Referitor la modalitatea de prelucrare a datelor cu caracter personal, inclusiv sub aspectul colectarii, stocarii, divulgarii prin transmitere, diseminarea sau punerea la dispozitie in orice alt mod, potrivit Regulamentului (UE) 2016/679, s-a precizat ca aceasta se realizeaza cu consimtamantul persoanei vizate sau in alte conditii legale in care nu se solicita consimtamantul prevazute de art. 6, art. 9 sau art. 10, in functie de natura datelor si categoriilor de date colectate si prelucrate.
In ceea ce priveste consimtamantul persoanei vizate, Autoritatea nationala de supraveghere a subliniat ca art. 4 pct. 11 din Regulamentul (UE) 2016/679 precizeaza ca acesta inseamna orice manifestare de vointa libera, specifica, informata si lipsita de ambiguitate a persoanei vizate prin care aceasta accepta, printr-o declaratie sau printr-o actiune fara echivoc, ca datele cu caracter personal care o privesc sa fie prelucrate.
De asemenea, art. 7 din Regulamentul sus-mentionat prevede urmatoarele:
``(1) In cazul in care prelucrarea se bazeaza pe consimtamant, operatorul trebuie sa fie in masura sa demonstreze ca persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal.
(2) In cazul in care consimtamantul persoanei vizate este dat in contextul unei declaratii scrise care se refera si la alte aspecte, cererea privind consimtamantul trebuie sa fie prezentata intr-o forma care o diferentiaza in mod clar de celelalte aspecte, intr-o forma inteligibila si usor accesibila, utilizand un limbaj clar si simplu. Nicio parte a respectivei declaratii care constituie o incalcare a prezentului Regulament nu este obligatorie.
(3) Persoana vizata are dreptul sa isi retraga in orice moment consimtamantul. Retragerea consimtamantului nu afecteaza legalitatea prelucrarii efectuate pe baza consimtamantului inainte de retragerea acestuia. Inainte de acordarea consimtamantului, persoana vizata este informata cu privire la acest lucru. Retragerea consimtamantului se face la fel de simplu ca acordarea acestuia.
(4) Atunci cand se evalueaza daca consimtamantul este dat in mod liber, se tine seama cat mai mult de faptul ca, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este conditionata sau nu de consimtamantul cu privire la prelucrarea datelor cu caracter personal care nu este necesara pentru executarea acestui contract .``
Totodata, considerentul 32 din Regulamentul (UE) nr. 2016/679 stabileste urmatoarele: ``Consimtamantul ar trebui acordat printr-o actiune neechivoca care sa constituie o manifestare liber exprimata, specifica, in cunostinta de cauza si clara a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declaratie facuta in scris, inclusiv in format electronic, sau verbal.
Acesta ar putea include bifarea unei casute atunci cand persoana viziteaza un site, alegerea parametrilor tehnici pentru serviciile societatii informationale sau orice alta declaratie sau actiune care indica in mod clar in acest context acceptarea de catre persoana vizata a prelucrarii propuse a datelor sale cu caracter personal.
Prin urmare, absenta unui raspuns, casutele bifate in prealabil sau absenta unei actiuni nu ar trebui sa constituie un consimtamant. Consimtamantul ar trebui sa vizeze toate activitatile de prelucrare efectuate in acelasi scop sau in aceleasi scopuri . Daca prelucrarea datelor se face in mai multe scopuri, consimtamantul ar trebui dat pentru toate scopurile prelucrarii. In cazul in care consimtamantul persoanei vizate trebuie acordat in urma unei cereri transmise pe cale electronica, cererea respectiva trebuie sa fie clara si concisa si sa nu perturbe in mod inutil utilizarea serviciului pentru care se acorda consimtamantul.``
In acelasi timp, s-a precizat ca in documentul intitulat ``Orientari asupra Consimtamantului in temeiul Regulamentului 2016/679`` (WP 259), fostul Grup de Lucru Art. 29 (in prezent Comitetul european pentru protectia datelor) se mentioneaza urmatoarele:
``In general, consimtamantul poate fi temeiul juridic adecvat doar atunci cand persoanei vizate i s-a acordat controlul si posibilitatea unei alegeri reale in ceea ce priveste fie acceptarea fie respingerea termenilor conferiti sau respingerea acestora fara nici un prejudiciu. Atunci cand se solicita consimtamantul, un operator de date are obligatia sa evalueze daca aceasta solicitare intruneste toate conditiile de obtinere a unui consimtamant valabil. Daca este obtinut in conformitate deplina cu GDPR, consimtamantul este un instrument care confera persoanelor vizate controlul asupra posibilitatii ca datele lor cu caracter personal sa fie sau nu prelucrate. Altfel, controlul detinut de persoanele vizate devine iluzoriu si consimtamantul va fi un temei anulabil in ceea ce priveste prelucrarea, cu consecinta ca activitatea de prelucrare este nelegala``.
De asemenea, in acelasi document se precizeaza faptul ca: ``Consimtamantul nu va fi liber in cazurile in care exista vreun element de constrangere, presiune sau incapacitate de exercitare libera a vointei.``, precum si faptul ca ``includerea (in RGPD) unor prevederi si considerente specifice asupra retragerii consimtamantului confirma faptul ca acordarea consimtamantului trebuie sa constituie o decizie reversibila si este mentinut un grad de control de catre persoana vizata.``
In plus, s-a subliniat faptul ca un aspect important pe care Regulamentul (UE) 2016/679 il reglementeaza, iar operatorii trebuie sa il respecte, este reprezentat de informarea persoanelor vizate (indiferent de temeiul legal al prelucrarii). In acest sens, art. 12 din Regulamentul (UE) 2016/679 prevede ca operatorul ia masuri adecvate pentru a furniza persoanei vizate orice informatii mentionate la articolele 13 si 14 si orice comunicari in temeiul articolelor 15-22 si 34 referitoare la prelucrare, intr-o forma concisa, transparenta, inteligibila si usor accesibila, utilizand un limbaj clar si simplu, in special pentru orice informatii adresate in mod specific unui copil.
In acelasi timp, s-a mentionat ca operatorul trebuie sa asigure masurile tehnice si organizatorice in conformitate cu art. 32 si art. 25 din Regulamentul (UE) 2016/679.
Orice persoana are dreptul sa stie cui i-au fost comunicate datele sale personale Sursa: MCP Cabinet avocati
Incidenta Regulamentului GDPR in cazul difuzarii in direct prin videoconferinta a cursurilor de invatamant scolar Sursa: MCP Cabinet avocati
Obtinerea unei copie a datelor cu caracter personal impune punerea la dispozitie a unei reproduceri fidele si inteligibila a tuturor acestor date Sursa: MCP Cabinet avocati
Simpla incalcare a Regulamentului GDPR nu constituie temeiul unui drept la despagubiri Sursa: MCP Cabinet avocati
Lipsa consimtamantului persoanei vizate pentru transmiterea de date personale catre instanta de judecata Sursa: Raportul pe anul 2020 al ANSPDCP
Transmiterea unor date personale in cadrul unui dosar aflat pe rolul instantelor de judecata Sursa: Raportul pe anul 2020 al ANSPDCP
Transmitere de mesaje de catre o banca, desi relatia contractuala aceasta entitate era incheiata Sursa: Raportul pe anul 2020 al ANSPDCP
Comunicare informatii de interes public. Excluderea de la comunicare a informatiilor ce privesc datele personale Pronuntaţă de: Curtea de Apel Iasi, Sectia Contencios administrativ si fiscal, Decizia nr. 180/10 februarie 2021
Publicarea numelui reclamantului in cuprinsul listei debitorilor, ulterior stingerii obligatiei de plata si anularii titlurilor de creanta. Nerespectarea dispozitiilor legale privind protectia datelor cu caracter personal Pronuntaţă de: Judecatoria Iasi - Sentinta civila nr. 13391 din data de 27 Noiembrie 2019
Opinie contrara: mentinerea sanctiunii pentru nedeclararea salariului confidential al membrilor de familie Pronuntaţă de: Judecatoria Sectorul 3 Bucuresti, Sentinta civila nr. 1221 din 13.02.2019
Societatilor comerciale tranzactionate pe o bursa de valori mobiliare le sunt aplicabile prevederile speciale ale Legii nr. 297/2004. GDPR actionari Pronuntaţă de: Inalta Curte de Casatie si Justitie - Decizia nr. 1733/2019