Главная > Статья 7. Условия согласия
Скачать в PDF

Статья 7 GDPR. Условия согласия

Article 7 GDPR. Conditions for consent

1. Если обработка производится на основе согласия, контролёр должен быть в состоянии продемонстрировать, что субъект данных дал согласие на обработку своих персональных данных.

1. Where processing is based on consent, the controller shall be able to demonstrate that the data subject has consented to processing of his or her personal data.

2. Если согласие субъекта данных дается в письменной декларации, которая также касается и других вопросов, запрос согласия должен быть представлен ему таким образом, чтобы запрос четко отличался от других вопросов, был в понятной и доступной форме, использовал ясный и простой язык. Любая часть такой декларации, которая представляет собой нарушение настоящего Регламента, не является обязательной.

2. If the data subject’s consent is given in the context of a written declaration which also concerns other matters, the request for consent shall be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language. Any part of such a declaration which constitutes an infringement of this Regulation shall not be binding.

Преамбулы

(42) Если обработка осуществляется на основании согласия субъекта данных, контролёр должен быть в состоянии продемонстрировать, что субъект данных дал согласие на операцию по обработке. В частности, в случае письменного заявления, представленного по другому вопросу, должны быть гарантии, что субъект данных осознает даваемое согласие и его объем. В соответствии с директивой Совета 93/13 / EEC [10] заявление о согласии, которое подготовил контролёр, должно предоставляться в понятной и легко доступной форме, использовать четкий и простой язык, не должно содержать несправедливые условия. Информированным согласие является когда субъект данных осведомлен, по крайней мере, о наименовании контролёра и целях обработки, для которых предназначаются персональные данные. Согласие не должно рассматриваться как данное свободно, если субъект данных не имеет подлинного или свободного выбора, либо не может отказаться или отозвать свое согласие без негативных последствий.

(42) Where processing is based on the data subject's consent, the controller should be able to demonstrate that the data subject has given consent to the processing operation. In particular in the context of a written declaration on another matter, safeguards should ensure that the data subject is aware of the fact that and the extent to which consent is given. In accordance with Council Directive 93/13/EEC [10] a declaration of consent pre-formulated by the controller should be provided in an intelligible and easily accessible form, using clear and plain language and it should not contain unfair terms. For consent to be informed, the data subject should be aware at least of the identity of the controller and the purposes of the processing for which the personal data are intended. Consent should not be regarded as freely given if the data subject has no genuine or free choice or is unable to refuse or withdraw consent without detriment.

[10] Директива 93/13/ЕЭС Совета ЕС от 5 апреля 1993 г. о несправедливых условиях в договорах с потребителями (Официальный журнал Европейского союза N L 95, 21.04.1993, стр. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC

(10) Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts (OJ L 95, 21.4.1993, p. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC

3. Субъект данных имеет право в любое время отозвать свое согласие. Отзыв согласия не влияет на законность обработки, которая была основана на согласии до его отзыва. Субъект данных должен быть проинформирован об этом перед тем, как он выразил согласие. Отзыв согласия должен быть столь же прост, как и его выражение.

3. The data subject shall have the right to withdraw his or her consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. Prior to giving consent, the data subject shall be informed thereof. It shall be as easy to withdraw as to give consent.

ISO 27701

4. При оценке, выражено ли согласие добровольно, наибольшее внимание следует уделить, помимо всего прочего, тому, не обуславливается ли выполнение договора (в том числе исполнение услуги) дачей согласия на обработку персональных данных, которые не нужны для выполнения договора.

4. When assessing whether consent is freely given, utmost account shall be taken of whether, inter alia, the performance of a contract, including the provision of a service, is conditional on consent to the processing of personal data that is not necessary for the performance of that contract.

ISO 27701
Преамбулы

(43) Для обеспечения добровольности согласия, оно не должно предоставлять допустимое правовое основание для обработки персональных данных в отдельных случаях, когда имеет место явное неравенство между субъектом данных и контролёром, особенно когда контролёр является публичным органом власти и поэтому низка вероятность того, что во всех условиях данного отдельного случая согласие дано свободно. Предполагается, что согласие не является свободным, если невозможно дать отдельного согласия на разные операции по обработке персональных данных, несмотря на то, что оно в данном случае было бы уместным, или если исполнение договора, в том числе предоставление услуги, ставится в зависимость от дачи согласия, несмотря на то, что для его исполнения согласие не является необходимым.

(43) In order to ensure that consent is freely given, consent should not provide a valid legal ground for the processing of personal data in a specific case where there is a clear imbalance between the data subject and the controller, in particular where the controller is a public authority and it is therefore unlikely that consent was freely given in all the circumstances of that specific situation. Consent is presumed not to be freely given if it does not allow separate consent to be given to different personal data processing operations despite it being appropriate in the individual case, or if the performance of a contract, including the provision of a service, is dependent on the consent despite such consent not being necessary for such performance.

Пояснение ISO 27701 Преамбулы Разъяснения и прецеденты Оставьте комментарий
Пояснение

Контролер, полагающийся на согласие в качестве правового основания для сбора, хранения или использования данных, должен соблюдать основные принципы, изложенные в статье 4(11), в которой дается юридическое определение данного понятия, и всегда следить за тем, чтобы согласие соответствовало дополнительным условиям, перечисленным в статье 7. Лицо должно предоставить добровольное согласие (freely given), отличное от других связанных с этим вопросов, и ей/ ему должен быть предложен «настоящий выбор» между принятием или отказом предоставить его без каких-либо негативных последствий (Guidelines on Consent и Преамбула 42). Также важно предоставить лицу…


для доступа к полному тексту

Louis-Philippe Gratton
Луи-Филипп Граттон PhD, LLM
Эксперт в Privacy

(EN)

Data Subject Request Letter Sample

Concern: Withdrawal of consent to process my personal data

Dear Madam, Dear Sir,

You are currently processing my personal data based on my consent…


для доступа к полному тексту

Автор
Louis-Philippe Gratton
Луи-Филипп Граттон PhD, LLM
Эксперт в Privacy
ISO 27701
Преамбулы

(32) Согласие на обработку персональных данных субъекта данных должно выражаться четким утвердительным действием, устанавливающим добровольное, конкретное, обоснованное и однозначное волеизъявление, например, письменным (в том числе, в электронной форме) либо устным заявлением. Таким согласием можно считать также проставление галочки при посещении сайта в интернете, выбор технических настроек услуг информационного общества, либо иные действия, которые явно указывают на то, что в данном контексте субъект данных согласен на предполагаемую обработку ее/его персональных данных. При этом, молчание, ранее проставленная галочка при посещении сайта или бездействие не должны рассматриваться как согласие. Согласие должно охватывать все способы обработки персональных данных, осуществляемые для достижения одной и той же цели. В случае, если обработка персональных данных имеет несколько целей, необходимо получить согласие для каждой из них. Если согласие субъекта данных даётся по запросу с помощью электронных средств, этот запрос должен быть ясным, чётким и не препятствующим использованию сервиса его запрашивающего.

(32) Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject's agreement to the processing of personal data relating to him or her, such as by a written statement, including by electronic means, or an oral statement. This could include ticking a box when visiting an internet website, choosing technical settings for information society services or another statement or conduct which clearly indicates in this context the data subject's acceptance of the proposed processing of his or her personal data. Silence, pre-ticked boxes or inactivity should not therefore constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. When the processing has multiple purposes, consent should be given for all of them. If the data subject's consent is to be given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.

(33) Зачастую невозможно в полной мере определить цель обработки персональных данных, предназначенных для научных исследований в момент сбора данных. Поэтому субъектам данных должна предоставляться возможность дать своё согласие для отдельных сфер научных исследований, исходя из соответствия их целей признанным этическим стандартам научных исследований. Субъекты данных должны иметь возможность давать своё согласие только в отношении отдельных сфер исследований или части научно-исследовательских проектов в соответствии с поставленной целью.

(33) It is often not possible to fully identify the purpose of personal data processing for scientific research purposes at the time of data collection. Therefore, data subjects should be allowed to give their consent to certain areas of scientific research when in keeping with recognised ethical standards for scientific research. Data subjects should have the opportunity to give their consent only to certain areas of research or parts of research projects to the extent allowed by the intended purpose.

(42) Если обработка осуществляется на основании согласия субъекта данных, контролёр должен быть в состоянии продемонстрировать, что субъект данных дал согласие на операцию по обработке. В частности, в случае письменного заявления, представленного по другому вопросу, должны быть гарантии, что субъект данных осознает даваемое согласие и его объем. В соответствии с директивой Совета 93/13 / EEC [10] заявление о согласии, которое подготовил контролёр, должно предоставляться в понятной и легко доступной форме, использовать четкий и простой язык, не должно содержать несправедливые условия. Информированным согласие является когда субъект данных осведомлен, по крайней мере, о наименовании контролёра и целях обработки, для которых предназначаются персональные данные. Согласие не должно рассматриваться как данное свободно, если субъект данных не имеет подлинного или свободного выбора, либо не может отказаться или отозвать свое согласие без негативных последствий.

(42) Where processing is based on the data subject's consent, the controller should be able to demonstrate that the data subject has given consent to the processing operation. In particular in the context of a written declaration on another matter, safeguards should ensure that the data subject is aware of the fact that and the extent to which consent is given. In accordance with Council Directive 93/13/EEC [10] a declaration of consent pre-formulated by the controller should be provided in an intelligible and easily accessible form, using clear and plain language and it should not contain unfair terms. For consent to be informed, the data subject should be aware at least of the identity of the controller and the purposes of the processing for which the personal data are intended. Consent should not be regarded as freely given if the data subject has no genuine or free choice or is unable to refuse or withdraw consent without detriment.

[10] Директива 93/13/ЕЭС Совета ЕС от 5 апреля 1993 г. о несправедливых условиях в договорах с потребителями (Официальный журнал Европейского союза N L 95, 21.04.1993, стр. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC

(10) Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts (OJ L 95, 21.4.1993, p. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC

(43) Для обеспечения добровольности согласия, оно не должно предоставлять допустимое правовое основание для обработки персональных данных в отдельных случаях, когда имеет место явное неравенство между субъектом данных и контролёром, особенно когда контролёр является публичным органом власти и поэтому низка вероятность того, что во всех условиях данного отдельного случая согласие дано свободно. Предполагается, что согласие не является свободным, если невозможно дать отдельного согласия на разные операции по обработке персональных данных, несмотря на то, что оно в данном случае было бы уместным, или если исполнение договора, в том числе предоставление услуги, ставится в зависимость от дачи согласия, несмотря на то, что для его исполнения согласие не является необходимым.

(43) In order to ensure that consent is freely given, consent should not provide a valid legal ground for the processing of personal data in a specific case where there is a clear imbalance between the data subject and the controller, in particular where the controller is a public authority and it is therefore unlikely that consent was freely given in all the circumstances of that specific situation. Consent is presumed not to be freely given if it does not allow separate consent to be given to different personal data processing operations despite it being appropriate in the individual case, or if the performance of a contract, including the provision of a service, is dependent on the consent despite such consent not being necessary for such performance.

Разъяснения и прецеденты Оставьте комментарий