Si je possède les données, puis-je déclarer, dans le cadre de ma liberté personnelle, que j'accepte fondamentalement que mes données spécifiques puissent être stockées et traitées n'importe où par quiconque, sans me demander à chaque fois?
Si je possède les données, puis-je déclarer, dans le cadre de ma liberté personnelle, que j'accepte fondamentalement que mes données spécifiques puissent être stockées et traitées n'importe où par quiconque, sans me demander à chaque fois?
Vous pourriez, mais comment les entreprises qui souhaitent gérer vos données devraient-elles le savoir? S'ils n'ont aucune confirmation de votre part que vous leur permettez de traiter vos données de quelque manière que ce soit, autre que celles auxquelles ils sont déjà autorisés en raison des exceptions, ils doivent - en vertu du RGPD - supposer que vous ne voulez pas qu'ils traitent vos données. , et donc à vous demander.
2016/679 ("GDPR") définit les responsabilités des sous-traitants et responsables du traitement (sous réserve du champ d'application de la législation). Un individu peut déclarer ce qu'il veut, mais ces sous-traitants et contrôleurs seront toujours liés par la législation.
Dans de nombreux cas, le consentement ne sera pas pertinent - ce n'est qu'une des bases légales du traitement:
(a)
la personne concernée a donné son consentement au traitement de ses données personnelles à une ou plusieurs fins spécifiques;
(b)
le traitement est nécessaire pour l'exécution d'un contrat auquel la personne concernée est partie ou pour prendre des mesures à la demande de la personne concernée avant de conclure un contrat;
(c )
le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;
(d)
le traitement est nécessaire afin de protéger les éléments vitaux intérêts de la personne concernée ou d'une autre personne physique;
(e)
le traitement est nécessaire à l'exécution d'une tâche effectuée dans l'intérêt public ou dans l'exercice de l'autorité officielle dévolue au responsable du traitement;
(f)
le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf lorsque ces intérêts sont outrepassé par les intérêts ou les droits et libertés fondamentaux de la personne concernée qui nécessitent la protection des données personnelles, en particulier lorsque la personne concernée est un enfant.
Une personne physique pourrait déclarer que n'importe qui pourrait utiliser leurs données, ou que personne ne pourrait, et les sous-traitants et responsables du traitement seraient toujours liés par la législation. Il est possible qu'ils puissent utiliser cette déclaration pour démontrer la base légale (a) mais, comme Trish le mentionne, seulement s'ils savaient que la déclaration avait été faite et seulement si le processus les pointant vers la déclaration était conforme au paragraphe 32:
Le consentement doit être donné par un acte affirmatif clair établissant une indication librement donnée, spécifique, éclairée et sans ambiguïté de l'accord de la personne concernée au traitement des données personnelles la concernant, par exemple par une déclaration écrite, y compris par voie électronique signifie, ou une déclaration orale. Cela peut inclure le fait de cocher une case lors de la visite d'un site Internet, le choix des paramètres techniques des services de la société de l'information ou une autre déclaration ou conduite indiquant clairement dans ce contexte l'acceptation par la personne concernée du traitement proposé de ses données personnelles. Le silence, les cases pré-cochées ou l'inactivité ne doivent donc pas constituer un consentement. Le consentement devrait couvrir toutes les activités de traitement effectuées aux mêmes fins ou aux mêmes fins. Lorsque le traitement a plusieurs finalités, le consentement doit être donné pour tous. Si le consentement de la personne concernée doit être donné suite à une demande par voie électronique, la demande doit être claire, concise et ne pas perturber inutilement l'utilisation du service pour lequel elle est fournie.
Il est difficile de voir comment une déclaration générique sans autre contexte pourrait répondre aux parties "spécifique" et "informée" de ce paragraphe.
S'ils se fondaient sur l'une des autres bases légales pour le traitement, la déclaration ne changerait rien.
Pour répondre à la question originale du titre, 2016/679 ne signifie rien pour une personne physique en ce qui concerne ses propres données personnelles, sauf lorsqu'elle exerce ses droits en vertu du chapitre III. Cela devient plus pertinent lors du traitement des données relatives à quelqu'un d'autre.
[Modifier après l'amendement de NotThatGuy à la question du titre, ce qui simplifie la réponse: Pas sous GDPR, car la personne concernée n'aurait pas été "informée "de la nature" spécifique "du" traitement proposé "- voir le paragraphe 32.]
Si vous le souhaitez, vous pouvez faire une déclaration publique selon laquelle vous consentez à tout traitement de vos données. Vous devrez probablement être plus détaillé que cela (le consentement doit être éclairé et spécifique) - vous devrez probablement spécifier de manière exhaustive que oui, vous savez que cela inclut également ceci et cet objectif spécifique et des données protégées particulières (par exemple, article 9.1 et 9.2 (a) concernant les catégories spéciales de données), et que la déclaration de consentement devrait démontrer qu'il s'agit d'un consentement éclairé , par exemple que vous êtes conscient des conséquences et des risques potentiels; mais en général, si le responsable du traitement peut démontrer que vous avez consenti au traitement, cela devrait être suffisant conformément à l'article 7.1. Ils devraient cependant vous identifier d'une manière ou d'une autre - si quelqu'un publie sur Internet "Je, John Doe, consens à tout traitement", vous aurez toujours besoin d'une assurance raisonnable que c'est en fait John Doe qui a publié cela au lieu de leur copain farceur.
Cependant, vous ne pouvez pas donner un consentement contraignant et irrévocable - conformément au RGPD (art. 7.3), vous avez le droit de retirer ce consentement à tout moment; et si vous trouvez une faille qui entraînerait une situation qui permettrait effectivement à un sous-traitant de vous empêcher de retirer ce consentement, cela ne compterait généralement pas (sous réserve de l'interprétation par le DPA local) comme donné librement consentez plus - et un consentement qui n'est pas librement donné n'est pas une base légale pour le traitement des données.
Les entreprises doivent donc toujours s'attendre à ce qu'à tout moment vous ayez le droit de changer d'avis, de retirer votre consentement , demandez toutes les données dont ils disposent sur vous, demandez la suppression le cas échéant, etc.
Comme d’autres l’ont souligné, le problème est que les détenteurs d’informations doivent savoir que vous avez donné ce consentement universel.
Théoriquement, certaines organisations pourraient gérer une base de données centrale, où quiconque le souhaite faire une telle déclaration est enregistrée, et les détenteurs d'informations peuvent vérifier cela avant de vous demander explicitement le constent. Mais cela nécessiterait alors une sorte d'identifiant universel pour tout le monde, ou du moins pour les personnes qui voudraient profiter de ce service.
Facebook devient si populaire (environ 28% de la population mondiale l'utilise ) qu'il pourrait éventuellement fournir ce type de service (pensez à tous les sites qui vous permettent de vous connecter en vous connectant à votre compte FB). Mais compte tenu de tous les problèmes de confidentialité avec Facebook, voudriez-vous vraiment qu'ils gèrent les données que d'autres organisations utilisent pour gérer la confidentialité?