- Sutikimas.
- Sutartis.
- Teisinė prievolė.
- Gyvybinių interesų apsauga.
- Viešasis interesas.
- Teisėtas interesas.
Sutikimas yra vienas iš šešių išvardintų teisėtų pagrindų, kuriais turi būti grindžiamas asmens duomenų tvarkymas.
Kas yra sutikimas pagal BDAR?
Sutikimas yra bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais, kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys.
Privalomi sutikimo pagrindo elementai:
- Laisva valia duotas.
- Konkretus.
- Pagrįstas informacija.
- Nedviprasmiškas duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais, kuriais jis sutinka, kad būtų tvarkomi jo asmens duomenys.
Galios disbalansas
Prieš pradedant tvarkyti asmens duomenis sutikimo pagrindu labai svarbu įvertinti galios disbalansą. Duomenų valdytojo ir duomenų subjekto santykiams dažnai yra būdingas aiškus galios disbalansas, kai duomenų valdytojas yra valdžios institucija. 29 straipsnio darbo grupės nuomone, yra kitų teisėtų pagrindų, kurie iš esmės labiau tinka valdžios institucijų veiklai.
Taip pat galios disbalansas atsiranda ir su darbo santykiais susijusiame kontekste. Dėl darbdavio ir darbuotojo santykiams būdingos priklausomybės nėra tikėtina, kad duomenų subjektas galėtų neduoti savo darbdaviui sutikimo, kad būtų tvarkomi jo duomenys, be baimės ar realios rizikos patirti neigiamą poveikį dėl savo nesutikimo. Daugeliu atvejų darbuotojų sutikimas negali ir neturėtų būti teisėtas duomenų tvarkymo pagrindas, darbuotojai gali duoti laisvą sutikimą tik išimtinėmis aplinkybėmis, kai nepatirtų visiškai jokių neigiamų pasekmių nepriklausomai nuo to, ar sutikimą duotų, ar ne. Sutikimas nėra laisvai duodamas, jeigu yra bet kokių prievartos, psichologinio spaudimo ar negalėjimo naudotis laisva valia požymių. Darbdavys privalo sugebėti įrodyti, kad sutikimas iš tiesų duotas laisva valia.
Aiškios sutikimo sąlygos
Sutikimas turi būti duodamas konkrečiu tikslu. Jei duomenų valdytojas sujungia kelis duomenų tvarkymo tikslus ir nebando prašyti atskiro sutikimo dėl kiekvieno tikslo, jis suteikia nepakankamą laisvę rinktis. Kai duomenys tvarkomi ne vienu tikslu, sutikimas turėtų būti duotas dėl visų duomenų tvarkymo tikslų.
Sutikimas su duomenų tvarkymu negali būti neskiriamai sujungiamas su kitomis sąlygomis, su kuriomis reikia sutikti, arba kai su sutarties vykdymu ar paslaugos teikimu yra susiejamas prašymas duoti sutikimą, kad būtų tvarkomi asmens duomenys, kurie nėra būtini tai sutarčiai vykdyti ar paslaugai teikti. Jei sutikimas duodamas šiomis aplinkybėmis, jis laikomas ne laisva valia duotu sutikimu.
Sutikime pateikiama informacija
Remiantis 29 straipsnio darbo grupės nuomone, norint gauti galiojantį sutikimą, būtina pateikti mažų mažiausiai šią informaciją:
- Duomenų valdytojo tapatybę (kai prašomu sutikimu ketina remtis keli bendri duomenų valdytojai arba kai duomenys bus perduodami kitiems duomenų valdytojams).
- Kiekvienos iš duomenų tvarkymo operacijų, kurioms prašoma sutikimo, tikslą.
- Kokie duomenys bus renkami ir naudojami.
- Informaciją apie turimą teisę atšaukti sutikimą.
- Informaciją apie duomenų naudojimą automatizuotai priimant sprendimus (kai tinka).
- Informaciją apie galimą duomenų perdavimo riziką, kai nėra priimto sprendimo dėl tinkamumo ir nėra tinkamų apsaugos priemonių.
Sutikimas turi būti aiškus, pateikiamas suprantama ir lengvai prieinama forma. BDAR nustatyta, kad sutikimas visada turi būti duodamas aktyviu veiksmu (gestu) arba pareiškimu. Duomenų valdytojai turi imtis priemonių užtikrinti, kad gautų ir išsaugotų galiojantį sutikimą bei galėtų įrodyti, jog jį turi.
Sutikimo atšaukimas
Būtinas galiojančio sutikimo pagal BDAR aspektas yra reikalavimas, kad duotą sutikimą būtų galima lengvai atšaukti. Jei sutikimas atšaukiamas, visos duomenų tvarkymo operacijos, kurios buvo pagrįstos sutikimu ir vyko prieš atšaukiant sutikimą (ir laikantis BDAR), tebėra teisėtos, tačiau duomenų valdytojas turi sustabdyti atitinkamus duomenų tvarkymo veiksmus.