iLAW
Susipažinkime artimiau.
Klientams | LT | EN | RU

Sutikimas pagal Bendrąjį duomenų apsaugos reglamentą

2017-03-21

Pagal šiuo metu galiojantį reguliavimą, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (toliau – ADTAĮ) 2 straipsnio 12 punkte apibrėžia sutikimą kaip savanorišką duomenų subjekto valios pareiškimas tvarkyti jo asmens duomenis jam žinomu tikslu, išreikštą aiškiai – rašytine, jai prilyginta ar kita forma, neabejotinai įrodančia duomenų subjekto valią. Bendrasis duomenų apsaugos reglamentas įtvirtina apibrėžimą, pagal kurį duomenų subjekto sutikimas yra bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys. Šie apibrėžimo ir kitų reguliavimo elementų pasikeitimų sukelti pokyčiai aptariami žemiau.

Poreikis gauti sutikimą    

Labai svarbu atkreipti dėmesį į tai, kad sutikimas tiek šiuo metu yra, tiek ir įsigaliojus Reglamentui bus tik vienas iš keleto alternatyvių teisėto duomenų tvarkymo pagrindų. Tokių alternatyvių pagrindų Reglamento 6 straipsnio 1 dalyje numatyta penki, iš kurių sutikimo gavimas ne visais atvejais laikytinas tinkamiausiu ar lengviausiai įgyvendinamu. Sutikimas reikalingas tada, tai negali būti taikomas joks kitas teisėto duomenų tvarkymo pagrindas dėl planuojamo duomenų tvarkymo specifikos ar teisės aktuose numatytų reikalavimų (pavyzdžiui, dėl Elektroninių ryšių įstatyme nustatytos pareigos gauti sutikimą norint naudoti elektroninių ryšių paslaugas tiesioginės rinkodaros tikslais). Tvarkymas be duomenų subjekto sutikimo laikomas teisėtu jei:

  1. tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;
  2. tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;
  3. tvarkyti duomenis būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus;
  4. tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;
  5. tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų (įskaitant komercinę naudą), išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni.

Neabejotina, kad tvarkymas siekiant teisėtų interesų ir toliau išliks reikšmingu pagrindu, leidžiančiu tvarkyti asmens duomenis tais atvejais, kai nėra galimybės gauti keliamus reikalavimus atitinkantį sutikimą ir negalima taikyti kitų specifinių teisėto tvarkymo pagrindų. Būtina atkreipti dėmesį, kad šiuo pagrindu Reglamentas neleidžia remtis valdžios institucijoms ar viešosioms įstaigoms, tačiau šios galės remtis ketvirtuoju aukščiau nurodytu pagrindu tol, kol galės įrodyti, kad atitinkamas duomenų tvarkymas yra būtinas oficialių viešosios valdžios funkcijų atlikimui.

Be atvejų, kai sutikimas gaunamas nesant alternatyvų, Didžiosios Britanijos duomenų apsaugos institucija Informacijos komisaro biuras (Information Commissioner’s Office, toliau – ICO) savo Gairėse dėl sutikimo (toliau – Gairės), kurias ICO 2017 m. kovo 2 d. paskelbė viešai konsultacijai, nurodo, kad sutikimas taip pat bus tinkamiausia priemone tada, kai bendrovė siekia suteikti savo klientams ir kitiems duomenų subjektams realų pasirinkimą ir kontrolę dėl asmens duomenų tvarkymo. Kokybiško sutikimo gavimas ICO nuomone turėtų būti laikomas gero klientų aptarnavimo dalimi, ypatybe, kuri gerintų reputaciją ir leistų išsiskirti iš konkurentų tarpo.

Atvejai, kai sutikimas nėra tinkamas duomenų tvarkymo pagrindas

Skirtingai nei galbūt gali pasirodyti iš pirmo žvilgsnio, net ir visus turinio reikalavimus atitinkantis sutikimas nėra universalus ir visais atvejais tinkamas asmens duomenų tvarkymo pagrindas. Kaip vienas tokių atvejų paminėtina situacija, kai duomenų tvarkymu Bendrovė užsiimtų ir tada, jei sutikimas būtų neduotas ar atšauktas, nes tai galėtų vykdyti ir remdamasi kitu pagrindu. ICO nuomone, toks sutikimas būtų apgaulingas, iš esmės nesąžiningas dėl to, kad sukurtų asmeniui klaidingą įspūdį dėl neva turimo pasirinkimo ir kontrolės. Taip pat įprastai netinkamu laikytinas ir toks sutikimas, kuris duodamas kaip būtinoji sąlyga tam, kad būtų suteikta paslauga. Tokiu atveju tinkamesniu pagrindu yra aukščiau paminėtas duomenų tvarkymas siekiant įvykdyti sutartį ir tik už šių ribų išeinantis duomenų tvarkymas (pavyzdžiui, tvarkymas tiesioginės rinkodaros ar mokumo vertinimo tikslais) jau galėtų būti atliekamas su duomenų subjekto sutikimu.

Tai pažymėjus būtina atkreipti dėmesį, kad sutikimas dėl minėtų sutarties vykdymui nereikalingų duomenų tvarkymo tikslų yra būtina sąlyga paslaugai suteikti, tai jau bus laikoma ne vien netinkamo pagrindo pasirinkimu, bet taip pat bus laikomasi prezumpcijos, kad toks sutikimas nebuvo išreikštas laisva valia. Galiausiai, sutikimas nebus laikomas duotu laisva valia ir tada, jei tarp šalių yra akivaizdus poveikio disbalansas, dėl kurio duomenų subjektas neturi kito pasirinkimo tik sutikti su duomenų tvarkymu. Tokia situacija praktikoje jau dabar pripažįstamas darbuotojo sutikimas dėl to, kad darbdavys tvarkytu jo duomenis. Reglamentą tiesiogiai taikant valdžios institucijoms, šios taip pat neturėtų remtis sutikimu kaip teisėto duomenų tvarkymo pagrindu, nes tai negalės būti „laisvai duotas“ sutikimas.

Tinkamas sutikimas pagal Reglamentą

Tuo atveju, jei viską įvertinus sutikimas pripažįstamas tinkamu duomenų tvarkymo pagrindu, būtina įvertinti, koks sutikimas bus laikomas tinkamu pagal Reglamentą. Kaip minėta, sutikimas Reglamente apibrėžiamas kaip bet koks 1) laisva valia duotas, 2) konkretus ir nedviprasmiškas 3) tinkamai informuoto duomenų subjekto 4) valios išreiškimas pareiškimu arba vienareikšmiais veiksmais kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys. Žemiau kiekvienas iš paminėtų elementų aptariamas plačiau.

Laisva valia duotas sutikimas reiškia realios sprendžiamosios galios suteikimą asmenims dėl jų asmens duomenų tvarkymo. Kai sutikimas duotas faktiškai neturint pasirinkimo, tai jau negalės būti laikoma tinkamu sutikimu. Į šį reikalavimą patenka tiek draudimas taikyti neigiamas pasekmes nedavus sutikimo, tiek ir įpareigojimą, jei įmanoma, atskirti sutikimą nuo kitų sutarties sąlygų. Reglamente tiesiogiai nurodoma, kad sutikimas neturėtų būti priskiriamas prie būtinų sąlygų paslaugos teikimui tada, jei atitinkamas asmens duomenų tvarkymas nėra būtinas tai paslaugai teikti. ICO Gairėse nurodo, kad esant tam tikroms aplinkybėms turėtų būti įmanoma įrodyti, kad sutikimas yra tinkamas ir tada, jei jis yra išankstinė sąlyga paslaugai suteikti kai asmens duomenų tvarkymas tam nėra būtinai reikalingas, tačiau tai turėtų būti taikoma tik išimtinais atvejais.

Papildomai ICO šiuo klausimu pažymėjo, kad laisva valia duotas sutikimas nereiškia, kad jokiomis priemonėmis negalima paskatinti asmens duoti sutikimą. Sutikimas dėl asmens duomenų tvarkymo įprastai galės suteikti tam tikrą naudą. Pavyzdžiui, sutikimas dalyvauti lojalumo programoje ir taip leisti naudoti asmens duomenis rinkodaros tikslais gali sudaryti sąlygas suteikti asmeniui tam tikras nuolaidas. Tai, kad sutikimo nedavę asmenys negaus nuolaidų, nebus laikoma jiems daroma žala, tačiau vis vien bus būtina išlaikyti pusiausvyrą ir nesąžiningai nebloginti nedavusių sutikimo asmenų padėties.

Konkretus ir tinkamai informuotas reiškia, kad sutikimas turi būti gautas asmeniui aiškiai ir suprantamai patekus informaciją apie:

  • Valdytojo tapatybę. Valdytojas turi pateikti informaciją tiek apie save, tiek ir apie trečiuosius asmenis, kuriems duomenys vienaip ar kitais bus perduodami sutikimo pagrindu.
  • Tvarkymo tikslus ir norima vykdyti duomenų tvarkymo veiklą. Reglamente numatyta, kad, kai įmanoma, atskiras sutikimas turėtų būti gaunamas atskiroms duomenų tvarkymo operacijoms. Atitinkamai, sutikimas turėtų būti gaunamas nesubendrintai, nebent tai bereikalingai nutrauktų naudojimąsi paslauga, dėl kurios prašoma sutikimo, arba klaidintų, Taip pat tai nebūtina ir akivaizdžiai tarpusavyje susijusių tvarkymo operacijų atveju.
  • Teisę bet kada atsiimti savo sutikimą. ICO taip pat rekomenduoja įtraukti ir informaciją, kaip tai padaryti.

Tuo tarpu prašymo dėl sutikimo tekstas turėtų būti turi būti pateikiamas taip, kad asmenys suprastų, su kuo sutinka. Toks prašymas pagal Reglamentą turi būti pateikiamas glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba bei bereikalingai nenutraukiantis naudojimosi paslauga, dėl kurios prašoma sutikimo. Nėra tokio dalyko kaip sutikimo evoliucija, todėl pasikeitus tam tikroms duomenų tvarkymo aplinkybėms sutikimas taip pat turės būti peržiūrimas ir, esant reikalui, atnaujinamas.

Valios išreiškimas pareiškimu arba vienareikšmiais veiksmais reiškia ne vien patvirtinimą, kad asmuo susipažino su pateiktais dokumentais – turi būti aiškus aktas, kuriuo asmuo sutiktų. Sąvoka „aiškus aktas“ reiškia, kad asmuo turėtų atlikti konkrečius veiksmus tam, kad išreikštų sutikimą. ICO gairėse yra išaiškinusi, kad numanomam sutikimui paliekama galimybių tik tada, jei toks susitikimas išreiškiamas neformaliai ne skaitmeninėje erdvėje ir tik tiek, kiek tam tikras tvarkymas yra akivaizdus ir būtinas bei vis vien išreiškiamas veiksmu, kuriuo akivaizdžiai sutinkama. Vienareikšmiškas ir nedviprasmiškas sutikimas taip pat reiškia, kad turėtų būti galimybė patikrinti sutikimą ir pademonstruoti, kad sutikimas buvo duotas.

„Aiškus sutikimas“ Reglamente nėra apibrėžiamas, bet, ICO nuomone, neturėtų reikšmingai skirtis nuo Reglamente numatyto jau pakankamai aukšto sutikimo standarto. Visgi, iš Reglamento nuostatų galime suprasti, kad tokį sutikimą galima duoti tik pareiškimu (išreiškimas žodžiais), o vienareikšmiški veiksmai nebus laikomi aiškiu sutikimu.

Sutikimo galiojimas

Nors nei dabartinis, nei Reglamente numatytas reguliavimas nenustato specifinio sutikimo galiojimo laiko, tai jokiu būdu nereiškia, kad sutikimas galiotų neribotai. Kaip Gairėse nurodo ICO, sutikimas bėgant laikui dažniausiai praras savo tinkamumą, bet galiojimo trukmė priklauso nuo konteksto. Vykstant tvarkymo operacijų ar tikslų kaitai, anksčiau gautas sutikimas gali nebebūti pakankamai konkretus ar informuotas. Tėvų sutikimas visada nustoja galios vaikams sulaukus amžiaus, kada šie gali nuspręsti patys. Tokiais atvejais būtina arba gauti sutikimą iš naujo, arba remtis kitais teisėto tvarkymo pagrindais.

ICO rekomenduoja vertinti sutikimą ne kaip vienkartinį veiksmą, o kaip dinamišką esamo santykio su subjektu dalį. Įvykus reikšmingesniems pokyčiams sutikimas turėtų būti peržiūrimas, kaip ir praėjus tam tikram laikui, kuris nustatomas atsižvelgiant į besitęsiantį santykį ir asmenų lūkesčius (ICO Gairėse kaip standartą nurodo sutikimo atnaujinimą kas du metus, tačiau gali būti pagrįstas tiek trumpesnis, tiek ir ilgesnis sutikimo galiojimo periodas).

Sutikimo prašymo forma

Prašymas dėl sutikimo turi būti aiškus, glaustas, lengvai suprantamas ir atskiras nuo kitos informacijos, tokios kaip bendrosios nuostatos ir sąlygos. ICO pateikia tokias rekomendacijas kokybiško prašymo dėl sutikimo parengimui:

  • sutikimas turi būti atskirtas nuo bendrųjų sąlygų ir aiškiai atkreipti asmenų dėmesį;
  • naudotina aiški, tiesioginė kalba;
  • priimtinas paprasta stilius, kurį lengvai suprastų tikslinė auditorija;
  • vengtinas techninis ar teisinis žargonas bei paini terminologija;
  • naudotina nuosekli kalba ir metodai tarp skirtingų sutikimo pasirinkimo galimybių;
  • prašymai dėl sutikimo turėtų būti glausti ir konkretūs, vengiama netikslių ir bendro pobūdžio formuluočių.

Atsižvelgiant į Reglamento 13 straipsnį, prašyme dėl sutikimo būtina nurodyti bent jau šią informaciją:

  • sutikimą dėl duomenų tvarkymo siekiančio gauti subjekto tapatybę ir kontaktinius duomenis bei visų trečiųjų asmenų, kurie tvarkys ar gaus duomenis sutikimo pagrindu, pavadinimus (ICO Gairėse pažymėjo, kad, skirtingai nei dabar, trečiųjų asmenų kategorijų nurodymas neatitiks konkretumo reikalavimo);
  • duomenų apsaugos pareigūno, jeigu taikoma, kontaktinius duomenis;
  • duomenų tvarkymo tikslus, dėl kurių ketinama tvarkyti asmens duomenis, taip pat duomenų tvarkymo teisinį pagrindą;
  • jei duomenys bus perduodami į trečiąją valstybę – informaciją apie Komisijos sprendimo dėl tinkamumo buvimą ar nebuvimą arba tinkamas ar pritaikytas apsaugos priemones ir būdus, kaip gauti jų kopiją arba kur suteikiama galimybė su jais susipažinti;
  • asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;
  • teisę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, arba teisę nesutikti, kad duomenys būtų tvarkomi, taip pat teisę į duomenų perkeliamumą;
  • teisę bet kuriuo metu atšaukti sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo iki sutikimo atšaukimo teisėtumui;
  • teisę pateikti skundą priežiūros institucijai;
  • tai, kad automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasmingą informaciją apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.

Kaip matyti, minimalios pateiktinos informacijos sąrašas yra pakankamai platus. Šiuo atžvilgiu susiduriama su priešprieša tarp informacijos išsamumo ir jos pateikimo aiškia bei suprantama forma. ICO rekomenduoja elektroninių paslaugų teikimo atveju įvertinti galimybę naudotis informacijos pateikimo „pačiu laiku“ (angl. just-in-time) sistema, kuri pateikia trumpą pranešimą apie tai, kam bus naudojami asmens duomens tada, kai asmuo įrašo reikiamą informaciją. Tačiau patys sutikimo gavimo metodai, laikantis pareigos pateikti reikalingą informaciją, yra pakankamai įvairūs, tik naudojantis bet kuriuo iš jų svarbu laikytis vienareikšmio nurodymo davimo aiškiu aktu standarto. ICO pateikia tokius iš anksto duodamo sutikimo (angl. opt-in) mechanizmų pavyzdžius: 

  • raštiško pareiškimo dėl sutikimo pasirašymas;
  • pažymint langelį dėl sutikimo popierinėje ar elektroninėje formoje;
  • paspaudžiant sutikimo nuorodą ar mygtuką internete;
  • pasirinkus iš vienodai gerai matomų taip/ne pasirinkčių;
  • pasirinkus techninius nustatymus ar pažymėjus atitinkamas valdymo skydelyje pasirinko pasirinktis;
  • atsakius į elektroninį laišką, kuriuo prašoma sutikimo (jei verslo subjektas turi teisę siųsti tokio pobūdžio laiškus);
  • atsakius taip į aiškų žodinį prašymą dėl sutikimo (jei gali sukelti tam tikrų problemų dėl galimybės parodyti tinkamą sutikimo gavimą);
  • savanoriškai pateikiant papildomą neprivalomą pateikti informaciją konkrečiam tikslui.

Tylėjimas, neveiklumas, iš anksto pažymėti langeliai, langeliai, kuriuos būtina pažymėti siekiant neduoti sutikimo (angl. opt-out boxes), standartiniai nustatymai, bendro pobūdžio sutikimas ir kitos panašios priemonės nebus laikomos sutikimo davimu. Taip pat būtina atsižvelgti į aukščiau nurodytą pareigą daugeliu atveju gauti atskirą sutikimą dėl skirtingų asmens duomenų tvarkymo operacijų vykdymo.

Poveikis rinkodarai  

Pokyčiai dėl sutikimo gali reikšmingai paveikti bendrovių, teikiančių tiesioginės rinkodaros paslaugas, veiklą. Asmens duomenų tvarkymui tiesioginės rinkodaros tikslais jau dabar ADTAĮ 14 straipsnyje sutikimas įvirtinamas kaip vienintelis teisėtas tokio duomenų tvarkymo pagrindas, o duomenų valdytojui nustatoma pareiga „sudaryti aiškią, nemokamą ir lengvai įgyvendinamą galimybę duomenų subjektui išreikšti sutikimą ar nesutikimą dėl jo asmens duomenų tvarkymo tiesioginės rinkodaros tikslais“. Tačiau 4 minėto straipsnio dalyje įtvirtinta išimtis, pagal kurią duomenų valdytojams suteikiama teisė be atskiro duomenų subjekto sutikimo savo klientų asmens duomenis, teisėtai gautus parduodant prekes ar teikiant paslaugas, naudoti savo paties panašių prekių ar paslaugų rinkodarai. Reglamente tiesioginė rinkodara nebėra išskiriama kaip tik sutikimu paremtas duomenų tvarkymas, tačiau sutikimo reikalavimas daugeliu atveju išliks aktualus, dėl to, kad išankstinį sutikimą pagal Lietuvos Respublikos elektroninių ryšių įstatymo 69 str. 1 dalį būtina gauti tada, jei elektroninių ryšių paslaugos naudojamos tiesioginės rinkodaros tikslu. Šis reikalavimas, kylantis iš Europos Parlamento Ir Tarybos Direktyvos 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyvos dėl privatumo ir elektroninių ryšių), išliks ir įsigaliojus Reglamentui. Tiesa, apie tokio sutikimo aspektus įsigaliojus Reglamentui kol kas pasisakyti sudėtinga, nes Europos Komisija yra parengusi pasiūlymą dėl Privatumo ir elektroninių ryšių reglamento, kuris įsigaliotų kartu su Reglamentu ir reikšmingai pakeistų tam tikrus tokio reguliavimo aspektus. Visgi, šis pasiūlymas šiuo metu vis dar yra pakankamai ankstyvoje stadijoje, todėl apie konkrečius galimus pokyčius pasisakyti sudėtinga

Sutikimo įrašų rinkimas

Reglamento 7 straipsnio 1 dalyje numatyta, kad kai „duomenys tvarkomi remiantis sutikimu, duomenų valdytojas turi galėti įrodyti, kad duomenų subjektas davė sutikimą, kad būtų tvarkomi jo asmens duomenys“. Tai reiškia, kad asmens duomenis pagal sutikimą tvarkantis subjektas privalės formuoti aiškų audito pėdsaką tam, kad juo remdamasis galėtų pademonstruoti, kada ir kokiu būdu buvo duotas sutikimas. Remiantis ICO gairėmis, subjektai turės pareigą kaupti įrašus, kurie galėtų pademonstruoti šiuos dalykus:

  • Kas sutiko (asmens vardas ar kitas identifikatorius);
  • Kada sutiko (kopija dokumento, kuriame būtų nurodyta data ar elektroniniai įrašai su laiko žyma, užrašai su data dėl sutikimo, duoto žodžiu);
  • Kas tuo metu buvo nurodyta (dokumento originalas ar duomenų teikimo forma, kurioje būtų įtrauktas tuo metu naudotas pranešimas dėl sutikimo, kartu su bet kokia atskira privatumo politika, įtraukiant versijos numerius ir datas, atitinkančias datą, kai sutikimas buvo duotas. Jei sutikimas buvo duotas žodžiu – kopiją tuo metu naudoto standartinio teksto, scenarijaus);
  • Kokiu būdu buvo sutikta (rašytinio sutikimo atveju tai būtų kopija dokumento ar duomenų surinkimo formos. Jei sutikimas duotas internetu, tai įrašai turėtų apimti tiek pateiktus duomenis, tiek ir laiko žymą susiejimui su atitinkama duomenų rinkimo forma. Jei sutikimas buvo duotas žodžiu, reikėtų saugoti užrašus dėl sutikimo atliktus pokalbio metu, bet tai neturi būti viso pokalbio įrašas);
  • Ar sutikimas buvo atsiimtas, jei taip, tai kada.

Išvados

Apibendrinant tai, kas nurodyta, Reglamentas sutikimui kaip teisėto duomenų tvarkymo pagrindui kelia dar aukštesnius reikalavimus, dėl ko sutikimą daugeliu atveju gauti turėtų būti sudėtingiau. Atsižvelgiant į tai, praktikoje sutikimas turėtų būti taikomas tada, kai duomenų tvarkymas nėra būtinas vykdomai veiklai, ir nesutikimas ar vėlesnis sutikimo atsiėmimas nesukeltų bendrovei neigiamų pasekmių. Kitais atvejais įprastai turėtų būti remiamasi kitu teisėto asmens duomenų tvarkymo pagrindu.

Savo veiksmų plane 2017 metams 29 straipsnio darbo grupė nurodė planuojanti šiame straipsnyje aprašytais klausimais šiemet paskelbti gaires, kurios, nors savaime nėra teisiškai įpareigojantis dokumentas, turės itin didelę reikšmę. Šios darbo grupės išaiškinimais jau dabar savo praktikoje remiasi valstybinės asmens duomenų priežiūros institucijos, o 29 straipsnio darbo grupei nuo Reglamento įsigaliojimo persitvarkius į Europos duomenų apsaugos valdybą ir įgijus daug platesnes galias, šie išaiškinimai įgys dar didesnę praktinę reikšmę. Pagal Reglamento preambulės 72 punktą Valdybai netgi tiesiogiai suteikiama galimybė/įpareigojimas išplėsti gaires profiliavimo tema, todėl nėra abejonių, kad šis gairės taps faktine Reglamento dalimi, plėtojančia pakankamai abstrakčias Reglamento nuostatas. Taigi, šie išaiškinimai gali kiek pakeisti ar papildyti šiame straipsnyje išdėstytą poziciją. 

Tais atvejais, kai duomenų tvarkymo teisėtumas paremtas sutikimu, bendrovės įsigaliojus Reglamentui tokio sutikimo kokybei turėtų skirti ypatingą dėmesį, nes rėmimasis negaliojančiu ar situacijos neatitinkančiu sutikimu gali lemti ne vien pasitikėjimo iš klientų pusės praradimą, bet ir reikšmingo dydžio finansines sankcijas – Reglamento 83 str. 5 d. a punktas numato, kad pažeidus pagrindinius duomenų tvarkymo principus, įskaitant sutikimo sąlygas, galės būti skiriamos administracinės baudos iki 20 000 000 EUR arba, įmonės atveju – iki 4 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė. Į naujuosius reikalavimus turėtų būti atsižvelgiama tiek vertinant iki Reglamento taikymo pradžios gautus sutikimus bei esant reikalui juos atnaujinant, tiek rengiant naujų sutikimų gavimo procedūras ir mechanizmus.   

 

Daugiau informacijos suteiks:

Asmens duomenu apsauga.Teisininkas Valentinas Knyva ILAW 

WE ENJOY CREATING VALUE