Acordul de GDPR - mit sau obligație?

Unul dintre miturile GDPR-ului este așa zisul “acord - care este obligatoriu de luat în orice situație”. Cu toate acestea, acest acord nu este obligatoriu în toate cazurile - după cum vom vedea, poți prelucra date cu caracter personal și fără să ai acordul persoanelor.

Ce este “Acordul de GDPR”?

“Acordul de GDPR” este, tehnic vorbind, consimțământul persoanei cu privire la prelucrarea datelor. Cu alte cuvinte, persoana “spune că este de acord să-i folosești datele”.

Dar consimțământul (acordul) este doar unul dintre cazurile în care poți prelucra datele persoanelor fizice.

Pe lângă consimțământ, mai ai alte cazuri (temeiuri legale) în care poți solicita și folosi date cu caracter personal. De exemplu:

• Executarea unui contract - adică ai nevoie de datele persoanei pentru a duce la îndeplinire un contract (de exemplu, colectarea numelui clientului pentru crearea contului pe website; sau datele de livrare pentru a trimite un produs);
• Obligație legală - adică te obligă legea să soliciți și folosești anumite date (de exemplu, emiterea unei facturi pentru produsele achiziționate sau serviciile prestate);
• Interes legitim - adică ai un interes legitim în a folosi anumite date (de exemplu, supravegherea video a spațiilor companiei)

Fiecare dintre cazurile de mai sus are același efect din punct de vedere legal. Și nu există o ierarhie între ele. Totodată, un singur temei legal este suficient pentru a solicita și folosi date. De exemplu, dacă ai nevoie de date pentru a livra produsele (prin urmare, pentru a executa contractul cu clientul tău), nu mai ai nevoie de acordul clientului pentru folosirea datelor.

Cum faci efectiv?

Când ai nevoie de date cu caracter personal, trebuie să te uiți care dintre cazurile de mai sus este potrivit.

Sunt totuși anumite situații în care acordul este temeiul uzual sau chiar obligatoriu

Dacă ai o afacere sau un proiect online

• atunci când soliciți feedback - această operațiune nu se încadrează pe alt temei legal decât cel al acordului clientului. De obicei, feedback-ul poate fi obținut în mod anonim de către companie prin completarea unor formulare anonime de către clienți. În cazul în care compania colectează anumite date cu caracter personal ale celor care completează un formular de feedback (precum, nume și prenume, adresă de e-mail), va trebui luat acordul/consimțământul clienților..
• trimiterea de mesaje de marketing, promoții sau newslettere - în acest caz, există o obligație legală de a solicita acordul înainte de a trimite mesajele.

Când organizezi o conferință/un eveniment live

• înregistrarea de webinarii/conferințe - dacă organizezi o conferință online și ai vrea să o înregistrezi sau chiar să o publici pe diferite canale media (precum Facebook, Youtube), trebuie să ai consimțământul persoanelor care participă la conferința respectivă.
• promovarea evenimentului pe platformele de social media - dacă în promovare folosești date ale persoanelor fizice (participanți, speakers), este necesar să obții acordul acestora.

Despre acest subiect am mai scris aici.

Cum iau acordul?

Când trebuie să iei acordul persoanei, acesta trebuie să fie exprimat printr-o acțiunea clară fără echivoc. Prin urmare, un consimțământ valabil nu poate fi luat prin bife pre-bifate sau prin clauze ascunse în alte acorduri/documente.

Exemple de acțiuni afirmative: semnarea unei declarații de consimțământ pe un formular pe hârtie, bifarea unei căsuțe.

Ce ar trebui să mai știu?

În principiu, acordul pe care îl obții este limitat doar la datele pentru care persoana își dă consimțământul. Spre exemplu, dacă clientul și-a dat consimțământul pentru a primi pe adresa de e-mail oferte de marketing și dorești să trimiți și SMS-uri, trebuie să informezi clientul și să obțineți un acord în acest sens.

Consimțământul poate fi retras oricând de către persoana care ți l-a dat. Într-un asemenea caz, trebuie să te oprești din a folosi datele respective.