Руководство по согласию в соответствии с Регламентом 2016/679

Демонстрация согласия

107. Контролер должен доказать, что действительное согласие было получено от субъекта данных. GDPR не указывает, как именно это должно быть сделано. Тем не менее, контроллер должен быть в состоянии доказать, что субъект данных в определенном случае дал свое согласие. До тех пор, пока рассматриваемая деятельность по обработке данных длится, существует обязанность продемонстрировать согласие. После того, как обработка заканчивается, доказательство о наличии согласия больше не должно быть строго необходимо для соблюдения юридического обязательства или для установления, осуществления или защиты законных претензий, в соответствии со статьей 17 (3b) и (3e).

Руководство о прозрачности в соответствии с Регламентом 2016/679 Рабочей группы 29-й статьи

«Легкодоступный» элемент означает, что субъект данных не должен искать информацию; им должно быть сразу понятно, где и как можно получить доступ к этой информации, например, предоставляя ее непосредственно им, связывая их с ней, четко обозначая ее или как ответ на вопрос на родном языке (например, в расположенной онлайн многоуровневой политике приватности, в часто задаваемых вопросах, посредством контекстных всплывающих окон, которые активируются, когда субъект данных заполняет онлайн-форму, или в интерактивном цифровом контексте через интерфейс чат-бота и т. д. Эти механизмы более подробно рассматриваются ниже, в том числе при пункты с 33 по 40).

“Ясный и простой язык”

При наличии письменной информации (а также в тех случаях, когда письменная информация предоставляется в устной форме или аудио-/визуальными методами, в том числе для лиц с нарушениями зрения) следует придерживаться рекомендуемой практики ясной манеры письма. Аналогичное языковое требование (“простого, понятного языка”) ранее использовалось законодателем ЕС, а также прямо упоминается в контексте согласия в Преамбуле 42 GDPR. Требование ясного и простого языка означает, что информация должна быть изложена в как можно более простой манере, избегая сложных фраз и языковых структур. Информация должна быть конкретной и окончательной; она не должен быть сформулирована абстрактно или двусмысленно или оставлять возможность различных толкований. В частности, должны быть ясны цели и правовое основание обработки персональных данных.

Руководство по согласию в соответствии с Регламентом 2016/679

Как предоставлять информацию

66. GDPR не предусматривает форму, в которой должна предоставляться информация для выполнения требования информированного согласия. Это означает, что действительная информация может быть представлена различными способами, такими как письменные или устные заявления, аудио- или видеосообщения. Однако GDPR устанавливает несколько требований к информированному согласию, в особенности в статье 7 (2) и преамбуле 32. Данные положения предписывают высокие стандарты на предмет того, что информация должна быть четкой и ясной.

67. При получении согласия контролеры должны убедиться, что они используют понятный и ясный язык во всех случаях. Это означает, что не только юристы, но и обычный человек должен легко понять суть согласия. Контролеры не могут использовать длинные и неразборчивые политики приватности или заявления, которые наполнены огромным количеством юридической лексики. Согласие должно быть четким, оно должно легко отличаться от других вопросов и предоставляться в доступной и понятной форме. По факту, это требование означает, что информация, которая касается осознанного выбора: соглашаться или нет, не должна быть “спрятана” в общих положениях и условиях.[36]

_{[36] Заявление о согласии так и должно называться. Такие формулировки как, например, «Я знаю, что …», не отвечает требованию ясного языка.}

Руководство по 25 статье GDPR (Защита персональных данных: проектируемая и по умолчанию) в соответствии с Регламентом 2016/679

3.2 Законность

67. Контролер должен определить действительное правовое основание для обработки персональных данных. Меры и гарантии должны подкреплять требование соответствия цикла хранения и обработки данных (processing lifecycle) надлежащему правовому основанию обработки.

Руководство по согласию в соответствии с Регламентом 2016/679

Отзыв согласия

113.Cтатья 7 (3) GDPR предусматривает, что контролер должен обеспечить возможность для субъекта данных отозвать свое согласие так же просто, как и дать его в любой момент времени. При этом в GDPR не говорится, что предоставление и отзыв согласия всегда должны осуществляться одним и тем же действием.

114. Однако, когда согласие получено с помощью электронных средств всего лишь одним щелчком мыши, свайпом или нажатием клавиши, субъекты данных должны на практике иметь возможность отозвать это согласие также легко. В тех случаях, когда согласие получается посредством использования интерфейса пользователя (например, через веб-сайт, приложение, учетную запись для входа в систему, интерфейс устройства IoT или по электронной почте), субъект данных, несомненно должен иметь возможность отозвать согласие через тот же электронный интерфейс, поскольку переключение на другой интерфейс по единственной причине – отзыва согласия – потребует чрезмерных усилий. Кроме того, субъект данных должен иметь возможность отозвать свое согласие без ущерба. Это означает, в частности, что контроллер должен сделать для субъекта данных отзыв согласия бесплатным или без снижения уровня обслуживания.[51]

_{[51] См. также Мнение РГ29 4/2010 о Европейском кодексе поведения FEDMA для использования персональных данных в прямом маркетинге (РГ 174) и Mнение об использовании данных о местонахождении с целью предоставления дополнительных услуг (РГ 115 )}

Руководство по согласию в соответствии с Регламентом 2016/679

Обусловленность

25. Для того чтобы оценить, свободно ли дается согласие, важную роль играет статья 7(4) GDPR.[21]

_{[21] Статья 7(4) GDPR: “При оценке, выражено ли согласие добровольно, наибольшее внимание следует уделить, помимо всего прочего, тому, не обуславливается ли выполнение договора (в том числе исполнение услуги) дачей согласия на обработку персональных данных, которые не нужны для выполнения договора.” См. также преамбула 43 GDPR, которая гласит: “Согласие не считается данным свободно, когда нет возможности установить, что оно было дано на конкретную операцию по обработке персональных данных, даже если оно подходит для отдельного случая, или если исполнение договора, включая предоставление услуг, зависит от согласия, несмотря на то, что такое согласие не является необходимым для исполнения договора.” Более подробную информацию и примеры см. во Мнении от 06/2014 о понятии легитимных интересов контролера согласно 7 статьи Директивы 95/46/ЕС, принятой Рабочей группой 29-й статьи 9 апреля 2014 года, стр. 16-17 (РГ 217).}

26. Статья 7(4) GDPR указывает, что, в частности, ситуация “связывания” согласия с принятием условий или положений, а также “привязки” выполнения договора или предоставление услуги к запросу о согласии на обработку персональных данных, которые не являются необходимыми для выполнения этого контракта или услуги, считается крайне нежелательной. Если в этой ситуации дается согласие, то предполагается, что оно не дается свободно (преамбула 43). Статья 7(4) направлена на обеспечение того, чтобы цель обработки персональных данных не скрывалась и не увязывалась с предоставлением договора об оказании услуг, для которых эти персональные данные не являются необходимыми. При этом GDPR гарантирует, что обработка персональных данных, на которую запрашивается согласие, не может прямо или косвенно стать поводом для исполнения контракта. Таким образом, существует два разных основания для законной обработки: согласие и контракт, которые, в свою очередь, не могут быть объединены либо размыты.