[vc_row][vc_column][vc_column_text]Προκειμένου να επεξεργαστεί προσωπικά δεδομένα σύμφωνα με τον GDPR, απαιτείται νομική βάση. Η συγκατάθεση είναι μόνο μία από τις 6 νομικές βάσεις για την επεξεργασία προσωπικών δεδομένων βάσει του GDPR. Όσον αφορά τις νομικές βάσεις, ο GDPR στο άρθρο 6 απαριθμεί εκείνες τις νομικές βάσεις που (1) Η συγκατάθεση του υποκειμένου των δεδομένων, (2) η επεξεργασία είναι απαραίτητη για την εκτέλεση μιας σύμβασης, (3) η επεξεργασία συμμορφώνεται με μια νομική υποχρέωση (4) η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, (5) η επεξεργασία προσωπικών δεδομένων πραγματοποιείται προς το δημόσιο συμφέρον και (6) και η επεξεργασία πραγματοποιείται για το νόμιμο συμφέρον του ελεγκτή ή από τρίτο μέρος.
Αυτό το άρθρο θα επικεντρωθεί αποκλειστικά στο πού χρησιμοποιείται η συναίνεση ως νομική βάση. Σύμφωνα με τον GDPR, όπως και στην προηγούμενη οδηγία της ΕΕ, η συγκατάθεση πρέπει να δοθεί ελεύθερα και πρέπει να είναι συγκεκριμένη και ενημερωμένη. Δεδομένου ότι αυτό το μέρος δεν έχει αλλάξει από την ισχύουσα νομοθεσία, αυτές οι πτυχές θα έπρεπε να είχαν ήδη ληφθεί υπόψη και ο οργανισμός σας θα πρέπει ήδη να συμμορφώνεται με αυτές. Αυτό που αλλάζει με το GDPR είναι ότι η γραμμή για την απόκτηση συγκατάθεσης έχει οριστεί υψηλότερη, σύμφωνα με τη συγκατάθεση του GDPR θα πρέπει να είναι κοκκώδης, συγκεκριμένη, να δίνεται ελεύθερα από μια σαφή καταφατική ενέργεια και τόσο εύκολο να αποσυρθεί όσο να δώσει.
Παρακάτω, παραθέτουμε και περιγράφουμε εν συντομία μερικά από τα πιο σημαντικά σημεία που πρέπει να τηρηθούν. Εάν ο τρόπος με τον οποίο ο οργανισμός σας απέκτησε προηγουμένως τη συγκατάθεσή του δεν πληροί αυτά τα πρότυπα, τότε η υπάρχουσα συγκατάθεσή σας δεν είναι επαρκής και επομένως δεν συμμορφώνεται με το GDPR.
Αυτό το άρθρο θα εναλλάσσεται μεταξύ της ορολογίας “εταιρεία” ή “οργανισμός” καθώς ο GDPR ισχύει και για τα δύο.[/vc_column_text][vc_single_image image=”19318″ img_size=”full” alignment=”center”][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]
Όλα τα μέρη που επεξεργάζονται προσωπικά δεδομένα πρέπει να ονομάζονται
Κάθε οργανισμός (υπεύθυνος επεξεργασίας δεδομένων ή επεξεργαστής) πρέπει να ταυτοποιηθεί καθώς και τυχόν τρίτα μέρη (επεξεργαστές δεδομένων ή υποεπεξεργαστές) που μπορούν να επεξεργαστούν τα δεδομένα όταν ζητείται συγκατάθεση και για το σκοπό για τον οποίο θα χρησιμοποιηθούν τα προσωπικά δεδομένα. Ο νόμος αναφέρει στο άρθρο 13 ότι τα υποκείμενα των δεδομένων πρέπει να ενημερώνονται για τους «παραλήπτες ή τις κατηγορίες παραληπτών των προσωπικών δεδομένων, εάν υπάρχουν» όταν χορηγούν συγκατάθεση για την επεξεργασία των δεδομένων τους. Τα υποκείμενα των δεδομένων πρέπει να ενημερώνονται σχετικά με τη φύση της επεξεργασίας σε σαφή και απλή γλώσσα.
Η συγκατάθεση πρέπει να τεκμηριωθεί
Κάθε πτυχή της διαδικασίας συγκατάθεσης πρέπει να τεκμηριωθεί περιεκτικά από οργανισμούς Η συγκατάθεση πρέπει να καταγράφεται από την εταιρεία ή τον οργανισμό. Ως ομάδες θα πρέπει να είναι σε θέση να αποδείξουν τη συμμόρφωση προς τις εποπτικές αρχές και σε περίπτωση ελέγχων. Ο GDPR ορίζει ότι «ο υπεύθυνος επεξεργασίας θα μπορεί να αποδείξει ότι το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των προσωπικών του δεδομένων».
Συγκατάθεση μάρκετινγκ μέσω e-mail
Όταν το μάρκετινγκ μέσω e-mail σε πελάτες τελικών χρηστών (υποκείμενα δεδομένων) απαιτείται συνήθως συγκατάθεση, αν και υπάρχουν εξαιρέσεις για e-mail Business to Business όπου συνήθως ισχύει μια εξαίρεση εφόσον το μάρκετινγκ γίνεται σε μια σαφή διεύθυνση ηλεκτρονικού ταχυδρομείου για επιχειρήσεις.
Υπάρχει επίσης μια εξαίρεση για τη συγκατάθεση για τους τελικούς χρήστες. Στο πλαίσιο μιας πώλησης, το μάρκετινγκ μπορεί να είναι έννομο συμφέρον όταν πουλήσατε ένα παρόμοιο προϊόν τους τελευταίους 12 μήνες και στον τελικό χρήστη δόθηκε η δυνατότητα να εξαιρεθεί, αλλά δεν το έλαβε, αυτό ονομάζεται Soft opt in. Στην περίπτωση της Soft opt-in και όντως οποιουδήποτε μάρκετινγκ μέσω email, ο πελάτης πρέπει να έχει την επιλογή να εξαιρεθεί από κάθε επόμενη επικοινωνία. Το μάρκετινγκ μέσω ηλεκτρονικού ταχυδρομείου διέπεται από το GDPR, αλλά και η οδηγία για την προστασία της ιδιωτικής ζωής στο ePrivacy που θα αντικατασταθεί σύντομα από τον κανονισμό ePrivacy.
Ρητή συγκατάθεση
Ο GDPR στο άρθρο 9 έχει πρόσθετες απαιτήσεις για ειδικές κατηγορίες προσωπικών δεδομένων. Ειδικές κατηγορίες προσωπικών δεδομένων είναι «Επεξεργασία προσωπικών δεδομένων που αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, ή συνδικαλιστική ιδιότητα μέλους και επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό τη μοναδική ταυτοποίηση ενός φυσικού προσώπου, δεδομένων σχετικά με την υγεία ή δεδομένα σχετικά με τη σεξουαλική ζωή ενός φυσικού προσώπου ή τον σεξουαλικό προσανατολισμό.
Αυτές οι Ειδικές Κατηγορίες προσωπικών δεδομένων έχουν πρόσθετες εγγυήσεις σχετικά με την επεξεργασία τους, οι οποίες αναφέρονται επίσης στο άρθρο 9. Όταν η συγκατάθεση είναι η νομική βάση για την επεξεργασία ειδικής κατηγορίας, η συγκατάθεση προσωπικών δεδομένων γίνεται πλέον ρητή συγκατάθεση (για παράδειγμα υπογεγραμμένη φόρμα).
Παιδιά και συγκατάθεση
Τα παιδιά υπόκεινται σε ειδική προστασία όταν η συγκατάθεση είναι η νομική βάση, η ψηφιακή ηλικία συγκατάθεσης δεν μπορεί να είναι μικρότερη από 13 ετών και μάλιστα σε ορισμένες χώρες, όπως η Ιρλανδία, η 16χρονη, όπου το παιδί είναι νεότερο από την αντίστοιχη ψηφιακή εποχή συγκατάθεση ο γονέας ή ο κηδεμόνας πρέπει να δώσει τη συγκατάθεσή του. Οι ειδοποιήσεις απορρήτου πρέπει να είναι διαφανείς και τα παιδιά έχουν τα ίδια δικαιώματα σχετικά με τα προσωπικά τους δεδομένα με τους ενήλικες.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]
Πρέπει να είναι εύκολο να αποσύρετε τη συγκατάθεσή
Μία από τις πιο σημαντικές πτυχές της νέας νομοθεσίας είναι ότι οι οργανισμοί δεν πρέπει να δυσκολεύουν τα υποκείμενα των δεδομένων να ανακαλέσουν τη συγκατάθεσή τους. Η διαδικασία πρέπει να είναι απλή – πράγματι, σημειώνεται στους κανονισμούς ότι «θα είναι τόσο εύκολο να αποσυρθεί όσο και να δοθεί συγκατάθεση». Οι οργανισμοί πρέπει επομένως να λάβουν μέτρα για να διευκολύνουν την ανάκληση της συγκατάθεσης και να σταματήσουν την επεξεργασία όταν το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεση. Επιπλέον, όταν η συγκατάθεση είναι η νομική βάση πριν από την επεξεργασία προσωπικών δεδομένων, το υποκείμενο των δεδομένων πρέπει να ενημερώνεται για το δικαίωμά του να ανακαλέσει τη συγκατάθεσή του.
Πριν γίνει πραγματικότητα το GDPR, ο οργανισμός πρέπει να διασφαλίσει ότι όλες οι προηγούμενες και τρέχουσες συγκαταθέσεις συμμορφώνονται με αυτούς τους κανονισμούς. Εάν δεν το κάνει αυτό, ο οργανισμός ενδέχεται να καταβάλει πρόστιμο.
Κάθε οργανισμός που εδρεύει στην Ευρωπαϊκή Ένωση ή επεξεργάζεται προσωπικά δεδομένα ανθρώπων, ή υποκείμενα δεδομένων στην ορολογία του GDPR, που βρίσκεται στην Ευρωπαϊκή Ένωση πρέπει να συμμορφώνεται πλήρως με τον GDPR. Δεν είναι προαιρετικό.
Νέα συναίνεση από υπάρχοντες πελάτες;
Όταν ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) θεσπιστεί στις 25 Μαΐου 2018, ένας οργανισμός ενδέχεται να εξακολουθεί να είναι σε θέση να χρησιμοποιήσει τη συγκατάθεση που αποκτήθηκε από υπάρχοντες πελάτες σύμφωνα με προηγούμενους κανονισμούς προστασίας δεδομένων, με την προϋπόθεση ότι ο οργανισμός έχει αρχείο ότι δόθηκε η συγκατάθεση. Σε αυτήν την περίπτωση, καθώς ο οργανισμός έχει έγκυρη συγκατάθεση για συγκεκριμένο σκοπό, δεν χρειάζεται να επαναπροσδιορίσει τους πελάτες. Όταν ο οργανισμός δεν έχει αρχείο προηγούμενης συγκατάθεσης, δεν έχει επαληθεύσιμη συγκατάθεση να επικοινωνήσει μαζί τους ακόμη και βάσει των προηγούμενων πράξεων προστασίας δεδομένων, οπότε η ίδια η πράξη επικοινωνίας με αυτούς τους πελάτες μπορεί να είναι παράνομη. Όταν δεν υπάρχει αρχείο έγκυρης συναίνεσης πριν από τις εταιρείες GDPR, θα πρέπει να επικεντρωθούν στην απομάκρυνση αυτών των πελατών από τις βάσεις δεδομένων τους και στη λήψη έγκυρης συναίνεσης σε μελλοντικές αλληλεπιδράσεις και να διασφαλίσουν ότι είναι λεπτομερή, συγκεκριμένη, που δίνεται ελεύθερα από μια σαφή θετική ενέργεια και τόσο εύκολο να αποσυρθεί όσο δίνω. Όταν μια εταιρεία ή ένας οργανισμός έχει υπάρχουσα σύμβαση με έναν πελάτη, μπορεί να συνεχίσει να επικοινωνεί μαζί τους σχετικά με αυτό το συμβόλαιο, ωστόσο αυτό δεν ισοδυναμεί με επικοινωνία μαζί τους για σκοπούς άμεσου μάρκετινγκ.
Η γραμμή συναίνεσης έχει οριστεί υψηλότερη βάσει του GDPR, οπότε είναι ξεχωριστή για κάθε διαφορετικό τύπο επεξεργασίας, αποδεσμεύοντας τη συγκατάθεση από άλλους όρους και προϋποθέσεις και δίνοντας στο υποκείμενο των δεδομένων τη δυνατότητα να ανακαλέσει τη συγκατάθεση τόσο εύκολα όσο είχε δοθεί. Θα πρέπει επίσης να ληφθεί υπόψη ότι η συγκατάθεση είναι μόνο μία νομική βάση και μπορεί να υπάρχει καταλληλότερη νομική βάση για την επεξεργασία προσωπικών δεδομένων.[/vc_column_text][/vc_column][/vc_row]