Η Συγκατάθεση στον Γενικό Κανονισμό για την Προστασία Δεδομένων
- Η συγκατάθεση στον GDPR
- Ειδικές περιπτώσεις: Συγκατάθεση παιδιού
- Ειδικές περιπτώσεις: Ρητή συγκατάθεση για ειδικές κατηγορίες δεδομένων
- Ειδικές περιπτώσεις: Συγκατάθεση στο πλαίσιο εργασίας
- Ειδικές περιπτώσεις: Επιστημονική έρευνα
- Ανάκληση συγκατάθεσης και λοιπά δικαιώματα του υποκειμένου
- Συγκατάθεση πριν την εφαρμογή του GDPR
- Πηγές
Επιμέλεια: Ζωή Βελαέτη, Ασκ. Δικηγόρος - Πολυτίμη Ξηνταράκου, Ασκ. Δικηγόρος
Η Συγκατάθεση στον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR)
Δείτε το infographic που ετοιμάσαμε σχετικά με τη συγκατάθεση στον GDPR εδώ.
Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) θέτει συγκεκριμένες προϋποθέσεις προκειμένου η επεξεργασία δεδομένων προσωπικού χαρακτήρα ενός φυσικού προσώπου (υποκειμένου των δεδομένων) να είναι νόμιμη. Μεταξύ των νομικών βάσεων επεξεργασίας που ορίζονται στο άρθρο 6 του ΓΚΠΔ περιλαμβάνεται και η συναίνεση - συγκατάθεση του υποκειμένου στην επεξεργασία.
Ειδικότερα, ως συγκατάθεση νοείται η σαφής δήλωση του υποκειμένου των δεδομένων, η οποία συνίσταται στην ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει ένδειξη της συμφωνίας αυτού υπέρ της επεξεργασίας των δεδομένων που το αφορούν.Ο ΓΚΠΔ εξειδικεύει τον τρόπο που πρέπει να χορηγείται η συγκατάθεση προβλέποντας μια σειρά από προϋποθέσεις που πρέπει να πληρούνται σωρευτικά:
(α) Η συγκατάθεση θα πρέπει να δίδεται ελεύθερα, γεγονός που προϋποθέτει ότι το υποκείμενο των δεδομένων έχει αληθινή και ελεύθερη επιλογή ενώ είναι σε θέση να αρνηθεί ή να αποσύρει τη συγκατάθεσή του χωρίς να ζημιωθεί. Για τη διατύπωση ελεύθερης βούλησης για παροχή συγκατάθεσης το υποκείμενο θα πρέπει να μην απειλείται, εξαπατάται ή πλανάται.
(β) Το υποκείμενο των δεδομένων πρέπει να συμφωνεί στην επεξεργασία κατά τρόπο συγκεκριμένο, δηλαδή αναφορικά με έναν εξειδικευμένο σκοπό επεξεργασίας και όχι γενικά και αόριστα. Συνεπώς, η συγκατάθεση θα πρέπει να καλύπτει το σύνολο των δραστηριοτήτων επεξεργασίας που διενεργείται για τον ίδιο σκοπό ή για τους ίδιους σκοπούς. Αυτό σημαίνει πώς όταν η επεξεργασία έχει πολλαπλούς σκοπούς, το υποκείμενο των δεδομένων θα πρέπει να συγκατατίθεται μεμονωμένα για κάθε έναν από αυτούς τους σκοπούς έτσι ώστε να εξασφαλίζεται η διαφάνεια και η δυνατότητα ελέγχου της επεξεργασίας των δεδομένων. Μία “γενική” συγκατάθεση στην επεξεργασία των δεδομένων του ενδέχεται να περιελάμβανε σκοπούς επεξεργασίας που αν το υποκείμενο είχε αντιληφθεί, πιθανότατα δεν θα είχε συναινέσει.
(γ) Ο υπεύθυνος επεξεργασίας θα πρέπει να παρέχει στο υποκείμενο των δεδομένων όλες τις απαραίτητες πληροφορίες σε απλή και κατανοητή γλώσσα. Μακροσκελή κείμενα με ακατανόητες εκφράσεις δεν θεωρούνται πως πληρούν αυτήν την προϋπόθεση. Χαρακτηριστικό παράδειγμα αποτελούν οι συνήθεις όροι πολιτικής απορρήτου τους οποίους ο χρήστης - υποκείμενο των δεδομένων δεν διαβάζει αλλά συναινεί για να προχωρήσει πχ στη χρήση της εφαρμογής. Μεταξύ των πληροφοριών που θα πρέπει να γνωστοποιούνται στο υποκείμενο των δεδομένων είναι η ταυτότητα του υπεύθυνου επεξεργασίας, η κατηγορία των προς συλλογή και επεξεργασία δεδομένων και η ύπαρξη του δικαιώματος ανάκλησης της συναίνεσης.
(δ) Το υποκείμενο των δεδομένων πρέπει να συμφωνεί στην επεξεργασία κατά τρόπο ρητό και σαφή, δηλαδή με δήλωση ή με σαφή θετική ενέργεια (πχ με συμπλήρωση τετραγωνιδίου κατά την επίσκεψη σε ηλεκτρονική ιστοσελίδα, με γραπτή ή προφορική δήλωση κλπ). Εξ αντιδιαστολής λοιπόν συνάγεται ότι τα προσυμπληρωμένα τετραγωνίδια, η αδράνεια ή η σιωπή δεν συνεπάγονται νόμιμη συναίνεση στην επεξεργασία.
(ε) Η δήλωση συγκατάθεσης θα πρέπει να παρέχεται σε χρόνο πρότερο της επεξεργασίας Ως εκ τούτου, ο υπεύθυνος επεξεργασίας θα πρέπει να διατυπώνει εκ των προτέρων το αίτημα για τη συγκατάθεση προς το υποκείμενο των δεδομένων και όχι εκ των υστέρων.
Πέραν των γενικών όρων για τη συγκατάθεση, υπάρχουν ορισμένες ειδικές περιπτώσεις, οι οποίες εμφανίζουν ιδιαιτερότητες είτε αναφορικά με τις κατηγορίες των υποκειμένων (π.χ. παιδιά) είτε ως προς τους σκοπούς επεξεργασίας (π.χ. έρευνα). Στο παρόν κείμενο παρέχονται πληροφορίες για ορισμένες από τις περιπτώσεις αυτές.
Παιδιά (άρθρο 8, αιτιολογική σκέψη 38)
Τα παιδιά αποτελούν μια ευάλωτη ομάδα φυσικών προσώπων καθώς χαρακτηρίζονται από επιπολαιότητα και πνευματική ανωριμότητα όσον αφορά τους κινδύνους και την προστασία των δικαιωμάτων τους. Το άρθρο 8 του ΓΚΠΔ λαμβάνει υπόψη τις συστάσεις της Ομάδας Εργασίας του άρθρου 29 και την έλλειψη ειδικότερων ρυθμίσεων προστασίας υπό την Οδηγία 95/46/ΕΕ θεσπίζοντας ένα πιο ενισχυμένο πλαίσιο προστασίας όσον αφορά τη λήψη συγκατάθεσης από παιδιά. Συγκεκριμένα, το άρθρο 8 προβλέπει ότι όταν η επεξεργασία των προσωπικών δεδομένων του παιδιού πραγματοποιείται στο πλαίσιο της προσφοράς υπηρεσιών της κοινωνίας των πληροφοριών, η εν λόγω επεξεργασία είναι νόμιμη μόνο εφόσον το παιδί έχει συμπληρώσει το 16 έτος της ηλικίας του. Διαφορετικά, εάν είναι κάτω των 16 ετών, πρέπει να ζητείται η συγκατάθεση του ή έγκριση του προσώπου που έχει τη γονική μέριμνα του παιδιού, δηλαδή του γονέα ή του νόμιμου κηδεμόνα του.
Το εν λόγω άρθρο εφαρμόζεται στις περιπτώσεις επεξεργασίας στο πλαίσιο της παροχής υπηρεσιών της κοινωνίας των πληροφοριών. Με τη φράση «προσφορά υπηρεσιών της κοινωνίας των πληροφοριών» εννοείται οποιαδήποτε υπηρεσία της κοινωνίας των πληροφοριών, ήτοι κάθε υπηρεσία που συνήθως παρέχεται έναντι αμοιβής, με ηλεκτρονικά μέσα (π.χ. μέσω τηλεφώνου, διαδικτύου), εξ αποστάσεως και κατόπιν συγκεκριμένης παραγγελίας ενός αποδέκτη υπηρεσιών. Με άλλα λόγια, υπηρεσία της κοινωνίας των πληροφοριών συνιστά κάθε σύμβαση ή προσφορά υπηρεσιών που λαμβάνει χώρα σε επιγραμμικό (online) περιβάλλον.
Το άρθρο 8 δίνει, ωστόσο, την ευχέρεια στα κράτη-μέλη να προβλέψουν κατώτερο όριο ηλικίας, το οποίο όμως δε δύναται να είναι κάτω των 13 ετών. Εν προκειμένω, το σχέδιο του ελληνικού νόμου προβλέπει στο άρθρο 17 ως κατώτερο ηλιακό όριο τα 15 έτη. Αξίζει να σημειωθεί ότι οι διαφορετικές εθνικές ρυθμίσεις αναφορικά με το ηλικιακό όριο νομιμοποίησης της συγκατάθεσης των παιδιών δημιουργούν επιπρόσθετες απαιτήσεις για τους υπευθύνους προστασίας, οι οποίοι οφείλουν να είναι ενήμεροι για τις διαφορετικές εθνικές προβλέψεις όταν προσφέρουν διασυνοριακές υπηρεσίες.
Ο υπεύθυνος επεξεργασίας υποχρεούται να προχωρά σε εύλογες ενέργειες ώστε να επιβεβαιώνει την ηλικία του υποκειμένου. Σε περίπτωση, που ο χρήστης δηλώνει ότι είναι άνω των 16 ετών, ο υπεύθυνος επεξεργασίας οφείλει να επιβεβαιώσει την ακρίβεια της δήλωσης ρωτώντας π.χ. την ημερομηνία γέννησης του. Σε περίπτωση που ο χρήστης δηλώσει ότι είναι κάτω των 16 ετών, πρέπει να αναζητείται η συγκατάθεση του γονέα ή κηδεμόνα του. Στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας πρέπει να προβεί, επίσης, στις κατάλληλες ενέργειες προκειμένου να βεβαιωθεί ότι ο παρέχων τη συγκατάθεση είναι πράγματι ο γονέας ή κηδεμόνας του παιδιού.
Όταν το υποκείμενο φτάσει στη νόμιμη ηλικία για την παροχή ψηφιακής συγκατάθεσης (16 έτη ή ανάλογα με την εκάστοτε εθνική ρύθμιση), δικαιούται να επιβεβαιώσει, τροποποιήσει ή ακόμη να ανακαλέσει τη συγκατάθεση που έχει δοθεί για λογαριασμό του από τον γονέα ή το νόμιμο κηδεμόνα του, δηλαδή για τη συγκατάθεση που είχε δοθεί ενόσω αυτός ήταν ανήλικος.
Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, όπως δεδομένα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, κ.α., επιτρέπεται για εξαιρετικούς λόγους.
Μία από τις περιπτώσεις στις οποίες επιτρέπεται είναι και η ρητή (explicit) συγκατάθεση του υποκειμένου των δεδομένων. Η Ομάδα Εργασίας του Άρθρου 29 παρέχει διευκρινίσεις σχετικά με την ερμηνεία του όρου “ρητός”, επισημαίνοντας ότι πέραν της έγγραφης δήλωσης που μπορεί να συνοδεύεται από την υπογραφή του υποκειμένου, η ρητή συγκατάθεση μπορεί να αποδειχθεί και με την αποστολή email, τη μεταφόρτωση “σκαναρισμένου” εγγράφου που φέρει υπογραφή ή με ηλεκτρονική υπογραφή.
Παρά τα προβλήματα που μπορεί να προκύψουν στην πράξη, θεωρητικά, η παροχή ρητής συγκατάθεσης μπορεί να γίνει και προφορικά, π.χ. μέσω τηλεφωνικής κλήσης, υπό την προϋπόθεση ότι, αφενός η πληροφόρηση του υποκειμένου είναι πλήρης, σαφής και κατανοητή και, αφετέρου ότι ζητείται μία συγκεκριμένη ενέργεια επιβεβαίωσης από το υποκείμενο, π.χ. να πιέσει ένα πλήκτρο ή να παρέχει προφορικό ΟΚ και να ηχογραφηθεί η συνομιλία.
Σύμφωνα με την παράγραφο 4 του άρθρου 9 του GDPR, τα κράτη μέλη μπορούν να διατηρούν ή να θεσπίζουν περαιτέρω όρους, μεταξύ άλλων και περιορισμούς, όσον αφορά την επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων ή δεδομένων που αφορούν την υγεία.
Προς την κατεύθυνση αυτή, το άρθρο 7 του ελληνικού σχεδίου νόμου για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα σε εφαρμογή του GDPR προβλέπει ότι:
1. Εφόσον η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία θεμελιώνεται στη συγκατάθεση του υποκειμένου των δεδομένων η συγκατάθεση αυτή είναι ρητή και έγγραφη.
2. Απαγορεύεται η συλλογή και επεξεργασία γενετικών δεδομένων ή/και πραγματοποίηση γενετικών προδιαγνωστικών εξετάσεων για σκοπούς ασφάλισης υγείας και ζωής. Για τους ίδιους σκοπούς δεν επιτρέπεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα που έχουν προκύψει από προδιαγνωστικές γενετικές εξετάσεις που αφορούν μέλη της οικογενείας του υποκειμένου των δεδομένων.
Στο πεδίο των εργασιακών σχέσεων παρατηρείται έντονα η ανισορροπία δυνάμεων μεταξύ του εργοδότη και του εργαζομένου. Η εξαρτημένη φύση της σχέσης εργασίας καθιστά επισφαλή τη νομιμοποίηση της επεξεργασίας των προσωπικών δεδομένων των εργαζομένων, νομική βάση της οποίας είναι η συγκατάθεση τους. Κι αυτό διότι δύσκολα είναι εφικτή η λήψη ελεύθερης, όπως ακριβώς εξηγήθηκε παραπάνω, συγκατάθεσης από την πλευρά του εργαζομένου. Ο εργαζόμενος, υπό την κυριαρχία του φόβου ή του υπαρκτού κινδύνου να υποστεί δυσμενείς συνέπειες (π.χ. απόλυση, χειροτέρευση των όρων εργασίας, διακριτική μεταχείριση) σε περίπτωση άρνησης να συγκατατεθεί, δεν έχει στην πραγματικότητα ελευθερία επιλογής στην περίπτωση που ζητείται η συγκατάθεση του για την επεξεργασία των προσωπικών του δεδομένων.
Ως εκ τούτου, ο εργοδότης - υπεύθυνος επεξεργασίας δεδομένων δεν μπορεί εύκολα να βασισθεί στη συγκατάθεση του εργαζομένου για την επεξεργασία των προσωπικών δεδομένων του τελευταίου. Επομένως, η νομιμοποίηση της πρέπει να αναζητείται σε άλλη νομική βάση του άρθρου 6 του ΓΚΠΔ, κατά κύριο λόγο δε στην εκτέλεση της συναφθείσας σύμβασης εργασίας.
Διαφορετική είναι η περίπτωση όπου ζητείται η επεξεργασία των προσωπικών δεδομένων του εργαζόμενου για άλλους σκοπούς, που δεν συναρτώνται άμεσα με την εργασιακή σχέση. Για παράδειγμα, όταν ο εργοδότης ζητά από τους εργαζόμενους του να συναινέσουν στη συμμετοχή τους σε διαφημιστικό μήνυμα για την εμπορική προώθηση της επιχείρησης. Στην περίπτωση αυτή, η άρνηση συμμετοχής δεν επιφέρει αρνητικές συνέπειες στην εργασιακή σχέση και επομένως η συγκατάθεση τους είναι πράγματι απόρροια ελεύθερης επιλογής.
Ιδιάζουσα είναι η λήψη συγκατάθεσης στο πλαίσιο επεξεργασίας προσωπικών δεδομένων για σκοπούς επιστημονικής έρευνας. Αναφορικά με την έννοια της επιστημονικής έρευνας, ο ΓΚΠΔ δεν δίδει συγκεκριμένο ορισμό και ως εκ τούτου πρέπει να ερμηνεύεται διασταλτικά περιλαμβάνοντας, παραδείγματος χάρη, την τεχνολογική ανάπτυξη και επίδειξη, την εφαρμοσμένη έρευνα και την ιδιωτικά χρηματοδοτούμενη έρευνα.
Κατά τη συλλογή προσωπικών δεδομένων για τη διενέργεια επιστημονικής έρευνας, οι ερευνητές δεν είναι πάντοτε σε θέση να προσδιορίσουν εκ των προτέρων και με πληρότητα τους σκοπούς της επεξεργασίας τους. Για παράδειγμα, μια ομάδα ερευνητών επιθυμεί να μελετήσει μια συγκεκριμένη μορφή καρκίνου αλλά τα μέλη της γνωρίζουν τις πιθανές επιπτώσεις για άλλες μορφές καρκίνου. Δεδομένης της εν λόγω προβληματικής, ο ΓΚΠΔ δίδει μεγαλύτερη ευελιξία όσον αφορά τον προσδιορισμό των σκοπών για τη λήψη συγκατάθεσης για σκοπούς επιστημονικής έρευνας.
Στο πλαίσιο αυτό, οι ερευνητές μπορούν να ζητήσουν από τα υποκείμενα των δεδομένων να δώσουν τη συγκατάθεση τους για ορισμένους μόνο τομείς ή τμήματα της επιστημονικής έρευνας, στο βαθμό όμως που επιτρέπεται από τον επιδιωκόμενο σκοπό και εφόσον ακολουθούνται τα καθιερωμένα πρότυπα δεοντολογίας και μεθοδολογίας που εφαρμόζονται στο συγκεκριμένο πεδίο έρευνας. Σε κάθε περίπτωση, πρέπει να πληρούνται οι υπόλοιποι όροι για τη λήψη συγκατάθεσης, όπως ακριβώς εκτέθηκαν παραπάνω.
Όπως αναφέρθηκε και ανωτέρω, ο υπεύθυνος επεξεργασίας υποχρεούται να ενημερώνει το υποκείμενο των δεδομένων για το δικαίωμα που έχει το τελευταίο στην ανάκλησης της επικείμενης συγκατάθεσης στην επεξεργασία των δεδομένων που το αφορούν.
Ειδικότερα, σύμφωνα με το άρθρο 7 παρ. 3 ΓΚΠΔ, το υποκείμενο των δεδομένων έχει το δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή με τρόπο εξίσου εύκολο και προσβάσιμο με αυτόν της παροχής της συγκατάθεσης Για παράδειγμα, εάν το υποκείμενο συναίνεσε συμπληρώνοντας ένα τετραγωνίδιο ή με γραπτή ή προφορική δήλωση, θα πρέπει να μπορεί να την ανακαλέσει αντιστοίχως. Επισημαίνεται ότι αν η ανάκληση της συγκατάθεσης επιφέρει ζημία στο υποκείμενο, τότε η συγκατάθεση δεν θεωρείται ότι δόθηκε ελεύθερα και επομένως η επεξεργασία καθίσταται παράνομη. Η ανάκληση της συγκατάθεσης δεν θίγει την επεξεργασία των προσωπικών δεδομένων που έλαβε χώρα πριν την ανάκληση.
Δικαιώματα του υποκειμένου των δεδομένων
Όταν η επεξεργασία των προσωπικών δεδομένων θεμελιώνεται στη συγκατάθεση του υποκειμένου των δεδομένων, τότε τα δικαιώματά του υφίστανται ορισμένες συνέπειες. Αφενός, το υποκείμενο διαθέτει πλέον το δικαίωμα στη φορητότητα των δεδομένων του (άρθρο 20 ΓΚΠΔ) και αφετέρου δεν απολαμβάνει πια το δικαίωμα εναντίωσης (άρθρο 21 ΓΚΠΔ), το οποίο τυγχάνει εφαρμογής όταν η επεξεργασία δεν στηρίζεται στη συναίνεση του υποκειμένου των δεδομένων αλλά σε άλλες νομικές βάσεις, πχ επί τη βάση της συμμόρφωσης με τις νομικές υποχρεώσεις του υπευθύνου επεξεργασίας.
Σύμφωνα με την αιτιολογική σκέψη 171 του GDPR, η οδηγία 95/46/ΕΚ θα πρέπει να καταργηθεί με τον GDPR. Επεξεργασία που βρίσκεται ήδη σε εξέλιξη κατά την ημερομηνία εφαρμογής του παρόντος κανονισμού θα πρέπει να εναρμονιστεί με τον παρόντα κανονισμό εντός δύο ετών από την έναρξη ισχύος του παρόντος κανονισμού. Όταν η επεξεργασία βασίζεται σε συγκατάθεση δυνάμει της οδηγίας 95/46/EΚ, δεν είναι αναγκαία νέα συγκατάθεση του υποκειμένου των δεδομένων, εάν ο τρόπος με τον οποίο έχει δοθεί η συγκατάθεση είναι σύμφωνος με τους όρους του παρόντος κανονισμού, προκειμένου ο υπεύθυνος επεξεργασίας να συνεχίσει την επεξεργασία μετά την ημερομηνία εφαρμογής του παρόντος κανονισμού.
<Εν ολίγοις, σε περίπτωση που το υποκείμενο των δεδομένων είχε παραχωρήσει τη συγκατάθεσή του πριν από τη θέση σε εφαρμογή του ΓΚΠΔ σύμφωνα με τις προϋποθέσεις που καθορίζει ο ΓΚΠΔ, τότε δεν υπάρχει λόγος να ζητηθεί και πάλι η συγκατάθεση του υποκειμένου.Σε κάθε περίπτωση, ο υπεύθυνος επεξεργασίας πρέπει να βεβαιωθεί ότι η συγκατάθεση που δόθηκε πριν την θέση σε εφαρμογή του ΓΚΠΔ πληροί τις απαιτήσεις αυτού, μεταξύ των οποίων συγκαταλέγεται, όπως προαναφέρθηκε και η ενημέρωση για το δικαίωμα ανάκλησης, διαφορετικά θα πρέπει να αναθεωρήσει τον τρόπο λήψης της συγκατάθεσης και να τη ζητήσει εκ νέου από τα υποκείμενα.