Η συγκατάθεση στην επεξεργασία των προσωπικών δεδομένων υπό τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ), βασίζεται σε οδηγίες και προϋποθέσεις.
Το 2016 η Ευρωπαϊκή Ένωση ψήφισε το Γενικό Κανονισμό Προστασίας Δεδομένων 679/2016. Είναι γνωστός και ως ΓΚΠΔ και τέθηκε σε ισχύ τον Μάιο 2018. Η εφαρμογή του έχει ως στόχο να εξασφαλίσει στα φυσικά πρόσωπα τον έλεγχο της επεξεργασίας των προσωπικών τους δεδομένων από εταιρείες, δημόσιους – ιδιωτικούς φορείς και οργανισμούς.
Σύμφωνα με τους κανόνες της ΕΕ για την προστασία δεδομένων, η επεξεργασία πρέπει να γίνεται με θεμιτό και σύννομο τρόπο, για έναν συγκεκριμένο και νόμιμο σκοπό και να καλύπτει μόνο τα δεδομένα που είναι αναγκαία για την επίτευξη αυτού του σκοπού. Για την επεξεργασία προσωπικών δεδομένων είναι απαραίτητη η διασφάλιση της συγκατάθεσης.
Συγκατάθεση
Η συγκατάθεση είναι κάθε ένδειξη βουλήσεως ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει. Με αυτή το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού
χαρακτήρα που το αφορούν.
Ο ΓΚΠΔ ορίζει αυστηρούς κανόνες για την επεξεργασία δεδομένων βάσει συγκατάθεσης. Σκοπός των κανόνων αυτών είναι να διασφαλιστεί ότι το υποκείμενο των δεδομένων κατανοεί για τι πραγματικά έχει δώσει τη συγκατάθεσή του. Αυτό σημαίνει ότι η συγκατάθεση πρέπει να δίνεται ελεύθερα, συγκεκριμένα και χωρίς ασάφειες. Η δήλωσή της πρέπει να είναι διατυπωμένη σε απλή και κατανοητή γλώσσα. Η συγκατάθεση πρέπει να δίνεται με καταφατική πράξη, π.χ. με την επιλογή τετραγωνιδίου σε ιστοσελίδα ή με την υπογραφή δήλωσης.
Όταν έχει δοθεί συγκατάθεση για την επεξεργασία προσωπικών δεδομένων, μπορεί να γίνει επεξεργασία των δεδομένα μόνο για τους σκοπούς για τους οποίους δόθηκε η συγκατάθεση. Πρέπει επίσης να δίνεται στο υποκείμενο των δεδομένων η δυνατότητα να αποσύρει τη συγκατάθεσή του.
“Η συγκατάθεση πρέπει να λαμβάνεται ελεύθερα από το φυσικό πρόσωπο και ρητά. Επίσης, ο Υπεύθυνος Επεξεργασίας πρέπει να μπορεί να αποδείξει τη λήψη αυτής.”
Αίτημα Συγκατάθεσης
Το αίτημα της συγκατάθεσης πρέπει να προσδιορίζει τη χρήση που θα γίνει στα δεδομένα προσωπικού χαρακτήρα και να περιλαμβάνει τα στοιχεία επικοινωνίας της εταιρείας που επεξεργάζεται τα δεδομένα. Η συγκατάθεση πρέπει να δίνεται ελεύθερα, να είναι συγκεκριμένη, εν επιγνώσει και αδιαμφισβήτητη. Ο όρος «εν επιγνώσει» σημαίνει ότι πρέπει το φυσικό πρόσωπο να έχει ενημερωθεί σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, καθώς και οπωσδήποτε σχετικά με τα εξής:
- Την ταυτότητα του οργανισμού που επεξεργάζεται τα δεδομένα.
- Τους σκοπούς για τους οποίους γίνεται η επεξεργασία των δεδομένων.
- Το είδος των δεδομένων που θα υποβληθούν σε επεξεργασία.
- Τη δυνατότητα ανάκλησης της συγκατάθεσης (π.χ. με την αποστολή ηλεκτρονικού μηνύματος για ανάκληση της συγκατάθεσης).
- Όπου είναι απαραίτητο, το γεγονός ότι τα δεδομένα θα χρησιμοποιηθούν μόνο για αυτοματοποιημένη λήψη αποφάσεων. Σε αυτό συμπεριλαμβάνεται η κατάρτιση προφίλ.
- Το κατά πόσον η συγκατάθεση σχετίζεται με διεθνή διαβίβαση των δεδομένων σας. Ακόμη, τους ενδεχόμενους κινδύνους των διαβιβάσεων δεδομένων προς χώρες εκτός της ΕΕ σε δύο περιπτώσεις. Σε πρώτη φάση αν δεν υπάρχει για τις χώρες αυτές απόφαση της Επιτροπής περί επάρκειας. Σε δεύτερη φάση αν δεν προβλέπονται κατάλληλες εγγυήσεις.
Προϋποθέσεις Συγκατάθεσης
Για την εκτίμηση κατά πόσο η συγκατάθεση δίνεται ελεύθερα, λαμβάνεται ιδίως υπόψη κατά πόσο για την αποδοχή όρων ή προϋποθέσεων για την εκτέλεση μιας σύμβασης ή παροχής υπηρεσιών τίθεται ως προϋπόθεση η συγκατάθεση στην επεξεργασία προσωπικών δεδομένων.
Εάν τίθεται ως προϋπόθεση, τότε δε δίνεται ελεύθερα. Το βάρος της απόδειξης για το εάν έχει δοθεί η συγκατάθεση ελεύθερα έχει ο Υπεύθυνος Επεξεργασίας. Η συγκατάθεση δε μπορεί να θεωρηθεί ότι δόθηκε ελεύθερα, όταν υπάρχει σαφής ανισότητα μεταξύ του υποκειμένου των δεδομένων και του Υπευθύνου Επεξεργασίας, ιδίως στις περιπτώσεις που ο Υπεύθυνος είναι δημόσια αρχή ή εργοδότης και είναι σχεδόν απίθανο να έχει δοθεί η συγκατάθεση ελεύθερα. Στις περιπτώσεις αυτές θα πρέπει να εφαρμόζεται άλλη νομιμοποιητική βάση επεξεργασίας.
Επίσης, εάν συντελείται επεξεργασία πολλαπλών σκοπών/πράξεων επεξεργασίας, θα πρέπει να παρέχεται συγκατάθεση για κάθε σκοπό/πράξη επεξεργασίας, εάν δε η συγκατάθεση παρέχεται με γραπτή δήλωση που αφορά και άλλα θέματα, το αίτημα για συγκατάθεση πρέπει να είναι σαφώς διακριτό από τα άλλα θέματα, σε κατανοητή και εύκολα προσβάσιμη μορφή.
Το υποκείμενο των δεδομένων έχει δυνατότητα ανάκλησης της συγκατάθεσης ανά πάσα στιγμή. Δε θίγονται οι πράξεις επεξεργασίας που διενεργήθηκαν προ της ανάκλησης. Επιπλέον, εάν δεν υπάρχει νομιμοποιητική βάση που να δικαιολογεί τη συνέχιση της επεξεργασίας (π.χ. περαιτέρω αποθήκευση των δεδομένων), τα δεδομένα πρέπει να διαγράφονται ή να ανωνυμοποιούνται από τον υπεύθυνο επεξεργασίας. Η ανάκληση πρέπει να είναι εξίσου εύκολη με την παροχή της. Η ενημέρωση για τη δυνατότητα ανάκλησης πρέπει να γίνεται πριν από τη λήψη συγκατάθεσης. Εάν μετά την ανάκληση της συγκατάθεσης ο Υπεύθυνος Επεξεργασίας επιθυμεί τη συνέχιση της επεξεργασίας με άλλη νομιμοποιητική βάση, πρέπει να το δηλώσει ρητώς στο υποκείμενο των δεδομένων σύμφωνα με τα άρθρο 13 και άρθρο 14 ΓΚΠΔ.
Εν κατακλείδι
Μία συγκατάθεση μπορεί να ληφθεί κατά τη διάρκεια μιας αγοράς, μιας καμπάνιας ενημέρωσης, μιας διαφημιστικής δράσης, κατά την περιήγηση σε έναν ιστότοπο κτλ. Λόγω όσων προαναφέρθηκαν παραπάνω σχεδιάσαμε ένα σύστημα διαχείρισης συγκαταθέσεων το Consent Me. Σκοπός του έργου αυτού είναι η ανάπτυξη ενός ολοκληρωμένου συστήματος διαχείρισης συγκαταθέσεων. Μέσα από αυτό θα δίνεται η δυνατότητα στον Υπεύθυνο Επεξεργασίας να μπορεί να αποδείξει τη λήψη συγκατάθεσης. Επίσης το συσχετισμό της με αντίστοιχες που αφορούν άλλες δράσεις. Ακόμη, ο Υπέυθυνος Επεξεργασίας θα μπορεί να διαχειριστεί συγκαταθέσεις του ίδιου προσώπου από διαφορετικά κανάλια. Τέλος, το φυσικό πρόσωπο θα μπορεί οποιαδήποτε στιγμή να αναζητήσει και να επεξεργαστεί τα προσωπικά του δεδομένα.