Revocarea consimțământului, din perspectiva Regulamentului general privind protecţia datelor nr. 679/2016

Universuljuridic.ro PREMIUM

Aici găsiți informaţiile necesare desfăşurării activităţii dvs. profesionale.

Universuljuridic.ro PREMIUM pune la dispoziția profesioniștilor lumii juridice un prețios instrument de pregătire profesională. Oferim un volum vast de conținut: articole, editoriale, opinii, jurisprudență și legislație comentată, acoperind toate domeniile și materiile de drept. Clar, concis, abordăm eficient problematicile actuale, răspunzând scenariilor de activitate din lumea reală, în care practicienii activează.

Testează ACUM beneficiile Universuljuridic.ro PREMIUM prin intermediul abonamentului GRATUIT pentru 7 zile!

Consimțământul reprezintă, în esență, o manifestare de voință, efectuată în mod liber și neîngrădit, una specifică, informată și certă,  realizată de o terță persoană, prin care îngăduie prelucrarea datelor ce au caracter personal, printr-o acțiune de unde rezultă opțiunea sa, precum și printr-o declarație efectuată în acest sens [conform art. 4 punctul 11 din Regulamentul general privind protecția datelor nr. 679/2016 („GDPR”), „consimțământ” al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate, a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate].

Pentru a putea proceda la revocarea consimțământului, așadar, este de-o importanță covârșitoare ca acesta să fie exprimat în mod valabil, și, totodată, este de-o însemnătate majoră să cunoaștem cum a fost obținută manifestarea de voință.

Valabilitatea consimțământului  rezidă din următoarele condiții :

 – consimțământul  trebuie să fie liber exprimat, acesta reprezintă un element component al voinței juridice, fiind obținut fără a fi exercitate acte de presiune ori de intimidare, ori obținut prin acte de violență.

– specificitatea consimțământului rezidă din scopul pe care acesta este solicitat.

– să fie dat cunoscând acțiunile ce s-ar realizat în baza acestuia, așa încât opțiunea să fie una validă.

– consimțământul să fie exprimat fără ambiguitate, fără echivoc, deci în mod categoric,  și să rezulte dintr-o declarație expresă, ori dintr-o acțiune de unde rezultă respectivă manifestare de voință.

Articolul 4 pct. 11 din GDPR prevede: „În sensul prezentului regulament:  «consimțământ» al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, că datele cu caracter personal care o privesc să fie prelucrate”.

Conform art. 6 din GDPR  prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:
(a) persoană vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
(b) prelucrarea este necesară pentru executarea unui contract la care persoană vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
(d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoană vizată este un copil.
Litera (f) din primul paragraf nu se aplică în cazul prelucrării efectuate de autorități publice în îndeplinirea atribuțiilor lor.

Articolul 7 alin. (1) din GDPR prevede: „În cazul în care prelucrarea se bazează pe consimțământ, operatorul trebuie să fie în măsură să demonstreze că persoană vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal”.

Articolul 7 alin. (4) din GDPR prevede: „Atunci când se evaluează dacă consimțământul este dat în mod liber, se ține seama cât mai mult de faptul că, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiționată sau nu de consimțământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract”.

Paragraful 43 din preambulul GDPR-ului prevede: „Pentru a garanta faptul că a fost acordat în mod liber, consimțământul nu ar trebui să constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal în cazul particular în care există un dezechilibru evident între persoană vizată și operator, în special în cazul în care operatorul este o autoritate publică, iar acest lucru face improbabilă acordarea consimțământului în mod liber în toate circumstanțele aferente respectivei situații particulare. Consimțământul este considerat a nu fi acordat în mod liber în cazul în care această nu permite să se acorde consimțământul separat pentru diferitele operațiuni de prelucrare a datelor cu caracter personal, deși acest lucru este adecvat în cazul particular, sau dacă executarea unui contract, inclusiv furnizarea unui serviciu, este condiționată de consimțământ, în ciuda faptului că consimțământul în cauza nu este necesar pentru executarea contractului.

Revocarea consimțământului

De principiu, această formă de retragere a consimțământului poate să intervină oricând, nefiind afectată legalitatea prelucrării acestuia.

Înainte de exprimarea consimțământului, persoana este informată în mod corespunzător despre posibilitatea efectivă a retractarii manifestării de voință.

Prelucrarea  unor date sensibile nu afectează consimțământul legal obținut.

Dacă nu există un alt scop sau temei pentru prelucrarea datelor, operatorul trebuie să șteargă datele prelucrate, în conformitate cu art. 13 și 14 din GDPR.

Potrivit art. 17 alin. (1) GDPR, „Persoană vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre următoarele motive…”.

De principiu, datele ce au caracter personal nu se supun ștergerii.

Pentru motive întemeiate, acestea pot fi șterse, însă regula este aceea de stocare a acestor date.

Dacă nu mai sunt necesare scopurile pentru care aceste date au fost colectare, ori  datele ar necesare pentru prelucrări ulterioare, acestea se vor păstra în consecință.

Atunci când prelucrarea a avut la baza consimțământul persoanei vizate, și subzistă alt temei pentru a opera o prelucrare, datele  nu vor  fi șterse, chiar în ipoteza revocării consimțământului.

În cazul în care o terță persoană se opune colectării datelor cu  caracter personal și nu subzistă  motive legitime pentru prelucrarea acestora, trebuie să opereze ștergerea lor.

În cazul în care colectarea datelor a fost una ilegală, este necesară ștergea acestora.

Potrivit art. 17 alin. (3) lit. e) GDPR, datele cu caracter personal nu se șterg atunci când sunt necesare pentru constatarea, exercitarea sau apărarea unui drept în instanța.

Potrivit art. 17 alin. (3) lit. a), datele cu caracter personal nu se șterg dacă prelucrarea este necesară pentru exercitarea dreptului la liberă exprimare și la informare.