Προϋποθέσεις συγκατάθεσης

Όταν η επεξεργασία βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας πρέπει να μπορεί να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε για την επεξεργασία των προσωπικών του δεδομένων (άρθρο 7 ΓΚΠΔ).

Η συγκατάθεση πρέπει να λαμβάνεται πριν από κάθε επεξεργασία.

  • Το υποκείμενο των δεδομένων πρέπει να γνωρίζει τουλάχιστον την ταυτότητα του υπευθύνου επεξεργασίας και τους σκοπούς της επεξεργασίας και η συγκατάθεση να έχει δοθεί ελεύθεραΘεωρείται ότι δόθηκε ελεύθερα αν το υποκείμενο των δεδομένων έχει αληθινή ή ελεύθερη επιλογή ή είναι σε θέση να αρνηθεί ή να αποσύρει τη συγκατάθεση χωρίς να ζημιωθεί.
  •  Για την εκτίμηση του κατά πόσον η συγκατάθεση δίνεται ελεύθερα λαμβάνεται ιδίως υπόψη σε ποιο βαθμό για την αποδοχή όρων ή προϋποθέσεων για την εκτέλεση μιας σύμβασης ή παροχής υπηρεσιών τίθεται ως προϋπόθεση η συγκατάθεση στην επεξεργασία προσωπικών δεδομένων.
  •  Εάν τίθεται ως προϋπόθεση, τότε δεν δίνεται ελεύθερα. Το βάρος της απόδειξης για το εάν έχει δοθεί η συγκατάθεση ελεύθερα έχει ο υπεύθυνος επεξεργασίας. Η συγκατάθεση δεν μπορεί να θεωρηθεί ότι δόθηκε ελεύθερα, όταν υπάρχει σαφής ανισότητα μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας, ιδίως στις περιπτώσεις που ο υπεύθυνος είναι δημόσια αρχή ή εργοδότης και είναι σχεδόν απίθανο να έχει δοθεί η συγκατάθεση ελεύθερα. Στις περιπτώσεις αυτές θα πρέπει να εφαρμόζεται άλλη νομιμοποιητική βάση επεξεργασίας.
  •  Επίσης, εάν συντελείται επεξεργασία πολλαπλών σκοπών/πράξεων επεξεργασίας, θα πρέπει να παρέχεται συγκατάθεση για κάθε σκοπό/πράξη επεξεργασίας, εάν δε η συγκατάθεση παρέχεται με γραπτή δήλωση που αφορά και άλλα θέματα, το αίτημα για συγκατάθεση πρέπει να είναι σαφώς διακριτό από τα άλλα θέματα, σε κατανοητή και εύκολα προσβάσιμη μορφή.
  • Το υποκείμενο των δεδομένων έχει δυνατότητα ανάκλησης της συγκατάθεσης ανά πάσα στιγμή, δεν θίγονται οι πράξεις επεξεργασίας που διενεργήθηκαν προ της ανάκλησης και εάν δεν υπάρχει νομιμοποιητική βάση που να δικαιολογεί τη συνέχιση της επεξεργασίας (π.χ. περαιτέρω αποθήκευση των δεδομένων), τα δεδομένα πρέπει να διαγράφονται ή να ανωνυμοποιούνται από τον υπεύθυνο επεξεργασίας. Η ανάκληση πρέπει να είναι εξίσου εύκολη με την παροχή της. Η ενημέρωση για τη δυνατότητα ανάκλησης πρέπει να γίνεται πριν από τη λήψη συγκατάθεσης. Εάν μετά την ανάκληση της συγκατάθεσης ο υπεύθυνος επεξεργασίας επιθυμεί τη συνέχιση της επεξεργασίας με άλλη νομιμοποιητική βάση πρέπει να το δηλώσει ρητώς στο υποκείμενο των δεδομένων σύμφωνα με τα άρθρα 13 και 14 ΓΚΠΔ.
  • Η συγκατάθεση πρέπει να παρέχεται με σαφή θετική ενέργεια, όπως γραπτή δήλωση, μεταξύ άλλων, με ηλεκτρονικά μέσα. Αυτό θα μπορούσε να περιλαμβάνει τη συμπλήρωση ενός τετραγωνιδίου κατά την επίσκεψη σε διαδικτυακή ιστοσελίδα, την επιλογή των επιθυμητών τεχνικών ρυθμίσεων για υπηρεσίες της κοινωνίας των πληροφοριών, αποστολή e-mail, συμπλήρωση ηλεκτρονικής φόρμας, ή ηλεκτρονική υπογραφή. Επομένως, η σιωπή, τα προσυμπληρωμένα τετραγωνίδια ή η αδράνεια δεν θα πρέπει να εκλαμβάνονται ως συγκατάθεση.
  • Σύμφωνα με τις «Κατευθυντήριες γραμμές 05/2020 σχετικά με τη συγκατάθεση υπό τον Κανονισμό 2016/679» του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, για να είναι έγκυρη η συγκατάθεση πρέπει να περιλαμβάνει τα εξής τουλάχιστον στοιχεία: την ταυτότητα του υπευθύνου επεξεργασίας, τους σκοπούς επεξεργασίας, το είδος των δεδομένων που θα συλλεχθούν και χρησιμοποιηθούν, το δικαίωμα ανάκλησης της συγκατάθεσης, πληροφορίες σχετικά με τη χρήση των δεδομένων, ιδίως σε περιπτώσεις ηλεκτρονικής επεξεργασίας, όπως η δημιουργία προφίλ, και εάν η συγκατάθεση περιλαμβάνει και διαβίβαση, αναφορά των κινδύνων από τη διαβίβαση αυτή.
  • Οι δοθείσες συγκαταθέσεις προ της ισχύος του ΓΚΠΔ, που πληρούν τα κριτήρια του ΓΚΠΔ, είναι έγκυρες για τις περιπτώσεις που δεν τα πληρούν πρέπει να ανανεωθούν ή η επεξεργασία να βασισθεί σε άλλη νομιμοποιητική βάση, άλλως να τερματισθεί.

Προϋποθέσεις συγκατάθεσης παιδιού.