ESTT: Iš anksto pažymėtos „varnelės“ dėl asmens duomenų tvarkymo pateikimas sutartyje – nėra aktyviais veiksmais pareikštas asmens sutikimas. Ko galime pasimokyti?

2020 m. lapkričio 11 d. Europos Sąjungos Teisingumo Teismas (toliau – ESTT) priėmė sprendimą byloje dėl Rumunijos telekomunikacijų įmonės „Orange România“ veiksmų teisėtumo, saugant ir tvarkant klientų asmens duomenis.

Byloje surinktų įrodymų duomenimis, „Orange România“ laikotarpiu nuo 2018 m. kovo 1 d. iki kovo 26 d. su naujais klientais sudarinėjo nuotolines sutartis, kuriose buvo įtrauktas punktas, nurodantis, kad klientai yra informuoti ir sutinka su jų tapatybės dokumentų rinkimu ir saugojimu įmonėje, dėl klientų identifikavimo priežasčių. Tačiau, prie šio sutarties punkto buvo įtrauktas iš anksto „varnele“ pažymėtas langelis, kad asmuo su šiuo sutarties punktu sutinka. Galiausiai, tam, kad klientas pareikštų nesutikimą su tokių jo duomenų tvarkymu bei saugojimu, „Orange România“ reikalaudavo, kad atitinkamas klientas raštu pareikštų, jog neduoda sutikimo nei rinkti, nei saugoti savo asmens tapatybės dokumento kopijų.

Nagrinėdamas šias aplinkybes, ESTT pažymėjo, kad vadovaujantis Bendrojo duomenų apsaugos reglamento (toliau – BDAR) 32 konstatuojamąja dalimi, sutikimas turėtų būti duodamas aiškiu aktu patvirtinant, kad yra suteiktas laisva valia, konkretus, informacija pagrįstas ir vienareikšmis nurodymas, kad duomenų subjektas sutinka, kad būtų tvarkomi su juo susiję asmens duomenys. Tokie veiksmai galėtų būti atliekama pažymint langelį pvz. sutartyje arba kitu poelgiu, iš kurio aiškiai būtų matoma, jog duomenų subjektas sutinka su siūlomu jo asmens duomenų tvarkymu. Taip pat, ESTT remdamasis BDAR 42 konstatuojamosios dalies nuostatomis, nurodė, kad sutikimas neturėtų būti laikomas duotas laisva valia, jei duomenų subjektas faktiškai neturi laisvo pasirinkimo ar negali atsisakyti sutikti arba sutikimo atšaukti, nepatirdamas žalos.

Taigi, ESTT priėmė sprendimą, kad „Orange România“ veiksmai, gaunant sutikimus dėl jų klientų duomenų tvarkymo, nėra teisėti, kadangi:

  • „Orange România“ kaip duomenų valdytojas su susijusiu sutarties punktu langelį pažymėjo dar prieš pasirašant sutartį;
  • toks sutarties punktas klaidina klientą, kaip duomenų subjektą, dėl galimybės sudaryti atitinkamą sutartį net ir tuo atveju, jeigu jis atsisako duoti sutikimą dėl savo duomenų tvarkymo;
  • „Orange România“ nepagrįstai apriboja laisvą pasirinkimą prieštarauti dėl tokio asmens duomenų rinkimo ir saugojimo, reikalaudamas, kad klientas, norėdamas atsisakyti duoti sutikimą, papildomai raštu nurodytų, kad patvirtina su šiuo atsisakymu.

Ko galime pasimokyti?

Prieš renkant asmens duomenis, siūlome įsivertinti, kokiu duomenų tvarkymo teisiniu pagrindu remiantis renkamai šie duomenys. BDAR 6 straipsnio 1 dalyje nurodyti 6 duomenų tvarkymo teisėtumo pagrindai, tačiau, sutikimas kaip teisinis pagrindas turėtų būti naudojamas tais atvejais, kai nėra galimybės taikyti kitų teisinių pagrindų dėl asmens duomenų tvarkymo.

BDAR 4 straipsnio 11 punkte nurodyta, kad „duomenų subjekto sutikimas – bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys“.

Europos Duomenų Apsaugos Valdyba (toliau – EDAV) savo gairėse Nr. 05/2020 pažymi, kad sutikimas turi atitikti šiuos kriterijus:

  • sutikimas turi būti duotas laisva valia;
  • sutikimas turi būti konkretus;
  • sutikimas turi būti informuotas;
  • sutikimas turi būti kaip nedviprasmiškas duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais, kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys.

Taip pat, EDAV, kaip netinkamas sutikimo gavimo formas, nurodo šiuos atvejus:

  • tyla arba neveikimas;
  • iš anksto pažymėti langeliai;
  • pareiškimas, kad toliau naršant tinklalapį, yra duodamas sutikimas.

Taigi, duomenų valdytojui, vertinančiam duomenų subjekto teikiamų sutikimų formą ir turinį, rekomenduotumėme vadovautis EDAV gairėse apibrėžtais kriterijais.

Norėdami gauti daugiau informacijos ar konsultaciją, susijusią su duomenų apsauga, kviečiame konsultuotis su ECOVIS ProventusLaw specialistais.

Parengė ECOVIS ProventusLaw advokatė Loreta Andziulytė ir ECOVIS ProventusLaw teisininkas Andrius Karmonas

Naujienlaiškio prenumerataSusisiekti