(42) 個人資料處理係基於資料主體之同意者,控管者應舉證證明資 料主體同意該處理活動。尤其是在為他事件所為書面聲明時,保護措 施應確保資料主體知悉其所為同意之事實及其同意之範圍。根據歐盟 理事會所定第 93/13/EEC 號指令[10],控管者事先擬定之同意聲明書,應以易懂且方便取得之格式為之,並採用清楚簡易之語言,且不得有不公平條款。為同意所為之告知,資料主體至少應知悉控管者之身分及其個人資料處理所要達成之目的。於資料主體並非出於真意或無從自由選擇或其無法拒絕或無法於不損及其權益之情況下撤銷同意者,該同意應認定為不具自主性。
[10] Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts (OJ L 95, 21.4.1993, p. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 7(4) GDPR:
8.2.3 Использование в целях маркетинга и рекламы
Средство управления
Организация не должна использовать ПИИ, обработанную по контракту, для целей маркетинга и рекламы без подтверждения того, что предварительное согласие было получено от соответствующего принципала ПИИ.
…
Войти
для доступа к полному тексту
Source: https://www.ndc.gov.tw/Content_List.aspx?n=F98A8C27A0F54C30
Контролер, полагающийся на согласие в качестве правового основания для сбора, хранения или использования данных, должен соблюдать основные принципы, изложенные в статье 4(11), в которой дается юридическое определение данного понятия, и всегда следить за тем, чтобы согласие соответствовало дополнительным условиям, перечисленным в статье 7. Лицо должно предоставить добровольное согласие (freely given), отличное от других связанных с этим вопросов, и ей/ ему должен быть предложен «настоящий выбор» между принятием или отказом предоставить его без каких-либо негативных последствий (Guidelines on Consent и Преамбула 42). Также важно предоставить лицу…
…
Войти
для доступа к полному тексту
(EN)
Concern: Withdrawal of consent to process my personal data
Dear Madam, Dear Sir,
You are currently processing my personal data based on my consent…
…
Войти
для доступа к полному тексту
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статьям 7(1) и 7(2) GDPR:
7.2.4 Получение и регистрация согласия
Средство управления
Организация должна получать и регистрировать согласие субъектов ПИИ согласно задокументированным процессам.
Руководство по внедрению
Организация должна получить и зарегистрировать согласие субъекта ПИИ таким образом, чтобы по запросу она могла предоставить подробности предоставленного согласия (например, время, когда оно было предоставлено, личность субъекта ПИИ и заявление о согласии).
…
Войти
для доступа к полному тексту
(32) 同意之給予必須是資料主體依其意思決定就其個人資料處理所 為具體肯定且自由形成、明確、受充分告知及非模糊之指示,諸如: 口頭或書面之聲明,包括以電子方式為之者。同意可能包括於瀏覽網 頁時所點選之選項、為資訊社會服務所做技術設定之選擇或其他聲明, 或依其脈絡清楚顯示資料主體接受被提案之個人資料處理的行為。因 此,單純沉默、預設選項為同意或不為表示不構成同意。同意應涵蓋 基於相同之一個或多個目的所為之全部處理活動。如個人資料之處理 具有多重目的者,應為全部目的取得同意。如資料主體之同意係基於 電子方式之請求者,該請求必須清楚、簡潔且對所提供服務之使用不 構成非必要之破壞。
(33) 為科學研究目的所為之個人資料處理,於資料蒐集當時,通常 不可能完整指明該處理之目的。因此,當科學研究符合公認之道德標 準時,應允許資料主體僅就科學研究之特定範圍為同意之表示。資料 主體應有機會僅就特定研究範圍或預期目的所允許範圍內之部分研 究計畫表示同意。
(42) 個人資料處理係基於資料主體之同意者,控管者應舉證證明資 料主體同意該處理活動。尤其是在為他事件所為書面聲明時,保護措 施應確保資料主體知悉其所為同意之事實及其同意之範圍。根據歐盟 理事會所定第 93/13/EEC 號指令[10],控管者事先擬定之同意聲明書,應以易懂且方便取得之格式為之,並採用清楚簡易之語言,且不得有不公平條款。為同意所為之告知,資料主體至少應知悉控管者之身分及其個人資料處理所要達成之目的。於資料主體並非出於真意或無從自由選擇或其無法拒絕或無法於不損及其權益之情況下撤銷同意者,該同意應認定為不具自主性。
[10] Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts (OJ L 95, 21.4.1993, p. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC
(EN)
Article 29 Working Party, Opinion 4/2012 on Cookie Consent Exemption (2012).
Article 29 Working Party, Working Document 2/2013 Providing Guidance on Obtaining Consent for Cookies (2013).
EDPB, Guidelines 5/2020 on Consent under Regulation 2016/679 (2020).
CNIL, Guidelines on Cookies and Tracking Devices (in French) (2019).
European Commission, Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection Brussels (2020).
CJEU, Judgment in Planet 49 Gmbh, Case C-673/17 (2019).
Belgian DPA Fines Belgian Telecommunications Provider for Several Data Protection Infringements, (2020). Brief description in English.
CJEU, Data Protection Commissioner/Facebook Ireland Ltd and Schrems, C-311/18 (2020).
CNIL, Cookies : sanction de 35 millions d’euros à l’encontre d’AMAZON EUROPE CORE and sanction de 60 millions d’euros à l’encontre de GOOGLE LLC et de 40 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED (2020).
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 7(3) GDPR:
7.3.4 Предоставление механизма для изменения или отзыва согласия
Средство управления
Организация должна предоставить механизм для субъектов ПИИ для изменения или отзыва своего согласия.
Руководство по внедрению
Организация должна в любое время проинформировать субъектов ПИИ об их правах, связанных с отзывом согласия (которое может варьироваться в зависимости от юрисдикции), и предоставить механизм для этого.
…
Войти
для доступа к полному тексту