Pe parcursul anului 2019, operatorii au înregistrat la Autoritatea Naţională de Supraveghere un număr de 4318 responsabili cu protecția datelor numiți de către operatorii din sectorul public și privat (Sursa: raportul anual 2019 ANSPDCP, pag.70) care se adaugă la cei 7225 responsabili cu protecția datelor numiți pe tot parcursul anului 2018 (Sursa: raportul anual 2018 ANSPDCP, pag.106).

În total, de la data aplicării Regulamentului UE 679/2016 și până la începutul anului 2020 au fost notificați către Autoritate 11543 de responsabili. Dar ce înseamnă această cifra? Este acest număr suficient pentru a deservi toate organizațiile din sectorul public și privat care au obligația de a desemna un DPO? Vă invităm să analizăm împreună datele.

Când este este obligatorie desemnarea unui responsabil cu protecția datelor?

Conform Art. 37 din GDPR, desemnarea responsabilului cu protecția datelor este obligatorie pentru:

• Toate autoritățile și organismele publice (indiferent de datele pe care le prelucrează, exceptând instanțele care acționează în exercițiul funcției lor jurisdicționale)

Autoritățile și organismele publice includ autoritățile naționale, regionale și locale, organizațiilor private care îndeplinesc sarcini publice sau exercită autoritate publică trebuie să numească un DPO.

• Organizații care, ca activitate de bază, monitorizează persoane în mod sistematic și la scară largă

Monitorizarea periodică și sistematică a persoanelor vizate include toate formele de urmărire și profilare, atât online, cât și offline inclusiv în scopul publicității comportamentale.

• Organizații care prelucrează categorii speciale de date cu caracter personal la scară largă

Atunci când se stabilește dacă procesarea se face la scară largă, liniile directoare afirmă că trebuie să țineți cont de următorii factori: numărul sau procentul  persoanelor vizate în cauză, volumul de date cu caracter personal prelucrate, gama elementelor diferite de prelucrat, extinderea geografică a activității, durata sau permanența activității de prelucrare.

Prin Legea 190/2018 a fost introdusă o nouă categorie de prelucrări care implică obligativitatea desemnării unui DPO:

• Prelucrarea unui număr de identificare național, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conțin, în vederea realizării intereselor legitime urmărite de operator sau de o parte terță

Numere de identificare națională sunt acele numere prin care se identifica o persoana fizica în anumite sisteme de evidenta și care au aplicabilitate generala, cum ar fi: codul numeric personal, seria și numărul actului de identitate, numărul pașaportului, al permisului de conducere, numărul de asigurare sociala sau de sănătate.

Celor de mai sus li se adaugă organizațiile care nu îndeplinesc criteriile de obligativitate a numirii unui DPO dar care doresc numirea unui Responsabil cu protecția datelor pe bază de voluntariat,urmând încurajările atât ale Grupului de lucru instituit prin articolul 29 („WP29”) cât și ale Autorității naționale în domeniul protecției datelor.

Luând în considerare faptul că numărul autorităților publice din România, conform Registrului Național al Instituțiilor Publice din România, publicat de  Agenția pentru Agenda Digitala a României (AADR), se ridică la peste 41.227, dacă excludem instanțele care acționează în exercițiul funcției lor jurisdicționale, rezultă peste 40.000 de instituții publice care sunt obligate sa desemneze un Responsabil cu protecția datelor.

Dacă acestui număr impresionant i se adaugă alte mii reprezentând operatori privați care, prin natura prelucrărilor, au obligația de a desemna un DPO, sau care nu au aceasta obligație dar au desemnat voluntar un DPO, estimările depășesc cu ușurință cifra de 50.000 de entități care ar fi trebui să numească un DPO și să-l comunice Autorității naționale de supraveghere.

Atenție: A nu se confunda numărul de DPO notificați Autorității cu numărul real de specialiști în protecția datelor, având în vedere că (indiferent că au calitatea de angajat sau este un serviciu externalizat) poate fi desemnat un responsabil cu protecția datelor unic, simultan, pentru mai multe entități.

Câți DPO sunt la nivelul Uniunii Europene?

Potrivit unui studiu realizat de Asociația Internațională a Profesioniștilor în Confidențialitate (IAPP), aproximativ 350.000 de organizații europene dintr-un total estimat de 500.000 au desemnat și notificat un Responsabili cu protecțiea datelor (DPO) în primul an de la aplicarea Regulamentului general privind protecția datelor (GDPR).

Aceasta estimare a fost realizată pe baza datelor oferite de 12 state care reprezinta 80% din produsul intern brut al Spațiul Economic European (SEE). În raportul IAPP nu a fost luat în calcul numărul de DPO din Germania, a cărei legislații anterioară GDPR-ului prevedea necesitatea numirii de ofițeri de protecție a datelor, motiv pentru care aproximativ 182.000 de DPO sunt înregistrați la Autoritatea germană.

CEO al IAPP, Trevor Hughes, a declarat: "Companiile au integrat protecția datelor în structurile lor de guvernare și au îmbrățișat cerințele de responsabilitate cerute de GDPR. Bineînțeles, doar numirea unui DPO nu este suficientă. Organizațiile trebuie să se asigure că responsabilii cu protecția datelor sunt instruiți și calificați pentru a aborda una dintre problemele de politică tehnologică definitorii ale timpului nostru, protejând confidențialitatea și datele persoanelor."

Căt costă un DPO la nivelul Uniunii Europene?

Într-o cercetare separată, IAPP a chestionat membrii din Europa în ceea ce privește salariul și compensația globală. Rezultatele acestui sondaj arată că un DPO din Europa câștigă un salariu mediu de 88.000 de dolari pe an.

Cel mai probabil acest chestionar nu a ajuns și la specialiștii romani și spunem asta convinși fiind că suma rezultată ar fi fost sensibil mai redusă.

Care sunt riscurile nedesemnării unui DPO?

Conform Art. 83 a) din GDPR, nerespectarea dispozițiilor art. 37-39 (cele care reglementează activitatea Responsabilului cu protecția datelor), de către operatori din mediul privat, poate fi sancționată cu amenda administrativă de până la 10.000.000 Euro sau, în cazul unei întreprinderi, de până la 2 % din cifra de afaceri mondială totală anuală.

În ceea ce privește autoritățile/organismele publice naționale, Legea 190/2018 instituie un regim special, astfel că încălcarea art. 37-39 din GDPR constituie contravenție și se sancționează cu amendă de la 10.000 lei până la 100.000 lei. Am putea încerca să facem o glumă spunând ca diferența între 10 milioane de euro și 100 de mii de lei  constă doar în două zerouri și o conversie a monezii, deci nimic spectaculos, dar știm că nu va râde nimeni..

Ce concluzii putem trage?

Cele 11543 de notificări înregistrate la Autoritate, privind desemnarea responsabililor cu protecția datelor, sunt un indiciu clar al lipsei de responsabilități în special din partea autorităților publice, adică exact cei care ar trebui sa constituie un exemplu pentru restul operatorilor din România.

Cauzele acestei discrepanțe majore le putem intui cu ușurință:

• nealocarea bugetului necesar angajării sau contractării unu DPO;
• lipsa unor programe de formare la nivel național (un număr extrem de mic de universități au dezvoltat cursuri postuniversitare pentru protecția datelor care a lăsat loc numeroaselor cursuri de o după-amiază);
• Și poate cel mai important: dezinteresul majorității organismelor publice naționale de a se alinia la dispozițiile GDPR.

Toate aceste “lipsuri” necesită o remediere treptată dar sincronizată pentru a se evita apariția în piață a mii de “specialiști” fără pregătirea necesară unei activități atât de dificilă și importantă.

Mai mult, desemnarea unui DPO prin cumul de funcții este o soluție care trebuie cântărită cu mare atenție, existând riscul ca Responsabilul cu protecția datelor să se afle în incompatibilitate sau să nu trateze rolul de DPO ca fiind cel principal și implicit să nu aloce suficient timp și energie, obținându-se astfel doar o aliniere formală la GDPR din perspectiva obligației numirii unui Responsabil cu protecția datelor.

În tot acest context descris, concluzionăm că România are nevoie de specialisti, mult mai mulți decat cei deja înregistrați deja, pentru a asigura implementarea principiilor GDPR atât în cadrul organizațiilor private cât și în cadrul celor peste 40.000 de instituții publice.

In domeniul protecției datelor în România, anul 2021 a debutat cu relansarea pe piață a carții "GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016" ( Editia 1, Editura Wolters Kluwer). Cartea este disponibilă în webshop-ul dpo-net.ro si poate fi comandată la prețul promoțional de 110 lei. 

Conf. Univ. Dr. Nicolae Ploeșteanu - Directorul Centrului pentru Protecția Datelor - Universitatea de Medicină, Farmacie, Științe și Tehnologie „George Emil Palade” din Târgu Mureș a avut amabilitatea sa semneze prefața acestei ediții:

"Apariția volumului GDPR Aplicat, ediția a I-a, elaborat de autorii Daniela Simionovici, Daniela-Irina Cireașă, Cătălina Pantilimon și Marius-Florian Dan, reprezintă valorificarea de către aceștia, într-o editură de prestigiu precum Wolters Kluwer, a unui „succes editorial”. Prima ediție a apărut în editura Lumen și, cred eu, că datorită confirmării valorii practice a volumului, autorii au trecut de faza „timidității” începutului editorial și se adresează în prezent prin elaborarea acestei a doua ediții către dimensiunea reală a publicului interesat de domeniul protecției datelor cu caracter personal și, mai ales, către nevoile pieței de a implementa exhaustiv Regulamentul General privind Protecția Datelor, la nivelul operatorilor de date din România.

Volumul GDPR Aplicat este o idee strălucită a unui colectiv de persoane cu experiență practică și însuflețite să își pună amprenta proprie într-un domeniu în emergență, anume domeniul protecției datelor cu caracter personal. Legislația specifică pe care o abordează într-o manieră utilă și formativă este aceea care privește mai ales „GDPR”. Autorii doresc atât să se implice cât și să ofere un instrument antrenant și imediat pentru probleme practice serioase și multiplicate în activitățile curente ale operatorilor de date cu caracter personal. Toate entitățile publice și private sunt interesate să se pună de acord cu ceea ce la momentul de față este „sperietoarea” activității lor. Această intenție are sinuozități și îndoieli dar, în final, se impune practic asemănător unui standard de calitate și, în același timp, complet diferit: este diferența dintre un tablou pictat, privit ca o operă și, pe de altă parte, evoluția și inițierea unui proces juridic; oare cine are dreptate? Răspunsul este oferit cu precauție în paginile volumului acestor pionieri….În final, practica și viitorul vor fi circumstanțele în baza cărora vom argumenta liniile decisive ale acestei îndrăznețe acțiuni: protecția datelor din perspectiva unei societăți mai sigure și a unei vieți private intime fiecărei persoane fizice.

Este necesară această lucrare și îi felicit pe autori și pe cei care au contribuit pe această linie, într-un fel sau altul, la formarea acestora, iar aici mă gândesc în special la cei care au avut inițiativa de a întreprinde la Universitatea suceveană un curs postuniversitar de protecție a datelor, pe care toți autorii acestui volum l-au urmat!

Volumul este consistent: are 752 de pagini și, în esență, 14 capitole tematice, la care se adaugă anexe, bibliografie, figuri și tabele. Volumul se remarcă prin utilitate, nu prin argumentare științifică. Principala metodă de investigație utilizată în realizarea volumului este metoda experimentală.  În cele 14 capitole se tratează atât ideile de esență și directoare ale protecției datelor, precum și măsurile, acțiunile care trebuie întreprinse pentru a asigura implementarea GDPR la nivelul entităților, oferindu-se în mod constant exemple. În partea finală, referitoare la proceduri, modele și tabele ni se prezintă o varietate de exemple. Legat de structura volumul în acest context de evaluare pot fi extrem de încrezător în a afirma că este complet antamat pe necesitățile practice. Demersul autorilor va fi îmbogățit în edițiile viitoare, prin practica viitoare și abordarea unor tematici de nișă, cum este aceea a transferului internațional de date.

Pentru elaborarea volumului GDPR aplicat este cert că autorii au alocat un timp prețios și o disponibilitate aparte, poate chiar încercată și deloc ușoară. La momentul de față, astfel  cum se numește în partea secundă a sa, „Instrument de lucru pentru implementarea Regulamentului UE 679/2016” este instrumentul cel mai valoros de pe piața din România, pentru toți cei implicați în acest fenomen. Nu este un volum științific ci este exact ceea ce se numește: „Instrument de lucru…”. Dar este cel mai bun în domeniul GDPR. Îndrăznesc să afirm, pentru întreaga masă de profesioniști și interesați în domeniu, că utilizând acest volum pot să aibă siguranța conformității pentru o medie a entităților, într-un procent de aproximativ 90%. Oricum, până la apariția vreunui volum mai exhaustiv sau sintetic, acesta este, în opinia mea, sub aspect practic numărul 1 în România.

În mod interesant, lucrarea este utilă atât pentru practicieni cât și pentru directorii executivi ai companiilor. În prima parte, se oferă lecții nenumărate pentru management cum ar trebui să regândească sistemul propriu în care activează și, sigur că da, în același timp practicienii vor avea nenumărate soluții și documente la dispoziție pentru a sprijini companiile sau autoritățile în implementarea GDPR. Spre exemplu, la nivel de management este expusă povestea așteptării unui standard cumpărat și implementat imediat, cu deziluzia că așa ceva nu s-a putut întâmpla…Se caută vina la consultant și nu se poate direcționa juridic. Ce facem de aici încolo? Cât mai trebuie să stăm împiedicați de protecția datelor?

La nivel de executiv, lucrurile se complică deoarece pe lângă aceste instruiri, adevăratul specialist în protecția datelor trebuie să devină un real confident al companiei și să contribuie la rebreduirea acesteia. Va fi acceptat? Va fi înghițit? Volumul răspunde acestor întrebări într-o manieră sinceră și corectă!

Autorii au investit pasiune și interes suprapuse pe ideea importanței formării continue și a observației și cercetării cu demonstrații. Spuneam că autorii sunt într-o mare măsură pionieri: au simțit flexibilitatea și dinamica domeniului și au considerat că pot să afirme reguli, aspect care s-a confirmat în mod evident. De aici, apare una din primele trăsături ale lucrării, anume că la fiecare domeniu și secțiune se începe cu o „poveste” legată de ce se întâmplă în practică atunci când se urmărește implementarea GDPR: totul prinde contur și devine extrem de narativ și util în același timp. Spre exemplu, cuvântul introductiv debutează exact cu cea mai importantă parte a implementării GDPR, anume aceea a conștientizării și educației: „Etica reprezintă o invitație la conștientizarea consecințelor a ceea ce se face”

În al doilea rând, se face o descriere juridică a fiecărui concept principal utilizat în GDPR, inclusiv descrierea faptică alăturată. Dacă deschid la întâmplare volumul, ajung, spre exemplu la pagina 59, unde se vorbește de pseudonimizare, despre care se afirmă în mod corect că „are o componentă obligatorie și anume reversibilitatea acesteia. Reversibilitatea este tehnica inversă pseudonimizării, adică, folosind informații suplimentare, pe care doar operatorul le are, datele pot deveni, din nou, „clare”(…)” Aceasta este o obligație specifică în anumite condiții a operatorului de date.

În al treilea rând se oferă de către autori la fiecare argumentare sistematic prezentată, un exemplu, de regulă referit de ghidurile de implementare și orientare realizate de fostul Grup de lucru articolul 29, în prezent înlocuit de Comitetul european pentru protecția datelor stabilit prin GDPR. Această modalitate de expunere conferă instruire și înțelegere cititorului și practicianului, deoarece exemplele sunt extrem de relevante și fin relevate.

Nu în ultimul rând, trebuie remarcată referirea la practica instanțelor din România și a instanțelor europene în domeniul protecției datelor cu caracter personal, chestiune utilă deoarece contribuie la statuarea definitivă a unor linii de interpretare a domeniului analizat.

Consider că fiecare practician trebuie să aibă această lucrare pentru că îl va ajuta în implementarea GDPR. Lucrarea conține atât conținut cu documentare științifică cât și conținut aplicativ corect dar orientativ și specific ghidurilor.

În ceea ce mă privește, sunt încântat că autorii  Daniela Simionovici, Daniela-Irina Cireașă, Cătălina Lungu și Marius-Florian Dan, mi-au fost pentru o scurtă perioadă „studenți”, deoarece orice dascăl este împlinit când este depășit de proprii studenți. I-am întâlnit cu ocazia unei competiții în domeniul protecției datelor, desfășurată la Târgu Mureș, și am simțit că este vorba de un grup cu potențial reformator. Au demonstrat în interesul comunității din România acest lucru. Le doresc mult succes și felicitări pentru demersurile continue pe care le întreprind în domeniul protecției datelor cu caracter personal."

Dacă ar fi să folosesc un termen binecunoscut în rândul specialiștilor români în domeniul protecție și securității datelor cu caracter personal, aș spune că o noua "bazaconie" (termen folosit de fostul premier) a fost lansată de autoritățile care au modificat pe ultima sută de metri, înainte de redeschiderea școlilor în 8 februarie, procedura privind testarea anti COVID-19 a elevilor. Mai exact, Ministerul Sănătății a modificat formularul pentru părinți, prin care aceștia pot exprima consimțământul din punct de vedere medical pentru testare a copilului lor cu teste antigen rapide în școală, potrivit documentului publicat duminică seara la ora 23:00, cu doar o oră înainte să înceapă prima zi de școală din Semestrul al II-lea. Noutatea acestui document este declarația pentru prelucrarea datelor cu caracter personal care a fost inclusă în acest formular și nu se mai completează separat. Ca specialist, nu îmi pot da seama cu exactitate ce ar trebui să reprezinte acest document: consimțământ medical informat ( Art.660 - L 95/2006) și/sau consimțământ GDPR (Art.4 pct. 11- RGPD 679/2016) pentru că nu respectă condițiile de validitate pentru nici una din acestea și nu respectă nici principiul fundamental al minimizării datelor.

Nu este prima, și poate nici ultima, dată când autoritățile române pun părinții specialiști în acest domeniu, în fața unei dileme: refuz să semnez un document eronat având în vedere faptul că experiența și etica profesională mă împiedică să fac acest lucru sau semnez pentru a nu crea neplăceri copilului la școală? Anul trecut, Ministerul Educației condiționa accesul în sala de examen de existența unui astfel de formular de consimțământ din partea părinților.

„Declar prin prezenta că sunt de acord cu utilizarea și prelucrarea datelor mele cu caracter personal de către cabinetul medical din cadrul unității de învățământ preuniversitar X, inclusiv pentru transmiterea datelor la Direcția de Sănătate Publică/Direcția de Sănătate Publică a Municipiului București, rezultate din prezentul consimțământ depus voluntar la unitatea de învățământ.” Așa sună "consimțământul" (și ghilimelele nu sunt puse în mod accidental) privind prelucrarea datelor cu caracter personal care în această formă numai consimțământ nu este. Ar fi putut fi o simplă informare cu indicarea temeiului legal corect și respectarea Art. 13 din GDPR. Altfel, această măsură nu conduce decât la creșterea birocrației, generând un munte de documente inutile și fără valoare juridică, datorită faptului că nu respecta cerințele minimale stabilite de lege.

Acest formular trebuie analizat și din prisma condițiilor de validitate a unui consimțământ medical informat. Art. 660 din Legea 95/2006 stabilește că informațiile relevante trebuie transmise pacientului la un nivel științific rezonabil pentru puterea de înțelegere a acestuia și trebuie să conțină cel puțin diagnosticul, natura și scopul tratamentului, riscurile și consecințele tratamentului propus, alternativele viabile de tratament, riscurile și consecințele lor și pronosticul bolii fără aplicarea tratamentului. Lipsa informării corespunzătoare introduce riscuri juridice pentru cadrele medicale, mai ales în lipsa unui contact direct medic-pacient în momentul în care se obține acest consimțământ medical informat.  

Nu cred că este normal ca după cei aproape trei ani de când se aplică Regulamentul (UE) 679/2016 (GDPR), în România consimțământul să fie în continuare prima opțiune a operatorilor de date cu caracter personal atunci când se dorește identificarea unui temei legal. Se poate explica ușor prin “puterea obișnuinței”, prin cunoștințe superficiale asupra modificărilor introduse de noua legislație sau prin faptul că Responsabilul cu protecția datelor (DPO) încă nu și-a câștigat locul de drept și nu a reușit să provoace o schimbare fundamentală în cadrul organizațiilor. Utilizarea eronată a temeiului de prelucrare nu conduce neapărat la încălcarea Regulamentului și la aplicarea unei amenzi și este de fapt o dovadă clară a cunoașterii precare din partea operatorilor a prevederilor și principiilor Regulamentului (UE) 679/2016 (GDPR). 

Obținerea unui consimțământ prin solicitarea ”vă rog semnați aici, aici și aici” nu este o metodă de  conformare față de principiile GDPR, este o rezolvare de formă, pentru a scăpa de o “corvoadă”, prin care am reușit doar să creștem birocrația, am creat formulare noi ca să ne protejăm în cazul în care pacientul ne dă în judecată. Chiar și așa, avantajul va fi de partea persoanei vizate pentru că va putea spune oricând că ”nu am fost informat corect, nu am înțeles ce mi s-a spus / cerut să fac, consimțământul nu este conform GDPR, nu a fost obținut în mod real sau nu am fost informat în prealabil”. Un consimțământ, pentru a fi valabil conform GDPR, trebuie să îndeplinească mult mai multe condiții decât semnătura pacientului.

Ca specialist îmi doresc să învățăm într-un final să folosim corect acest temei legal și să apelăm la el atunci când am epuizat toate celelalte variante. Cu toții ar trebui să știm că Regulamentul (UE) 679/2016 (GDPR) a schimbat fundamental ierarhia din Directiva 95/46/EC (abrogată) și din  Legea 677/2001 (abrogată) cu care eram obișnuiți, înlocuind-o cu egalitatea între temeiurile de prelucrare. Astfel, legalitatea prelucrării datelor poate fi justificată conform articolul 6 alineatul 1 din Regulament prin: temei legal, interes vital, interes legitim, relație contractuală sau interes public și este nevoie de consimțământul persoanei vizate de exemplu, în cazul activităților de marketing sau al studiilor medicale voluntare. 

Nu pot decât să recomand Autorităților din România să studieze prima dată celelalte temeiuri de prelucrare a datelor personale, deoarece, de cele mai multe ori, există deja obligații legale de prelucrare a datelor sau un contract care stă la baza prelucrărilor sau poate fi cu ușurință demonstrat un interes legitim, public sau vital. Abia după eliminarea oricărui alt posibil temei putem ajunge la ipoteza utilizării consimțământului, studiind cu atenție ce se întâmplă în cazul retragerii acestuia, dacă sunt condiții de retragere facilă a consimțământului și dacă este liber exprimat. 

Consimțământul medical informat vs. Consimțământul GDPR

Nu trebuie să facem confuzie între “consimțământul pacientului folosit ca temei legal de prelucrare a datelor cu caracter personal” și “consimțământul medical informat” care este, de fapt, un document prin care se traduc într-un limbaj comun termenii de specialitate care definesc un act medical, cu scopul de a obține acceptul în cunoștință de cauză al pacientului si care vizează relația medic-pacient și informațiile legate de actul medical si repercusiunile acestuia. 

Articolul 4 alin. 11 din Regulamentul 679/2106 definește “consimţământul” persoanei vizate ca fiind “orice manifestare de voinţă liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate”. Trebuie analizat în această situație și conținutul considerentului 42, care precizează: “Consimţământul nu ar trebui considerat ca fiind acordat în mod liber dacă persoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în măsură să refuze sau să îşi retragă consimţământul fără a fi prejudiciată.”. Condițiile de utilizare a consimțământului ca temei legal de prelucrare a datelor cu caracter personal sunt descrise pe larg în cuprinsul art. 7 din Regulamentul 679/2016, astfel că, orice operator trebuie să demonstreze că persoana vizată și-a dat consimțământul informat pentru prelucrarea datelor sale cu caracter personal, printr-o alegere liberă autentică și cererea în vederea obținerii consimțământului trebuie să fie într-o formă care o diferențiază de celelalte aspecte, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu.

Pentru obținerea unui consimțământ valid (ca temei de prelucrare GDPR) trebuie întrunite mai multe condiții, precum faptul că: 

1. trebuie să fie liber exprimat și obținut distinct de orice alt acord, 
2. trebuie să fie acordat în cunoștință de cauză,
3. trebuie acordat pentru un scop specific,
4. toate motivele prelucrării trebuie precizate clar,
5. trebuie să fie explicit și acordat printr-un act pozitiv (de exemplu, o căsuță pe care persoana fizică trebuie să o bifeze explicit online sau o semnătură pe un formular),
6. trebuie să folosească un limbaj clar și simplu și să fie clar vizibil și
7. nu în ultimul rând, consimțământul poate fi retras, iar acest lucru trebuie menționat. 

Pentru a fi acordat în mod liber consimțământul, pacientul trebuie să aibă libertatea de a alege și trebuie să poată să refuze sau să își retragă consimțământul, fără a fi pus în dezavantaj sau fără a suporta prejudicii. Consimțământul nu este acordat în mod liber, de exemplu, dacă există un dezechilibru clar între persoana fizică și unitatea medicală (de exemplu, relația pacient-medic sau angajator-angajat) sau atunci când o societate/organizație le solicită persoanelor fizice să aprobe prelucrarea unor date cu caracter personal care nu sunt necesare ca o condiție pentru executarea unui serviciu.

Pentru ca o persoană să își dea consimțământul în cunoștință de cauză, acesteia trebuie să i se ofere în prealabil cel puțin următoarele informații (notă de informare): identitatea organizației care prelucrează datele, informații privind scopurile în care sunt prelucrate datele, informații privind tipul de date care se va prelucra, posibilitatea de retragere a consimțământului dat, dacă este cazul, informații privind faptul că datele vor fi utilizate pentru luarea de decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri. În cazul în care consimțământul se referă la un transfer internațional, persoana vizată va fi informată cu privind riscurile posibile ale transferurilor de date în țări terțe care nu fac obiectul unei decizii a Comisiei privind caracterul adecvat și nu există garanții adecvate.