Κατατοπιστική αποδόμηση της εννοιολογικής και πρακτικής σημασίας της Συγκατάθεσης υπό την επικείμενη εφαρμογή του Κανονισμού (ΕΕ) 2016/679 (GDPR)

Η εξεζητημένη έννοια της συγκατάθεσης, ο ρόλος αυτής καθώς και το πλαίσιο εφαρμογής της ενισχύει την χρησιμοποίηση της ως νόμιμη βάση επεξεργασίας και αποδεικνύεται ως ένας από τους πιο διαδεδομένους τρόπους εξύψωσης της αυτονομίας του προσώπου/υποκειμένου, ειδικότερα στον τομέα των προσωπικών δεδομένων. Ως ίσχυε μέχρι σήμερα, λόγω και της αδυναμίας δέσμευσης των γνωμοδοτήσεων που θα αναφερθούν στην συνέχεια, δεν είχε αποδοθεί η δέουσα σημασία σε ένα τόσο σημαντικό δόγμα όσο αυτό της συγκατάθεσης. Έτσι λοιπόν μετά το πέρας της επικείμενης λήξης της περιόδου χάριτος των 2 χρόνων ο νέος κανονισμός θα προκαλέσει την δημιουργία ενός αυστηρότερου αλλά και ασφαλέστερου περιβάλλοντος προς όφελος πάντοτε του υποκειμένου των δεδομένων εφόσον ο δρόμος της ιδιωτικότητας ως ίσχυε, έτεινε προς σοβαρή υποβάθμιση.

Οι απαιτήσεις απόκτησης και απόδειξης μίας από τις έξι καταγεγραμμένες νόμιμες βάσεις επεξεργασίας σύμφωνα με το Άρθρο 6 του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (στο εξής ο «Κανονισμός» ), αυτή της συγκατάθεσης, έχουν πλέον εξειδικευτεί και διευκρινιστεί περαιτέρω.

Το κείμενο θα αναπτυχθεί κάτω από το πρίσμα της πρωταρχικής ερμηνείας της οδηγίας 95/46/ΕΚ (στο εξής η «Οδηγία»), της Γνωμοδότησης 15/2011 της Ομάδας Εργασίας του Άρθρου 29 (στο εξής η «ΟΕ29»), του Κανονισμού αλλά και των πρόσφατων αναθεωρημένων κατευθυντήριων γραμμών της ΟΕ29 που υιοθετήθηκαν στις 10 Απριλίου 2018(στο εξής οι «κατευθυντήριες γραμμές»). Αρχικά θα εξεταστεί η αναβαθμισμένη ερμηνεία που δίνεται στην συγκατάθεση ως νόμιμη βάση επεξεργασίας και μετέπειτα οι εδραιωμένες πλέον προϋποθέσεις απόκτησης και απόδειξης έγκυρης συγκατάθεσης. Αδιαμφισβήτητα όμως οι δύο αυτές ενότητες καθίστανται άρρηκτα συνδεδεμένες καθότι ο Νομοθέτης επιδίωξε την διεύρυνση και εγκαθίδρυση των εν λόγω προϋποθέσεων προς ιδανικότερη και αποτελεσματικότερη καθοδήγηση στην βάση πάντα της ερμηνείας των συστατικών στοιχείων αυτής.

Ο κρίσιμος ρόλος της συγκατάθεσης έχει ήδη προκαθοριστεί από τα Άρθρα 7 και 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, γεγονός που ενισχύει και δικαιολογεί κατά μεγάλο βαθμό τις έντονες προσπάθειες μιας πιο εκσυγχρονισμένης και αυστηρότερης μεταρρύθμισης ωσάν και του Κανονισμού.

Αν και μπορεί να παρατηρηθεί ότι οι δύο ορισμοί περί συγκατάθεσης, της Οδηγίας και του Κανονισμού, προσομοιάζουν στο λεκτικό τους με κάποιες μικρές διαφορές, αυτό που ο Κανονισμός ουσιαστικά κατοχυρώνει, είναι βάσει και των προηγούμενων γνωμοδοτήσεων, καλύτερη και αναλυτικότερη επεξήγηση ως προς τις προϋποθέσεις απόκτησης έγκυρης συγκατάθεσης. Αυτές συγκαταλέγονται στο Άρθρο 7 του Κανονισμού στην απόδειξη της συγκατάθεσης από τον υπεύθυνο επεξεργασίας, στην ξεχωριστή με σαφή, κατανοητή και απλή διατύπωση του κειμένου συγκατάθεσης, στην αντιστοιχία εύκολης παροχής/ανάκλησης και δυνατότητα ανάκλησης αυτής ανά πάσα στιγμή, καθώς και στην αποφυγή της υπό όρων συμπερίληψη αυτής στο πλαίσιο εκτέλεσης σύμβασης συμπεριλαμβανομένης της παροχής μιας υπηρεσίας.

Σύμφωνα με την Οδηγία, τις προηγούμενες γνωμοδοτήσεις και συγκεκριμένα την Γνωμοδότηση 15/2011 της ΟΕ29, τα στοιχεία της ελεύθερης, συγκεκριμένης, ρητής, εν πλήρη επίγνωση ένδειξης βουλήσεως για συγκατάθεση έχουν εδραιωθεί στο Άρθρο 4(11) του Κανονισμού παραχωρώντας έτσι περιθώριο περαιτέρω ανάπτυξης στην βάση πλέον του αποκλειστικά δεσμευτικού κειμένου.

Η συγκατάθεση όπως αυτή ερμηνεύεται και στο προσχέδιο νομοσχέδιου που προτάθηκε από την Επίτροπο Προστασίας Προσωπικών δεδομένων ως η αρμόδια εποπτική αρχή, στην βάση του Κανονισμού σημαίνει:

«κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρη επίγνωση, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν».

Αντιπαραβάλλοντας αυτόν τον ορισμό με αυτόν που δόθηκε για την εναρμόνιση της Οδηγίας στον Περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμος του 2001 (138(I)/2001), μπορεί κανείς να αντιληφθεί ότι τα στοιχεία της ελεύθερης, ρητής και εν πλήρη επίγνωση ένδειξης βουλήσεως παραμένουν, καθώς προστίθεται το στοιχείο της σαφήνειας με περαιτέρω διευκρίνηση ως προς μια θετική ενέργεια ή δήλωση που αναφέρεται στην φράση «unambiguous indication by means of a statement or by a clear affirmative action». Η αναφορά στην σαφήνεια δεν είναι εξ ολοκλήρου πρωτοφανής καθώς εμπεριέχεται και στο Άρθρο 7(α) της Οδηγίας, όπως και η αναφορά στην ένδειξη βουλήσεως. Αυτό όμως που διακρίνεται είναι η θετική ενέργεια ή δήλωση η οποία προσδίδει μια επιπλέον χροιά δυσκολίας.  Το υποκείμενο των δεδομένων θα πρέπει να έχει προχωρήσει με εσκεμμένη ενέργεια ως προς την παραχώρηση της συγκατάθεσης του για την συγκεκριμένη επεξεργασία. Συνεπώς στο πλαίσιο της συγκεκριμενοποίησης (Specific) δεν μπορεί πλέον να παραχωρηθεί γενική συγκατάθεση σε όλες τις μορφές επεξεργασίας. Αντ’ αυτού θα πρέπει να δίνονται από τον υπεύθυνο επεξεργασίας περισσότερες και αναλυτικότερες πληροφορίες για κάθε σκοπό επεξεργασίας ούτως ώστε να παρέχεται δυνατότητα ελέγχου των προσωπικών δεδομένων του υποκειμένου από αυτό.

Εντούτοις, λόγω και των όσων έχουν ειπωθεί πιο πάνω, στο πλαίσιο της εν πλήρη επίγνωσης (Informed) εντείνεται η ανάγκη για συνεχή επαφή με το υποκείμενο των δεδομένων (εξαιρουμένης της ελαστικότητας που εμφαίνετε στην αιτιολογική σκέψη 33 όσον αφορά τις επιστημονικές έρευνες).

Επιπρόσθετα, στο πλαίσιο της ελεύθερα δοθείσας συγκατάθεσης (Freely given), προκύπτει και η απαιτούμενη ύπαρξη επιλογής μεταξύ διαφορετικών σκοπών επεξεργασίας και ειδικότερα όταν ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή και ως εκ τούτου, σε ένα εξ υπονοούμενο βάθρο ισχύος έναντι του υποκειμένου. Σύμφωνα και με το Άρθρο 5(1)β και την αιτιολογική σκέψη 32, η δοθείσα συγκατάθεση κατά την συγκεκριμένη περίπτωση δύναται να εξυπηρετεί όλες τις δραστηριότητες επεξεργασίας εφόσον αυτές βρίσκονται υπό την σκέπη του ίδιου σκοπού.

Σύμφωνα με το Άρθρο 7(1) του Κανονισμού η επιπρόσθετη προϋπόθεση του βάρους απόδειξης της δοθείσας συγκατάθεσης για το χρονικό διάστημα της επεξεργασίας βρίσκεται στους ώμους του υπεύθυνου επεξεργασίας με τέτοιους μηχανισμούς που όπως τονίζεται και στις πρόσφατες κατευθυντήριες γραμμές, θα βρίσκονται στην κρίση του υπευθύνου επεξεργασίας. Το εν λόγω εγχείρημα θα καθίσταται δυσκολότερο, ιδιαίτερα σε περιπτώσεις όπου η εκτέλεση μίας σύμβασης συμπεριλαμβανομένης της παροχής μίας υπηρεσίας προϋποθέτει τη συγκατάθεση ακόμη και αν δεν είναι αναγκαία για την εν λόγω εκτέλεση.

Σε συνάρτηση με την εκτέλεση σύμβασης και όχι μόνον, αλλά και σύμφωνα με την αιτιολογική σκέψη 42, το υποκείμενο των δεδομένων θα πρέπει να βρίσκεται σε θέση να προχωρήσει στην επιλογή  χωρίς την οποιαδήποτε πιθανότητα εξαναγκασμού ή άλλων σημαντικών αρνητικών επιπτώσεων στην περίπτωση απόσυρσης ή μη παροχής συγκατάθεσης όπως εξαπάτηση, εκφοβισμό και εξαναγκασμό. Αυτό θα πρέπει ευλόγως να αναμένεται και ως αποτέλεσμα της ορθής εφαρμογής και του Άρθρου 7(2) του Κανονισμού όπου το αίτημα συγκατάθεσης πρέπει να υποβάλλεται σε κατανοητή, εύκολα προσβάσιμη μορφή, σαφή και απλή διατύπωση, και χωρίς καταχρηστικές ρήτρες στην περίπτωση που παρέχεται στο πλαίσιο γραπτής δήλωσης.

Περαιτέρω, οι κατευθυντήριες γραμμές επισημαίνουν την αναγκαιότητα ύπαρξης άμεσης και αντικειμενικής σύνδεσης μεταξύ της προτεινόμενης επεξεργασίας και του συμβατικού σκοπού. Αυτό συνδέεται και με την Αρχή της Ελαχιστοποίησης καθώς  η συλλογή και επεξεργασία προσωπικών δεδομένων θα πρέπει να είναι αναγκαία για την εκπλήρωση της σύμβασης όπως π.χ. στην περίπτωση όπου η επεξεργασία της διεύθυνσης διαμονής του υποκειμένου είναι αναγκαία για την αποστολή αγαθών αγορασθέντων μέσω του διαδικτύου. Στην περίπτωση δε όπου η επεξεργασία είναι στην πραγματικότητα αναγκαία για την εκτέλεση της σύμβασης, το Άρθρο 7(4) δεν τυγχάνει εφαρμογής και η νόμιμη βάση της συγκατάθεσης δεν θα είναι η ιδανικότερη προς αξιοποίηση, εκτός όπου υφίσταται δυνατότητα επιλογής στην παροχή συγκατάθεσης μεταξύ ισοδύναμης προσφερόμενης υπηρεσίας από τον ίδιο υπεύθυνο επεξεργασίας. Με αυτό τον τρόπο εξασφαλίζεται η ελεύθερη άσκηση επιλογής χωρίς να αναγκάζεται το υποκείμενο να ψάχνει για ισοδύναμη παροχή υπηρεσιών από διαφορετικούς παροχείς.

Ωστόσο, η αναγκαιότητα της συλλογής και επεξεργασίας των δεδομένων στην βάση των σκοπών της επεξεργασίας τους δεν περιορίζεται μόνον στα πλαίσια μιας σύμβασης αλλά σύμφωνα και με την αιτιολογική σκέψη 39, αυτό υπόκειται σε καθολική εφαρμογή ειδικότερα στο μετέπειτα χρονικό διάστημα αποθήκευσης και διατήρησης τους που θα πρέπει να περιορίζεται στο ελάχιστο δυνατό και για όσο είναι αναγκαίο για την επίτευξη του συγκεκριμένου σκοπού.

Τα συστατικά στοιχεία της συγκατάθεσης παραμένουν αλληλένδετα και σε συνεχή επίδραση μεταξύ τους όπως τονίζεται και από την ΟΕ29 π.χ. η ανάγκη για παροχή περισσότερων και αναλυτικότερων λεπτομερειών δεν αποσκοπεί μόνο στην ικανοποίηση του συστατικού στοιχείου της ελεύθερα δοθείσας συγκατάθεσης αλλά της συγκεκριμενοποίησης και της εν πλήρη επίγνωσης, υπό την σκιά και της Αρχής της Διαφάνειας, όπως αυτή παρατίθεται επεξηγηματικά στην αιτιολογική σκέψη 58. Πάραυτα, σε καμία περίπτωση δεν μπορεί να επισκιαστεί ή παραμεριστεί η υποχρέωση τήρησης των Αρχών επεξεργασίας όπως αυτές αναφέρονται στο Άρθρο 5 του Κανονισμού.

Ανατρέχοντας στο Άρθρο 7(3) του Κανονισμού, αυτό που απομένει προς συμπλήρωση του γενικού πλαισίου για έγκυρη απόκτηση συγκατάθεσης είναι η αντιστοιχία εύκολης παροχής/ανάκλησης και η δυνατότητα ανάκλησης αυτής ανά πάσα στιγμή. Το Άρθρο 7(3) κωδικοποιεί ουσιαστικά προηγούμενες γνωμοδοτήσεις, και επιβάλει μια αυστηρότερη γραμμή ως προς τα μέσα ανάκλησης καθώς και προηγούμενης ενημέρωσης του υποκειμένου για αυτό το δικαίωμα. Οι κατευθυντήριες γραμμές κατονομάζοντας την ανάκληση ως μία από τις δύο επιπρόσθετες προϋποθέσεις, απορρίπτουν ένα σύνηθες μηχανισμό όπως αυτόν της παροχής συγκατάθεσης με το πάτημα ενός κουμπιού και την ανάκληση αυτής μέσω τηλεφωνικής επικοινωνίας κατά τις ώρες λειτουργίας του εν λόγω ηλεκτρονικού καταστήματος. Η απόρριψη εναπόκειται στο γεγονός της δυσανάλογης παροχής/ανάκλησης και εκθέτει ένα από τα σοβαρότερα προβλήματα της φαινομενικής απλότητας για απόκτηση έγκυρης συγκατάθεσης. Εντούτοις, το δικαίωμα στην διαγραφή παραμένει στην βάση και του Άρθρου 17(1) β και 3 μετά την ανάκληση της συγκατάθεσης. Αυτό όμως που δυσχεραίνει την θέση του υπεύθυνου επεξεργασίας είναι η υποχρέωση του για συνεχή έλεγχο ως προς την καταλληλόλητα/αναγκαιότητα της επεξεργασίας των δεδομένων, ακόμη και χωρίς την οποιαδήποτε αίτηση προς διαγραφή από τον υποκείμενο.

Όπως ορθά παρατηρήθηκε από την ΟΕ29, οι απαιτήσεις για έγκυρη απόκτηση συγκατάθεσης δεν θεωρούνται ως «πρόσθετη υποχρέωση» αλλά πιθανώς ως προϋποθέσεις για νόμιμη επεξεργασία. Το κατά πόσο όμως αυτές θα μπορέσουν να εκληφθούν ως τέτοιες παραμένει υπό αμφισβήτηση καθώς ένα μεγάλο ποσοστό της χρήσης των δεδομένων στηριζόταν στην νόμιμη αυτή βάση που αν και οι εξειδικεύσεις του Κανονισμού είχαν προαναγγελθεί σε προηγούμενες γνωμοδοτήσεις, η έναρξη της πλήρης ισχύος του Κανονισμού πρόκειται να αποδώσει μια μορφή πρόσθετης υποχρέωσης λόγω και των κατά πολύ υψηλότερων κυρώσεων/προστίμων.

Εντούτοις, οι υπεύθυνοι επεξεργασίας των δεδομένων δεν αναγκάζονται αυτόματα να προβούν σε ολοκληρωτική ανανέωση όσων επεξεργασιών βασίζονταν στην νόμιμη βάση της συγκατάθεσης σύμφωνα με την οδηγία, εφόσον ελέγξουν ότι αυτές τηρούν τα διεθνή πρότυπα προστασίας των δεδομένων.

Εξ υπονοούμενη συγκατάθεση που έχει δοθεί, όμως χωρίς την οποιαδήποτε  καταγραφή και εμφανής απόδειξη, θα κρίνεται ως υποδεέστερη των κριτηρίων απόκτησης έγκυρης συγκατάθεσης του Κανονισμού και συνεπώς άκυρη. Επιπρόσθετα, στη βάση και της πιο διαδεδομένης μορφής παροχής συγκατάθεσης στον διαδικτυακό κόσμο, η οποιαδήποτε προσπάθεια αυτοματοποιημένης και προεπιλεγμένης μορφής διενέργεια (βλ. Προεπιλεγμένα Κουτιά Συμμετοχής) θα κρίνεται ως άκυρη, καθώς και η πρόσθετη διενέργεια επιλογής της εξαίρεσης (Βλ. Κουτιά Εξαίρεσης) εφόσον βασίζεται στην εξ υπονοούμενη παροχή συγκατάθεσης. Με λίγα λόγια, ο Κανονισμός δεν επιδιώκει μόνον την  ανασύνταξη των πολιτικών απορρήτου αλλά και την γενική μεταρρύθμιση στους μηχανισμούς απόκτησης έγκυρης συγκατάθεσης.

Εν κατακλείδι, οι πιο πάνω αλλαγές και διευκρινίσεις στα συστατικά στοιχεία σε συνάρτηση με τις προϋποθέσεις έγκυρης συγκατάθεσης μπορούν να συνοψιστούν στα παρακάτω ουσιαστικά διαβήματα σύμφωνα και με τις κατευθυντήριες γραμμές της 2ας Μαρτίου 2017, του Επίτροπου Πληροφοριών του Ηνωμένου Βασιλείου  («ICO»)[1].

  1. Αδεσμοποίητη/Εμφανώς διαχωρισμένη – Η συγκατάθεση πρέπει να διατηρείται χωριστή από τους άλλους όρους και προϋποθέσεις και δεν πρέπει να αποτελεί προϋπόθεση για την υπογραφή μιας υπηρεσίας εκτός εάν είναι απαραίτητη για την υπηρεσία αυτή.
  2. Ενεργός επιλογή – Τα τετραγωνίδια επιλογής δεν είναι έγκυρα (τα τετραγωνίδια εξαίρεσης δεν απαγορεύονται αφ’ εαυτού υπό τον Κανονισμό , αλλά είναι ουσιαστικά τα ίδια με τα πλαίσια που έχουν επισημανθεί προηγουμένως και τα οποία απαγορεύονται και δεν πρέπει να χρησιμοποιούνται).
  3. Λεπτομερής – Παροχή επιλογών για τη συγκατάθεση σε διαφορετικούς τύπους επεξεργασίας, όπου χρειάζεται.
  4. Ονομασμένος – Ονομάστε τον υπεύθυνο επεξεργασίας και οποιοδήποτε τρίτο μέρος που θα βασίζεται στη συναίνεση.
  5. Τεκμηριωμένη – Διατηρήστε αρχεία για το τι συνήψαν τα άτομα στα οποία αναφέρονται τα δεδομένα, για αυτά που τους είπαν και για το πότε και με ποιον τρόπο συναινούσαν.
  6. Εύκολη απόσυρση/ανάκληση – Ενημερώστε τα υποκείμενα των δεδομένων ότι η συγκατάθεσή τους μπορεί να αποσυρθεί ανά πάσα στιγμή και να δώσετε πληροφορίες σχετικά με το πώς να το κάνετε αυτό (το οποίο πρέπει να πραγματοποιείται σε ανάλογο βαθμό με την παροχή).

[1] Consultation: GDPR consent guidance

Advertisements

Υποβολή σχολίου

Εισάγετε τα παρακάτω στοιχεία ή επιλέξτε ένα εικονίδιο για να συνδεθείτε:

Λογότυπο WordPress.com

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό WordPress.com. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Google+

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Google+. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Twitter

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Twitter. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Facebook

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Facebook. Αποσύνδεση /  Αλλαγή )

w

Σύνδεση με %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.