Verjetno ste že pristali na spletni strani, kjer ste morali privoliti v prejem piškotkov, če ste želeli videti oziroma priti do njene vsebine?
Evropski odbor za varstvo podatkov je posodobil svoje smernice glede privolitve in dopisal, da taka privolitev ni prosto dana. Kar pa je eden izmed pogojev za veljavno privolitev za zbiranje osebnih podatkov po uredbi GDPR.
V smernicah navajajo primer: spletna stran je nastavljena tako, da vas ob obisku najprej pozdravi pojavno okno, ki želi, da sprejmete piškotke (tako imenovani piškotni zid oziroma cookie wall), tu je še opis, katere piškotke želijo, da sprejmete, in za kaj bodo vaši podatki obdelani. Možnosti, da vidite spletno stran, preden se strinjate s piškotki, pa ni. Privolitev v tem primeru ni prosto dana, saj se uporaba storitve ne sme pogojevati s tem, da uporabnik privoli v obdelavo osebnih podatkov.
Kdaj je privolitev veljavna?
GDPR pravi, da mora biti privolitev dana jasno, prostovoljno, specifično, ozaveščeno in nedvoumno. Dana je lahko pisno, z elektronskimi sredstvi, velja tudi ustna izjava. Uporabnik mora imeti resnično izbiro.
Privolitev mora tako biti: prosto dana, informirana, prostovoljna (uporabniku ne smete pogojevati uporabe storitve s tem, da privoli v obdelavo osebnih podatkov) ter granulirana (več namenov, več privolitev). Če ima neka storitev več namenov obdelave, se lahko posameznik načeloma sam odloči, kateri nameni obdelave so mu sprejemljivi. Ne smete ga »prisiliti«, da sprejme kup obdelave osebnih podatkov, sploh če ta ni potrebna ali pa vanjo ni privolil. Molk ali nedejavnost nista privolitev.
Na kaj še moramo biti pozorni?
V smernice je evropski odbor za varstvo podatkov dodal tudi razlago za t.i. pomikanje (scrolling ali swiping) po zaslonu. Ali to lahko pomeni, da je posameznik dal privolitev. Kot razlagajo, tako premikanje po zaslonu ne pomeni, da je privolitev dana jasno in nedvoumno. Skratka, tudi taka privolitev ni veljavna.
Veljavno in ustrezno privolitev mora dokazovati podjetje oz. upravljavec osebnih podatkov
V primeru zahteve velja samo dokaz, da je bila dana privolitev upravljavcu osebnih podatkov, v katerem je jasno razvidno, da se nekomu lahko pošilja obvestila, ne glede na to, s kakšnimi sredstvi je ta takšno privolitev uporabnika pridobil (po e-pošti, telefonu, pisno ali ustno).