2. Jekk il-kunsens tas-suġġett tad-data jingħata fil-kuntest ta’ dikjarazzjoni bil-miktub li tirrigwarda wkoll kwistjonijiet oħra, it-talba għall-kunsens għandha tiġi ppreżentata b’mod li jingħaraf b’mod ċar mill-kwistjonijiet l-oħra, f’forma intelliġibbli u li tkun faċilment aċċessibbli, bl-użu ta’ lingwaġġ ċar u sempliċi. Kwalunkwe parti minn tali dikjarazzjoni li tikkostitwixxi ksur ta’ dan ir-Regolament m’għandhiex tkun vinkolanti.
(42) Fejn l-ipproċessar ikun ibbażat fuq il-kunsens tas-suġġett tad-data, il-kontrollur għandu jkun jista' juri li s-suġġett tad-data ta l-kunsens tiegħu għall-attività tal-ipproċessar. B'mod partikolari fil-kuntest ta' dikjarazzjoni bil-miktub fuq kwistjoni oħra, is-salvagwardji għandhom jiżguraw li s-suġġett tad-data huwa konxju tal-fatt li jkun qiegħed jingħata kunsens u tal-punt sa fejn dan jingħata. F'konformità mad-Direttiva tal-Kunsill 93/13/KEE (10) għandha tiġi pprovduta dikjarazzjoni ta' kunsens ifformulata minn qabel mill-kontrollur f'forma intelliġibbli u faċilment aċċessibbli, bl-użu ta' lingwaġġ ċar u sempliċi u mingħajr termini inġusti. Biex il-kunsens ikun wieħed informat, is-suġġett tad-data għandu jkun konxju mill-inqas tal-identità tal-kontrollur u l-finijiet tal-ipproċessar li għalihom tkun intenzjonata d-data personali. Il-kunsens ma għandux jitqies li ngħata liberament jekk is-suġġett tad-data ma jkollux għażla ġenwina jew libera jew ma jkunx jista' jiċħad jew jirtira l-kunsens mingħajr ħsara.
(10) Direttiva tal-Kunsill 93/13/KEE tal-5 ta' April 1993 dwar klawżoli inġusti f'kuntratti mal-konsumatur (ĠU L 95, 21.4.1993, p. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC
3. Is-suġġett tad-data għandu d-dritt li jirtira l-kunsens tiegħu fi kwalunkwe ħin. L-irtirar tal-kunsens ma għandux jaffettwa l-legalità tal-ipproċessar ibbażat fuq kunsens qabel ma dan jiġi rtirat. Qabel ma jagħti l-kunsens, is-suġġett tad-data għandu jiġi informat b’dan. Għandu jkun faċli li jiġi rtirat kunsens daqs kemm li dan jingħata.
4. Meta jiġi vvalutat jekk il-kunsens ikunx ingħata b’mod liberu, għandu jittieħed kont sħiħ tal-fatt jekk, inter alia, l-eżekuzzjoni ta’ kuntratt, inkluż il-provvista ta’ servizz, tkunx kondizzjonata fuq il-kunsens għall-ipproċessar ta’ data personali li ma jkunx meħtieġ għall-eżekuzzjoni ta’ dak il-kuntratt.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraph to article 7(4) GDPR:
8.2.3 Marketing and advertising use
Control
The organization should not use PII processed under a contract for the purposes of marketing and advertising without establishing that prior consent was obtained from the appropriate PII principal.
(EN) […]
(EN) Sign in
to read the full text
(43) Sabiex jiġi żgurat l-għoti ta' kunsens b'mod liberu, il-kunsens ma għandux jipprovdi raġuni legali valida għall-ipproċessar ta' data personali f'każ speċifiku fejn ikun hemm żbilanċ ċar bejn is-suġġett tad-data u l-kontrollur, b'mod partikolari fejn il-kontrollur huwa awtorità pubblika u għalhekk ikun improbabbli li l-kunsens ingħata liberament fiċ-ċirkostanzi kollha ta' dik is-sitwazzjoni speċifika. Il-kunsens huwa preżunt li mhux mogħti b'mod liberu jekk ma jippermettix li jingħata kunsens separat għal operazzjonijiet ta' pproċessar ta' data personali differenti minkejja li jkun xieraq fil-każ partikolari, jew jekk it-twettiq ta' kuntratt, inkluż il-provvediment ta' servizz, ikun jiddependi mill-kunsens minkejja li tali kunsens ma jkunx meħtieġ għal tali twettiq.
(32) Il-kunsens għandu jingħata b'att affermattiv ċar li jistabbilixxi indikazzjoni mogħtija liberament, speċifika, infurmata u mhux ambigwa tal-qbil tas-suġġett tad-data li huwa jaqbel li tiġi pproċessata data personali b'rabta miegħu, pereżempju b'dikjarazzjoni bil-miktub, inkluż b'mod elettroniku, jew bil-fomm. Dan jista' jinkludi l-immarkar ta' kaxxa meta jżur sit elettroniku tal-internet, l-għażla ta' settings tekniċi għas-servizzi tas-soċjetà tal-informazzjoni jew xi dikjarazzjoni jew imġiba oħra li f'dan il-kuntest jindikaw b'mod ċar l-aċċettazzjoni tas-suġġett tad-data tal-ipproċessar propost tad-data personali tiegħu. Is-silenzju, kaxxi mmarkati minn qabel jew in-nuqqas ta' attività għaldaqstant ma għandhomx jitqiesu bħala kunsens. Il-kunsens għandu jkopri l-attivitajiet tal-ipproċessar kollha li jsiru għall-istess fini jew finijiet. Meta l-ipproċessar ikollu diversi finijiet, għandu jingħata kunsens għalihom kollha. Jekk il-kunsens tas-suġġett tad-data jkollu jingħata wara talba b'mod elettroniku, it-talba għandha tkun ċara, konċiża u li ma toħloqx tfixkil bla bżonn għall-użu tas-servizz li tkun qed tiġi pprovduta għalih.
(EN) A controller relying on consent as a legal basis to collect, store or use data should respect the basic principles stated in article 4 (11), which provides a legal definition of the notion, and always make sure that it meets the additional conditions listed in article 7. A person must supply a “freely given” consent, distinct from other related matters, and s/he should be offered a “genuine choice” between accepting or refusing to provide it without having to suffer any negative consequences (Guidelines on Consent and recital 42). It is also essential to offer a person full control over her/his consent, including the possibility to withdraw it at any time, and to keep adequate records of consents.
(EN) […]
(EN) Sign in
to read the full text
(EN)
Concern: Withdrawal of consent to process my personal data
Dear Madam, Dear Sir,
You are currently processing my personal data based on my consent…
(EN) […]
(EN) Sign in
to read the full text
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to articles 7(1) and 7(2) GDPR:
7.2.4 Obtain and record consent
Control
The organization should obtain and record consent from PII principals according to the documented processes.
Implementation guidance
The organization should obtain and record consent from PII principals in such a way that it can provide on request details of the consent provided (for example the time that consent was provided, the identification of the PII principal, and the consent statement).
(EN) […]
(EN) Sign in
to read the full text
(32) Il-kunsens għandu jingħata b'att affermattiv ċar li jistabbilixxi indikazzjoni mogħtija liberament, speċifika, infurmata u mhux ambigwa tal-qbil tas-suġġett tad-data li huwa jaqbel li tiġi pproċessata data personali b'rabta miegħu, pereżempju b'dikjarazzjoni bil-miktub, inkluż b'mod elettroniku, jew bil-fomm. Dan jista' jinkludi l-immarkar ta' kaxxa meta jżur sit elettroniku tal-internet, l-għażla ta' settings tekniċi għas-servizzi tas-soċjetà tal-informazzjoni jew xi dikjarazzjoni jew imġiba oħra li f'dan il-kuntest jindikaw b'mod ċar l-aċċettazzjoni tas-suġġett tad-data tal-ipproċessar propost tad-data personali tiegħu. Is-silenzju, kaxxi mmarkati minn qabel jew in-nuqqas ta' attività għaldaqstant ma għandhomx jitqiesu bħala kunsens. Il-kunsens għandu jkopri l-attivitajiet tal-ipproċessar kollha li jsiru għall-istess fini jew finijiet. Meta l-ipproċessar ikollu diversi finijiet, għandu jingħata kunsens għalihom kollha. Jekk il-kunsens tas-suġġett tad-data jkollu jingħata wara talba b'mod elettroniku, it-talba għandha tkun ċara, konċiża u li ma toħloqx tfixkil bla bżonn għall-użu tas-servizz li tkun qed tiġi pprovduta għalih.
(33) Ħafna drabi ma jkunx possibbli li jiġi identifikat kompletament l-iskop tal-ipproċessar ta' data personali għal finijiet ta' riċerka xjentifika fil-ħin tal-ġbir tad-data. Għalhekk is-suġġetti tad-data għandhom jitħallew jagħtu l-kunsens tagħhom għal ċerti oqsma ta' riċerka xjentifika meta dan ikun konformi ma' standards etiċi rikonoxxuti għar-riċerka xjentifika. Is-suġġetti tad-data għandu jkollhom l-opportunità li jagħtu l-kunsens tagħhom biss għal ċerti oqsma tar-riċerka jew partijiet ta' proġetti tar-riċerka sa fejn ikun permessibbli mill-fini intenzjonat.
(42) Fejn l-ipproċessar ikun ibbażat fuq il-kunsens tas-suġġett tad-data, il-kontrollur għandu jkun jista' juri li s-suġġett tad-data ta l-kunsens tiegħu għall-attività tal-ipproċessar. B'mod partikolari fil-kuntest ta' dikjarazzjoni bil-miktub fuq kwistjoni oħra, is-salvagwardji għandhom jiżguraw li s-suġġett tad-data huwa konxju tal-fatt li jkun qiegħed jingħata kunsens u tal-punt sa fejn dan jingħata. F'konformità mad-Direttiva tal-Kunsill 93/13/KEE (10) għandha tiġi pprovduta dikjarazzjoni ta' kunsens ifformulata minn qabel mill-kontrollur f'forma intelliġibbli u faċilment aċċessibbli, bl-użu ta' lingwaġġ ċar u sempliċi u mingħajr termini inġusti. Biex il-kunsens ikun wieħed informat, is-suġġett tad-data għandu jkun konxju mill-inqas tal-identità tal-kontrollur u l-finijiet tal-ipproċessar li għalihom tkun intenzjonata d-data personali. Il-kunsens ma għandux jitqies li ngħata liberament jekk is-suġġett tad-data ma jkollux għażla ġenwina jew libera jew ma jkunx jista' jiċħad jew jirtira l-kunsens mingħajr ħsara.
(10) Direttiva tal-Kunsill 93/13/KEE tal-5 ta' April 1993 dwar klawżoli inġusti f'kuntratti mal-konsumatur (ĠU L 95, 21.4.1993, p. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC
(43) Sabiex jiġi żgurat l-għoti ta' kunsens b'mod liberu, il-kunsens ma għandux jipprovdi raġuni legali valida għall-ipproċessar ta' data personali f'każ speċifiku fejn ikun hemm żbilanċ ċar bejn is-suġġett tad-data u l-kontrollur, b'mod partikolari fejn il-kontrollur huwa awtorità pubblika u għalhekk ikun improbabbli li l-kunsens ingħata liberament fiċ-ċirkostanzi kollha ta' dik is-sitwazzjoni speċifika. Il-kunsens huwa preżunt li mhux mogħti b'mod liberu jekk ma jippermettix li jingħata kunsens separat għal operazzjonijiet ta' pproċessar ta' data personali differenti minkejja li jkun xieraq fil-każ partikolari, jew jekk it-twettiq ta' kuntratt, inkluż il-provvediment ta' servizz, ikun jiddependi mill-kunsens minkejja li tali kunsens ma jkunx meħtieġ għal tali twettiq.
(EN)
Article 29 Working Party, Opinion 4/2012 on Cookie Consent Exemption (2012).
Article 29 Working Party, Working Document 2/2013 Providing Guidance on Obtaining Consent for Cookies (2013).
EDPB, Guidelines 5/2020 on Consent under Regulation 2016/679 (2020).
CNIL, Guidelines on Cookies and Tracking Devices (in French) (2019).
European Commission, Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection Brussels (2020).
CJEU, Judgment in Planet 49 Gmbh, Case C-673/17 (2019).
Belgian DPA Fines Belgian Telecommunications Provider for Several Data Protection Infringements, (2020). Brief description in English.
CJEU, Data Protection Commissioner/Facebook Ireland Ltd and Schrems, C-311/18 (2020).
CNIL, Cookies : sanction de 35 millions d’euros à l’encontre d’AMAZON EUROPE CORE and sanction de 60 millions d’euros à l’encontre de GOOGLE LLC et de 40 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED (2020).
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 7(3) GDPR:
7.3.4 Providing mechanism to modify or withdraw consent
Control
The organization should provide a mechanism for PII principals to modify or withdraw their consent.
Implementation guidance
The organization should inform PII principals of their rights related to withdrawing consent (which may vary by jurisdiction) at any time, and provide the mechanism to do so.
(EN) […]
(EN) Sign in
to read the full text