BDAR: sutikimas

4 str. 11 p.

Sutikimas – bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys.

Kaip įvertinti, ar sutikimas yra gautas tinkamai? Pirmiausia, vertėtų įvertinti, ar jis atitinka bendruosius sutikimo ir jo gavimo teisėtumui keliamus kriterijus.

Bendrieji teisėtumo kriterijai

  • Sutikimas duodamas aiškiu aktu
  • Patvirtinant, kad sutikimas suteiktas laisva valia
  • Tai konkretus, pagrįstas informacija ir vienareikšmis patvirtinimas
Jei duomenys tvarkomi ne vienu tikslu (kai sutikimas būtinas), sutikimas turėtų būti duotas dėl visų duomenų tvarkymo tikslų

Aiškus sutikimas + Laisva valia + Grįstas informacija + Vienareikšmis patvirtinimas

Sutikimas nėra laikomas duotu laisva valia, jei

  • Yra aiškus duomenų subjekto ir duomenų valdytojo padėties disbalansas (pvz. duomenų valdytojas yra valdžios institucija arba darbdavys*)
  • Neleidžiama duoti atskirto sutikimo atskiroms asmens duomenų tvarkymo operacijoms
  • Kai sutarties vykdymas, įskaitant paslaugos teikimą, priklauso nuo sutikimo, nors toks sutikimas nėra būtinas konkrečios sutarties vykdymui (pvz. paslaugos teikimui)
  • Asmuo neturi faktinio pasirinkimo (negali sutikimo neduoti ar jo bet kada atšaukti)
  • Sutikimo nedavimas ar atšaukimas sukelia (sukeltų) neigiamas pasekmes
  • Asmuo negali pasiekti interneto svetainėje esančios informacijos, jei neduoda sutikimo dėl slapukų naudojimo

* tai nėra absoliuti taisyklė.


Tam tikrais atvejais darbdavys (ar valdžios institucija) savo veikloje sutikimu remtis galėtų, pvz. siekiant skelbti darbuotojo vardą ir gimimo datą intranete

Grįstas informacija: kai asmuo žino bent


(kyla iš skaidrumo, sąžiningumo ir teisėtumo principų)
  • Duomenų valdytojo tapatybę
  • asmens duomenų tvarkymo tikslus
  • kokie asmens duomenys bus tvarkomi
  • turimą teisę atšaukti sutikimą
  • ar dėl to bus naudojamas automatinis sprendimų priėmimas
  • galimos rizikos dėl asmens duomenų perdavimo į trečiąsias valstybes

Taip pat informacija turi būti pateikti paprasta ir lengvai suprantama kalba

Vienareikšmis patvirtinimas

Reikalavimai

  • Aiškus veiksmas (asmuo turi suprasti, kad konkrečiu veiksmu duodamas sutikimas)
  • Aktyvus veiksmas
  • Aiškiai atskirtas nuo kitų klausimų, kad asmuo galėtų rinktis, ar sutikimą duoti (pvz. sutarties sudarymo atveju)
  • Gautas prieš pradedant tvarkyti asmens duomenis

Netinkamas įgyvendinimas

  • Iš anksto pažymėti langeliai, kad subjektas sutinka
  • Tolimesnis naršymas interneto svetainėje (pvz., renkant slapukus)
  • Sutikimas įtrauktas į paslaugų teikimo sutartį, todėl pasirašant sutartį dėl paslaugų, tuo pačiu patvirtinamas sutikimas

Duomenų valdytojo pareigos

  • Sugebėti įrodyti**, kad duomenų subjektas davė sutikimą tvarkyti jo duomenis
  • Sugebėti įrodyti**, kad sutikimas atitinka jam nustatytus kriterijus
  • Saugoti sutikimą tik tiek, kiek būtina
  • Užtikrinti, kad sutikimas galėtų būti bet kada atšauktas (nepagrįstai nepasunkinant jo atšaukimo būdų) ir sugebėti tai įrodyti

** Pastaba


Tai savaime nereiškia, kad dėl to duomenų valdytojas turi rinkti papildomus asmens duomenis ir tokiu būdu sudaryti sąlygas pertekliniam asmens duomenų tvarkymui

Papildomai

Jei duomenų valdytojas yra gavęs duomenų subjekto sutikimą Direktyvos 95/46/EB pagrindu (dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo) ir toks sutikimas (jo turinys, gavimo būdas ir pan.) atitinka ir BDAR sąlygas, duomenų subjektui nėra būtina dar kartą duoti savo sutikimo tam, kad duomenų valdytojas galėtų tęsti tokį duomenų tvarkymą po BDAR įsigaliojo.