Ką daryti su seniau gautais sutikimais prieš įsigaliojant Bendrajam duomenų apsaugos reglamentui

Nors daugumai duomenų valdytojų yra aišku, kad Bendrojo duomenų apsaugos reglamento (toliau – BDAR) įsigaliojimas įneš pokyčių į tai, kaip turės būti gaunami duomenų subjektų sutikimai po jo įsigaliojimo, daugumai yra neaišku, ką daryti su tais asmenimis, kurių sutikimas tvarkyti duomenis jau yra gautas, t.y. ar bus privaloma iš naujo gauti sutikimus duomenų tvarkymui, ar anksčiau duoti sutikimai liks galioti.

Tais atvejais, kai duomenų subjekto duomenys yra tvarkomi sutikimo pagrindu, BDAR savaime nereikalauja iš naujo surinkti sutikimus iš duomenų subjektų, kurių sutikimas yra gautas anksčiau, t.y. seniau gauti sutikimai lieka galioti, tačiau, tik su ta sąlyga, kad jie atitinka BDAR keliamus reikalavimus. O tai automatiškai privers daugumą duomenų valdytojų iš naujo prašyti duomenų subjektus duoti sutikimus duomenų tvarkymui.

Vienas iš svarbiausių naujųjų reikalavimų sutikimui – tai, kad duomenų valdytojas turi galėti įrodyti, kad duomenų subjektas davė sutikimą tvarkyti jo duomenis. Preziumuojami, žodžiu ar kitais būdais gauti sutikimai, kurių duomenų valdytojas negali įrodyti, bus laikomi neatitinkančiais BDAR standartų ir bus laikomi negaliojančiais. Vertinant ar sutikimas yra teisėtas, būtina atsižvelgti ir į sutikimo kriterijus, pvz.: asmeniui užsiregistravus internetiniame puslapyje, jo profilyje automatiškai būna pažymėta varnelė, kad jis sutinka gauti jūsų naujienlaiškį. Toks sutikimas nebūtų laikomas galiojančiu, kadangi sutikimui duoti duomenų subjektas neatliko jokių veiksmų ir nepareiškė nedviprasmiško noro duoti tokį sutikimą. Taigi, reziumuojant, duomenų valdytojai turėtų turėti informaciją, kuri galėtų įrodyti: koks duomenų subjektas davė sutikimą; kada sutikimas buvo gautas; kokiu būdu sutikimas buvo gautas; kokia informacija buvo nurodyta prašant sutikimo; informacija ar sutikimas nebuvo atšauktas.

Papildomai, turi būti sukurtas būdas duomenų subjektui lengvu būdu atšaukti sutikimą. Vadovaujantis BDAR, duomenų subjektai turi galėti atšaukti duotą sutikimą taip pat lengvai, kaip ir jį suteikti. Šiam reikalavimui įgyvendinti, gali tekti peržiūrėti taikomus IT sprendimus. Tad, jei šiuo metu esanti sutikimų suteikimo ir valdymo sistema neatitinka šio reikalavimo, sutikimas turės būti gautas iš naujo, tačiau, net ir gavus naują sutikimą, šį reikalavimą bus privaloma įgyvendinti.

Taip pat, atkreiptinas dėmesys, kad BDAR draudžia keisti duomenų tvarkymo pagrindą. Atsižvelgiant į tai, jeigu įsigaliojus BDAR sutikimas būtų atšauktas, tačiau Jūs turėtumėte teisinį pagrindą tvarkyti duomenų subjekto duomenis kitu pagrindu, būtų privaloma nutraukti duomenų tvarkymo operacijas, kadangi tolimesnis duomenų tvarkymas sukurtų duomenų subjektui klaidingą įspūdį dėl neva turimo pasirinkimo.

Pažymėtina, kad atnaujinti seniau gautus sutikimus derėtų iki BDAR įsigaliojimo, t.y. 2018 m. gegužės 25 d., kadangi po jo įsigaliojimo automatiškai bus pradėti taikyti griežtesni duomenų apsaugos reikalavimai. Todėl, asmens duomenų tvarkymas neturint tam tinkamo pagrindo (neturint BDAR nuostatas atitinkančio sutikimo) gali užtraukti sankciją iki 20 milijonų eurų arba 4 proc. jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri iš šių sumų yra didesnė.