3. Legalitatea prelucrării datelor.

Consimțământul
pentru conformarea la GDPR

Ce reprezintă consimţământul

Conceptul de Consimțământ configurat în Directiva privind Protecția Datelor (în

continuare denumită Directiva 95/46/CE), precum și în Directiva asupra confidențialității și
comunicațiilor electronice, în vigoare, a evoluat.
GDPR oferă clarificări și precizări suplimentare cu privire la cerințele necesare obținerii și
demonstrării consimțământului în mod valabil. Aceste Orientări privesc aceste noi problematici,
conferind instrucțiuni practice pentru a se asigura conformitatea cu GDPR și se întemeiază pe
Opinia nr. 15/2011 cu privire la Consimțământ.
Consimțământul este unul dintre cele șase temeiuri de legalitate în ceea ce privește
prelucrarea datelor cu caracter personal, enumerate de articolul 6 din GDPR alături de:
- Executarea unui contract;
- Executarea unei obligaţii legale ce ii revine operatorului;
-Prelucrarea este necesară pentru protejarea unor interese vitale ale persoanei vizate
sau altei persoane fizice;
- Executarea unei sarcini care serveşte unui interes public;
- Prelucrarea este necesară în scopul intereselor legitime urmărite de operator;

Atunci când se inițiază activități care presupun Prelucrarea de date cu caracter personal,
operatorul de date trebuie întotdeauna să evalueze dacă Consimțământul este temeiul legal
adecvat pentru prelucrarea avută în vedere sau trebuie identificat un alt temei.

1
 Definiţia consimţământului

Pornind de la definiţia legală dată de art. 4 alin. 11, din Regulamentul 679/2016,
consimţământul reprezintă: „orice manifestare de voință liberă, specifică, informată și lipsită
de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o
acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate”.

De exemplu o declarație făcută în scris, inclusiv în format electronic, sau verbal.

Aceasta ar putea include:

- bifarea unei căsuțe atunci când persoana vizitează un site;
- alegerea parametrilor tehnici pentru serviciile societății informaționale;
- orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de
către persoana vizată a prelucrării propuse a datelor sale cu caracter personal;

Prin urmare, absența unui răspuns, a unei căsuțe bifate în prealabil sau absența unei
acțiuni nu ar trebui să constituie un consimțământ. Consimțământul ar trebui să vizeze toate
activitățile de prelucrare efectuate în același scop sau în aceleași scopuri.
În cazul în care consimțământul persoanei vizate trebuie acordat în urma unei cereri
transmise pe cale electronică, cererea respectivă trebuie să fie clară și concisă și să nu perturbe
în mod inutil utilizarea serviciului pentru care se acordă consimțământul.

În ipoteza în care se acordă consimţământul printr-o declaraţie scrisă privitoare la mai

multe aspecte, prevăzută de art. 7 alin (2) din regulamentul UE 679/2016, pentru fiecare aspect
diferit în parte trebuie obținut un consimțământ specific, pentru a nu se creea confuzii.
Cererea prin care se solicită consimţământul trebuie să fie într-o:
- Formă inteligibilă şi uşor accesibilă;
- Utilizând un limbaj simplu şi clar;

Art. 7 alin. 2 în teza finală distinge în mod deosebit: faptul că nicio parte a declarației
respective care constituie o încălcare a prezentului regulament nu este obligatorie, practic se
face aplicare directă a principiului legalităţii în domeniul exprimării consimţământului.
Consimțământul nu ar trebui considerat ca fiind acordat în mod liber dacă persoana
vizată nu dispune cu adevărat de libertatea de alegere sau nu este în măsură să refuze sau să își
retragă consimțământul fără a fi prejudiciată.
Astfel, legislaţia internă, prevede prin intermediul art. 1206 din Noul Cod Civil situaţiile în
care se afectează valabilitatea consimţământului. Noul Cod Civil distinge următoarele cazuri de
viciere a consimţământului:
- când este dat din eroare;
- surpins prin dol;
- smuls prin violenţă;

2
 - când este lezionar;

Astfel, putem observa o întrepătrundere, a legislaţiei europene din domeniul protecţiei

datelor cu caracter personal, cu legislaţia internă dând posibilitatea creării unui cadru legislativ
propice în vederea protecţiei dreptului persoanei la viaţă privată şi familie.

Retragerea consimţământului
Regulamentul UE 679/2016 prevede totodată şi condiţiile de retragere a
consimţămâtului în sensul în care persoana care a oferit consimţământul are dreptul să îl
retragă în orice moment, respectând condiţiile şi termenele în care a fost oferit la rândul său.
Practic, retragerea consimţământului trebuie să se facă printr-o procedură opusă
acţiunii care a constituit darea consimţământului. Regulamentul UE nr. 679/2016 prin art. 7
alin. 3, prevede că: „Retragerea consimțământului se face la fel de simplu ca acordarea
acestuia.”.

Cu toate acestea, pentru a nu intra sub incidenţa Capitolului VIII, mai exact art. 83 RGDP
(privitoare la sancţiuni), operatorul de date cu caracter personal care solicită consimţământul în
vederea prelucrării unor date trebuie în prealabil să informeze:
- care este scopul prelucrării în condiţiile art. 6 RGDP, dar şi că
- persoana vizată are dreptul să-şi retragă consimţământul.

GDPR prevede că retragerea consimţământului nu afectează acţiunile întreprinse prin

prelucrarea datelor cu caracter personal până la data retragerii, cu condiţia ca persoana care şi-
a dat consimţământul să nu fi fost supusă vreunui viciu de consimţământ.

3
 Condiţii aplicabile în ceea ce priveşte
consimţământul copiilor în legătură cu serviciile
societăţii informaţionale

Considerentul 38 din GDPR enunţă următoarele: „Copiii au nevoie de o protecție

specifică a datelor lor cu caracter personal, întrucât pot fi mai puțin conștienți de riscurile,
consecințele, garanțiile în cauză și drepturile lor în ceea ce privește prelucrarea datelor cu
caracter personal. Această protecție specifică ar trebui să se aplice în special utilizării datelor cu
caracter personal ale copiilor în scopuri de marketing sau pentru crearea de profiluri de
personalitate sau de utilizator și la colectarea datelor cu caracter personal privind copiii în
momentul utilizării serviciilor oferite direct copiilor...”
În ultima teză a considerentului este inserat următorul aspect: „Consimțământul
titularului răspunderii părintești nu ar trebui să fie necesar în contextul serviciilor de prevenire
sau consiliere oferite direct copiilor”; astfel, observăm aplicarea principiului proporţionalităţii
între valorile sociale ocrotite prin exprimarea consimţământului şi serviciile oferite în scopul
prevenirii şi consilierii oferite copiilor.
Regulamentul încadrează, prin prisma prevederilor paragrafului 75, copiii în rândul
persoanelor vulnerabile, astfel potrivit paragrafului 58 din Regulament se consideră o
necesitate stringentă a aplicării principiului transparenţei în sensul în care copiii necesită o
protecție specifică, orice informații și orice comunicare, în cazul în care prelucrarea vizează un
copil, ar trebui să fie exprimate într-un limbaj simplu și clar, astfel încât copilul să îl poată
înțelege cu ușurință, deoarece există riscul ca prelucrarea să genereze prejudicii de natură
fizică, materială sau morală mult mai grave decât în rândul adulţilor.
În cazul în care se oferă în mod direct serviciile societăţii informaţionale unui copil care
nu a împlinit vârsta de 16 ani, pentru prelucrarea datelor personale ale acestuia este nevoie de
acordul parental sau a reprezentantului legal.
Astfel prelucrarea este legală doar dacă are la bază acordul a cel puţin unui părinte, care
exercită autoritatea părintească asupra minorului.
Astfel, din 25 mai 2018, copiii care nu au împlinit vârsta de 16 ani nu vor mai putea folosi
servicii online ce presupun prelucrarea datelor cu caracter personal, decât cu acord parental.
Exemple de servicii: reţele de socializare, magazine online, servicii de e-mail.
Regulamentul impune operatorului de date cu caracter personal o obligaţie de diligenţă,
în vederea verificării dacă titularul răspunderii autorităţii părinteşti a acordat sau a autorizat
acordarea consimţământului, ţinând seama de tehnologile disponibile. Dacă până în acest
moment deţinătorii de servicii online ce prelucrează date cu caracter personal nu erau obligaţi
să verifice provenienţa consimţământului ci doar existanţa lui, din 25 mai 2018, ei vor avea o
obligaţie în plus. Astfel, va trebui gândită o strategie, care să poată asigura o siguranţă în ceea
ce priveşte provenienţa consimţământului persoanei vizate.
Art. 8 alin. 1, teza finală prevede şi o derogare de la vârsta minimă de 16 ani care ar
constitui o limită în vederea acordării consimţământului prin intermediul titularului autorităţii

4
părinteşti şi anume: „Statele membre pot prevedea prin lege o vârstă inferioară în aceste
scopuri, cu condiția ca acea vârstă inferioară să nu fie mai mică de 13 ani”.

Coduri de conduită privind obţinerea

consimţământului şi promovarea de acţiuni de
sensibilizare şi înţelegere în rândul publicului a
normelor, riscurilor, garanţiilor şi drepturilor în
materie de prelucrare.
Regulamentul UE nr. 679, prin conţinutul prevederilor art. 40 permite elaborarea de
coduri de conduită menite să contribuie la buna aplicare a acestuia, ţinând cont de aspectele
specifice ale diverselor sectoare de prelucrare a datelor cu caracter personal.
Astfel, asociaţiile şi organismele care reprezintă categorii de operatori sau persoane
împuternicite de operatori pot crea aceste coduri de conduită, sau pot participa la modificarea
codurilor de conduită existente în vederea informării, protejării copiilor şi asupra modalităţilor
în care trebuie obţinut consimţământul titularilor răspunderii părinteşti asupra copiilor.
Parcurgând Regulamentul, mai putem observa la art. 57 că fiecare autoritate naţională
de supraveghere are sarcina de a promova acţiuni de sensibilizare şi de înţelegere în rândul
publicului a riscurilor, normelor, garanţiilor şi drepturilor în materie de prelucrare a datelor cu
caracter personal, acordându-se o atenţie sporită activităţilor care se adresează în mod
preponderent copiilor.

Cursuri și certificări
Consultanță GDPR
gdprcomplet.ro Software GDPR cartografiere
contact@gdprcomplet.ro Software GDPR evaluare riscuri
+40 751 100 335 Software GDPR Audit