Vastus
Nõusoleku taotlus tuleb esitada selgelt ja kokkuvõtlikult, lihtsas ja arusaadavas sõnastuses ning see peab olema selgelt eristatav muust teabest, nagu tingimustest. Taotluses tuleb määrata kindlaks, milleks Teie isikuandmeid kasutatakse, ja selles peavad olema andmeid töötleva ettevõtte kontaktandmed. Nõusolek peab olema vabatahtlikult antud, konkreetne, teadlik ja ühemõtteline. „Teadlik“ tähendab, et Teile tuleb anda vähemalt järgmist teavet:
- andmeid töötleva organisatsiooni nimi;
- eesmärk, milleks andmeid töödeldakse;
- töödeldavate andmete liik;
- antud nõusoleku tagasivõtmise võimalus (nt saates e-kirja nõusoleku tagasivõtmiseks);
- asjakohasel juhul teade selle kohta, et andmeid kasutatakse üksnes automatiseeritud töötlemisele (sh profiilianalüüsile) toetuvate otsuste tegemiseks;
- teave selle kohta kas nõusolek on seotud Teie andmete rahvusvahelise edastamisega, tuleb mainida ELi mittekuuluvatesse riikidesse andmete edastamise võimalikke riske, kui ei ole Euroopa Komisjoni kaitse piisavuse otsust või asjakohaseid kaitsemeetmeid.
Näited
Nõusoleku küsimine ei toimunud kooskõlas seaduse sätetega
Te astute muusikakooli, et võtta klaveritunde. Sisseastumisavalduse juurde kuulub pikk peenikeses kirjas dokument, milles kasutatakse spetsiifilisi juriidilisi ja tehnilisi mõisteid, muuhulgas võimaluse kohta, et kool võib edastada Teie isikuandmeid muusikainstrumente müüvatele ettevõtetele. Kool rikub õigusnõudeid, sest Teie nõusolekut turundusmaterjalide saamiseks (võimalikelt muusikainstrumentide müüjatelt) ei esitatud Teile nii, nagu seaduses sätestatud.
Te avate veebi kaudu pangakontot ja tahate oma taotlust kinnitada. Teile kuvatakse veebileht kahe märkeruuduga, mille juures on tekst „Olen tingimustega nõus“ ja „Olen nõus, et otsus, kas mul on õigus krediitkaarti saada, tehakse üksnes profiilianalüüsi põhjal ilma mingi inimsekkumiseta“. Mõlemad märkeruudud on vaikimisi aktiveeritud (märgitud). Te peate märkeruudust märke kustutama, kui Te ei taha, et otsus selle kohta, kas Teil on õigus krediitkaarti saada, tehtaks üksnes profiilianalüüsi põhjal. Isegi kui Te ei kustuta märget märkeruudust, ei ole pank kehtivat nõusolekut saanud, sest eelnevalt märgistatud lahtreid ei peeta isikuandmete kaitse üldmääruse alusel kehtivaks nõusolekuks.
Viited
Examples
Consent not requested as per terms of the law
You enrol at a music school to take piano classes. The enrolment form contains a long document drafted in small print using highly legal and technical terms, which includes the possibility that the school may pass on your personal details to retailers selling musical instruments. The school is in breach of the law as your consent to receive marketing material (potentially from instrument retailers) was not requested as stipulated by law.
You’re opening a bank account online and want to confirm your request. You are shown a page with two tick boxes saying ‘I accept the terms and conditions’ and ‘I agree that the decision whether I am entitled to a credit card is solely based upon profiling without any human intervention’. Both tick boxes are activated (checked) by default. You have to deactivate the tick box if you don’t want to be subject to a decision on whether you are entitled to a credit card based solely on profiling. Even if you don’t deactivate the tick box, the bank would not have obtained valid consent as pre-ticked boxes are not considered to be valid consent under GDPR.