Patvirtintos gairės dėl asmens duomenų subjekto sutikimo

2020-05-18

Europos duomenų apsaugos valdyba (toliau – EDAV) atnaujino ir patvirtino gaires 05/2020 „Dėl sutikimo pagal Reglamentą 2016/679“ (toliau – Gairės). Šis dokumentas yra atnaujinta versija 29 straipsnio darbo grupės 2018 m. balandžio 10 d. priimtų gairių „Dėl sutikimo pagal Reglamentą 2016/679“ (toliau – BDAR).

Pažymėtina, jog EDAV Gairėse atkreipė dėmesį į keletą aktualių ir itin reikšmingų aspektų dėl duomenų subjekto sutikimo:

dėl “slapukų sienų” (angl. cookie walls). Siekiant užtikrinti, kad duomenų subjekto sutikimas dėl slapukų naudojimo būtų duotas laisva valia, toks sutikimas neturi būti sąlyga prieigai prie paslaugų, funkcijų ar siekiant įgyti prieigą prie informacijos, kuri yra jau pateikta naudotojo galiniame įrenginyje, vadinamojoje „slapukų sienoje“, vadinasi, turi būti suteikta slapukų sienoje dvi alternatyvos sutikti ar nesutikti su slapukų naudojimu. Duomenų subjektui nedavus sutikimo, jis negali patirti jokių neigiamų reikšmingų pasekmių, t. y. neduotas sutikimas naudoti slapukų, negali būti priežastis negauti norimų paslaugų ar gauti jas apribotas;

dėl tolesnio naršymo. Tokie veiksmai kaip tolesnis naršymas ar kiti panašūs naudotojo veiksmai interneto svetainėje neatitinka duomenų subjekto sutikimui keliamų reikalavimų, vadovaujantis BDAR. Todėl nurodymas slapukų pranešime, kad naršydami toliau, sutinkate su slapukų naudojimu, yra netinkama priemonė;

vaikų asmens duomenų tvarkymas. EDAV Gairės taip pat atkreipė dėmesį į specifines sritis reglamentuotas BDAR tokias kaip vaikai ir sutikimą, kuris yra duotas asmenų, kurie yra vaiko tėvų pareigų turėtojai.

Daugiau informacijos galite rasti žemiau.

Sąlygiškumas kaip svarbus laisva valia duoto sutikimo elementas

EDAV Gairės pateikė keletą rekomendacijų:

– paslaugų teikėjai negali apriboti duomenų subjektų prieigos prie paslaugos, remdamiesi tuo, jog nėra duodamas sutikimas;

– “slapukų sienos” nėra leidžiamos: prieiga prie paslaugų ir jų funkcionalumo negali būti sąlyga ir priklausoma nuo sutikimo siekiant įgyti prieigą prie informacijos, kuri yra jau pateikta naudotojo galiniame įrenginyje, vadinamojoje „slapukų sienoje“. „Slapukų siena“ – iššokantis pranešimas apie slapukus. „Slapukų siena“, kuri blokuoja visą ar dalį interneto svetainės lango ir kurios neįmanoma išjungti, kol nėra duodamas sutikimas slapukų naudojimui, yra netinkama. Sutikimas naudoti slapukus turi būti duodamas laisva valia. Jei lankytojas negali prieiti prie interneto svetainės kol nesutinka su slapukų naudojimu, apie laisvą valią kalbėti negalime. Interneto svetainėje pranešimas apie slapukus turi būti aiškus, tačiau neįkyrus. Jis neturėtų trukdyti lankytojui naršyti interneto svetainėje ir naudotis jos paslaugomis.  Lankytojas turi būti aiškiai informuotas apie naudojamus slapukus, o jei yra naudojami nebūtinieji slapukai, turi būti gautas lankytojo sutikimas. Kol nėra gautas lankytojo sutikimas, slapukai negali būti naudojami.

EDAV Gairėse taip pat pažymėta, jog  sutikimas negali būti laikomas duotas laisva valia, tais atvejais, kai duomenų valdytojai siūlo pasirinkti savo paslaugą, kuri apima sutikimą naudoti asmens duomenis papildomiems tikslams, ir lygiavertę kito duomenų valdytojo siūlomą paslaugą. Tokiu atveju pasirinkimo laisvė tampa priklausoma nuo to, ką daro kiti rinkos dalyviai, ir nuo to, ar duomenų subjektas kito duomenų valdytojo paslaugas tikrai vertintų kaip lygiavertes. Be to, tai reikštų pareigą duomenų valdytojams stebėti rinkos pokyčius, kad būtų užtikrintas nuolatinis duomenų tvarkymo veiklai duoto sutikimo galiojimas, nes konkurentas vėliau gali pakeisti savo paslaugą. Todėl EDPB gairėse numatyta, kad sutikimas, kuris remiasi trečiosios šalies siūlomu alternatyviu variantu, turi būti laikomas BDAR pažeidimu.

Sutikimas kaip nedviprasmiška pageidavimų išraiška

EDAV Gairėse nurodoma, kad remiantis BDAR yra aišku, jog sutikimui yra reikalingas duomenų subjekto pareiškimas arba aiškus patvirtinantis aktas, o tai reiškia, kad jis visada turi būti duodamas per aktyvų judesį ar vienareikšmį nurodymą, ir turi būti akivaizdu, kad duomenų subjektas sutiko su konkrečiu duomenų tvarkymu. Taigi EDAV Gairėse sakoma, jog remiantis BDAR konstatuojamosios dalies 32 punktu, naršymas interneto svetainėje ar kiti panašūs vartotojo veiksmai jokiu būdu nebus aiškus ir patvirtinantis veiksmas, nes gali būti sunku atskirti tokį elgesį nuo kitų vartotojo veiksmų interneto svetainėje ir iš kurio aiškiai galima matyti, kad duomenų subjektas sutinka su siūlomu jo asmens duomenų tvarkymu. EDAV Gairėse numatyta, kad tokiu atveju nebus įmanoma nustatyti, ar buvo gautas vienareikšmis ir aiškus sutikimas, ir kad vartotojui bus sunku pateikti tokį būdą, kuris leistų atsisakyti sutikimo taip pat lengvai, kaip kad duodant sutikimą.

Specifinės sritys, į kurias atkreiptinas dėmesys BDAR, kaip kad vaikai

BDAR 8 str. 1 d. nurodo, jog kada remiamasi sutikimo pagrindu, kai tai susiję su informacinės visuomenės paslaugų tiesioginiu siūlymu vaikui, vaiko asmens duomenų tvarkymas yra teisėtas tik tuo atveju, jei vaikas yra bent 16 metų amžiaus. Kai vaikas yra jaunesnis nei 16 metų, toks tvarkymas yra teisėtas tik tuo atveju, jeigu tą sutikimą davė arba tvarkyti duomenis leido vaiko tėvų pareigų turėtojas, ir tokiu mastu, kokiu duotas toks sutikimas ar leidimas. Dėl amžiaus ribos sutikimo kontekste, BDAR suteikia lankstumo, jog Valstybės Narės įstatymu gali numatyti jaunesnio amžiaus ribą su sąlyga, kad toks jaunesnis amžius bus ne mažiau nei 13 metų. EDAV Gairėse, aptariant „informacinės visuomenės paslaugų“ apibrėžimą, daroma nuoroda į Europos Teisingumo Teismo praktiką. Europos Teisingumo Teismas yra nurodęs, jog informacinės visuomenės paslaugos apima sutartis ir kitas paslaugas, kurios sudaromos ar perduodamos internetu.

EDAV Gairėse pažymima, kad GDPR nenurodo praktinių būdų, kaip gauti tėvų sutikimą ar nustatyti, ar konkretus asmuo turi teisę į šį veiksmą. Todėl EDAV Gairėse rekomenduojama laikytis proporcingo požiūrio, remiantis BDAR 8 str. 2 d. ir BDAR 5 str. 1 d. c punktu (duomenų kiekio mažinimo principą). Proporcingas požiūris gali būti sutelktas į riboto kiekio informacijos gavimą, pavyzdžiui, tėvų ar globėjų kontaktinius duomenis.

Daugiau informacijos rasite EDAV 2020 m. gegužės 4 d. gairėse 05/2020 „Dėl sutikimo pagal Reglamentą 2016/679“ .

Susisiekti