Статья 7 📖 GDPR. Условия согласия

Статья 7 GDPR. Условия согласия

Article 7 GDPR. Conditions for consent

1. Если обработка производится на основании согласия, контролёр должен быть в состоянии продемонстрировать, что субъект данных дал согласие на обработку своих персональных данных.

1. Where processing is based on consent, the controller shall be able to demonstrate that the data subject has consented to processing of his or her personal data.

Связанные статьи

Руководство по согласию в соответствии с Регламентом 2016/679

Guidelines on consent under Regulation 2016/679

Демонстрация согласия

Demonstrate consent

107. Контролер должен доказать, что действительное согласие было получено от субъекта данных. GDPR не указывает, как именно это должно быть сделано. Тем не менее, контроллер должен быть в состоянии доказать, что субъект данных в определенном случае дал свое согласие. До тех пор, пока рассматриваемая деятельность по обработке данных длится, существует обязанность продемонстрировать согласие. После того, как обработка заканчивается, доказательство о наличии согласия больше не должно быть строго необходимо для соблюдения юридического обязательства или для установления, осуществления или защиты законных претензий, в соответствии со статьей 17 (3b) и (3e).

107. It is up to the controller to prove that valid consent was obtained from the data subject. The GDPR does not prescribe exactly how this must be done. However, the controller must be able to prove that a data subject in a given case has consented. As long as a data processing activity in question lasts, the obligation to demonstrate consent exists. After the processing activity ends, proof of consent should be kept no longer then strictly necessary for compliance with a legal obligation or for the establishment, exercise or defence of legal claims, in accordance with Article 17(3)(b) and (e).

2. Если согласие субъекта данных дается в письменной декларации, которая также касается и других вопросов, запрос согласия должен быть представлен ему таким образом, чтобы запрос четко отличался от других вопросов, был в понятной и доступной форме, использовал ясный и простой язык. Любая часть такой декларации, которая представляет собой нарушение настоящего Регламента, не является обязательной.

2. If the data subject’s consent is given in the context of a written declaration which also concerns other matters, the request for consent shall be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language. Any part of such a declaration which constitutes an infringement of this Regulation shall not be binding.

Преамбулы Связанные статьи

Преамбулы

(42) Если обработка осуществляется на основании согласия субъекта данных, контролёр должен быть в состоянии продемонстрировать, что субъект данных дал согласие на операцию по обработке. В частности, в случае письменного заявления, представленного по другому вопросу, должны быть гарантии, что субъект данных осознает даваемое согласие и его объем. В соответствии с директивой Совета 93/13 / EEC [10] заявление о согласии, которое подготовил контролёр, должно предоставляться в понятной и легко доступной форме, использовать четкий и простой язык, не должно содержать несправедливые условия. Информированным согласие является когда субъект данных осведомлен, по крайней мере, о наименовании (имени) контролёра и целях обработки, для которых предназначаются персональные данные. Согласие не должно рассматриваться как данное свободно, если субъект данных не имеет подлинного или свободного выбора, либо не может отказаться или отозвать свое согласие без негативных последствий.

(42) Where processing is based on the data subject's consent, the controller should be able to demonstrate that the data subject has given consent to the processing operation. In particular in the context of a written declaration on another matter, safeguards should ensure that the data subject is aware of the fact that and the extent to which consent is given. In accordance with Council Directive 93/13/EEC [10] a declaration of consent pre-formulated by the controller should be provided in an intelligible and easily accessible form, using clear and plain language and it should not contain unfair terms. For consent to be informed, the data subject should be aware at least of the identity of the controller and the purposes of the processing for which the personal data are intended. Consent should not be regarded as freely given if the data subject has no genuine or free choice or is unable to refuse or withdraw consent without detriment.

_{[10] Директива 93/13/ЕЭС Совета ЕС от 5 апреля 1993 г. о несправедливых условиях в договорах с потребителями (Официальный журнал Европейского союза N L 95, 21.04.1993, стр. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC}

_{[10] Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts (OJ L 95, 21.4.1993, p. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC}

Связанные статьи

Руководство о прозрачности в соответствии с Регламентом 2016/679 Рабочей группы 29-й статьи

Article 29 Working Party Guidelines on transparency under Regulation 2016/679

«Легкодоступный» элемент означает, что субъект данных не должен искать информацию; им должно быть сразу понятно, где и как можно получить доступ к этой информации, например, предоставляя ее непосредственно им, связывая их с ней, четко обозначая ее или как ответ на вопрос на родном языке (например, в расположенной онлайн многоуровневой политике приватности, в часто задаваемых вопросах, посредством контекстных всплывающих окон, которые активируются, когда субъект данных заполняет онлайн-форму, или в интерактивном цифровом контексте через интерфейс чат-бота и т. д. Эти механизмы более подробно рассматриваются ниже, в том числе при пункты с 33 по 40).

The “easily accessible” element means that the data subject should not have to seek out the information; it should be immediately apparent to them where and how this information can be accessed, for example by providing it directly to them, by linking them to it, by clearly signposting it or as an answer to a natural language question (for example in an online layered privacy statement/ notice, in FAQs, by way of contextual pop-ups which activate when a data subject fills in an online form, or in an interactive digital context through a chatbot interface, etc. These mechanisms are further considered below, including at paragraphs 33 to 40).

“Ясный и простой язык”

“Clear and plain language”

При наличии письменной информации (а также в тех случаях, когда письменная информация предоставляется в устной форме или аудио-/визуальными методами, в том числе для лиц с нарушениями зрения) следует придерживаться рекомендуемой практики ясной манеры письма. Аналогичное языковое требование (“простого, понятного языка”) ранее использовалось законодателем ЕС, а также прямо упоминается в контексте согласия в Преамбуле 42 GDPR. Требование ясного и простого языка означает, что информация должна быть изложена в как можно более простой манере, избегая сложных фраз и языковых структур. Информация должна быть конкретной и окончательной; она не должен быть сформулирована абстрактно или двусмысленно или оставлять возможность различных толкований. В частности, должны быть ясны цели и правовое основание обработки персональных данных.

With written information (and where written information is delivered orally, or by audio/ audiovisual methods, including for vision-impaired data subjects), best practices for clear writing should be followed.11 A similar language requirement (for “plain, intelligible language”) has previously been used by the EU legislator12 and is also explicitly referred to in the context of consent in Recital 42 of the GDPR13. The requirement for clear and plain language means that information should be provided in as simple a manner as possible, avoiding complex sentence and language structures. The information should be concrete and definitive; it should not be phrased in abstract or ambivalent terms or leave room for different interpretations. In particular the purposes of, and legal basis for, processing the personal data should be clear.

Руководство по согласию в соответствии с Регламентом 2016/679

Guidelines on consent under Regulation 2016/679

Как предоставлять информацию

How to provide information

66. GDPR не предусматривает форму, в которой должна предоставляться информация для выполнения требования информированного согласия. Это означает, что действительная информация может быть представлена различными способами, такими как письменные или устные заявления, аудио- или видеосообщения. Однако GDPR устанавливает несколько требований к информированному согласию, в особенности в статье 7 (2) и преамбуле 32. Данные положения предписывают высокие стандарты на предмет того, что информация должна быть четкой и ясной.

66. The GDPR does not prescribe the form or shape in which information must be provided in order to fulfil the requirement of informed consent. This means valid information may be presented in various ways, such as written or oral statements, or audio or video messages. However, the GDPR puts several requirements for informed consent in place, predominantly in Article 7(2) and Recital 32. This leads to a higher standard for the clarity and accessibility of the information.

67. При получении согласия контролеры должны убедиться, что они используют понятный и ясный язык во всех случаях. Это означает, что не только юристы, но и обычный человек должен легко понять суть согласия. Контролеры не могут использовать длинные и неразборчивые политики приватности или заявления, которые наполнены огромным количеством юридической лексики. Согласие должно быть четким, оно должно легко отличаться от других вопросов и предоставляться в доступной и понятной форме. По факту, это требование означает, что информация, которая касается осознанного выбора: соглашаться или нет, не должна быть “спрятана” в общих положениях и условиях.[36]

67. When seeking consent, controllers should ensure that they use clear and plain language in all cases. This means a message should be easily understandable for the average person and not only for lawyers. Controllers cannot use long privacy policies that are difficult to understand or statements full of legal jargon. Consent must be clear and distinguishable from other matters and provided in an intelligible and easily accessible form. This requirement essentially means that information relevant for making informed decisions on whether or not to consent may not be hidden in general terms and conditions.[36]

_{[36] Заявление о согласии так и должно называться. Такие формулировки как, например, «Я знаю, что …», не отвечает требованию ясного языка.}

_{[36] The declaration of consent must be named as such. Drafting, such as “I know that…” does not meet the requirement of clear language.}

3. Субъект данных имеет право в любое время отозвать свое согласие. Отзыв согласия не влияет на законность обработки, которая была основана на согласии до его отзыва. Субъект данных должен быть проинформирован об этом перед тем, как он выразил согласие. Отзыв согласия должен быть столь же прост, как и его выражение.

3. The data subject shall have the right to withdraw his or her consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. Prior to giving consent, the data subject shall be informed thereof. It shall be as easy to withdraw as to give consent.

ISO 27701 Связанные статьи

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 7(3) GDPR:

7.3.4 Предоставление механизма для изменения или отзыва согласия

Средство управления

Организация должна предоставить механизм для субъектов ПИИ для изменения или отзыва своего согласия.

Руководство по внедрению

Организация должна в любое время проинформировать субъектов ПИИ об их правах, связанных с отзывом согласия (которое может варьироваться в зависимости от юрисдикции), и предоставить механизм для этого.

…

Войти
для доступа к полному тексту

Связанные статьи

Руководство по 25 статье GDPR (Защита персональных данных: проектируемая и по умолчанию) в соответствии с Регламентом 2016/679

Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0.

3.2 Законность

3.2 Lawfulness

67. Контролер должен определить действительное правовое основание для обработки персональных данных. Меры и гарантии должны подкреплять требование соответствия цикла хранения и обработки данных (processing lifecycle) надлежащему правовому основанию обработки.

67. The controller must identify a valid legal basis for the processing of personal data. Measures and safeguards should support the requirement to make sure that the whole processing lifecycle is in line with the relevant legal grounds of processing.

Руководство по согласию в соответствии с Регламентом 2016/679

Guidelines on consent under Regulation 2016/679

Отзыв согласия

Withdrawal of consent

113.Cтатья 7 (3) GDPR предусматривает, что контролер должен обеспечить возможность для субъекта данных отозвать свое согласие так же просто, как и дать его в любой момент времени. При этом в GDPR не говорится, что предоставление и отзыв согласия всегда должны осуществляться одним и тем же действием.

113. Article 7(3) of the GDPR prescribes that the controller must ensure that consent can be withdrawn by the data subject as easy as giving consent and at any given time. The GDPR does not say that giving and withdrawing consent must always be done through the same action.

114. Однако, когда согласие получено с помощью электронных средств всего лишь одним щелчком мыши, свайпом или нажатием клавиши, субъекты данных должны на практике иметь возможность отозвать это согласие также легко. В тех случаях, когда согласие получается посредством использования интерфейса пользователя (например, через веб-сайт, приложение, учетную запись для входа в систему, интерфейс устройства IoT или по электронной почте), субъект данных, несомненно должен иметь возможность отозвать согласие через тот же электронный интерфейс, поскольку переключение на другой интерфейс по единственной причине — отзыва согласия — потребует чрезмерных усилий. Кроме того, субъект данных должен иметь возможность отозвать свое согласие без ущерба. Это означает, в частности, что контроллер должен сделать для субъекта данных отзыв согласия бесплатным или без снижения уровня обслуживания.[51]

114. However, when consent is obtained via electronic means through only one mouse-click, swipe, or keystroke, data subjects must, in practice, be able to withdraw that consent equally as easily. Where consent is obtained through use of a service-specific user interface (for example, via a website, an app, a log-on account, the interface of an IoT device or by e-mail), there is no doubt a data subject must be able to withdraw consent via the same electronic interface, as switching to another interface for the sole reason of withdrawing consent would require undue effort. Furthermore, the data subject should be able to withdraw his/her consent without detriment. This means, inter alia, that a controller must make withdrawal of consent possible free of charge or without lowering service levels.[51]

_{[51] См. также Мнение РГ29 4/2010 о Европейском кодексе поведения FEDMA для использования персональных данных в прямом маркетинге (РГ 174) и Mнение об использовании данных о местонахождении с целью предоставления дополнительных услуг (РГ 115 )}

_{[51] See also opinion WP29 Opinion 4/2010 on the European code of conduct of FEDMA for the use of personal data in direct marketing (WP 174) and the Opinion on the use of location data with a view to providing value-added services (WP 115).}

4. При оценке, выражено ли согласие добровольно, наибольшее внимание следует уделить, помимо всего прочего, тому, не обуславливается ли выполнение договора (в том числе исполнение услуги) дачей согласия на обработку персональных данных, которые не нужны для выполнения договора.

4. When assessing whether consent is freely given, utmost account shall be taken of whether, inter alia, the performance of a contract, including the provision of a service, is conditional on consent to the processing of personal data that is not necessary for the performance of that contract.

ISO 27701 Преамбулы Связанные статьи

ISO 27701

Приводим соответствующий параграф к статье 7(4) GDPR:

8.2.3 Использование в целях маркетинга и рекламы

Средство управления

Организация не должна использовать ПИИ, обработанную по контракту, для целей маркетинга и рекламы без подтверждения того, что предварительное согласие было получено от соответствующего принципала ПИИ.

…

Войти
для доступа к полному тексту

Преамбулы

(43) Для обеспечения добровольности согласия, оно не должно предоставлять допустимое правовое основание для обработки персональных данных в отдельных случаях, когда имеет место явное неравенство между субъектом данных и контролёром, особенно когда контролёр является публичным органом власти и поэтому низка вероятность того, что во всех условиях данного отдельного случая согласие дано свободно. Предполагается, что согласие не является свободным, если невозможно дать отдельного согласия на разные операции по обработке персональных данных, несмотря на то, что оно в данном случае было бы уместным, или если исполнение договора, в том числе предоставление услуги, ставится в зависимость от дачи согласия, несмотря на то, что для его исполнения согласие не является необходимым.

(43) In order to ensure that consent is freely given, consent should not provide a valid legal ground for the processing of personal data in a specific case where there is a clear imbalance between the data subject and the controller, in particular where the controller is a public authority and it is therefore unlikely that consent was freely given in all the circumstances of that specific situation. Consent is presumed not to be freely given if it does not allow separate consent to be given to different personal data processing operations despite it being appropriate in the individual case, or if the performance of a contract, including the provision of a service, is dependent on the consent despite such consent not being necessary for such performance.

(32) Согласие на обработку персональных данных субъекта данных должно выражаться четким утвердительным действием, устанавливающим добровольное, конкретное, обоснованное и однозначное волеизъявление, например, письменным (в том числе, в электронной форме) либо устным заявлением. Таким согласием можно считать также проставление галочки при посещении сайта в интернете, выбор технических настроек услуг информационного общества, либо иные действия, которые явно указывают на то, что в данном контексте субъект данных согласен на предполагаемую обработку ее/его персональных данных. При этом, молчание, ранее проставленная галочка при посещении сайта или бездействие не должны рассматриваться как согласие. Согласие должно охватывать все способы обработки персональных данных, осуществляемые для достижения одной и той же цели. В случае, если обработка персональных данных имеет несколько целей, необходимо получить согласие для каждой из них. Если согласие субъекта данных даётся по запросу с помощью электронных средств, этот запрос должен быть ясным, чётким и не препятствующим использованию сервиса его запрашивающего.

(32) Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject's agreement to the processing of personal data relating to him or her, such as by a written statement, including by electronic means, or an oral statement. This could include ticking a box when visiting an internet website, choosing technical settings for information society services or another statement or conduct which clearly indicates in this context the data subject's acceptance of the proposed processing of his or her personal data. Silence, pre-ticked boxes or inactivity should not therefore constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. When the processing has multiple purposes, consent should be given for all of them. If the data subject's consent is to be given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.

Связанные статьи

Руководство по согласию в соответствии с Регламентом 2016/679

Guidelines on consent under Regulation 2016/679

Обусловленность

Conditionality

25. Для того чтобы оценить, свободно ли дается согласие, важную роль играет статья 7(4) GDPR.[21]

25. To assess whether consent is freely given, Article 7(4) GDPR plays an important role.[21]

_{[21] Статья 7(4) GDPR: “При оценке, выражено ли согласие добровольно, наибольшее внимание следует уделить, помимо всего прочего, тому, не обуславливается ли выполнение договора (в том числе исполнение услуги) дачей согласия на обработку персональных данных, которые не нужны для выполнения договора.” См. также преамбула 43 GDPR, которая гласит: “Согласие не считается данным свободно, когда нет возможности установить, что оно было дано на конкретную операцию по обработке персональных данных, даже если оно подходит для отдельного случая, или если исполнение договора, включая предоставление услуг, зависит от согласия, несмотря на то, что такое согласие не является необходимым для исполнения договора.” Более подробную информацию и примеры см. во Мнении от 06/2014 о понятии легитимных интересов контролера согласно 7 статьи Директивы 95/46/ЕС, принятой Рабочей группой 29-й статьи 9 апреля 2014 года, стр. 16-17 (РГ 217).}

_{[21] Article 7(4) GDPR: “When assessing whether consent is freely given, utmost account shall be taken of whether, inter alia, the performance of a contract, including the provision of a service, is conditional on consent to the processing of personal data that is not necessary for the performance of that contract.” See also Recital 43 GDPR, that states: “[…] Consent is presumed not to be freely given if it does not allow separate consent to be given to different personal data processing operations despite it being appropriate in the individual case, or if the performance of a contract, including the provision of a service, is dependent on the consent, despite such consent not being necessary for such performance.” For more information and examples, see Opinion 06/2014 on the notion of legitimate interest of the data controller under Article 7 of Directive 95/46/EC, adopted by WP29 on 9 April 2014, p. 16-17. (WP 217).}

26. Статья 7(4) GDPR указывает, что, в частности, ситуация “связывания” согласия с принятием условий или положений, а также “привязки” выполнения договора или предоставление услуги к запросу о согласии на обработку персональных данных, которые не являются необходимыми для выполнения этого контракта или услуги, считается крайне нежелательной. Если в этой ситуации дается согласие, то предполагается, что оно не дается свободно (преамбула 43). Статья 7(4) направлена на обеспечение того, чтобы цель обработки персональных данных не скрывалась и не увязывалась с предоставлением договора об оказании услуг, для которых эти персональные данные не являются необходимыми. При этом GDPR гарантирует, что обработка персональных данных, на которую запрашивается согласие, не может прямо или косвенно стать поводом для исполнения контракта. Таким образом, существует два разных основания для законной обработки: согласие и контракт, которые, в свою очередь, не могут быть объединены либо размыты.

26. Article 7(4) GDPR indicates that, inter alia, the situation of “bundling” consent with acceptance of terms or conditions, or “tying” the provision of a contract or a service to a request for consent to process personal data that are not necessary for the performance of that contract or service, is considered highly undesirable. If consent is given in this situation, it is presumed to be not freely given (recital 43). Article 7(4) seeks to ensure that the purpose of personal data processing is not disguised nor bundled with the provision of a contract of a service for which these personal data are not necessary. In doing so, the GDPR ensures that the processing of personal data for which consent is sought cannot become directly or indirectly the counter-performance of a contract. The two lawful bases for the lawful processing of personal data, i.e. consent and contract cannot be merged and blurred.

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Комментарий эксперта ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий

Комментарий эксперта

Контролер, полагающийся на согласие в качестве правового основания для сбора, хранения или использования данных, должен соблюдать основные принципы, изложенные в статье 4(11), в которой дается юридическое определение данного понятия, и всегда следить за тем, чтобы согласие соответствовало дополнительным условиям, перечисленным в статье 7. Лицо должно предоставить добровольное согласие (freely given), отличное от других связанных с этим вопросов, и ей/ ему должен быть предложен «настоящий выбор» между принятием или отказом предоставить его без каких-либо негативных последствий (Guidelines on Consent и Преамбула 42). Также важно предоставить лицу…

…

Войти
для доступа к полному тексту

Луи-Филипп Граттон PhD, LLM

Эксперт в Privacy

Задать вопрос

(EN)

Data Subject Request Letter Sample

Concern: Withdrawal of consent to process my personal data

Dear Madam, Dear Sir,

You are currently processing my personal data based on my consent…

…

Войти
для доступа к полному тексту

Автор

Луи-Филипп Граттон PhD, LLM

Эксперт в Privacy

Задать вопрос

ISO 27701

Приводим соответствующий параграф к статьям 7(1) и 7(2) GDPR:

7.2.4 Получение и регистрация согласия

Средство управления

Организация должна получать и регистрировать согласие субъектов ПИИ согласно задокументированным процессам.

Руководство по внедрению

Организация должна получить и зарегистрировать согласие субъекта ПИИ таким образом, чтобы по запросу она могла предоставить подробности предоставленного согласия (например, время, когда оно было предоставлено, личность субъекта ПИИ и заявление о согласии).

…

Войти
для доступа к полному тексту

Преамбулы

(33) Зачастую невозможно в полной мере определить цель обработки персональных данных, предназначенных для научных исследований в момент сбора данных. Поэтому субъектам данных должна предоставляться возможность дать своё согласие для отдельных сфер научных исследований, исходя из соответствия их целей признанным этическим стандартам научных исследований. Субъекты данных должны иметь возможность давать своё согласие только в отношении отдельных сфер исследований или части научно-исследовательских проектов в соответствии с поставленной целью.

(33) It is often not possible to fully identify the purpose of personal data processing for scientific research purposes at the time of data collection. Therefore, data subjects should be allowed to give their consent to certain areas of scientific research when in keeping with recognised ethical standards for scientific research. Data subjects should have the opportunity to give their consent only to certain areas of research or parts of research projects to the extent allowed by the intended purpose.

_{[10] Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts (OJ L 95, 21.4.1993, p. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC}