Stiri

În cazul accesării unui site internet căsuța bifată în prealabil reprezintă sau nu consimțământ valabil al utilizatorului pentru prelucrarea datelor cu caracter personal?

5 decembrie 2019

Înainte de toate ar trebui lămurite două aspecte, respectiv:

– Ce înseamnă ,,date cu caracter personal” și ce înseamnă ,,prelucrarea datelor cu caracter personal”?

Astfel potrivit art. 4 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE

  • 1. «date cu caracter personal» înseamnă orice informații privind o persoană fizică identificată sau identificabilă («persoana vizată»); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
  • 2. «prelucrare» înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

În ceea ce privește consimțământul persoanei vizate ca datele cu caracter personal care o privesc să fie prelucrate în temeiul considerentului (32) al aceluiași Regulament „Consimțământul ar trebui acordat printr o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoștință de cauză și clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declarație făcută în scris, inclusiv în format electronic, sau verbal. Acesta ar putea include bifarea unei căsuțe atunci când persoana vizitează un site, alegerea parametrilor tehnici pentru serviciile societății informaționale sau orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal.

Prin urmare, absența unui răspuns, căsuțele bifate în prealabil sau absența unei acțiuni nu ar trebui să constituie un consimțământ. Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate în același scop sau în aceleași scopuri. Dacă prelucrarea datelor se face în mai multe scopuri, consimțământul ar trebui dat pentru toate scopurile prelucrării. În cazul în care consimțământul persoanei vizate trebuie acordat în urma unei cereri transmise pe cale electronică, cererea respectivă trebuie să fie clară și concisă și să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimțământul.”, iar art 7 prevede „Atunci când se evaluează dacă consimțământul este dat în mod liber, se ține seama cât mai mult de faptul că, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiționată sau nu de consimțământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract.”

Pare practic imposibil să se stabilească în mod obiectiv dacă utilizatorul unui site internet și a dat în mod efectiv consimțământul la prelucrarea datelor sale cu caracter personal prin faptul că nu a debifat o căsuță bifată în prealabil, precum și, în orice caz, dacă acest consimțământ a fost dat în mod informat. Astfel, nu se poate exclude faptul ca utilizatorul menționat să nu fi citit informația care însoțea căsuța bifată în prealabil sau să nu fi observat această căsuță, înainte de a și continua activitatea pe site ul internet pe care îl vizitează.

Totodată asupra acestui aspect, la data de 1 Octombrie 2019, în cauza C-673/17, în cadrul căreia au fost analizate Directivele 2002/58/CE, 2009/136/CE, 95/46/CE a Parlamentului European și a Consiliului și Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului în ceea ce privește prelucrarea datelor personale și protecția persoanelor fizice și libera circulație a acestor date, Marea Cameră a Curții de Justiție a Uniunii Europene că acestea “trebuie interpretate în sensul că consimțământul prevăzut la aceste dispoziții nu este dat în mod valabil atunci când stocarea de informații sau dobândirea accesului la informațiile deja stocate în echipamentul terminal al utilizatorului unui site internet, prin cookie-uri, este autorizată prin intermediul unei căsuțe bifate în prealabil pe care acest utilizator trebuie să o debifeze în cazul în care refuză să își dea consimțământul.”