Больше
Навигация
CHAPITRE I Dispositions générales (1-4)
Article premier. Objet et objectifsArticle 2. Champ d'application matérielArticle 3. Champ d'application territorialArticle 4. Définitions
CHAPITRE II Principes (5-11)
Article 5. Principes relatifs au traitement des données à caractère personnelArticle 6. Licéité du traitement
Article 7. Conditions applicables au consentement
Article 8. Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l'informationArticle 9. Traitement portant sur des catégories particulières de données à caractère personnelArticle 10. Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractionsArticle 11. Traitement ne nécessitant pas l'identification
CHAPITRE III Droits de la personne concernée (12-23)
Article 12. Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernéeArticle 13. Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernéeArticle 14. Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernéeArticle 15. Droit d'accès de la personne concernéeArticle 16. Droit de rectificationArticle 17. Droit à l'effacement («droit à l'oubli»)Article 18. Droit à la limitation du traitementArticle 19. Obligation de notification en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitementArticle 20. Droit à la portabilité des donnéesArticle 21. Droit d'oppositionArticle 22. Décision individuelle automatisée, y compris le profilageArticle 23. Limitations
CHAPITRE IV Responsable du traitement et sous-traitant (24-43)
Article 24. Objet et objectifsArticle 25. Protection des données dès la conception et protection des données par défautArticle 26. Responsables conjoints du traitementArticle 27. Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l'UnionArticle 28. Sous-traitantArticle 29. Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitantArticle 30. Registre des activités de traitementArticle 31. Coopération avec l'autorité de contrôleArticle 32. Sécurité du traitementArticle 33. Notification à l'autorité de contrôle d'une violation de données à caractère personnelArticle 34. Communication à la personne concernée d'une violation de données à caractère personnelArticle 35. Analyse d'impact relative à la protection des donnéesArticle 36. Consultation préalableArticle 37. Désignation du délégué à la protection des donnéesArticle 38. Fonction du délégué à la protection des donnéesArticle 39. Missions du délégué à la protection des donnéesArticle 40. Codes de conduiteArticle 41. Suivi des codes de conduite approuvésArticle 42. CertificationArticle 43. Organismes de certification
CHAPITRE V Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales (44-50)
Article 44. Principe général applicable aux transfertsArticle 45. Transferts fondés sur une décision d'adéquationArticle 46. Transferts moyennant des garanties appropriéesArticle 47. Règles d'entreprise contraignantesArticle 48. Transferts ou divulgations non autorisés par le droit de l'UnionArticle 49. Dérogations pour des situations particulièresArticle 50. Coopération internationale dans le domaine de la protection des données à caractère personnel
CHAPITRE VI Autorités de contrôle indépendantes (51-59)
Article 51. Autorité de contrôleArticle 52. IndépendanceArticle 53. Conditions générales applicables aux membres de l'autorité de contrôleArticle 54. Règles relatives à l'établissement de l'autorité de contrôleArticle 55. CompétenceArticle 56. Compétence de l'autorité de contrôle chef de fileArticle 57. MissionsArticle 58. PouvoirsArticle 59. Rapports d'activité
CHAPITRE VII Coopération et cohérence (60-70)
Article 60. Coopération entre l'autorité de contrôle chef de file et les autres autorités de contrôle concernéesArticle 61. Assistance mutuelleArticle 62. Opérations conjointes des autorités de contrôleArticle 63. Mécanisme de contrôle de la cohérenceArticle 64. Avis du comitéArticle 65. Règlement des litiges par le comitéArticle 66. Procédure d'urgenceArticle 67. Échange d'informationsArticle 68. Comité européen de la protection des donnéesArticle 69. IndépendanceArticle 70. Missions du comitéArticle 71. RapportsArticle 72. ProcédureArticle 73. PrésidentArticle 74. Missions du présidentArticle 75. SecrétariatArticle 76. Confidentialité
CHAPITRE VIII Voies de recours, responsabilité et sanctions (77-84)
Article 77. Droit d'introduire une réclamation auprès d'une autorité de contrôleArticle 78. Droit à un recours juridictionnel effectif contre une autorité de contrôleArticle 79. Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitantArticle 80. Représentation des personnes concernéesArticle 81. Suspension d'une actionArticle 82. Droit à réparation et responsabilitéArticle 83. Conditions générales pour imposer des amendes administrativesArticle 84. Sanctions
CHAPITRE IX Dispositions relatives à des situations particulières de traitement (85-91)
Article 85. Traitement et liberté d'expression et d'informationArticle 86. Traitement et accès du public aux documents officielsArticle 87. Traitement du numéro d'identification nationalArticle 88. Traitement de données dans le cadre des relations de travailArticle 89. Garanties et dérogations applicables au traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiquesArticle 90. Obligations de secretArticle 91. Règles existantes des églises et associations religieuses en matière de protection des données
CHAPITRE X Actes délégués et actes d'exécution (92-93)
Article 92. Exercice de la délégationArticle 93. Comité
CHAPITRE XI Dispositions finales (94-95)
Article 94. Abrogation de la directive 95/46/CEArticle 95. Relation avec la directive 2002/58/CEArticle 96. Relation avec les accords conclus antérieurementArticle 97. Rapports de la CommissionArticle 98. Réexamen d'autres actes juridiques de l'Union relatifs à la protection des donnéesArticle 99. Entrée en vigueur et application
GDPR > Article 7. Conditions applicables au consentement
Скачать в PDF

Article 7 RGPD. Conditions applicables au consentement

1. Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.

Связанные статьи
Связанные статьи

2. Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n’est contraignante.

Преамбулы Связанные статьи
Преамбулы

(42) Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l'opération de traitement. En particulier, dans le cadre d'une déclaration écrite relative à une autre question, des garanties devraient exister afin de garantir que la personne concernée est consciente du consentement donné et de sa portée. Conformément à la directive 93/13/CEE du Conseil [10], une déclaration de consentement rédigée préalablement par le responsable du traitement devrait être fournie sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples, et elle ne devrait contenir aucune clause abusive. Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l'identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.

[10] Directive 93/13/CEE du Conseil, du 5 avril 1993, concernant les clauses abusives dans les contrats conclus avec les consommateurs (JO L 95 du 21.4.1993, p. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC

Связанные статьи

3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement.

ISO 27701 Связанные статьи
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 7(3) GDPR:

7.3.4 Предоставление механизма для изменения или отзыва согласия 

Средство управления

Организация должна предоставить механизм для субъектов ПИИ для изменения или отзыва своего согласия.

Руководство по внедрению

Организация должна в любое время проинформировать субъектов ПИИ об их правах, связанных с отзывом согласия (которое может варьироваться в зависимости от юрисдикции), и предоставить механизм для этого.


для доступа к полному тексту

Связанные статьи

4. Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat.

ISO 27701 Преамбулы Связанные статьи
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 7(4) GDPR:

8.2.3 Использование в целях маркетинга и рекламы

Средство управления

Организация не должна использовать ПИИ, обработанную по контракту, для целей маркетинга и рекламы без подтверждения того, что предварительное согласие было получено от соответствующего принципала ПИИ.


для доступа к полному тексту

Преамбулы

(43) Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu'il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, en particulier lorsque le responsable du traitement est une autorité publique et qu'il est improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette situation particulière. Le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d'espèce, ou si l'exécution d'un contrat, y compris la prestation d'un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution.

(32) Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d'un site internet, en optant pour certains paramètres techniques pour des services de la société de l'information ou au moyen d'une autre déclaration ou d'un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d'inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l'ensemble d'entre elles. Si le consentement de la personne concernée est donné à la suite d'une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l'utilisation du service pour lequel il est accordé.

Связанные статьи
Règlement général sur la protection des données (RGPD)

Dernière version consolidée (Rectificatif, JO L 127 du 23.5.2018, p. 2 (2016/679)). EUR-Lex — 02016R0679-20160504 — FR

Комментарий эксперта ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий
Комментарий эксперта

Контролер, полагающийся на согласие в качестве правового основания для сбора, хранения или использования данных, должен соблюдать основные принципы, изложенные в статье 4(11), в которой дается юридическое определение данного понятия, и всегда следить за тем, чтобы согласие соответствовало дополнительным условиям, перечисленным в статье 7. Лицо должно предоставить добровольное согласие (freely given), отличное от других связанных с этим вопросов, и ей/ ему должен быть предложен «настоящий выбор» между принятием или отказом предоставить его без каких-либо негативных последствий (Guidelines on Consent и Преамбула 42). Также важно предоставить лицу…


для доступа к полному тексту

Louis-Philippe Gratton
Луи-Филипп Граттон PhD, LLM
Эксперт в Privacy
Задать вопрос

(EN)

Data Subject Request Letter Sample

Concern: Withdrawal of consent to process my personal data

Dear Madam, Dear Sir,

You are currently processing my personal data based on my consent…


для доступа к полному тексту

Автор
Louis-Philippe Gratton
Луи-Филипп Граттон PhD, LLM
Эксперт в Privacy
Задать вопрос
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статьям 7(1) и 7(2) GDPR:

7.2.4 Получение и регистрация согласия

Средство управления

Организация должна получать и регистрировать согласие субъектов ПИИ согласно задокументированным процессам.

Руководство по внедрению

Организация должна получить и зарегистрировать согласие субъекта ПИИ таким образом, чтобы по запросу она могла предоставить подробности предоставленного согласия (например, время, когда оно было предоставлено, личность субъекта ПИИ и заявление о согласии).


для доступа к полному тексту

Преамбулы

(32) Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d'un site internet, en optant pour certains paramètres techniques pour des services de la société de l'information ou au moyen d'une autre déclaration ou d'un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d'inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l'ensemble d'entre elles. Si le consentement de la personne concernée est donné à la suite d'une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l'utilisation du service pour lequel il est accordé.

(33) Souvent, il n'est pas possible de cerner entièrement la finalité du traitement des données à caractère personnel à des fins de recherche scientifique au moment de la collecte des données. Par conséquent, les personnes concernées devraient pouvoir donner leur consentement en ce qui concerne certains domaines de la recherche scientifique, dans le respect des normes éthiques reconnues en matière de recherche scientifique. Les personnes concernées devraient pouvoir donner leur consentement uniquement pour ce qui est de certains domaines de la recherche ou de certaines parties de projets de recherche, dans la mesure où la finalité visée le permet.

(42) Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l'opération de traitement. En particulier, dans le cadre d'une déclaration écrite relative à une autre question, des garanties devraient exister afin de garantir que la personne concernée est consciente du consentement donné et de sa portée. Conformément à la directive 93/13/CEE du Conseil [10], une déclaration de consentement rédigée préalablement par le responsable du traitement devrait être fournie sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples, et elle ne devrait contenir aucune clause abusive. Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l'identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.

[10] Directive 93/13/CEE du Conseil, du 5 avril 1993, concernant les clauses abusives dans les contrats conclus avec les consommateurs (JO L 95 du 21.4.1993, p. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC

(43) Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu'il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, en particulier lorsque le responsable du traitement est une autorité publique et qu'il est improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette situation particulière. Le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d'espèce, ou si l'exécution d'un contrat, y compris la prestation d'un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution.

Руководство и прецедентное право Оставить комментарий
[js-disqus]