avocatnet.ro 
O companie din Polonia a fost sancționată cu aproape 50.000 de euro pentru că a pus în funcțiune o modalitate greoaie de retragere a consimțământului dat pentru prelucrarea datelor personale. Prin asta a încălcat GDPR-ul, trecând cu totul peste principiul potrivit căruia retragerea consimțământului ar trebui să se facă la fel de simplu cum e în procedura de acordare a acestuia.
Articolul 7 alin. (3) din GDPR prevede că consimțământul poate fi retras de către persoana vizată cu aceeași ușurință cu care a fost acordat și în orice moment.
Pe scurt, mecanismul retragerii presupunea, în speță, accesarea unui link, unde exprimarea opțiunii se făcea într-un mod dificil și unde se pretindea, totalmente contra GDPR, motivul retragerii consimțământului - potrivit regulamentului european, nu e nevoie să se precizeze sau să se ceară un motiv pentru care persoana care și-a dat consimțământul e decis să și-l retragă. Compania poloneză a greșit cu atât mai mult cu cât, odată ce utilizatorul nu scria motivul, procesul de retragere se întrerupea - practic, retragerea consimțământului era condiționată de oferirea unui motiv.
Compania a mai avut și alte greșeli de aplicare a GDPR (prelucrarea datelor unor persoane fără temei și chiar contra voinței exprimate de acestea), însă chestiunea consimțământului și a retragerii acestuia merită această discuție separată, în care ne aducem aminte că nu doar procedura de obține consimțământul necesită o atenție specială, ci și aceea de retragere.
Situația ne readuce în față o chestiune care, poate, a fost amintită doar în trecere de câte ori s-a vorbit despre consimțământul la prelucrarea datelor: ușurința cu care trebuie să se facă retragerea consimțământului.
"Cerința privind retragerea cu ușurință a consimțământului este descrisă ca un aspect necesar al consimțământului valabil (...) operatorul trebuie să informeze persoana vizată asupra dreptului de retragere a consimțământului înainte de acordarea efectivă a consimțământului, în conformitate cu articolul 7 alin. (3) din GDPR. Mai mult, ca parte a obligației de transparență, operatorul trebuie să informeze persoanele vizate cu privire la modul de exercitare a drepturilor lor", se prevede într-un ghid despre consimțământul la prelucrarea datelor realizat de Grupul de Lucru articolul 29 (actualul Comitet European pentru Protecția Datelor).
Ghidul oferă și câteva exemple: dacă consimțământul e dat printr-un singur click, printr-o glisare sau printr-o apăsare de tastă, în practică, retragerea ar trebui să se facă la fel de ușor.
"În cazul în care consimțământul se obține prin utilizarea unei interfețe de utilizator specifice serviciului (de exemplu, prin intermediul unui site web, al unei aplicații, al unui cont de conectare, al interfeței unui dispozitiv IoT sau prin e-mail), nu există nicio îndoială că persoana vizată trebuie să poată retrage consimțământul prin aceeași interfață electronică, întrucât trecerea la o altă interfață doar pentru a se retrage consimțământul ar reprezenta un efort nejustificat.
În plus, persoana vizată ar trebui să își poată retrage consimțământul fără a fi prejudiciată.
Aceasta înseamnă, printre altele, că un operator trebuie să facă posibilă retragerea consimțământului în mod gratuit sau fără scăderea calității serviciului", puncta Grupul de lucru în ghidul amintit.
AdrianaPrelucan