G.D.P.R. Noi orientări privind valabilitatea consimţământului în cazul „cookie walls” și al acţiunilor swipe/scroll în cadrul unui website

15 dec. 2023
Vizualizari: 246
 

Universuljuridic.ro PREMIUM

Aici găsiți informaţiile necesare desfăşurării activităţii dvs. profesionale.

Universuljuridic.ro PREMIUM pune la dispoziția profesioniștilor lumii juridice un prețios instrument de pregătire profesională. Oferim un volum vast de conținut: articole, editoriale, opinii, jurisprudență și legislație comentată, acoperind toate domeniile și materiile de drept. Clar, concis, abordăm eficient problematicile actuale, răspunzând scenariilor de activitate din lumea reală, în care practicienii activează.

Testează ACUM beneficiile Universuljuridic.ro PREMIUM prin intermediul abonamentului GRATUIT pentru 7 zile!

🔑Vreau cont PREMIUM!


 

I. Introducere

În data de 4 mai 2020, Comitetul European pentru Protecția Datelor („CEPD”) a adoptat „Orientările 05/2020 cu privire la consimțământ în temeiul Regulamentului 2016/679 (versiunea 1.1)[1] („Orientările 05/2020”), prin care actualizează orientările emise anterior pe aceeași temă de către Grupul de Lucru „Articolul 29” („GL Art. 29”)[2].

Intenția CEPD este ca noul document de referință pentru temeiul legal al consimțământului să îl înlocuiască pe cel precedent, fără a afecta însă alte orientări punctuale pe tema consimțământului prezente în documentele GL Art. 29.

Deși conținutul orientărilor anterioare rămâne în mare parte identic (cu modificări formale, cum ar fi cele legate de înlocuirea GL Art. 29), CEPD a folosit această ocazie pentru a aduce o serie de noi clarificări legate de interpretarea prevederilor aplicabile consimțământului pentru prelucrarea datelor cu caracter personal conform GDPR.

Noutățile aduse de CEPD se referă la următoarele două tematici principale:

– Condiționarea accesului la conținutul unui website de acceptarea plasării cookies.

– Deducerea consimțământului din diferite acțiuni ale utilizatorilor pe un website (scroll/swipe).

Acest articol descrie pe scurt modificările care au avut loc în optica organismului european și discută o serie de consecințe asupra practicilor de solicitare a consimțământului.

II. Context

CEPD este un organ independent al Uniunii Europene alcătuit din șeful unei autorități de supraveghere din fiecare stat membru și din Autoritatea Europeană pentru Protecția Datelor sau reprezentanții respectivi ai acestora. Între sarcinile comitetului se regăsește emiterea de orientări, recomandări și bune practici pentru a încuraja aplicarea coerentă a GDPR – acte care nu au forță juridică obligatorie în ordinea de drept a Statelor Membre.

Cu toate acestea, chiar dacă orientările CEPD nu au caracter juridic coercitiv, este important de reținut că adoptarea acestora este rezultatul unei decizii în cadrul comitetului, la care participă prin vot liderii autorităților de supraveghere. Prin urmare, orientările CEPD sunt un punct de referință important pentru toți actorii implicați în prelucrarea datelor personale, acestea oferind o previzibilitate mai mare modului în care regulile GDPR ar putea fi interpretate de o autoritate de supraveghere (mai ales când șeful acesteia a votat pentru a susține respectiva orientare).

Anterior datei la care GDPR a devenit direct aplicabil, GL Art. 29 a emis un set de orientări pentru a pregăti terenul interpretării celor mai importante noțiuni din regulament. Printre acestea s-a numărat și consimțământul, analizat de către GL Art. 29 în cadrul orientărilor sale adoptate în formă revizuită la data de 10 aprilie 2018[3]. Începând cu data de 25 mai 2018, CEPD a înlocuit GL Art. 29, emițând o declarație prin care a confirmat o serie de orientări și alte acte emise de predecesorul său[4].

În cazul specific al orientărilor GL Art. 29 pe tema consimțământului, deși au fost inițial confirmate de comitet, CEPD a ales ca doi ani mai târziu să le actualizeze cu anumite exemple, care să răspundă, măcar parțial, la incertitudinea legată de diversele mecanisme de obținere a consimțământului pentru plasarea de cookies și tehnologii similare. Astfel, aceste actualizări se regăsesc în noul document conținând Orientările 5/2020.

III. Legătura dintre GDPR și legislația ePrivacy

Întrucât noutățile din Orientările 5/2020 se referă și la problematica utilizării cookies și a tehnologiilor similare, este necesară o scurtă clarificare a legăturii dintre GDPR și legislația care a transpus Directiva 2002/58/CE privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice („Directiva ePrivacy”), atunci când vine vorba de regulile aplicabile consimțământului.

Normele juridice aplicabile plasării de cookies sau tehnologii similare sunt prevăzute în art. 4 alin. (5)-(6) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice („Legea nr. 506/2004”)[5]. Pe scurt, regula din Legea nr. 506/2004 stabilește că, atât timp cât nu sunt strict necesare, cookie-urile nu pot fi plasate fără acordul utilizatorului. Mai departe, acordul utilizatorului trebuie să fie interpretat conform GDPR, pe baza următoarelor argumente: (a) Legea nr. 506/2004 se completează cu prevederile Legii nr. 677/2001, înlocuită în prezent cu GDPR și (b) Directiva ePrivacy, transpusă prin Legea nr. 506/2004, indică în mod explicit, în cadrul definițiilor, că „acordul” unui abonat sau utilizator înseamnă consimțământului acordat de persoana vizată din Directiva 95/46/CE (în prezent înlocuită de GDPR)[6]. Aplicarea regulilor din GDPR referitoare la consimțământ, în domeniul de reglementare al Directivei ePrivacy este subliniat și de Orientările 5/2002, iar această corelație rămâne relevantă și în contextul eforturilor actuale de înlocuire a Directivei ePrivacy cu un nou regulament.

Prin urmare, datorită legăturii dintre GDPR și Directiva ePrivacy, respectiv Legea nr. 506/2004, orientările emise de CEPD cu privire la condițiile de valabilitate a consimțământului sunt relevante și pentru aplicarea normelor referitoare la plasarea cookie-urilor și a altor tehnologii similare[7]. De altfel, Orientările 5/2020 sunt relevante ori de câte ori o normă juridică face trimitere la consimțământul definit în GDPR.

Pachet: Codul administrativ comentat. Explicatii, jurisprudenta, doctrina. Volumul I si Volumul II

IV. Cerințele de valabilitate a consimțământului puse în discuție prin noile exemple adoptate de CEPD

GDPR a ridicat standardul la care este evaluată valabilitatea consimțământului pentru prelucrare datelor personale, adăugând criteriul lipsei de ambiguitate și a lipsei de echivoc a acțiunii persoanei vizate, precum și reglementând condiții suplimentare în art. 7 din regulament.

Dintre condițiile stabilite de GDPR pentru obținerea unui consimțământ valabil, modificările aduse de Orientările 5/2020 pun în discuție următoarele: condiția de a fi liber exprimat, condiția unei acțiuni clare și fără echivoc, respectiv posibilitatea persoanei vizate de a-și retrage consimțământul.

(i) consimțământul liber exprimat

Conform art. 4, pct. 11 din GDPR, consimțământul pentru prelucrarea datelor personale este o manifestare de voință liberă. De asemenea, art. 7 (4) din regulament stabilește un standard pentru a evalua caracterul liber al consimțământului: „Atunci când se evaluează dacă consimțământul este dat în mod liber, se ține seama cât mai mult de faptul că, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiționată sau nu de consimțământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract”.

Formularea art. 7 (4) este flexibilă și sugerează că se pot lua în considerare diferite criterii pentru a determina libertatea consimțământului, însă prezența unei condiționări în raport cu executarea unui contract sau prestarea unui serviciu este un semnal puternic despre potențiala lipsă de valabilitate.

Important de notat este că invalidarea ar avea loc doar atunci când prelucrarea datelor personale nu ar fi necesară pentru executarea contractului/prestarea serviciilor. Necesitatea se evaluează în funcție de conținutul respectivului contract sau alt tip de înțelegere, respectiv de natura serviciilor. Cade astfel în sarcina operatorului de date personale să analizeze ce date sunt necesare pentru executarea contractului/prestarea serviciilor și să stabilească dacă se va întemeia pe art. 6

(1) (a) – consimțământul sau pe 6 (1) (b) – contractul cu persoana vizată.

Întrucât această analiză implică o doză mare de apreciere proprie a operatorului, cu atât mai mult devin utile Orientările 5/2020, care oferă, în secțiunea 3, o serie întreagă de indicații teoretice și exemple practice. Dezechilibrul de putere între persoana vizată și operator, condiționarea consimțământului, lipsa de granularitate a solicitării consimțământului și consecințele negative pe care le-ar suferi persoana vizată în absența acordului, reprezintă cele patru fațete ale încălcării criteriului libertății consimțământului pentru prelucrarea datelor personale.

În particular, condiționarea consimțământului se regăsește, printre altele, în situațiile în care acordul pentru prelucrarea datelor personale ne-necesare este asimilat manifestării de voință de a încheia un contract. Modul nedecisiv în care este formulat art. 7 (4) din GDPR („…se ține seama cât mai mult de faptul că, printre altele…”) duce mai degrabă la concluzia că se indică o prezumție de nevalabilitate a consimțământului, care ar putea fi răsturnată de către operator având în vedere alte elemente de fapt legate de relația dintre operator și persoana vizată[8]. Chiar și așa, întreg art. 7 din GDPR este stipulat pentru a proteja persoanele vizate și, prin urmare, se va interpreta și aplica cu strictețe și în beneficiul persoanelor vizate.

Rămâne, de asemenea, importantă clarificarea conceptului de „date necesare pentru executarea unui contract”, deoarece orice prelucrare de date care cad în afara acestei necesități, va trebui să fie bazată pe un alt temei legal din cele indicate de art. 6 (1) din GDPR. CEPD afirmă că „trebuie să existe o legătură directă și obiectivă între prelucrarea datelor și scopul pentru care se încheie contractul[9]. Din nou, se lasă la aprecierea operatorilor să stabilească ce este necesar pentru executarea unui contract, fiind furnizate câteva exemple.

(ii) acțiune clară și fără echivoc

Această condiție presupune ca persoana vizată să realizeze o acțiune sau o declarație în sensul exprimării consimțământului său, din care să reiasă intenția acesteia de a permite prelucrarea datelor. Inacțiunea sau tăcerea persoanei, sau simpla utilizare a unui serviciu nu pot fi interpretate ca acorduri pentru prelucrarea datelor. Nu este exclus ca acestea să poată fi interpretate ca manifestări de voință pentru alte acte juridice, dar nu pentru scopul specific al prelucrării datelor personale care nu sunt necesare executării respectivului act juridic.

De asemenea, tot pe această temă trebuie să fie avută în vedere jurisprudența recentă a CJUE. În Cauza C-673/17 Planet 49[10] Curtea a clarificat soarta căsuțelor pre-bifate utilizate pe un website, pentru dovedirea consimțământului utilizatorilor: „consimțământul prevăzut la aceste dispoziții nu este dat în mod valabil atunci când stocarea de informații sau dobândirea accesului la informațiile deja stocate în echipamentul terminal al utilizatorului unui site internet, prin cookie-uri, este autorizată prin intermediul unei căsuțe bifate în prealabil pe care acest utilizator trebuie să o debifeze în cazul în care refuză să își dea consimțământul[11]. Adăugăm, pentru claritate, că este vorba de situațiile în care plasarea de cookies este condiționată de consimțământul utilizatorului, deci sunt excluse cookie-urile necesare, care pot fi plasate fără consimțământ.

(iii) dreptul de retragere a consimțământului

GDPR a reglementat în mod expres dreptul persoanei vizate de a-și retrage consimțământul acordat pentru prelucrarea datelor personale, în art. 7 (3). Această prevedere este cel mai eficient contra-argument împotriva ipotezei că temeiul consimțământului ar fi cel mai adecvat temei legal pentru prelucrarea datelor personale în general. Art. 7 (3) a creat un drept necondiționat al persoanei vizate de a-și retrage consimțământul („în orice moment”, „la fel de simplu ca acordarea acestuia”), dacă prelucrarea s-a bazat pe acest temei. Prin urmare, operatorii care au solicitat consimțământul în cazul unor date personale care erau, de fapt, necesare pentru îndeplinirea unei obligații legale, pentru prestarea unor servicii sau pentru îndeplinirea unor interesele legitime, vor avea mereu sabia lui Damocles atârnând deasupra prelucrărilor întemeiate incorect.

Așa cum a structurat Orientările 5/2020, CEPD consideră că posibilitatea persoanei vizate de a-și retrage consimțământul conform art. 7 (3) din GDPR reprezintă o condiție de valabilitate a consimțământului, deși acest aspect nu face parte din definiția consimțământului din art. 4, pct. 11 din GDPR[12].

Deși poate fi considerată o observație superfluă, consimțământul este doar unul dintre temeiurile legale de prelucrare a datelor personale indicate în art. 6 (1) din GDPR – iar între aceste temeiuri nu există ierarhii. Prin urmare, consimțământul nu reprezintă regula pentru prelucrarea datelor personale și celelalte temeiuri excepțiile. Operatorii de date personale trebuie să evalueze de la caz la caz, în funcție de caracteristicile și scopurile prelucrării, care este temeiul adecvat. Mai mult decât atât, rigurozitatea reglementării consimțământului în GDPR și fragilitatea acestuia ar trebui să ridice mari semne de întrebare persoanelor care promovează acest temei ca fiind cea mai la îndemână soluție pentru a asigura legalitatea prelucrării.


* Este extras din Revista Română de Drept al Afacerilor nr. 2/2020.

[1] https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf

[2] Grupul de Lucru „Articolul 29”, Orientări privind consimțământul în temeiul Regulamentului 2016/679, adoptate la 28 noiembrie 2017, astfel cum au fost revizuite ultima dată și adoptate la 10 aprilie 2018, disponibile online la: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051 (accesat la 22 iunie 2020).

[3] Idem supra nr. 2.

[4] A se vedea Confirmarea nr. 1/2018 adoptată de CEPD la data de 25 mai 2018, disponibilă online la: https://edpb.europa.eu/sites/edpb/files/files/news/endorsement_of_wp29_documents_en_0.pdf (accesat la 22 iunie 2018).

[5] Normele invocate se referă la „stocarea de informații sau obținerea accesului la informația stocată în echipamentul terminal al unui abonat ori utilizator”. Pentru simplitate, în acest articol se va face referire generală la cookies, reținând însă faptul că stocarea și obținerea accesului la informație la care se referă art. 4 din Legea nr. 506/2004 poate fi realizată cu ajutorul unor tehnologii diverse.

[6] Art. 2 (f) din Directiva ePrivacy. Această definiție nu se regăsește în mod explicit în Legea nr. 506/2004, astfel cum aceasta a fost modificată ulterior modificării Directivei ePrivacy. De asemenea, Legea nr. 506/2004 nu este consecventă în utilizarea noțiunilor, deoarece în art. 4 (5) face referire la „acord”, pe când în art. 12 (1) aplicabil comunicărilor comerciale face referire la „consimțământ”. Această inconsecvență apare și în varianta din limba română a Directivei ePrivacy, în schimb variantele în limba engleză și franceză a Directivei ePrivacy folosesc termenul „consent”, respectiv „consentement” în ambele situații.

[7] Concluzia este valabilă și în cazul consimțământului acordat pentru comunicări comerciale conform art. 12 din Legea nr. 506/2004.

[8] Un argument în plus pentru susținerea ideii de prezumție este formularea din considerentul (43) din GDPR. Din păcate, traducerea în limba română nu a preluat nuanța variantei în limba engleză, unde se precizează „(…) Consent is presumed [sublinierea ne aparține – n.a.] not to be freely given if it does not allow separate consent to be given to different personal data processing operations despite it being appropriate in the individual case, or if the performance of a contract, including the provision of a service, is dependent on the consent despite such consent not being necessary for such performance”. Textul în limba română, în schimb, conține o formulare mult mai drastică: „(…)Consimțământul este considerat [sublinierea ne aparține – n.a.] a nu fi acordat în mod liber (…).” De asemenea, paragrafele 34 și 35 din Orientările 5/2020 indică lipsa caracterului absolut al regulii stipulate în art. 7(4) din GDPR subliniind că va fi dificil (deci nu imposibil) pentru operator să facă dovada contrară.

[9] Orientările 5/2020, parag. 30.

[10] CJUE, Cauza C-673/17 Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV împotriva Planet49 GmbH, hotărâre pronunțată la 1 octombrie 2019 (ECLI:EU:C:2019:801).

[11] Idem supra, parag. 65.

G.D.P.R. Noi orientări privind valabilitatea consimțământului în cazul „cookie walls” și al acțiunilor swipe/scroll în cadrul unui website was last modified: decembrie 14th, 2023 by Dana Ududec

PARTENERI INSTITUȚIONALI

Vă recomandăm:

Rămâi la curent cu noutățile juridice