcate, traducerea în limba română nu a preluat nuanţa variantei în limba engleză, unde se precizează „(…) Consent is presumed [sublinierea ne aparţine – n.a.] not to be freely given if it does not allow separate consent to be given to different personal data processing operations despite it being appropriate in the individual case, or if the performance of a contract, including the provision of a service, is dependent on the consent despite such consent not being necessary for such performance”. Textul în limba română, în schimb, conţine o formulare mult mai drastică: „(…)Consimțământul este considerat [sublinierea ne aparţine – n.a.] a nu fi acordat în mod liber (…).” De asemenea, paragrafele 34 și 35 din Orientările 5/2020 indică lipsa caracterului absolut al regulii stipulate în art. 7(4) din GDPR subliniind că va fi dificil (deci nu imposibil) pentru operator să facă dovada contrară.
[9] Orientările 5/2020, parag. 30.
[10] CJUE, Cauza C-673/17 Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV împotriva Planet49 GmbH, hotărâre pronunţată la 1 octombrie 2019 (ECLI:EU:C:2019:801).
[11] Idem supra, parag. 65.
- 1
- 2
