BDAR: sutikimas

Artėjant Bendrojo duomenų apsaugos reglamento (toliau – BDAR) įsigaliojimui, pateikiame Jums informaciją apie duomenų subjekto sutikimą.

BDAR

4 str. 11 p.

Sutikimas – bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys.

Kaip įvertinti, ar sutikimas yra gautas tinkamai? Pirmiausia, vertėtų įvertinti, ar jis atitinka bendruosius sutikimo ir jo gavimo teisėtumui keliamus kriterijus.

Bendrieji teisėtumo kriterijai

  • Sutikimas duodamas aiškiu aktu
  • Patvirtinant, kad sutikimas suteiktas laisva valia
  • Tai konkretus, pagrįstas informacija ir vienareikšmis patvirtinimas

Pastaba

Jei duomenys tvarkomi ne vienu tikslu, sutikimas turėtų būti duotas dėl visų duomenų tvarkymo tikslų

Papildomos pareigos ir sąlygos nustatytos nepilnamečio asmens (vaiko) asmens duomenų ar specialių kategorijų (pvz. sveikatos) duomenų tvarkymui, sutikimo gavimui.

Aiškus sutikimas + Laisva valia + Grįstas informacija

Sutikimas nėra laikomas duotu laisva valia, jei

Duomenų subjektas neturi laisvo pasirinkimo ar negali atsisakyti sutikti (ar atšaukti sutikimą) nepatirdamas žalos:

  • Yra aiškus duomenų subjekto ir duomenų valdytojo padėties disbalansas (pvz. duomenų valdytojas yra valdžios institucija)
  • Neleidžiama duoti atskirto sutikimo atskiroms asmens duomenų tvarkymo operacijoms
  • Kai sutarties vykdymas, įskaitant paslaugos teikimą, priklauso nuo sutikimo, nors toks sutikimas nėra būtinas tokiam vykdymui

Sutikimas yra laikomas grįstas informacija, kai

Duomenų subjektas žino bent:

  1. Duomenų valdytojo tapatybę ir
  2. Planuojamo asmens duomenų tvarkymo tikslus

Kas nėra tinkamas sutikimas?

  1. Tyla ar kitoks neveikimas (pvz.: nesureagavimas į prašymą dėl sutikimo; sutikimo nepatvirtinimas)
  2. Iš anksto (by default) pažymėti langeliai, kad subjektas sutinka su jo asmens duomenų tvarkymu

Duomenų valdytojo pareigos

  • Galimybė įrodyti, kad duomenų subjektas davė sutikimą tvarkyti jo duomenis
  • Prašymą duoti sutikimą pateikti tokiu būdu, kad jis būtų aiškiai atskirtas nuo kitų klausimų (subjektas turi aiškiai suvokti, kad jis duoda sutikimą ir suvokti dėl ko sutinka)
  • Prašymą duoti sutikimą pateikti suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba
  • Informuoti duomenų subjektą apie jo teisę atšaukti savo sutikimą (atšaukti turi būti taip pat lengva kaip duoti sutikimą)
  • Informuoti duomenų subjektą apie atsisakymo duoti sutikimą pasekmes, jei tokios galėtų kilti

Duomenų subjektas turi teisę reikalauti ištrinti ar nustoti tvarkyti jo duomenis;

    • kai jų nebereikia tikslams, kuriems jie buvo surinkti, pasiekti
    • atšaukiamas sutikimas arba nesutinka, kad jo duomenys būtų tvarkomi
    • duomenų tvarkymas dėl kitų priežasčių neatitinka BDAR

Keli pagrindai, kai nustojus tvarkyti asmens duomenis, galima juos saugoti:

  1. siekiant įvykdyti teisinę prievolę
  2. atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas
  3. archyvavimo tikslais viešojo intereso labui,
  4. siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus

Pastaba

Jei duomenų valdytojas yra gavęs duomenų subjekto sutikimą Direktyvos 95/46/EB pagrindu (dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo) ir toks sutikimas duotas BDAR sąlygas atitinkančiu būdu, duomenų subjektui nėra būtina dar kartą duoti savo sutikimo tam, kad duomenų valdytojas galėtų tęsti tokį duomenų tvarkymą po BDAR taikymo pradžios.