Această problemă a fost adesea pusă pe tapet și a suscitat numeroase dezbateri și opinii contradictorii. Cred însă că dezbaterile își au fundamentul într-o insuficientă înțelegere a cazurilor de incidență a consimțământului, ca temei juridic al prelucrărilor de date cu caracter personal.
Am identificat două tipuri de scenarii care au generat ideea (eronată, din punctul meu de vedere) de afectare a principiului forței obligatorii a contractului:
- Scenariul în care consimțământul pentru prelucrarea datelor cu caracter personal nu reprezintă temeiul adecvat pentru prelucrare
Forța obligatorie a contractului presupune că acesta este obligatoriu pentru părțile contractante, prin urmare niciuna dintre părți nu poate „ieși” din contract prin voința sa unilaterală. Pentru a putea vorbi despre un potențial conflict cu principiul forței obligatorii a contractului, e nevoie ca prelucrarea respectivelor date (pentru care s-a retras consimțământul) să fie necesară pentru încheierea/ executarea contractului. Altfel spus, ca urmare a retragerii consimțământului pentru prelucrare, contractul ar urma să înceteze (prin voința unilaterală a părții care și-a retras consimțământul pentru prelucrare), întrucât contractul nu mai poate fi executat (prelucrarea datelor fiind esențială pentru executarea acestuia).
Or, dacă prelucrarea datelor este necesară pentru executarea contractului, înseamnă că, în realitate, temeiul pentru respectiva prelucrare reprezenta necesitatea încheierii/ executării contractului (art. 6 lit. b) din GDPR), și nicidecum consimțământul persoanei vizate (art. 6 lit. a) din GDPR). Pe cale de consecință, nu se va pune problema vreunei retrageri de consimțământ pentru prelucrarea datelor cu caracter personal.
Să spunem că achiziționez niște cărți de pe site-ul www.achiziții.com și doresc să fac plata online direct pe site (ca facilitate oferită de website). Termenii și condițiile (T&C) website-ului menționează (formulare des întâlnită, de altfel) că prin bifarea căsuței dedicate sunt de acord cu prestarea serviciului de plată, inclusiv prelucrarea datelor mele personale necesare efectuării plății, de către furnizorul de servicii de plăți. Deși formularea este oarecum improprie, în realitate prin bifarea T&C îmi exprim acordul doar pentru a intra în relație contractuală cu furnizorul de plăți. Prelucrarea datelor cu caracter personal (i.e. nume, prenume, datele cardului) nu se bazează nicidecum pe acordul meu, ci pe faptul că respectiva prelucrare este inerentă și necesară pentru executarea serviciului de plată pe care tocmai l-am contractat. Nefiind vorba despre un consimțământ pentru prelucrarea datelor, nu se va pune nici problema retragerii acestuia. Pe cale de consecință, principul forței obligatorii a contractului nu va fi în niciun fel afectat.
Desigur, pentru a evita orice confuzie, în exemplul sus-menționat T&C ar fi trebuit să menționeze că prin bifarea căsuței dedicate îmi exprim acordul pentru serviciul de plată, iar datele necesare efectuării plății vor fi prelucrate de către furnizorul de servicii de plată pentru scopul executării contractului – art. 6 lit. b) din GDPR (reamintesc că, potrivit GDPR, operatorii trebuie să indice expres persoanelor vizate care este temeiul prelucrării).
Prin urmare, atunci când intenționează să își bazeze prelucrarea pe consimțământul persoanei vizate, operatorii (în speță, părțile contractului) vor trebui să verifice atent dacă nu cumva, raportat la particularitățile contractului, un alt temei este mai adecvat. În caz afirmativ, pentru a se feri de complicații (de tipul că prin retragerea consimțământului pentru prelucrare contractul încetează), operatorii vor trebui să fundamenteze prelucrarea datelor pe acest alt temei (cum ar fi încheierea/ executarea contractului sau interesul legitim al operatorului), iar nu pe consimțământ.
- Scenariul în care încetarea prelucrării datelor se datorează dreptului conferit persoanei vizate de a denunța unilateral contractul
Există situații în care persoana vizată are dreptul de a renunța la serviciul contractat și, prin urmare, poate determina prin voința sa încetarea prelucrării datelor sale cu caracter personal. Însă, în aceste situații, încetarea prelucrării datelor nu se datorează nicidecum retragerii consimțământului pentru prelucrarea datelor, ci dreptului persoanei vizate de a denunța unilateral/ suspenda contractul încheiat. Așadar, în aceste cazuri, nu vorbim despre o afectare a principiului forței obligatorii a contractului prin retragerea consimțământului pentru prelucrare în baza GDPR, ci de exercitarea unui drept de a înceta/ suspenda contractul în mod unilateral stabilit conform Codului Civil.
Spre pildă, site-ul www.achiziții.com permite crearea unui cont pentru gestionarea comenzilor de pe website. Pentru a crea contul, este nevoie să inserez anumite date despre mine (date cu caracter personal), de tipul nume, prenume, adresa de livrare etc. Conform termenilor și condițiilor (T&C) website-ului, am dreptul să șterg/ dezactivez oricând contul creat. Dacă o voi face, nu înseamnă însă că îmi retrag consimțământul pentru prelucrarea datelor, ci că denunț unilateral/ suspend executarea contractului, conform unui drept stabilit contractual prin T&C. Așadar, nici în acest caz nu putem vorbi despre vreo afectare a principiului forței obligatorii a contractului de către GDPR.
Materialul a fost publicat pe site-ul Avocatnet https://www.avocatnet.ro/articol_49374/GDPR-Retragerea-consimtC483mantului-persoanei-fizice-poate-afecta-executarea-contractelor.html și https://www.avocatnet.ro/articol_49372/GDPR-Ce-date-ale-unei-persoane-pe-care-vrei-s-o-ajuti-poti-include-intr-un-contract-cu-aceasta.html