Η έννοια της συγκατάθεσης

Κάθε ένδειξη βούλησης (ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει), με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν.

Η έννοια της συγκατάθεσης, όπως χρησιμοποιείται στην οδηγία για την προστασία δεδομένων (οδηγία 95/46/ΕΚ) καθώς και στην ισχύουσα οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες, έχει εξελιχθεί. Ο GDPR διευκρινίζει και εξειδικεύει περαιτέρω τις απαιτήσεις απόκτησης και απόδειξης έγκυρης συγκατάθεσης.

Οι εν προκειμένω κατευθυντήριες γραμμές επικεντρώνονται σε αυτές τις αλλαγές, παρέχοντας πρακτική καθοδήγηση με σκοπό τη διασφάλιση συμμόρφωσης με τον GDPR και εξελίσσοντας την Γνωμοδότηση 15/2011 αναφορικά με τη συγκατάθεση.

Η συγκατάθεση παραμένει η μία από τις έξι νόμιμες βάσεις για την επεξεργασία προσωπικών δεδομένων, σύμφωνα με την κατηγοριοποίηση του άρθρου 6 του GDPR.

Γενικά, η συγκατάθεση μπορεί να αποτελέσει κατάλληλη νόμιμη βάση εάν σε ένα υποκείμενο δεδομένων προσφέρεται έλεγχος και προσφέρεται μία γνήσια επιλογή αναφορικά με την αποδοχή ή απόρριψη των όρων που έχουν προσφερθεί ή απόρριψη αυτών χωρίς ζημία.

Όταν απαιτείται συγκατάθεση, ένας υπεύθυνος επεξεργασίας έχει καθήκον να αξιολογήσει κατά πόσο αυτό πληροί όλες τις απαιτήσεις για την απόκτηση έγκυρης συγκατάθεσης.

Σε περίπτωση απόκτησης σε πλήρη συμμόρφωση με τον GDPR, η συγκατάθεση είναι ένα εργαλείο που δίνει στα υποκείμενα δεδομένων τον έλεγχο σχετικά με το κατά πόσο ή όχι τα προσωπικά δεδομένα που τους αφορούν θα υποστούν επεξεργασία. Σε αντίθετη περίπτωση, ο έλεγχος του υποκειμένου δεδομένων καθίσταται πλασματικός και η συγκατάθεση θα αποτελεί μία άκυρη βάση για επεξεργασία, καθιστώντας την δραστηριότητα επεξεργασίας παράνομη.

Επιπλέον, η απόκτηση συγκατάθεσης επίσης δεν αρνείται ή με οποιονδήποτε τρόπο δεν υποβαθμίζει τις υποχρεώσεις του υπευθύνου επεξεργασίας να τηρεί τις αρχές της επεξεργασίας που κατοχυρώνονται στον GDPR, ιδίως το άρθρο 5 του GDPR αναφορικά με την αντικειμενικότητα, την αναγκαιότητα και την αναλογικότητα, καθώς και με την ποιότητα των δεδομένων. Ακόμα και αν η επεξεργασία των προσωπικών δεδομένων βασίζεται στη συγκατάθεση του υποκειμένου δεδομένων, αυτό δε νομιμοποιεί τη συλλογή δεδομένων η οποία δεν είναι αναγκαία σε σχέση με ένα συγκεκριμένο σκοπό επεξεργασίας και είναι θεμελιωδώς αθέμιτη.