Consimțământul persoanei vizate pentru prelucrarea datelor personale, între granularitate și specificitate
26 iulie 2021 | Dermina-Petronela DANCIU
Dermina-Petronela Danciu
I. Consimțământul, ca temei al prelucrării datelor personale
Noțiunea de „consimțământ al persoanei vizate”, prevăzută de art. 6, alin. (1), lit. a) din Regulamentul (UE) 2016/679 este diferită parțial de conceptul prevăzut de legislația națională, respectiv de noțiunea de „consimțământ la încheierea actelor juridice”, din dreptul civil român. Dacă prelucrarea datelor personale se va face în temeiul consimțământului, din perspectiva legislației privind existența unui consimțământ valabil exprimat, pe lângă aplicarea acestor condiții generale pentru valabilitatea consimțământului conform dreptului civil, este necesară și întrunirea condițiilor prevăzute de art. 4, pct. 11 și ale art. 6, alin. (1), lit. a) din RGDP, pentru ca prelucrarea datelor personale având acest temei legal să fie valabilă[1].
Consimțământul exprimat pentru încheierea valabilă a unui contract semnifică acceptarea condițiilor contractuale și diferă cel puțin parțial de conceptul de „consimțământ al persoanei vizate” vehiculat în textele RGDP, prezentând exigențe distincte și având reverberații diferite. Astfel, actualul Cod civil consacră articolul 1179 enumerării condițiilor „esențiale pentru validitatea contractului”, iar următoarele texte[2] dezvoltă unele aspecte legate de aceste condiții. Așadar, în literatura clasică de specialitate, sunt considerate elemente structurale ale actului juridic: capacitatea, consimțământul, obiectul și cauza. Consimțământul, înțeles ca o condiție esențială a actului civil, poate fi definit ca voința exteriorizată în sensul de a genera efectele unui anume act juridic[3].
Prin urmare, în domeniul de aplicare a normelor RGDP privitoare la consimțământ, la intersecția cu exigențele specifice dreptului civil, nu este vorba de excluderea reciprocă a acestor criterii ci, dimpotrivă, de întrunirea cumulativă a cerințelor prevăzute de Regulament și a celor specifice, consacrate de legislația națională. Regulamentul nu se referă la condițiile generale de valabilitate a consimțământului într-un context de drept civil, însă nu înlătură aplicarea dreptului național, ceea ce ridică problema suprapunerii seturilor de norme menționate[4].
În altă ordine de idei, mai putem nota faptul că Regulamentul (UE) 2016/679 stabilește cu claritate faptul că nu există o ierarhie în ceea ce privește temeiurile prelucrării datelor, oricare dintre temeiurile indicate la art. 6 alin. (1) sau art. 9 alin. (2), printre care se află și consimțământul, poate fundamenta prelucrarea datelor personale[5], având în vedere, totodată, exigențele impuse de Regulamentul General în ceea ce privește caracterul granular și specific al consimțământului persoanei vizate[6].
Dacă operatorii vor înțelege să prelucreze datele în baza consimțământului persoanei vizate, aceștia vor fi obligați să îndeplinească și obligațiile prevăzute de art. 7 din Regulamentul (UE) 2016/679: „(1) În cazul în care prelucrarea se bazează pe consimțământ, operatorul trebuie să fie în măsură să demonstreze că persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal; (2) În cazul în care consimțământul persoanei vizate este dat în contextul unei declarații scrise care se referă și la alte aspecte, cererea privind consimțământul trebuie să fie prezentată într-o formă care o diferențiază în mod clar de celelalte aspecte, într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu. Nicio parte a respectivei declarații care constituie o încălcare a prezentului regulament nu este obligatorie; (3) Persoana vizată are dreptul să își retragă în orice moment consimțământul. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia. Înainte de acordarea consimțământului, persoana vizată este informată cu privire la acest lucru. Retragerea consimțământului se face la fel de simplu ca acordarea acestuia și (4) Atunci când se evaluează dacă consimțământul este dat în mod liber, se ține seama cât mai mult de faptul că, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiționată sau nu de consimțământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract”.
În cazul în care se aplică dispozițiile art. 6, alin. (1), lit. (a) RGDP, în ceea ce privește oferirea de servicii ale societății informaționale în mod direct unui minor, prelucrarea datelor cu caracter personal ale minorului este legală dacă acesta are cel puțin vârsta de 16 ani. Dacă minorul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă și în măsura în care consimțământul respectiv este acordat sau autorizat de titularul răspunderii părintești asupra copilului. Statele membre pot prevedea prin lege o vârstă inferioară în aceste scopuri, cu condiția ca acea vârstă inferioară să nu fie mai mică de 13 ani. Totodată, conform paragrafului secundar al articolului citat, „ (2) Operatorul depune toate eforturile rezonabile pentru a verifica în astfel de cazuri că titularul răspunderii părintești a acordat sau a autorizat consimțământul, ținând seama de tehnologiile disponibile”.
II. Condițiile specifice de validitate a consimțământului persoanei vizate
1. Consimțământul la prelucrarea datelor trebuie să fie liber acordat
Una dintre condițiile elementare care trebuie respectate pentru ca un consimțământ la prelucrarea datelor cu caracter personal să poată fi considerat valabil, este aceea ca acesta să fie acordat în mod liber de către persoana vizată. Elementul menționat implică o alegere reală și existența unui control efectiv din partea persoanelor vizate asupra prelucrării datelor personale. Ca regulă generală, Regulamentul (UE) 2016/679 prevede că, dacă persoana vizată nu beneficiază de o alegere reală, dacă se simte obligată / constrânsă să consimtă la prelucrarea datelor personale în anumite scopuri sau dacă va suporta consecințe negative în cazul în care nu consimte la derularea anumitor operațiuni de prelucrare, consimțământul său nu va fi considerat valabil acordat. Totodată, dacă consimțământul este înglobat, ca parte ce nu poate fi negociată ori care nu presupune acceptul / refuzul separat, în cuprinsul termenelor și condițiilor generale de contractare[7], se prezumă că acesta nu a fost exprimat în mod liber. De asemenea, consimțământul nu va fi considerat liber exprimat dacă persoana vizată nu este în măsură să refuze sau să-și retragă consimțământul fără a fi prejudiciată (în interesele sale economice)[8].
Numeroase situații practice se pot dovedi problematice din această perspectivă, în care se presupune că un consimțământ nu va putea fi considerat ca fiind liber acordat, în mod special atunci când, între operator și persoana vizată există un raport vertical, de subordonare. În acest sens, Orientările EDPB 05/2020 privind consimțământul în temeiul Regulamentului 2016/679, adoptate la data de 04 mai 2020 fac trimitere la situația raportului dintre o persoană vizată și o autoritate publică, precum și la subordonarea existentă în raporturile de muncă, în care se manifestă discrepanța de forțe între părțile contractuale, făcând dificilă emiterea unui consimțământ liber exprimat în materia prelucrării datelor personale[9].
Conform dispozițiilor RGDP, consimțământul la prelucrarea datelor personale nu va fi liber exprimat dacă executarea unui contract sau prestarea unui serviciu este condiționată de consimțământul la prelucrarea datelor, deși respectivele operațiuni de prelucrare nu sunt necesare pentru executarea contractului. Regulamentul atenționează că operatorii nu pot să „forțeze” obținerea unui consimțământ, justificând că refuzul ar duce la imposibilitatea beneficierii de servicii furnizate în baza unui contract încheiat cu operatorul, dacă prelucrarea nu este necesară pentru furnizarea serviciilor respective.
În finalul acestor prime considerații, putem anima cele notate în paragrafele precedente, cu ajutorul unui exemplu. Astfel, o aplicație pentru telefonul mobil destinată editării fotografiilor solicită utilizatorilor să aibă activată localizarea GPS pentru utilizarea serviciilor sale. Aplicația îi informează, de asemenea, pe utilizatori că va folosi datele colectate în scopuri de publicitate comportamentală. Nici geo-localizarea, nici publicitatea comportamentală online nu sunt necesare pentru furnizarea serviciului de editare fotografică și ambele depășesc limitele serviciului de bază furnizat. Întrucât utilizatorii nu pot folosi aplicația fără a consimți la prelucrarea datelor în aceste scopuri, nu se poate considera că un astfel de consimțământ este acordat în mod liber[10].
2. Consimțământul persoanei vizate trebuie să nu fie condiționat de furnizarea unor servicii
Art. 7, alin. (4) din Regulamentul General indică faptul că, printre altele, situația consimțământului pentru prelucrarea datelor, furnizat nediferențiat, la „pachet” cu acceptarea termenilor și/sau a condițiilor generale de afaceri sau „legarea” executării unui contract sau furnizării unui serviciu de o cerere de acord pentru prelucrarea datelor cu caracter personal, care nu sunt necesare pentru executarea contractului ori pentru prestarea serviciului respectiv, este considerată extrem de indezirabilă, sub aspectul implicațiilor juridice. Dacă, din perspectiva persoanei vizate, consimțământul este dat într-o astfel de situație, se presupune că nu este furnizat în mod liber[11]. Art. 4, alin. (4) urmărește să se asigure că scopul prelucrării datelor cu caracter personal nu este nici deghizat, nici legat de executarea unui contract sau de prestarea unui serviciu pentru care aceste date cu caracter personal nu sunt necesare. În acest sens, Regulamentul (UE) 2016/679 se asigură că prelucrarea datelor cu caracter personal pentru care este solicitat consimțământul nu poate deveni direct sau indirect contra-executarea unui contract[12] sau contra-prestația într-un contrat preexistent.
Prin urmare, se consideră că un consimțământ al persoanei vizate nu a fost liber acordat, ori de câte ori executarea unui contract de către operator este condiționată de exprimarea consimțământului persoanei vizate. În acest caz, persoana vizată, care nu dorește să își pună la dispoziție datele personale pentru prelucrare de către operator, riscă să îi fie refuzate serviciile solicitate. Pentru a putea considera că un consimțământ la prelucrarea datelor a fost acordat în mod liber, accesul la servicii nu trebuie să fie condiționat de exprimarea acceptului persoanei vizate la stocarea datelor sale personale sau la informațiile deja stocate în echipamentul terminal al unui utilizator, cum este cazul așa-numiților pereți cookies[13].
În acest caz, putem anima cele notate, cu ajutorul unui exemplu. Administratorul unei pagini web pune la dispoziție un script care va bloca vizibilitatea conținutului, cu excepția unei cereri de acceptare a cookie-urilor și a informațiilor privind cookie-urile care sunt instalate și scopurile în care vor fi prelucrate datele. Pentru utilizatori, nu există nicio posibilitate de a accesa conținutul propriu-zis al paginii web fără a face click pe butonul „Accept cookie-urile”. Deoarece persoanei vizate nu i se oferă o alegere reală, consimțământul său nu este dat în mod liber. Acest tip de acceptare nu constituie un consimțământ valabil, întrucât furnizarea serviciului necesită ca persoana vizată să apese butonul „Accept cookie-urile” (este condiționată de acceptarea de cookies); persoanei vizate nu i se oferă cu adevărat posibilitatea de a alege[14], în asemenea cazuri.
3. Granularitatea consimțământului
Prestarea unui serviciu către consumatori poate implica mai multe operațiuni de procesare a datelor cu caracter personal, în mai multe scopuri specifice. În astfel de cazuri, persoanele vizate ar trebui să aibă libertatea de a alege ce scop al prelucrării acceptă dintre cele propuse de operator, fără să fie obligate să accepte un pachet de operațiuni de prelucrare nediferențiate. Persoana vizată trebuie să aibă posibilitatea să își dea consimțământul la prelucrarea datelor sale doar cu privire la unul sau mai multe scopuri, însă fără a fi obligatorie acceptarea tuturor acestor scopuri ale prelucrării. Considerentul 43 din debutul Regulamentului 2016/679 clarifică faptul că se presupune că nu se acordă în mod liber consimțământul în cazul în care procesul sau procedura prevăzută pentru obținerea consimțământului nu le permite persoanelor vizate să își exprime consimțământul separat pentru prelucrarea datelor cu caracter personal, respectiv pentru operațiuni distincte de prelucrare a datelor[15].
De asemenea, Considerentul 32 reține că, în principiu, „Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate în același scop sau în aceleași scopuri. Dacă prelucrarea datelor se face în mai multe scopuri, consimțământul ar trebui dat pentru toate scopurile prelucrării.”
Această granularitate este strâns legată de exigența ca un consimțământ la prelucrarea datelor să fie „specific”. Când prelucrarea datelor se face în mai multe scopuri, soluția de a respecta condițiile pentru consimțământul valabil constă în granularitate[16], adică separarea acestor scopuri și obținerea consimțământului pentru fiecare dintre scopurile prelucrării[17].
Orientările EDPB 05/2020 privind consimțământul în temeiul Regulamentului 2016/679 vin cu următorul exemplu: „În cadrul aceleiași solicitări de consimțământ, un retailer cere consimțământul clienților săi pentru a utiliza datele lor în scopul de a le trimite oferte prin e-mail și de a le partaja cu alte companii din cadrul aceluiași grup. Acest consimțământ nu este granular și, întrucât nu există consimțământ separat pentru cele două scopuri distincte, consimțământul nu va fi considerat valabil. În acest caz, trebuie obținut un consimțământ specific pentru a trimite datele de contact partenerilor comerciali. Un astfel de consimțământ specific va fi considerat valabil pentru fiecare partener a cărui identitate a fost comunicată persoanei vizate în momentul obținerii consimțământului său, în măsura în care datele le sunt trimise acestora pentru același scop; în exemplul de față, în scopuri de marketing”.
4. Avertizările de tip detriment[18]
Operatorul de date cu caracter personal trebuie să demonstreze că este posibil ca persoana vizată să refuze prelucrarea datelor sau să își poată retrage consimțământul fără ca aceasta să suporte vreun prejudiciu. De exemplu, operatorul trebuie să demonstreze că retragerea consimțământului nu conduce la niciun fel de costuri pentru persoana vizată și, în acest mod, să nu existe un dezavantaj clar pentru acele persoane care își retrag consimțământul dat inițial[19].
Alte exemple de detriment prevăzut de Orientările EDPB 05/2020 privind consimțământul în temeiul Regulamentului 2016/679 sunt înșelăciunea, intimidarea, constrângerea exercitate asupra persoanei vizate. Operatorul ar trebui să poată dovedi că persoana vizată a avut posibilitatea unei alegeri libere sau reale în privința acordării consimțământului la prelucrarea datelor, precum și posibilitatea de a-și retrage consimțământul fără a suporta vreo daună[20].
Dacă un operator poate demonstra că un serviciu include posibilitatea de retragere a consimțământului fără consecințe negative pentru persoana vizată, de exemplu fără ca prestarea serviciului să fie afectată în detrimentul utilizatorului, acest lucru poate servi la demonstrarea faptului că, în respectivul caz, consimțământul a fost exprimat în mod liber[21] (de exemplu, fără ca performanța serviciului să fie redusă în detrimentul utilizatorului care și-a retras consimțământul la prelucrarea datelor în anumite scopuri).
În acest caz, Orientările EDPB menționate oferă un exemplu: „La descărcarea unei aplicații mobile privind stilul de viață, aplicația solicită consimțământul pentru a accesa accelerometrul telefonului mobil. Acest lucru nu este necesar pentru ca aplicația să funcționeze, dar este util pentru operatorul care dorește să afle mai multe despre deplasarea și nivelurile de activitate ale utilizatorilor săi. Atunci când utilizatorul revocă ulterior acest consimțământ, constată că aplicația nu mai funcționează decât într-o măsură limitată. Acesta este un exemplu de prejudiciu în sensul considerentului 42, ceea ce înseamnă că, pentru persoana vizată, consimțământul nu a fost obținut în mod valabil în niciun moment și, prin urmare, operatorul trebuie să șteargă toate datele cu caracter personal despre deplasările utilizatorilor colectate în acest mod”.
5. Consimțământul la prelucrarea datelor trebuie să fie specific
Un consimțământ foarte larg, dat pentru scopuri generale sau nedeterminate, nu este valid în materia prelucrării datelor cu caracter personal. Pentru a fi considerat valabil, operatorii trebuie să identifice clar scopurile prelucrării, iar consimțământul trebuie să acopere toate activitățile de prelucrare efectuate în același scop. În plus, dacă prelucrarea datelor se derulează în mai multe scopuri, consimțământul ar trebui dat pentru fiecare dintre scopurile prelucrării[22].
În situația în care prelucrarea datelor se face în scopuri de cercetare științifică, nu este obligatoriu să se identifice pe deplin scopul prelucrării ce face obiectul cercetării științifice, fiind suficient ca persoanele vizate să poată să își dea consimțământul doar pentru anumite domenii de cercetare identificate de operator. Ar trebui, totuși, să se respecte cerința privind „granularitatea” consimțământului, respectiv să se ofere posibilitatea persoanei vizate de a-și da acordul doar pentru anumite domenii de cercetare sau segmente ale proiectelor de cercetare, în măsura permisă de scopul preconizat[23].
Pentru ca un consimțământ să poată fi considerat specific, acesta trebuie să respecte următoarele elemente prevăzute de Orientările privind consimțământul publicate în 4 mai 2020 de către EDPB, și anume: indicarea clară a fiecărui scop în parte, granularitatea în cererile de furnizare a consimțământului și separarea clară a informațiilor legate de obținerea consimțământului pentru activitățile de prelucrare a datelor, de alte aspecte contractuale asupra cărora se solicită acordul persoanei vizate[24].
Necesitatea unui consimțământ specific, în combinație cu noțiunea de limitare a scopului funcționează ca o protecție atât împotriva lărgirii treptate, cât și împotriva estompării scopurilor pentru care sunt prelucrate datele, după ce o persoană a fost de acord cu colectarea inițială a acestora. Opțiunile de consimțământ granular ar trebui să fie furnizate pentru a le permite persoanelor vizate să consimtă separat în scopuri separate. În sfârșit, operatorii ar trebui să furnizeze informații specifice pentru fiecare cerere de consimțământ separată, despre datele care sunt prelucrate pentru fiecare scop, pentru a ține la curent persoanele vizate cu impactul prelucrării și interacțiunea dintre diferitele alegeri pe care le exprimă[25].
În acest sens, Orientările EDPB menționate prezintă un exemplu: „O rețea de televiziune prin cablu colectează datele cu caracter personal ale abonaților, pe baza consimțământului lor, pentru a le prezenta sugestii personale de vizionare a unor filme noi care ar putea prezenta interes pentru aceștia în funcție de particularitățile obiceiurilor lor de vizionare. După un timp, rețeaua de televiziune decide că ar dori să permită terților să trimită (sau să afișeze) publicitate direcționată sau personalizată, pe baza obiceiurilor de vizionare ale abonatului. Având în vedere acest scop nou al prelucrării, este necesar un nou consimțământ”.
6. Informarea persoanei vizate
Regulamentul (UE) 2016/679 impune cerința ca, pentru a fi valabil acordat, consimțământul persoanei vizate să fie un consimțământ informat.
Unul dintre principiile fundamentale pe care Regulamentul General îl impune a fi respectat în cadrul oricărei operațiuni de prelucrare a datelor cu caracter personal este principiul transparenței, menționat în mod expres la art. 5, alin. (1): „datele cu caracter personal sunt prelucrate în mod legal, echitabil și transparent față de persoana vizată (legalitate, echitate și transparență)”[26].
Înțelesul noțiunii de „transparență” este detaliat în art. 12 din Regulamentul General, care impune, în primul rând, operatorului obligația de a lua măsuri adecvate pentru a furniza persoanei vizate orice informații menționate la articolele 13 și 14. Trebuie menționat faptul că principiul transparenței reglementează în special relația dintre operatorul de date și persoana vizată. Conform acestui principiu, operațiunile de prelucrare trebuie să fie explicate persoanelor vizate într-un mod ușor accesibil, care să garanteze că acestea înțeleg ce se întâmplă cu datele lor cu caracter personal[27].
În absența informării, persoana vizată este lipsită de posibilitatea concretă de a lua decizii în cunoștință de cauză, întrucât nu poate să înțeleagă cu ce tip de operațiuni și scopuri ale prelucrării este de acord și, ca urmare, nu poate să își exercite efectiv dreptul de a-și retrage integral sau de a-și modifica parțial consimțământul. Dacă operatorul nu oferă informații corecte și complete, controlul persoanei vizate asupra datelor sale își pierde esența și consimțământul va fi o bază invalidă pentru prelucrare[28].
În optica propusă în textul Regulamentului (UE) 2016/679, pentru ca un consimțământ să fie informat, este necesară furnizarea a cel puțin următoarelor informații ce sunt necesare pentru obținerea unui consimțământ valabil:
a) datele sau identitatea operatorului;
b) scopul fiecăreia dintre operațiunile de prelucrare pentru care se solicită consimțământul;
c) ce fel de date vor fi prelucrate;
d) posibilitatea persoanei vizate de a-și retrage consimțământul, la fel de ușor cum l-a acordat (într-o manieră la fel de facilă precum cea utilizată pentru colectare);
e) informații despre utilizarea datelor pentru luarea deciziilor automatizate, precum și posibilele riscuri ale transferurilor de date ca urmare a absenței unei decizii de adecvare și de garanții adecvate[29].
Este oportun să notăm un exemplu și pentru această condiție, extras din Orientările EDPB menționate. Astfel, „compania X este un operator care a primit plângeri pentru faptul că nu este clar pentru persoanele vizate care sunt scopurile de utilizare a datelor pentru care li se cere consimțământul. Compania consideră că este necesar să verifice dacă informațiile sale cuprinse în cererea de consimțământ sunt ușor de înțeles pentru persoanele vizate. X organizează grupuri de testare voluntară pentru anumite categorii de clienți și prezintă noile actualizări ale informațiilor privind consimțământul acestor categorii de public înainte de a le comunica la nivel extern. Selectarea grupului respectă principiul independenței și se face pe bază de standarde care să asigure un rezultat reprezentativ și nepărtinitor. Grupul primește un chestionar și indică ce a înțeles din informațiile prezentate și cum le-ar evalua în ceea ce privește ușurința înțelegerii și relevanța acestora. Operatorul continuă testarea până când grupurile indică faptul că informațiile sunt ușor de înțeles. X întocmește un raport al testului și îl lasă la dispoziție pentru consultarea ulterioară. Acest exemplu arată o posibilă modalitate ca X să demonstreze că persoanele vizate primesc informații clare înainte de a-și da acordul cu privire la prelucrarea datelor cu caracter personal de către X”.
În final, putem sublinia diferențele dintre informarea persoanei vizate sau dreptul la informare și obținerea consimțământului acestei persoane în vederea prelucrării datelor sale cu caracter personal.
Astfel, pe de o parte, consimțământul persoanei vizate, după cum am detaliat și în paragrafele anterioare, reprezintă unul dintre temeiurile prelucrării de date. Operatorul are obligația de a obține consimțământul să îi fie prelucrate datele exclusiv în situația în care temeiul prelucrării îl reprezintă consimțământul.
Pe de altă parte, informarea reprezintă un drept al persoanei vizate. Operatorul folosește oricare temei al prelucrării, însă acesta are obligația de a informa persoana vizată cu privire la respectiva prelucrare, respectând anumite condiții cu privire la modul în care trebuie să aibă loc furnizarea acestor informații. În celelalte cazuri, în care prelucrarea datelor personale are un alt temei decât consimțământul persoanei vizate, nu contează dacă persoana vizată este sau nu de acord cu prelucrarea datelor, aceasta fiind doar informată cu privire la prelucrarea datelor sale. Informațiile legate de prelucrare sunt, însă, aduse la cunoștința persoanei vizate în toate situațiile, indiferent de temeiul utilizat pentru prelucrare[30]
7. Exprimarea unui consimțământ neîndoielnic / lipsit de ambiguitate
În Regulamentul (UE) 2016/679 se prevede că, atunci când reprezintă un temei al prelucrării datelor, consimțământul necesită o declarație din partea persoanei vizate sau o acțiune neechivocă, ceea ce înseamnă că acesta trebuie întotdeauna să fie dat printr-o manifestare activă de voință sau printr-o declarație. Articolul 4, pct. 11 din Regulamentul General se bazează pe această definiție, prin clarificarea faptului că un consimțământ valabil necesită o manifestare de voință lipsită de ambiguitate, în conformitate cu orientările anterioare emise de Grupul de lucru „Articol 29” (Comitetul European privind Protecția Datelor)[31], cu ajutorul unei declarații sau printr-o acțiune fără echivoc[32].
O „acțiune fără echivoc” implică faptul că persoana vizată trebuie să fi acționat în mod deliberat pentru a consimți la o anumită prelucrare a datelor sale personale. Fără a aduce atingere legislației naționale existente privind încheierea și executarea contractelor, consimțământul poate fi obținut printr-o declarație verbală înregistrată audio, deși trebuie să se țină seama în mod corespunzător de informațiile puse la dispoziția persoanei vizate înainte de acordarea consimțământului[33].
În teza finală a Considerentului 32 din Regulamentul (UE) 2016/679, este evocată situația absenței unui răspuns, a căsuțelor pre-bifate selectate în prealabil sau a absenței unei acțiuni, ce nu ar trebui să constituie un consimțământ valabil exprimat. Totodată, operatorul trebuie să fie atent la faptul că un consimțământ privind prelucrarea datelor nu poate să fie obținut sub forma consimțământului la un contract sau în cazul acceptării unor termeni și condiții generale ale prestării unui serviciu.
În final, putem anima cele notate în rândurile anterioare, cu ajutorul unui exemplu extras din Orientările EDPB 05/2020 privind consimțământul în temeiul Regulamentului 2016/679. Astfel, „Glisarea unei bare pe ecran, gestul de a face cu mâna în fața unei camere inteligente, mișcarea smartphone-ului în sensul acelor de ceasornic sau într-o formă de cifră opt sunt opțiuni de exprimare a acordului, atât timp cât sunt furnizate informații clare și rezultă cu claritate că mișcarea respectivă semnifică acordul dat cu privire la o anumită cerere. De exemplu, «dacă glisați această bară spre stânga, sunteți de acord cu utilizarea informațiilor X în scopul Y. Vă rugăm să repetați mișcarea pentru a confirma». Operatorul trebuie să poată demonstra că consimțământul a fost obținut în acest fel și persoanele vizate trebuie să poată retrage consimțământul la fel de ușor cum a fost furnizat”.
8. Obținerea unui consimțământ explicit privind prelucrarea datelor
Directiva 95/46/CE impunea anterior existența consimțământului explicit doar în anumit caz, și anume, cazul datelor cu caracter special (date sensibile), precum sunt: originea rasială sau etnică, convingerile politice sau religioase, datele privind starea de sănătate sau viața sexuală etc.
Termenul „explicit” se referă la modul în care consimțământul este exprimat de către persoana vizată. Aceasta înseamnă că persoana vizată trebuie să emită o declarație expresă de consimțământ. O modalitate evidentă de a se asigura că consimțământul este explicit ar fi confirmarea expresă a consimțământului într-o declarație scrisă, după caz, și semnată de către persoana vizată, pentru a elimina toate îndoielile posibile și potențiala lipsă de dovezi în viitor. Cu toate acestea, o astfel de declarație semnată nu este singura modalitate de obținere a consimțământului explicit și nu se poate afirma că Regulamentul General impune declarații scrise și semnate în toate circumstanțele care necesită un consimțământ explicit valabil[34].
Regulamentul (UE) 2016/679 menține diferențierea inclusă în Directiva 95/46/CE dintre consimțământul neechivoc pentru datele personale obișnuite (i) și consimțământul neechivoc și explicit sau expres pentru datele cu caracter special sau sensibile (ii). Este nevoie să menționăm că, în plus față de prelucrarea datelor speciale, Regulamentul stabilește și alte ipoteze în care este necesar un consimțământ neechivoc și expres/explicit, precum este situația: prelucrării datelor în cazul restricționării prelucrării de către persoana vizată; adoptării unor decizii pe baza unor prelucrări automate, inclusiv activități de profilare; transferul datelor personale în state cărora nu li s-a recunoscut un nivel de protecție adecvat[35].
Declarațiile orale (înregistrările audio ale consimțământului) pot fi suficiente pentru a obține consimțământul explicit, valid pentru prelucrarea datelor cu caracter personal. La fel este și cazul unui operator ce obține acordul explicit printr-o conversație telefonică, cu ajutorul unor informații despre alegere ce trebuie să fie corecte, inteligibile și clare, solicitând o conformare specifică de la persoana vizată.
În situația contractării online, persoana vizată poate fi în măsură să îndeplinească cerințele necesare prin completarea unui formular electronic, prin trimiterea unui e-mail sau prin încărcarea documentelor scanate ce poartă semnătura persoanei, prin autentificare biometrică etc. Și în acest caz, Orientările EDPB menționate ne prezintă un exemplu, pentru a putea pune în lumină teoria notată, după cum urmează: „Un operator de date poate obține, de asemenea, un consimțământ explicit de la un vizitator al paginii web punând la dispoziție un ecran pentru exprimarea consimțământului explicit care să conțină căsuțele «Da» și «Nu» de bifat, cu condiția ca textul să indice în mod clar consimțământul, de exemplu «Prin prezenta, consimt la prelucrarea datelor mele», și nu, de exemplu, «Este clar pentru mine că datele mele vor fi prelucrate». Este de la sine înțeles că trebuie îndeplinite condițiile pentru consimțământul în cunoștință de cauză, precum și celelalte condiții pentru obținerea consimțământului valabil”.
III. Demonstrarea existenței consimțământului, durata de valabilitate și retragerea consimțământului la prelucrarea datelor
Obținerea unui consimțământ valabil reprezintă îndeplinirea doar secvențială a obligației operatorului. Cealaltă secvență implicată se referă la demonstrarea consimțământului astfel obținut. Un prim aspect, deosebit de important, este acela că demonstrarea obținerii consimțământului cade în sarcina operatorului[36]. Tocmai de aceea, operatorul trebuie să se asigure că și-a luat măsurile de precauție necesare pentru a putea face această dovadă[37].
Motivul care se află în spatele acestei obligații stabilite în sarcina operatorului se referă la faptul că acesta trebuie să fie responsabil atât în ceea ce privește obținerea consimțământului valabil de la persoanele vizate, cât și în ceea ce privește mecanismele de consimțământ pe care le-a elaborat[38].
Un exemplu în acest sens este prezentat în Orientările EDPB 05/2020 privind consimțământul în temeiul Regulamentului 2016/679, și anume: „O clinică medicală instituie un program de cercetare științifică, denumit proiectul X, pentru care sunt necesare fișele dentare ale unor pacienți reali. Participanții sunt recrutați prin intermediul unor apeluri telefonice către pacienții care au fost de acord în mod voluntar să figureze pe o listă de candidați care pot fi abordați în acest scop. Operatorul solicită consimțământul explicit al persoanelor vizate pentru utilizarea fișelor lor dentare. Consimțământul se obține în timpul unui apel telefonic prin înregistrarea unei declarații orale a persoanei vizate, în care aceasta confirmă faptul că este de acord cu utilizarea datelor sale în scopul proiectului X”. Așadar, operatorul va putea să facă dovada obținerii unui consimțământ explicit.
Din punct de vedere a duratei de valabilitate a consimțământului, Regulamentul General nu prevede o durată maximă de valabilitate a acestuia. Durata validității consimțământului depinde în cea mai mare parte de natura datelor cu caracter personal, de scopul prelucrării acestor date și de contextul în care aceasta are loc. Recomandarea este de a fi „reîmprospătat” consimțământul persoanei vizate la intervale adecvate. Este de înțeles faptul că acordul inițial la prelucrarea datelor personale în anumite scopuri nu poate fi valabil timp de mai mulți ani, deoarece, cu timpul, efectele acestuia se diluează. Prin urmare, oferirea din nou a tuturor informațiilor de către operator ajută la asigurarea persoanei vizate că este bine informată cu privire la modalitatea în care datele sale sunt utilizate și despre modul de exercitare a drepturilor sale[39].
Retragerea consimțământului reprezintă, în concret, o modalitate de exercitare a unui drept de control al persoanei vizate asupra prelucrării datelor personale. Art. 7, alin. (3) din Regulamentul General prevede că operatorul trebuie să asigure că retragerea consimțământului persoanei vizate este la fel de facilă precum acordarea consimțământului și că poate interveni în orice moment, posterior furnizării acordului inițial. Acesta nu impune ca retragerea consimțământului să fie făcută întotdeauna prin aceeași acțiune precum cea utilizată pentru colectarea consimțământului. Astfel, când consimțământul este obținut prin mijloace electronice, prin apăsarea unei taste sau bifarea unei căsuțe, persoana vizată trebuie să își poată retrage consimțământul la fel de ușor: o apăsare de tastă sau debifare unei căsuțe[40].
În plus, persoana vizată ar trebui să poată să își retragă consimțământul fără niciun prejudiciu. Aceasta înseamnă, printre altele, că un operator trebuie să se asigure că retragerea consimțământului se face gratuit și fără nicio consecință negativă pentru persoana vizată. Operatorul trebuie să informeze persoana vizată cu privire la dreptul de a-și retrage consimțământul înainte de acordarea acestuia, conform cu articolul menționat. Totodată, operatorul trebuie să își îndeplinească și obligația de transparență, prin informarea persoanelor vizate cu privire la modul în care își pot exercita drepturile[41].
Ca regulă generală, dacă are loc o retragere a consimțământului, toate operațiunile de prelucrare a datelor cu caracter personal care au fost bazate pe consimțământ și au avut loc înainte de retragerea consimțământului și în conformitate cu Regulamentul General, rămân legale. Însă, după retragerea acestuia, operatorul nu mai poate continua să prelucreze aceste categorii de date. Dacă nu există un alt temei legal în baza căruia să continue prelucrarea lor, și care să justifice această prelucrare a datelor, de exemplu, stocarea suplimentară, acestea ar trebui să fie șterse de către operator. Alegerea unui alt temei al prelucrării nu va produce însă efecte retroactive, ci doar pentru viitor[42].
În cazurile în care persoana vizată își retrage consimțământul și operatorul dorește să continue să prelucreze datele cu caracter personal pe o altă bază legală, folosind un alt temei al Regulamentului, operatorul nu poate să facă acest lucru fără să informeze persoana vizată cu privire la acest aspect. Orice modificare a temeiului pentru prelucrare trebuie să îi fie adusă la cunoștința persoanei vizate, în temeiul principiului general al transparenței prelucrării datelor[43].
În final, putem evoca un exemplu oferit de Orientările EDPB menționate, și anume: „Un festival de muzică vinde bilete prin intermediul unui agent de bilete care administrează o pagină web. La fiecare vânzare de bilete online, este cerut consimțământul vizitatorilor pentru a utiliza datele de contact ale acestora în scopuri de marketing. Pentru a-și manifesta consimțământul în acest scop, clienții pot alege «Nu» sau «Da». Operatorul informează clienții că au posibilitatea de a-și retrage consimțământul. Pentru a face acest lucru, clienții ar putea contacta un call center în zilele lucrătoare între orele 8:00 și 17:00, în mod gratuit. Operatorul din acest exemplu nu respectă prevederile art. 7, alin. (3) din Regulament. Retragerea consimțământului în acest caz necesită un apel telefonic în timpul orelor de program, acest lucru fiind mai dificil decât un click de mouse necesar pentru acordarea consimțământului prin intermediul vânzătorului de bilete online, o variantă de retragere a consimțământului care să fie disponibilă non-stop”.
IV. Obținerea consimțământului în cazul prelucrării datelor minorilor
Art. 8, alin. (1) din Regulamentul 2016/679, prevede că, în cazul în care temeiul prelucrării îl reprezintă consimțământul, iar acest consimțământ este solicitat în legătură cu oferta serviciilor societății informaționale[44] direct de la un minor, prelucrarea datelor cu caracter personal ale unui minor este legală atunci când acesta are cel puțin 16 ani. În cazul în care persoana vizată are vârsta sub 16 ani, prelucrarea este legală numai dacă și în măsura în care consimțământul este dat sau autorizat de către titularul răspunderii / autorității părintești[45].
Este oferită o anumită flexibilitate, în textul Regulamentului General, din punct de vedere al limitei de vârstă pentru colectarea consimțământului minorilor, în sensul că statele membre au oportunitatea ca, prin legislația internă, să prevadă un prag de vârstă sub pragul de 16 ani menționat în Regulamentul General, dar cu respectarea unui plafon imperativ, și anume ca vârsta fixată în legislația națională pentru validitatea acordului minorului să nu poată fi sub 13 ani, conform celor enunțate în cadrul aceluiași alineat al articolului citat (art. 8, par. 1 RGDP).
Regulamentul General adresează în mod expres subiectul consimțământului minorilor, plecând de la premisa că „aceștia au nevoie de o protecție specifică a datelor lor cu caracter personal, întrucât pot fi mai puțin conștienți de riscurile, consecințele, garanțiile în cauză și drepturile lor în ceea ce privește prelucrarea datelor cu caracter personal”. Regulamentul 2016/679 amintește că această protecție este necesară, în special, în contextul activităților de marketing adresat minorilor, crearea de profiluri de personalitate sau de utilizator, al colectării datelor cu caracter personal privind copiii în momentul utilizării serviciilor oferite direct minorilor, respectiv în contextul general al serviciilor oferite de societățile informaționale[46].
În cazul minorilor sub vârsta de 16 ani, va fi necesar acordul sau autorizarea consimțământului din partea părintelui sau tutorelui. Este important de menționat că operatorii vor trebui să depună eforturi rezonabile, pe baza tehnologiilor disponibile, pentru a verifica dacă părintele / tutorele și-a dat acordul sau a autorizat consimțământul minorului[47]. Este suficient ca oricare dintre părinți să își dea acordul pentru prelucrarea datelor cu caracter personal, nefiind necesar ca acordul la prelucrarea datelor minorului să fie furnizat de către ambii părinți.
De notat este faptul că, pentru a asigura condiția „consimțământului informat”, în cazul minorilor notele de informare care stau la baza consimțământului trebuie să fie exprimate într-un limbaj simplu și clar, astfel încât minorii să îl poată înțelege cu ușurință. Așadar, operatorii trebuie să aibă în vedere că, în acest caz, exigențele în ceea ce privește simplitatea și accesibilitatea limbajului sunt mai stricte[48]. Retragerea consimțământului poate fi făcută valabil și de către minorul însuși, în conformitate cu art. 7, alin. (3) RGDP. Respectând principiile corectitudinii și transparenței informării, operatorul trebuie să informeze minorul despre această posibilitate[49].
Orientările EDPB menționate prezintă un exemplu elocvent în acest sens, și anume: „O platformă de jocuri online dorește să se asigure că clienții minori se abonează la serviciile sale doar cu consimțământul părinților sau tutorilor acestora. Operatorul urmează o suită de pași. Pasul 1: se solicită utilizatorului să declare dacă a împlinit sau nu vârsta de 16 ani sau altă vârstă pentru furnizarea consimțământului la prelucrarea datelor. În cazul în care utilizatorul declară că vârsta sa este inferioară vârstei prevăzute de legislația națională pentru furnizarea consimțământului la prelucrarea datelor, în Pasul 2: serviciul informează copilul că un părinte sau un tutore trebuie să consimtă sau să autorizeze prelucrarea înainte ca serviciul să fie oferit copilului. Utilizatorului i se solicită să comunice adresa de e-mail a unui părinte sau tutore. Pasul 3: serviciul contactează părintele sau tutorele și obține consimțământul acestuia pentru prelucrarea datelor minorului, luând măsuri rezonabile pentru a confirma că adultul deține autoritatea părintească. Pasul 4: în cazul formulării unor plângeri și sesizări de neregularitate, platforma web ia măsuri suplimentare pentru a verifica vârsta abonatului. Dacă operatorul care exploatează platforma virtuală a îndeplinit celelalte condiții privind consimțământul, aceasta s-a conformat criteriilor suplimentare din art. 8 din Regulament, urmând acești pași”.
În exemplul notat, putem observa cum că operatorul a depus eforturi rezonabile pentru a se asigura că s-a obținut consimțământul valabil, în raport cu serviciile furnizate către minor.
V. Prelucrarea datelor personale bazată pe consimțământul furnizat în baza reglementării precedente (Directiva 95/46/CE)
Regulamentul (UE) 2016/679 a introdus o serie de noi cerințe sub aspectul granularității și specificității consimțământului persoanei vizate, care impun operatorilor să modifice mecanismele de consimțământ, pentru a se asigura că acesta a fost obținut în mod legal, astfel încât este puțin probabil ca un consimțământ exprimat anterior datei de 25 mai 2018, de persoanele vizate în baza legislației precedente, să fie încă valabil. De exemplu, întrucât Regulamentul General solicită ca un operator să poată demonstra obținerea unui consimțământ valid, respectiv un consimțământ care să îndeplinească noile standarde, trebuie să fie verificate toate aceste manifestări de voință anterioare intrării în vigoare a RGDP și, dacă acestea nu corespund noilor standarde, trebuie să fie reînnoite[50].
În altă ordine de idei, dacă un operator ajunge la concluzia că, sub imperiul RGDP, consimțământul nu mai constituie sau nu mai poate constitui temeiul prelucrării și există un alt temei mai adecvat pentru derularea prelucrării pe care o realizează, operatorul de date are obligația de a folosi acest nou temei și, totodată, de a informa persoana vizată cu privire la acest aspect. În situația în care singurul temei îl poate constitui consimțământul persoanei vizate, trebuie să se asigure că acesta este obținut conform cu dispozițiile RGDP[51].
Prin prisma aspectelor jurisprudențiale relevante, putem evoca faptul că, în cauza C-61/19 Orange România, cererea de decizie preliminară a fost formulată în cadrul unui litigiu între Orange România SA, pe de o parte, și Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, pe de altă parte, în legătură cu o acțiune prin care s-a solicitat anularea unei decizii prin care aceasta din urmă a aplicat societății Orange România o amendă pentru colectarea și stocarea copiilor actelor de identitate ale clienților săi fără consimțământul valabil al acestora și a obligat‑o să distrugă aceste copii ale documentelor[52].
În acțiunea principală, a rezultat că operatorul Orange România a încheiat în perioada 1-26 martie 2018 contracte de furnizare a unor servicii de telecomunicații mobile cu persoane fizice, la care erau anexate copiile actelor de identitate ale acestor persoane. Potrivit ANSPDCP, operatorul nu a făcut dovada faptului că clienții săi își dăduseră consimțământul cu privire la colectarea și stocarea respectivelor copii, motiv pentru care, prin decizia din 28 martie 2018, a aplicat operatorului Orange România o amendă și a obligat-o să distrugă copiile în discuție[53].
Orange România a introdus o acțiune împotriva deciziei din 28 martie 2018 la Tribunalul București. Potrivit constatărilor instanței de trimitere, au existat, pe de o parte, contracte în care a fost bifată căsuța referitoare la clauza privind păstrarea unor copii ale actelor de identitate și, pe de altă parte, contracte în care o asemenea căsuță nu a fost bifată. Această instanță a precizat că, în pofida mențiunilor incluse în Termenii și condițiile generale pentru utilizarea serviciilor Orange, Orange România nu a refuzat să încheie contracte de abonament cu clienții care au refuzat să consimtă la păstrarea copiei unuia dintre actele lor de identitate. „Procedura internă” de vânzări a Orange România prevedea că acest refuz trebuia menționat într‑un formular specific pe care acești clienți trebuiau să îl semneze înainte de încheierea contractului[54].
Instanța de trimitere a ridicat problema dacă se poate considera că clienții operatorului și-au dat în mod valabil consimțământul pentru colectarea actului lor de identitate și pentru anexarea copiilor acestuia la contracte și dacă, în condițiile din litigiul principal, se poate dovedi existența unui asemenea consimțământ. În acest context, Tribunalul București a adresat Curții de Justiție a Uniunii Europene două întrebări preliminare ce urmăreau să se stabilească care sunt, în sensul art. 2, lit. (h) din Directiva 95/46, condițiile care trebuie să fie îndeplinite pentru a se putea considera că o manifestare de voință este specifică și informată, precum și liber exprimată[55].
Completul CJUE a reținut că art. 2, lit. (h) și art. 7, lit. (a) din Directiva 95/46, precum și art. 4, pct. 11 și art. 6, alin. (1), lit. (a) din Regulamentul 2016/679 trebuie interpretate în sensul că operatorului de date îi revine sarcina să demonstreze că persoana vizată și‑a manifestat prin intermediul unui comportament activ consimțământul pentru prelucrarea datelor sale cu caracter personal și că aceasta a obținut în prealabil o informare cu privire la toate circumstanțele aferente acestei prelucrări, într‑o formă inteligibilă și ușor accesibilă, precum și utilizând un limbaj clar și simplu, care să îi permită să determine cu ușurință consecințele acestui consimțământ, astfel încât să se garanteze că acesta este dat în deplină cunoștință de cauză. Un contract privind furnizarea de servicii de telecomunicații care conține o clauză potrivit căreia persoana vizată a fost informată și și‑a dat consimțământul pentru colectarea, precum și pentru stocarea unei copii a actului său de identitate, în scop de identificare, nu este de natură să demonstreze că această persoană și‑a dat în mod valabil consimțământul, în sensul acestor dispoziții, pentru această colectare și pentru această stocare:
– atunci când căsuța care se referă la această clauză a fost bifată de operatorul de date anterior semnării acestui contract sau
– atunci când clauzele contractului menționat sunt de natură să inducă persoana vizată în eroare cu privire la posibilitatea de a încheia contractul în discuție în pofida refuzului de a‑și da consimțământul pentru prelucrarea datelor sale sau
– atunci când libera alegere de a se opune acestei colectări și acestei stocări este afectată în mod nejustificat de acest operator prin cerința ca, pentru a refuza să își dea consimțământul, persoana vizată să completeze un formular suplimentar în care să fie menționat acest refuz[56].
Sintetizând, decizia Curții de Justiție a Uniunii Europene aduce o serie de lămuriri importante cu privire la valabilitatea consimțământului persoanei vizate în raport cu contractele încheiate de operatorii de date în materia telecomunicațiilor, care se află, de regulă, pe o poziție de superioritate față de consumatori, dată fiind inserarea de regulă a unor clauze contractuale prestabilite și care sunt apte să inducă în eroare persoana vizată, obligând-o să ofere un consimțământ de prelucrare și stocare a datelor cu caracter personal sau care impun îndeplinirea unor condiții suplimentare pentru a se opune acestei prelucrări[57].
În loc de concluzie, subliniem că, urmare a deciziei pronunțate, cel puțin o parte a operatorilor economici vor fi nevoiți să revizuiască clauzele contractuale și să adopte măsuri tehnice și organizatorice care să respecte condițiile unui consimțământ valabil exprimat pentru a evita posibile sancțiuni de ordin pecuniar[58].
În cauza C-40/17 Fashion ID, în care cererea de decizie preliminară a fost formulată în cadrul unui litigiu între Fashion ID GmbH & Co. KG, pe de o parte, și Verbraucherzentrale NRW eV, cu participarea Facebook Ireland Ltd, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen, pe de altă parte, de Oberlandesgericht Düsseldorf, Tribunalul Regional Superior din Düsseldorf, Germania[59], s-a reținut că operatorul paginii de internet trebuie să furnizeze utilizatorilor, în raport cu operațiunile de prelucrare a datelor, informațiile minime necesare și să obțină, în cazurile în care este necesar, consimțământul lor înainte ca datele să fie colectate și transferate[60].
În acțiunea principală, a rezultat că Fashion ID, un comerciant online de articole de modă, a integrat un plug-in pe pagina web administrată: butonul Facebook „Îmi place”. În consecință, atunci când un utilizator ajunge pe pagina de internet a Fashion ID, informații referitoare la adresa sa IP a utilizatorului și la şirul de caractere al navigatorului acestuia sunt transferate către Facebook. Acest transfer are loc automat atunci când este accesată pagina de internet a Fashion ID, indiferent dacă utilizatorul a făcut click pe butonul „Like” sau dacă are sau nu un cont Facebook[61].
Verbraucherzentrale NRW, o asociație germană pentru apărarea intereselor consumatorilor a acuzat operatorul Fashion ID că a transmis societății Facebook Ireland date cu caracter personal aparținând vizitatorilor paginii web, pe de o parte, fără consimțământul acestora din urmă și, pe de altă parte, cu încălcarea obligațiilor de informare prevăzute de dispozițiile referitoare la protecția datelor personale[62].
Sesizat cu litigiul, Oberlandesgericht Düsseldorf, Tribunalul Regional Superior din Düsseldorf, Germania, a solicitat Curții să interpreteze mai multe dispoziții ale Directivei din 1995 privind protecția datelor, care rămâne aplicabilă acestei cauze și care a fost înlocuită de Regulamentul General din 2016 privind protecția datelor aplicabil de la 25 mai 2018[63].
Camera a doua a CJUE a reținut că administratorul unui site internet precum Fashion ID poate fi considerat operator, în sensul articolului 2, lit. (d) din Directiva 95/46/CE. Această calitate de operator este însă limitată la operațiunea sau la ansamblul operațiunilor de prelucrare de date cu caracter personal cărora el le stabilește efectiv scopurile și mijloacele, și anume colectarea și dezvăluirea prin transmitere a datelor în cauză. În schimb, potrivit Curții, pare, la prima vedere, exclus ca Fashion ID să stabilească scopurile și mijloacele operațiunilor de prelucrare de date cu caracter personal ulterioare, efectuate de Facebook Ireland după transmiterea lor către aceasta din urmă, astfel încât Fashion ID nu poate fi considerată operator în raport cu aceste operațiuni, în sensul art. 2, lit. (d)[64].
În plus, completul CJUE a subliniat că este necesar ca administratorul unei pagini web, precum și Facebook Ireland să urmărească, fiecare, prin intermediul acestor operațiuni de prelucrare, un interes legitim, în sensul dispozițiilor art. 7, lit. (f) din Directiva 95/46/CE, pentru ca acestea să fie justificate în ceea ce îl privește pe fiecare dintre operatorii datelor cu caracter personal[65].
În sfârșit, Curtea a precizat că, sub acest aspect, consimțământul persoanei vizate, prevăzut în art. 2, lit. (h) și la art. 7, lit. (a) din Directiva 95/46/CE, trebuie să fie obținut de administratorul unei pagini web numai în ceea ce privește operațiunile de prelucrare a datelor cu caracter personal cărora administratorul menționat le stabilește scopurile și mijloacele. Într-o astfel de situație, obligația de informare prevăzută la articolul 10 din această directivă incumbă și administratorului menționat, informația pe care acesta din urmă are obligația să o furnizeze persoanei vizate netrebuind să privească însă decât operațiunea sau ansamblul de operațiuni de prelucrare a datelor cu caracter personal cărora el le stabilește scopurile și mijloacele[66].
Rezumând, Curtea afirmă că acești operatori sunt responsabili în comun pentru prelucrarea inițială a datelor și trebuie să obțină consimțământul informat de la vizitatorii site-ului înainte de transferul datelor pe Facebook, fie să poată demonstra un interes legitim pentru prelucrarea acestor date[67].
Astfel, dacă operatorul alege să integreze un plug-in pe site, va avea calitatea de operator asociat cu respectiva companie. Cu toate astea, calitatea de operator se oprește doar la colectare propriu-zisă, nu și la prelucrarea ulterioară a datelor de către plug-in-ul respectiv[68].
Sunt relevante, în acest context, dispozițiile art. 26 din Regulamentul General, potrivit cărora, „În cazul în care doi sau mai mulți operatori stabilesc în comun scopurile și mijloacele de prelucrare, aceștia sunt operatori asociați. Ei stabilesc într-un mod transparent responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor care le revin în temeiul prezentului regulament, în special în ceea ce privește exercitarea drepturilor persoanelor vizate și îndatoririle fiecăruia de furnizare a informațiilor prevăzute de Regulament, prin intermediul unui acord între ei, cu excepția cazului și în măsura în care responsabilitățile operatorilor sunt stabilite în dreptul Uniunii sau în dreptul intern care se aplică acestora. Acordul poate să desemneze un punct de contact pentru persoanele vizate”.
[1] A se vedea Diana Flavia Barbur, Protecția datelor cu caracter personal. Ghid practic, Ed. C.H. Beck, București, 2020, p. 78.
[2] Art. 1180-1245 C. civ.
[3] A se vedea Ionel Reghini, Șerban Diaconescu, Paul Vasilescu, Introducere în dreptul civil, Ed. Hamangiu, București, 2013, p. 474-479.
[4] Pentru detalii, a se vedea Maria Dumitru, Există un drept de opțiune între temeiurile prelucrării datelor cu caracter personal potrivit Regulamentului 2016/679 privind protecția datelor, în Revista română pentru protecția și securitatea datelor cu caracter personal nr.1/2020, p. 53.
[5] A se vedea Sergiu Crețu, Consimțământul – reguli noi pentru un temei tradițional de prelucrare a datelor personale, postat în data de 06 decembrie 2017, disponibil la adresa https://www.juridice.ro/550052/consimtamantul-reguli-noi-pentru-un-temei-traditional-de-prelucrare-a-datelor-personale.html, accesat în 25 iunie 2021.
[6] Ibidem.
[7] European Data Protection Board (EDPB), „Opinion 18/2021 on the draft Standard Contractual Clauses submitted by the LT SA (Article 28(8) GDPR)”, disponibil la adresa https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-182021-draft-standard-contractual-clauses_en, accesat în 05 iulie 2021.
[8] European Data Protection Board (EDPB), „Guidelines 05/2020 on consent under Regulation 2016/679, adopted on 04 May 2020”, disponibil la pagina de internet https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en, vizitat la data de 25 iunie 2021.
[9] A se vedea Diana Flavia Barbur, op. cit. supra, p. 81.
[10] A se vedea Orientările EDPB 05/2020 privind consimțământul în temeiul Regulamentului 2016/679, loc. cit. supra, p. 8.
[11] Idem, p. 11.
[12] Ibidem.
[13] A se vedea Diana Flavia Barbur, op. cit., p. 85-87.
[14] Ibidem.
[15] Idem, p. 88.
[16] Juanita Goicovici, „Consimţământul consumatorului la prelucrarea datelor personale în contractele business to consumer – condiţia consimţământului granular”, Analele Universității de Vest din Timișoara – Seria Drept nr. 2/2019, pp. 7-24.
[17] Ibidem.
[18] Conform definiției reținute în dicționarul Merriam Webster, prin detriment (engl.) se înțelege „a cause of injury or damage”: https://www.merriam-webster.com/dictionary/detriment, accesat în 12.06.2021.
[19] A se vedea Orientările EDPB 05/2020 privind consimțământul în temeiul Regulamentului 2016/679, loc. cit. supra, p. 15.
[20] Ibidem.
[21] Ibidem.
[22] A se vedea Andrei Săvescu (coord.), Regulamentul general privind protecția datelor cu caracter personal: comentarii și explicații, Ed. Hamangiu, București, 2018, p. 32.
[23] Ibidem.
[24] A se vedea Diana Flavia Barbur, op. cit., p. 91.
[25] Ibidem.
[26] A se vedea Grecu Lawyers, Obligația de informare privind prelucrarea datelor cu caracter personal conform Regulamentului general privind protecția datelor nr. 679/2016, postat în 06 ianuarie 2018, disponibil la https://greculawyers.ro/obligatia-de-informare-privind-prelucrarea-datelor-cu-caracter-personal/, vizitat la data de 26 iunie 2021.
[27] Ibidem.
[28] A se vedea Diana Flavia Barbur, op. cit., p. 92.
[29] Ibidem.
[30] Idem, p. 207.
[31] Se face referire la Grupul de lucru „Articolul 29”, Orientări privind consimțământul în temeiul Regulamentului 2016/679, adoptate la 28 noiembrie 2017, astfel cum au fost revizuite ultima dată și adoptate la 10 aprilie 2018.
[32] A se vedea Orientările EDPB 05/2020 privind consimțământul în temeiul Regulamentului 2016/679, loc. cit. supra, p. 21.
[33] Ibidem.
[34] Idem, p. 24.
[35] Idem, p. 35-36.
[36] Considerentul 42 din Regulamentul (UE) 2016/679 prevede că: „în cazul în care prelucrarea se bazează pe consimțământul persoanei vizate, operatorul ar trebui să fie în măsură să demonstreze faptul că persoana vizată și-a dat consimțământul pentru operațiunea de prelucrare”.
[37] A se vedea Diana Flavia Barbur, op. cit., p. 98.
[38] Idem, p. 98-99.
[39] Un bun exemplu în acest sens, este acela al unei persoane care dorește să își renoveze reședința. Pe durata renovării își dă acordul cu privire la mesajele publicitare, pe adresa sa de e-mail, cu oferte corespunzătoare produselor necesare renovărilor pentru amenajarea spațiilor exterioare de la magazinele de specialitate. După trecerea unui interval de timp de aproximativ 6 luni, când renovarea este finalizată, persoana în cauză, cel mai probabil, nu va mai fi interesată de primirea unor astfel de e-mailuri.
[40] Diana Flavia Barbur, op. cit., p. 101.
[41] Idem, p. 101-102.
[42] Idem, p. 102-103.
[43] Ibidem.
[44] Juanita Goicovici, Dicționar de dreptul consumului, Ed. C.H. Beck, București, 2010, p. 499.
[45] Diana Flavia Barbur, op. cit., p. 104.
[46] A se vedea Sergiu Crețu, „Consimțământul – reguli noi pentru un temei tradițional de prelucrare a datelor personale”, loc. cit. supra.
[47] Ibidem.
[48] Ibidem.
[49] A se vedea Diana Flavia Barbur, op. cit., p. 108.
[50] Idem, p. 113-114.
[51] Idem, p. 114-115.
[52] A se vedea Hotărârea CJUE în cauza 61/19, Orange România, disponibilă la https://www.mae.ro/sites/default/files/file/anul_2020/pdf_2020/2020.11.12_hot%C4%83r%C3%A2rea_cjue_%C3%AEn_cauza_c_61_19,_orange_rom%C3%A2nia.pdf, vizitată la 26 iunie 2021.
[53] Ibidem.
[54] Ibidem.
[55] Ibidem.
[56] Pentru mai multe detalii, a se vedea CJUE. C-61/19, Orange România. Colectarea și stocarea copiilor actelor de identitate de către un furnizor de servicii de telecomunicații mobile. Declarație de consimțământ prin intermediul unei căsuțe care trebuie bifată, postat în 11 noiembrie 2020, disponibil la https://www.juridice.ro/703266/cjue-c-61-19-orange-romania-colectarea-si-stocarea-copiilor-actelor-de-identitate-de-catre-un-furnizor-de-servicii-de-telecomunicatii-mobile-declaratie-de-consimtamant-prin-intermediul-unei-casute.html, vizitată la data de 26 iunie 2021.
[57] A se vedea David Popa, Hotărâre pronunțată de Curtea de Justiție a Uniunii Europene. Consimțământul în materie GDPR, postat în data de 17 noiembrie 2020, disponibil la https://www.universuljuridic.ro/hotarare-pronuntata-de-curtea-de-justitie-a-uniunii-europene-consimtamantul-in-materie-gdpr/, vizitată la data de 26 iunie 2021.
[58] Ibidem.
[59] A se vedea Hotărârea Curții (camera a doua) 29 iulie 2019, disponibilă la https://curia.europa.eu/juris/document/document.jsf?text=&docid=216555&pageIndex=0&doclang=RO&mode=lst&dir=&occ=first&part=1&cid=22282753, vizitată la 26 iunie 2021.
[60] A se vedea Ana-Maria Udriște, Dacă integrezi un plug-in pe un site care colectează date personale, răspunzi pentru acea prelucrare în calitate de operator asociat, postat în data de 18 ianuarie 2019, disponibil la https://www.avocatoo.ro/blog/cand-integrezi-un-plugin-pe-un-site-care-colecteaza-date-personale-raspunzi-pentru-acea-prelucrare/, vizitată în data de 26 iunie 2021.
[61] Ibidem.
[62] A se vedea CJUE. C-40/17, Fashion ID/Verbraucherzentrale. Operatorul paginii de internet trebuie să obțină consimțământul utilizatorilor înainte ca datele să fie colectate și transferate. Concluziile avocatului general. Update: Decizia Prof. univ. dr. Camelia Toader, membru în completul de judecată, postat în data de 29 iulie 2019, disponibil la https://www.juridice.ro/620354/cjue-c-40-17-fashion-id-c-verbraucherzentrale-operatorul-paginii-de-internet-trebuie-sa-obtina-consimtamantul-utilizatorilor-inainte-ca-datele-sa-fie-colectate-si-transferate-concluziile-avocatu.html, vizitat la 26 iunie 2021.
[63] Ibidem.
[64] A se vedea pagina web https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-10/fiche_thematique_-_donnees_personnelles_-_ro.pdf, vizitată la data de 26 iunie 2021.
[65] Ibidem.
[66] Ibidem.
[67] Pentru mai multe detalii, a se vedea Ana-Maria Udriste, Dacă ai plug-in cu „îmi place” de la Facebook, vei fi operator asociat cu el, postat în 29 iulie 2019, disponibil la https://www.avocatoo.ro/blog/daca-ai-plug-in-cu-imi-place-de-la-facebook-vei-fi-operator-asociat-cu-el/, vizitat în data de 26 iunie 2021.
[68] Ibidem.
Dermina-Petronela Danciu
Absolventă a programului de Master de „Dreptul european și dreptul național al afacerilor” al Facultății de Drept din cadrul Universității Babeș-Bolyai din Cluj-Napoca
Îndrumător: lect. univ. dr. Juanita Goicovici
- Flux integral: www.juridice.ro/feed
- Flux secţiuni: www.juridice.ro/*url-sectiune*/feed
Pentru suport tehnic contactaţi-ne: tehnic@juridice.ro
