2. Если согласие субъекта данных дается в письменной декларации, которая также касается и других вопросов, запрос согласия должен быть представлен ему таким образом, чтобы запрос четко отличался от других вопросов, был в понятной и доступной форме, использовал ясный и простой язык. Любая часть такой декларации, которая представляет собой нарушение настоящего Регламента, не является обязательной.
(42) Если обработка осуществляется на основании согласия субъекта данных, контролёр должен быть в состоянии продемонстрировать, что субъект данных дал согласие на операцию по обработке. В частности, в случае письменного заявления, представленного по другому вопросу, должны быть гарантии, что субъект данных осознает даваемое согласие и его объем. В соответствии с директивой Совета 93/13 / EEC [10] заявление о согласии, которое подготовил контролёр, должно предоставляться в понятной и легко доступной форме, использовать четкий и простой язык, не должно содержать несправедливые условия. Информированным согласие является когда субъект данных осведомлен, по крайней мере, о наименовании (имени) контролёра и целях обработки, для которых предназначаются персональные данные. Согласие не должно рассматриваться как данное свободно, если субъект данных не имеет подлинного или свободного выбора, либо не может отказаться или отозвать свое согласие без негативных последствий.
[10] Директива 93/13/ЕЭС Совета ЕС от 5 апреля 1993 г. о несправедливых условиях в договорах с потребителями (Официальный журнал Европейского союза N L 95, 21.04.1993, стр. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC
3. Субъект данных имеет право в любое время отозвать свое согласие. Отзыв согласия не влияет на законность обработки, которая была основана на согласии до его отзыва. Субъект данных должен быть проинформирован об этом перед тем, как он выразил согласие. Отзыв согласия должен быть столь же прост, как и его выражение.
4. При оценке, выражено ли согласие добровольно, наибольшее внимание следует уделить, помимо всего прочего, тому, не обуславливается ли выполнение договора (в том числе исполнение услуги) дачей согласия на обработку персональных данных, которые не нужны для выполнения договора.
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 7(4) GDPR:
8.2.3 Использование в целях маркетинга и рекламы
Средство управления
Организация не должна использовать ПИИ, обработанную по контракту, для целей маркетинга и рекламы без подтверждения того, что предварительное согласие было получено от соответствующего принципала ПИИ.
…
Войти
для доступа к полному тексту
(43) Для обеспечения добровольности согласия, оно не должно предоставлять допустимое правовое основание для обработки персональных данных в отдельных случаях, когда имеет место явное неравенство между субъектом данных и контролёром, особенно когда контролёр является публичным органом власти и поэтому низка вероятность того, что во всех условиях данного отдельного случая согласие дано свободно. Предполагается, что согласие не является свободным, если невозможно дать отдельного согласия на разные операции по обработке персональных данных, несмотря на то, что оно в данном случае было бы уместным, или если исполнение договора, в том числе предоставление услуги, ставится в зависимость от дачи согласия, несмотря на то, что для его исполнения согласие не является необходимым.
(32) Согласие на обработку персональных данных субъекта данных должно выражаться четким утвердительным действием, устанавливающим добровольное, конкретное, обоснованное и однозначное волеизъявление, например, письменным (в том числе, в электронной форме) либо устным заявлением. Таким согласием можно считать также проставление галочки при посещении сайта в интернете, выбор технических настроек услуг информационного общества, либо иные действия, которые явно указывают на то, что в данном контексте субъект данных согласен на предполагаемую обработку ее/его персональных данных. При этом, молчание, ранее проставленная галочка при посещении сайта или бездействие не должны рассматриваться как согласие. Согласие должно охватывать все способы обработки персональных данных, осуществляемые для достижения одной и той же цели. В случае, если обработка персональных данных имеет несколько целей, необходимо получить согласие для каждой из них. Если согласие субъекта данных даётся по запросу с помощью электронных средств, этот запрос должен быть ясным, чётким и не препятствующим использованию сервиса его запрашивающего.
Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».
Контролер, полагающийся на согласие в качестве правового основания для сбора, хранения или использования данных, должен соблюдать основные принципы, изложенные в статье 4(11), в которой дается юридическое определение данного понятия, и всегда следить за тем, чтобы согласие соответствовало дополнительным условиям, перечисленным в статье 7. Лицо должно предоставить добровольное согласие (freely given), отличное от других связанных с этим вопросов, и ей/ ему должен быть предложен «настоящий выбор» между принятием или отказом предоставить его без каких-либо негативных последствий (Guidelines on Consent и Преамбула 42). Также важно предоставить лицу…
…
Войти
для доступа к полному тексту
(EN)
Concern: Withdrawal of consent to process my personal data
Dear Madam, Dear Sir,
You are currently processing my personal data based on my consent…
…
Войти
для доступа к полному тексту
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статьям 7(1) и 7(2) GDPR:
7.2.4 Получение и регистрация согласия
Средство управления
Организация должна получать и регистрировать согласие субъектов ПИИ согласно задокументированным процессам.
Руководство по внедрению
Организация должна получить и зарегистрировать согласие субъекта ПИИ таким образом, чтобы по запросу она могла предоставить подробности предоставленного согласия (например, время, когда оно было предоставлено, личность субъекта ПИИ и заявление о согласии).
…
Войти
для доступа к полному тексту
(32) Согласие на обработку персональных данных субъекта данных должно выражаться четким утвердительным действием, устанавливающим добровольное, конкретное, обоснованное и однозначное волеизъявление, например, письменным (в том числе, в электронной форме) либо устным заявлением. Таким согласием можно считать также проставление галочки при посещении сайта в интернете, выбор технических настроек услуг информационного общества, либо иные действия, которые явно указывают на то, что в данном контексте субъект данных согласен на предполагаемую обработку ее/его персональных данных. При этом, молчание, ранее проставленная галочка при посещении сайта или бездействие не должны рассматриваться как согласие. Согласие должно охватывать все способы обработки персональных данных, осуществляемые для достижения одной и той же цели. В случае, если обработка персональных данных имеет несколько целей, необходимо получить согласие для каждой из них. Если согласие субъекта данных даётся по запросу с помощью электронных средств, этот запрос должен быть ясным, чётким и не препятствующим использованию сервиса его запрашивающего.
(33) Зачастую невозможно в полной мере определить цель обработки персональных данных, предназначенных для научных исследований в момент сбора данных. Поэтому субъектам данных должна предоставляться возможность дать своё согласие для отдельных сфер научных исследований, исходя из соответствия их целей признанным этическим стандартам научных исследований. Субъекты данных должны иметь возможность давать своё согласие только в отношении отдельных сфер исследований или части научно-исследовательских проектов в соответствии с поставленной целью.
(42) Если обработка осуществляется на основании согласия субъекта данных, контролёр должен быть в состоянии продемонстрировать, что субъект данных дал согласие на операцию по обработке. В частности, в случае письменного заявления, представленного по другому вопросу, должны быть гарантии, что субъект данных осознает даваемое согласие и его объем. В соответствии с директивой Совета 93/13 / EEC [10] заявление о согласии, которое подготовил контролёр, должно предоставляться в понятной и легко доступной форме, использовать четкий и простой язык, не должно содержать несправедливые условия. Информированным согласие является когда субъект данных осведомлен, по крайней мере, о наименовании (имени) контролёра и целях обработки, для которых предназначаются персональные данные. Согласие не должно рассматриваться как данное свободно, если субъект данных не имеет подлинного или свободного выбора, либо не может отказаться или отозвать свое согласие без негативных последствий.
[10] Директива 93/13/ЕЭС Совета ЕС от 5 апреля 1993 г. о несправедливых условиях в договорах с потребителями (Официальный журнал Европейского союза N L 95, 21.04.1993, стр. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC
(43) Для обеспечения добровольности согласия, оно не должно предоставлять допустимое правовое основание для обработки персональных данных в отдельных случаях, когда имеет место явное неравенство между субъектом данных и контролёром, особенно когда контролёр является публичным органом власти и поэтому низка вероятность того, что во всех условиях данного отдельного случая согласие дано свободно. Предполагается, что согласие не является свободным, если невозможно дать отдельного согласия на разные операции по обработке персональных данных, несмотря на то, что оно в данном случае было бы уместным, или если исполнение договора, в том числе предоставление услуги, ставится в зависимость от дачи согласия, несмотря на то, что для его исполнения согласие не является необходимым.
(EN)
Article 29 Working Party, Opinion 4/2012 on Cookie Consent Exemption (2012).
Article 29 Working Party, Working Document 2/2013 Providing Guidance on Obtaining Consent for Cookies (2013).
EDPB, Guidelines 5/2020 on Consent under Regulation 2016/679 (2020).
CNIL, Guidelines on Cookies and Tracking Devices (in French) (2019).
European Commission, Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection Brussels (2020).
CJEU, Judgment in Planet 49 Gmbh, Case C-673/17 (2019).
Belgian DPA Fines Belgian Telecommunications Provider for Several Data Protection Infringements, (2020). Brief description in English.
CJEU, Data Protection Commissioner/Facebook Ireland Ltd and Schrems, C-311/18 (2020).
CNIL, Cookies : sanction de 35 millions d’euros à l’encontre d’AMAZON EUROPE CORE and sanction de 60 millions d’euros à l’encontre de GOOGLE LLC et de 40 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED (2020).
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 7(3) GDPR:
7.3.4 Предоставление механизма для изменения или отзыва согласия
Средство управления
Организация должна предоставить механизм для субъектов ПИИ для изменения или отзыва своего согласия.
Руководство по внедрению
Организация должна в любое время проинформировать субъектов ПИИ об их правах, связанных с отзывом согласия (которое может варьироваться в зависимости от юрисдикции), и предоставить механизм для этого.
…
Войти
для доступа к полному тексту