1. Όταν η επεξεργασία βασίζεται σε συγκατάθεση, ο υπεύθυνος επεξεργασίας είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε για την επεξεργασία των δεδομένων του προσωπικού χαρακτήρα.
2. Εάν η συγκατάθεση του υποκειμένου των δεδομένων παρέχεται στο πλαίσιο γραπτής δήλωσης η οποία αφορά και άλλα θέματα, το αίτημα για συγκατάθεση υποβάλλεται κατά τρόπο ώστε να είναι σαφώς διακριτό από τα άλλα θέματα, σε κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση. Κάθε τμήμα της δήλωσης αυτής το οποίο συνιστά παράβαση του παρόντος κανονισμού δεν είναι δεσμευτικό.
3. Το υποκείμενο των δεδομένων έχει δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή. Η ανάκληση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση προ της ανάκλησής της. Πριν την παροχή της συγκατάθεσης, το υποκείμενο των δεδομένων ενημερώνεται σχετικά. Η ανάκληση της συγκατάθεσης είναι εξίσου εύκολη με την παροχή της.
4. Κατά την εκτίμηση κατά πόσο η συγκατάθεση δίνεται ελεύθερα, λαμβάνεται ιδιαιτέρως υπόψη κατά πόσο, μεταξύ άλλων, για την εκτέλεση σύμβασης, συμπεριλαμβανομένης της παροχής μιας υπηρεσίας, τίθεται ως προϋπόθεση η συγκατάθεση στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που δεν είναι αναγκαία για την εκτέλεση της εν λόγω σύμβασης.
Σημειωσεις επι του αρθρου
Σχετικά σημεία αιτιολογικής έκθεσης:
(32) Η συγκατάθεση θα πρέπει να παρέχεται με σαφή θετική ενέργεια η οποία να συνιστά ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει ένδειξη της συμφωνίας του υποκειμένου των δεδομένων υπέρ της επεξεργασίας των δεδομένων που το αφορούν, για παράδειγμα με γραπτή δήλωση, μεταξύ άλλων με ηλεκτρονικά μέσα, ή με προφορική δήλωση. Αυτό θα μπορούσε να περιλαμβάνει τη συμπλήρωση ενός τετραγωνιδίου κατά την επίσκεψη σε διαδικτυακή ιστοσελίδα, την επιλογή των επιθυμητών τεχνικών ρυθμίσεων για υπηρεσίες της κοινωνίας των πληροφοριών ή μια δήλωση ή συμπεριφορά που δηλώνει σαφώς, στο συγκεκριμένο πλαίσιο, ότι το υποκείμενο των δεδομένων αποδέχεται την πρόταση επεξεργασίας των οικείων δεδομένων προσωπικού χαρακτήρα. Επομένως, η σιωπή, τα προσυμπληρωμένα τετραγωνίδια ή η αδράνεια δεν θα πρέπει να εκλαμβάνονται ως συγκατάθεση. Η συγκατάθεση θα πρέπει να καλύπτει το σύνολο των δραστηριοτήτων επεξεργασίας που διενεργείται για τον ίδιο σκοπό ή για τους ίδιους σκοπούς. Όταν η επεξεργασία έχει πολλαπλούς σκοπούς, θα πρέπει να δίνεται συγκατάθεση για όλους αυτούς τους σκοπούς. Εάν η συγκατάθεση του υποκειμένου των δεδομένων πρόκειται να δοθεί κατόπιν αιτήματος με ηλεκτρονικά μέσα, το αίτημα πρέπει να είναι σαφές, περιεκτικό και να μην διαταράσσει αδικαιολόγητα τη χρήση της υπηρεσίας για την οποία παρέχεται.
(42) Όταν η επεξεργασία βασίζεται στη συναίνεση του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας θα πρέπει να είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε στη πράξη επεξεργασίας. Ειδικότερα, στο πλαίσιο έγγραφης δήλωσης για άλλο θέμα, θα πρέπει να παρέχονται εγγυήσεις που να διασφαλίζουν ότι το υποκείμενο των δεδομένων γνωρίζει αυτό το γεγονός και σε ποιο βαθμό έχει συγκατατεθεί. Σύμφωνα με την οδηγία 93/13/ΕΟΚ του Συμβουλίου, θα πρέπει να παρέχεται δήλωση συγκατάθεσης, διατυπωμένη εκ των προτέρων από τον υπεύθυνο επεξεργασίας σε κατανοητή και εύκολα προσβάσιμη μορφή, με σαφή και απλή διατύπωση, χωρίς καταχρηστικές ρήτρες. Για να θεωρηθεί η συγκατάθεση εν επιγνώσει, το υποκείμενο των δεδομένων θα πρέπει να γνωρίζει τουλάχιστον την ταυτότητα του υπευθύνου επεξεργασίας και τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα δεδομένα προσωπικού χαρακτήρα. Η συγκατάθεση δεν θα πρέπει να θεωρείται ότι δόθηκε ελεύθερα αν το υποκείμενο των δεδομένων δεν έχει αληθινή ή ελεύθερη επιλογή ή δεν είναι σε θέση να αρνηθεί ή να αποσύρει τη συγκατάθεσή του χωρίς να ζημιωθεί.
(43) Για να διασφαλιστεί ότι η συγκατάθεση έχει δοθεί ελεύθερα, η συγκατάθεση δεν θα πρέπει να παρέχει έγκυρη νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε μια συγκεκριμένη περίπτωση, όταν υπάρχει σαφής ανισότητα μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας, ιδίως στις περιπτώσεις που ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή και είναι επομένως σχεδόν απίθανο να έχει δοθεί η συγκατάθεση ελεύθερα σε όλες τις περιστάσεις αυτής της ειδικής κατάστασης. Η συγκατάθεση θεωρείται ότι δεν έχει παρασχεθεί ελεύθερα, εάν δεν επιτρέπεται να δοθεί χωριστή συγκατάθεση σε διαφορετικές πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα, ακόμη και αν ενδείκνυται στη συγκεκριμένη περίπτωση, ή όταν η εκτέλεση μιας σύμβασης, συμπεριλαμβανομένης της παροχής μιας υπηρεσίας, προϋποθέτει τη συγκατάθεση, ακόμη και αν η συγκατάθεση αυτή δεν είναι αναγκαία για την εν λόγω εκτέλεση.
(65) Ένα υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να ζητεί τη διόρθωση των δεδομένων προσωπικού χαρακτήρα που το αφορούν, καθώς και το «δικαίωμα στη λήθη», εάν η διατήρηση των εν λόγω δεδομένων παραβιάζει τον παρόντα κανονισμό ή το δίκαιο της Ένωσης ή κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας. Ιδίως, το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να ζητεί τη διαγραφή και την παύση της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν, εάν τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέγονται ή υποβάλλονται κατ' άλλο τρόπο σε επεξεργασία, εάν το υποκείμενο των δεδομένων αποσύρει τη συγκατάθεσή του για την επεξεργασία ή εάν αντιτάσσεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν ή εάν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν δεν είναι σύμφωνη προς τον παρόντα κανονισμό κατ' άλλο τρόπο. Το δικαίωμα αυτό έχει ιδίως σημασία όταν το υποκείμενο των δεδομένων παρέσχε τη συγκατάθεσή του ως παιδί, όταν δεν είχε πλήρη επίγνωση των κινδύνων που ενέχει η επεξεργασία, και θέλει αργότερα να αφαιρέσει τα συγκεκριμένα δεδομένα προσωπικού χαρακτήρα, κυρίως από το Διαδίκτυο. Το υποκείμενο των δεδομένων θα πρέπει να μπορεί να ασκήσει το εν λόγω δικαίωμα παρά το γεγονός ότι δεν είναι πλέον παιδί. Ωστόσο, η περαιτέρω διατήρηση των δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σύννομη όταν είναι αναγκαία για την άσκηση του δικαιώματος ελευθερίας της έκφρασης και ενημέρωσης, για τη συμμόρφωση με νομική υποχρέωση, για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς, ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.