Răspuns
Cererea privind consimțământul trebuie prezentată într-o formă clară și concisă, într-un limbaj ușor de înțeles, și trebuie să se diferențieze în mod clar de alte informații, cum ar fi termenele și condițiile. Cererea trebuie să precizeze cum vor fi utilizate datele dvs. cu caracter personal și să includă datele de contact ale companiei care prelucrează datele. Consimțământul trebuie să fie o manifestare liber exprimată, specifică, în cunoștință de cauză și clară. Consimțământul „în cunoștință de cauză” înseamnă că trebuie să vi se ofere informații cu privire la prelucrarea datelor dvs. cu caracter personal, inclusiv cel puțin:
- identitatea organizației care prelucrează datele;
- scopurile în care sunt prelucrate datele;
- tipul de date care se vor prelucra;
- posibilitatea de retragere a consimțământului (de exemplu prin trimiterea unui e-mail pentru a vă retrage consimțământul);
- dacă este cazul, faptul că datele vor fi utilizate pentru luarea de decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri;
- în cazul în care consimțământul se referă la un transfer internațional al datelor dvs., riscurile posibile ale transferurilor de date în țări din afara UE dacă nu există o decizie privind caracterul adecvat al nivelului de protecție sau garanții adecvate în privința acestor țări.
Exemple
Consimțământ nesolicitat conform legii
Vă înscrieți la o școală de muzică pentru a lua lecții de pian. Formularul de înscriere conține un document lung scris mărunt, cu termeni juridici și tehnici avansați, care include posibilitatea ca școala să transmită datele dvs. cu caracter personal unor comercianți cu amănuntul de instrumente muzicale. Școala încalcă legea, deoarece nu vi s-a prezentat o cerere de consimțământ prevăzută de lege pentru primirea de materiale de marketing (eventual din partea comercianților cu amănuntul de instrumente muzicale).
Deschideți un cont bancar online și doriți să vă confirmați solicitarea. Vi se afișează o pagină cu două căsuțe de bifat, cu textele „Accept termenele și condițiile” și „Sunt de acord ca decizia dacă am sau nu dreptul la un card de credit să fie bazată exclusiv pe crearea de profiluri fără nicio intervenție umană”. Ambele căsuțe sunt activate (bifate) în mod implicit. Trebuie să dezactivați căsuța dacă nu doriți să faceți obiectul unei decizii privind eliberarea unui card de credit bazate exclusiv pe crearea de profiluri. Chiar dacă nu dezactivați căsuța, consimțământul obținut de bancă nu ar fi valabil, deoarece căsuțele bifate în prealabil nu sunt considerate valabile în temeiul RGPD.
Referințe
Examples
Consent not requested as per terms of the law
You enrol at a music school to take piano classes. The enrolment form contains a long document drafted in small print using highly legal and technical terms, which includes the possibility that the school may pass on your personal details to retailers selling musical instruments. The school is in breach of the law as your consent to receive marketing material (potentially from instrument retailers) was not requested as stipulated by law.
You’re opening a bank account online and want to confirm your request. You are shown a page with two tick boxes saying ‘I accept the terms and conditions’ and ‘I agree that the decision whether I am entitled to a credit card is solely based upon profiling without any human intervention’. Both tick boxes are activated (checked) by default. You have to deactivate the tick box if you don’t want to be subject to a decision on whether you are entitled to a credit card based solely on profiling. Even if you don’t deactivate the tick box, the bank would not have obtained valid consent as pre-ticked boxes are not considered to be valid consent under GDPR.