Больше
Навигация
KAPITEL I Generelle bestemmelser (1-4)
Artikel 1. Genstand og formålArtikel 2. Materielt anvendelsesområdeArtikel 3. Territorialt anvendelsesområdeArtikel 4. Definitioner
KAPITEL II Principper (5-11)
Artikel 5. Principper for behandling af personoplysningerArtikel 6. Lovlig behandling
Artikel 7. Betingelser for samtykke
Artikel 8. Betingelser for et barns samtykke i forbindelse med informationssamfundstjenesterArtikel 9. Behandling af særlige kategorier af personoplysningerArtikel 10. Behandling af personoplysninger vedrørende straffedomme og lovovertrædelserArtikel 11. Behandling, der ikke kræver identifikation
KAPITEL III Den registreredes rettigheder (12-23)
Artikel 12. Gennemsigtig oplysning, meddelelser og nærmere regler for udøvelsen af den registreredes rettighederArtikel 13. Oplysningspligt ved indsamling af personoplysninger hos den registreredeArtikel 14. Oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registreredeArtikel 15. Den registreredes indsigtsretArtikel 16. Ret til berigtigelseArtikel 17. Ret til sletning (»retten til at blive glemt«)Artikel 18. Ret til begrænsning af behandlingArtikel 19. Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandlingArtikel 20. Ret til dataportabilitetArtikel 21. Ret til indsigelseArtikel 22. Automatiske individuelle afgørelser, herunder profileringArtikel 23. Begrænsninger
KAPITEL IV Dataansvarlig og databehandler (24-43)
Artikel 24. Genstand og formålArtikel 25. Databeskyttelse gennem design og databeskyttelse gennem standardindstillingerArtikel 26. Fælles dataansvarligeArtikel 27. Repræsentanter for dataansvarlige og databehandlere, der ikke er etableret i UnionenArtikel 28. DatabehandlerArtikel 29. Behandling, der udføres for den dataansvarlige eller databehandlerenArtikel 30. Fortegnelser over behandlingsaktiviteterArtikel 31. Samarbejde med tilsynsmyndighedenArtikel 32. BehandlingssikkerhedArtikel 33. Anmeldelse af brud på persondatasikkerheden til tilsynsmyndighedenArtikel 34. Underretning om brud på persondatasikkerheden til den registreredeArtikel 35. Konsekvensanalyse vedrørende databeskyttelseArtikel 36. Forudgående høringArtikel 37. Udpegelse af en databeskyttelsesrådgiverArtikel 38. Databeskyttelsesrådgiverens stillingArtikel 39. Databeskyttelsesrådgiverens opgaverArtikel 40. AdfærdskodekserArtikel 41. Kontrol af godkendte adfærdskodekserArtikel 42. CertificeringArtikel 43. Certificeringsorganer
KAPITEL V Overførsler af personoplysninger til tredjelande eller internationale organisationer (44-50)
Artikel 44. Generelt princip for overførslerArtikel 45. Overførsler baseret på en afgørelse om tilstrækkeligheden af beskyttelsesniveauetArtikel 46. Overførsler omfattet af fornødne garantierArtikel 47. Bindende virksomhedsreglerArtikel 48. Overførsel eller videregivelse uden hjemmel i EU-rettenArtikel 49. Undtagelser i særlige situationerArtikel 50. Internationalt samarbejde om beskyttelse af personoplysninger
KAPITEL VI Uafhængige tilsynsmyndigheder (51-59)
Artikel 51. TilsynsmyndighedArtikel 52. UafhængighedArtikel 53. Generelle betingelser for medlemmer af en tilsynsmyndighedArtikel 54. Regler om oprettelse af en tilsynsmyndighedArtikel 55. KompetenceArtikel 56. Den ledende tilsynsmyndigheds kompetenceArtikel 57. OpgaverArtikel 58. BeføjelserArtikel 59. Aktivitetsrapport
KAPITEL VII Samarbejde og sammenhæng (60-70)
Artikel 60. Samarbejde mellem den ledende tilsynsmyndighed og de andre berørte tilsynsmyndighederArtikel 61. Gensidig bistandArtikel 62. Tilsynsmyndigheders fælles aktiviteterArtikel 63. SammenhængsmekanismeArtikel 64. Udtalelse fra DatabeskyttelsesrådetArtikel 65. Tvistbilæggelse ved DatabeskyttelsesrådetArtikel 66. HasteprocedureArtikel 67. Udveksling af oplysningerArtikel 68. Det Europæiske DatabeskyttelsesrådArtikel 69. UafhængighedArtikel 70. Databeskyttelsesrådets opgaverArtikel 71. RapporterArtikel 72. ProcedureArtikel 73. FormandArtikel 74. Formandens opgaverArtikel 75. SekretariatArtikel 76. Fortrolighed
KAPITEL VIII Retsmidler, ansvar og sanktioner (77-84)
Artikel 77. Ret til at indgive klage til en tilsynsmyndighedArtikel 78. Adgang til effektive retsmidler over for en tilsynsmyndighedArtikel 79. Adgang til effektive retsmidler over for en dataansvarlig eller databehandlerArtikel 80. Repræsentation af registreredeArtikel 81. Udsættelse af en sagArtikel 82. Ret til erstatning og erstatningsansvarArtikel 83. Generelle betingelser for pålæggelse af administrative bøderArtikel 84. Sanktioner
KAPITEL IX Bestemmelser vedrørende specifikke behandlingssituationer (85-91)
Artikel 85. Behandling og ytrings- og informationsfrihedenArtikel 86. Behandling og aktindsigt i officielle dokumenterArtikel 87. Behandling af nationalt identifikationsnummerArtikel 88. Behandling i forbindelse med ansættelsesforholdArtikel 89. Garantier og undtagelser i forbindelse med behandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formålArtikel 90. TavshedspligtArtikel 91. Kirkers og religiøse sammenslutningers eksisterende databeskyttelsesregler
KAPITEL X Delegerede retsakter og gennemførelsesforanstaltninger (92-93)
Artikel 92. Udøvelse af de delegerede beføjelserArtikel 93. Udvalgsprocedure
KAPITEL XI Afsluttende bestemmelser (94-95)
Artikel 94. Ophævelse af direktiv 95/46/EFArtikel 95. Forhold til direktiv 2002/58/EFArtikel 96. Forhold til tidligere indgåede aftalerArtikel 97. KommissionsrapporterArtikel 98. Gennemgang af andre EU-retsakter om databeskyttelseArtikel 99. Ikrafttræden og anvendelse
GDPR > Artikel 7. Betingelser for samtykke
Скачать в PDF

Artikel 7 GDPR. Betingelser for samtykke

Article 7 GDPR. Conditions for consent

1. Hvis behandling er baseret på samtykke, skal den dataansvarlige kunne påvise, at den registrerede har givet samtykke til behandling af sine personoplysninger.

1. Where processing is based on consent, the controller shall be able to demonstrate that the data subject has consented to processing of his or her personal data.

Связанные статьи
Связанные статьи

2. Hvis den registreredes samtykke gives i en skriftlig erklæring, der også vedrører andre forhold, skal en anmodning om samtykke forelægges på en måde, som klart kan skelnes fra de andre forhold, i en letforståelig og lettilgængelig form og i et klart og enkelt sprog. Enhver del af en sådan erklæring, som udgør en overtrædelse af denne forordning, er ikke bindende.

2. If the data subject’s consent is given in the context of a written declaration which also concerns other matters, the request for consent shall be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language. Any part of such a declaration which constitutes an infringement of this Regulation shall not be binding.

Преамбулы Связанные статьи
Преамбулы

(42) Hvis behandling er baseret på den registreredes samtykke, bør den dataansvarlige kunne påvise, at den registrerede har givet samtykke til behandlingen. Navnlig i forbindelse med skriftlige erklæringer om andre forhold bør garantier sikre, at den registrerede er bekendt med, at og i hvilket omfang der er givet samtykke. I overensstemmelse med Rådets direktiv 93/13/EØF (10) bør der stilles en samtykkeerklæring udformet af den dataansvarlige til rådighed i en letforståelig og lettilgængelig form og i et klart og enkelt sprog, og den bør ikke indeholde urimelige vilkår. For at sikre, at samtykket er informeret, bør den registrerede som minimum være bekendt med den dataansvarliges identitet og formålene med den behandling, som personoplysningerne skal bruges til. Samtykke bør ikke anses for at være givet frivilligt, hvis den registrerede ikke har et reelt eller frit valg eller ikke kan afvise eller tilbagetrække sit samtykke, uden at det er til skade for den pågældende.

(42) Where processing is based on the data subject's consent, the controller should be able to demonstrate that the data subject has given consent to the processing operation. In particular in the context of a written declaration on another matter, safeguards should ensure that the data subject is aware of the fact that and the extent to which consent is given. In accordance with Council Directive 93/13/EEC [10] a declaration of consent pre-formulated by the controller should be provided in an intelligible and easily accessible form, using clear and plain language and it should not contain unfair terms. For consent to be informed, the data subject should be aware at least of the identity of the controller and the purposes of the processing for which the personal data are intended. Consent should not be regarded as freely given if the data subject has no genuine or free choice or is unable to refuse or withdraw consent without detriment.

[10]  Rådets direktiv 93/13/EØF af 5. april 1993 om urimelige kontraktvilkår i forbrugeraftaler (EFT L 95 af 21.4.1993, s. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC

[10] Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts (OJ L 95, 21.4.1993, p. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC

Связанные статьи

3. Den registrerede har til enhver tid ret til at trække sit samtykke tilbage. Tilbagetrækning af samtykke berører ikke lovligheden af den behandling, der er baseret på samtykke inden tilbagetrækningen. Inden der gives samtykke, skal den registrerede oplyses om, at samtykket kan trækkes tilbage. Det skal være lige så let at trække sit samtykke tilbage som at give det.

3. The data subject shall have the right to withdraw his or her consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. Prior to giving consent, the data subject shall be informed thereof. It shall be as easy to withdraw as to give consent.

ISO 27701 Связанные статьи
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 7(3) GDPR:

7.3.4 Предоставление механизма для изменения или отзыва согласия 

Средство управления

Организация должна предоставить механизм для субъектов ПИИ для изменения или отзыва своего согласия.

Руководство по внедрению

Организация должна в любое время проинформировать субъектов ПИИ об их правах, связанных с отзывом согласия (которое может варьироваться в зависимости от юрисдикции), и предоставить механизм для этого.


для доступа к полному тексту

Связанные статьи

4. Ved vurdering af, om samtykke er givet frit, tages der størst muligt hensyn til, bl.a. om opfyldelse af en kontrakt, herunder om en tjenesteydelse, er gjort betinget af samtykke til behandling af personoplysninger, som ikke er nødvendig for opfyldelse af denne kontrakt.

4. When assessing whether consent is freely given, utmost account shall be taken of whether, inter alia, the performance of a contract, including the provision of a service, is conditional on consent to the processing of personal data that is not necessary for the performance of that contract.

ISO 27701 Преамбулы Связанные статьи
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 7(4) GDPR:

8.2.3 Использование в целях маркетинга и рекламы

Средство управления

Организация не должна использовать ПИИ, обработанную по контракту, для целей маркетинга и рекламы без подтверждения того, что предварительное согласие было получено от соответствующего принципала ПИИ.


для доступа к полному тексту

Преамбулы

(43) Med henblik på at sikre, at der frivilligt er givet samtykke, bør samtykke ikke udgøre et gyldigt retsgrundlag for behandling af personoplysninger i et specifikt tilfælde, hvis der er en klar skævhed mellem den registrerede og den dataansvarlige, navnlig hvis den dataansvarlige er en offentlig myndighed, og det derfor er usandsynligt, at samtykket er givet frivilligt under hensyntagen til alle de omstændigheder, der kendetegner den specifikke situation. Samtykke formodes ikke at være givet frivilligt, hvis det ikke er muligt at give særskilt samtykke til forskellige behandlingsaktiviteter vedrørende personoplysninger, selv om det er hensigtsmæssigt i det enkelte tilfælde, eller hvis opfyldelsen af en kontrakt, herunder ydelsen af en tjeneste, gøres afhængig af samtykke, selv om et sådant samtykke ikke er nødvendigt for dennes opfyldelse.

(43) In order to ensure that consent is freely given, consent should not provide a valid legal ground for the processing of personal data in a specific case where there is a clear imbalance between the data subject and the controller, in particular where the controller is a public authority and it is therefore unlikely that consent was freely given in all the circumstances of that specific situation. Consent is presumed not to be freely given if it does not allow separate consent to be given to different personal data processing operations despite it being appropriate in the individual case, or if the performance of a contract, including the provision of a service, is dependent on the consent despite such consent not being necessary for such performance.

(32) Samtykke bør gives i form af en klar bekræftelse, der indebærer en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved vedkommende accepterer, at personoplysninger om vedkommende behandles, f.eks. ved en skriftlig erklæring, herunder elektronisk, eller en mundtlig erklæring. Dette kan f.eks. foregå ved at sætte kryds i et felt ved besøg på et websted, ved valg af tekniske indstillinger til informationssamfundstjenester eller en anden erklæring eller handling, der tydeligt i denne forbindelse tilkendegiver den registreredes accept af den foreslåede behandling af vedkommendes personoplysninger. Tavshed, forudafkrydsede felter eller inaktivitet bør derfor ikke udgøre samtykke. Samtykke bør dække alle behandlingsaktiviteter, der udføres til det eller de samme formål. Når behandling tjener flere formål, bør der gives samtykke til dem alle. Hvis den registreredes samtykke skal gives efter en elektronisk anmodning, skal anmodningen være klar, kortfattet og ikke unødigt forstyrre brugen af den tjeneste, som samtykke gives til.

(32) Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject's agreement to the processing of personal data relating to him or her, such as by a written statement, including by electronic means, or an oral statement. This could include ticking a box when visiting an internet website, choosing technical settings for information society services or another statement or conduct which clearly indicates in this context the data subject's acceptance of the proposed processing of his or her personal data. Silence, pre-ticked boxes or inactivity should not therefore constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. When the processing has multiple purposes, consent should be given for all of them. If the data subject's consent is to be given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.

Связанные статьи
Generel forordning om databeskyttelse (GDPR)

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Комментарий эксперта ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий
Комментарий эксперта

Контролер, полагающийся на согласие в качестве правового основания для сбора, хранения или использования данных, должен соблюдать основные принципы, изложенные в статье 4(11), в которой дается юридическое определение данного понятия, и всегда следить за тем, чтобы согласие соответствовало дополнительным условиям, перечисленным в статье 7. Лицо должно предоставить добровольное согласие (freely given), отличное от других связанных с этим вопросов, и ей/ ему должен быть предложен «настоящий выбор» между принятием или отказом предоставить его без каких-либо негативных последствий (Guidelines on Consent и Преамбула 42). Также важно предоставить лицу…


для доступа к полному тексту

Louis-Philippe Gratton
Луи-Филипп Граттон PhD, LLM
Эксперт в Privacy
Задать вопрос

(EN)

Data Subject Request Letter Sample

Concern: Withdrawal of consent to process my personal data

Dear Madam, Dear Sir,

You are currently processing my personal data based on my consent…


для доступа к полному тексту

Автор
Louis-Philippe Gratton
Луи-Филипп Граттон PhD, LLM
Эксперт в Privacy
Задать вопрос
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статьям 7(1) и 7(2) GDPR:

7.2.4 Получение и регистрация согласия

Средство управления

Организация должна получать и регистрировать согласие субъектов ПИИ согласно задокументированным процессам.

Руководство по внедрению

Организация должна получить и зарегистрировать согласие субъекта ПИИ таким образом, чтобы по запросу она могла предоставить подробности предоставленного согласия (например, время, когда оно было предоставлено, личность субъекта ПИИ и заявление о согласии).


для доступа к полному тексту

Преамбулы

(32) Samtykke bør gives i form af en klar bekræftelse, der indebærer en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved vedkommende accepterer, at personoplysninger om vedkommende behandles, f.eks. ved en skriftlig erklæring, herunder elektronisk, eller en mundtlig erklæring. Dette kan f.eks. foregå ved at sætte kryds i et felt ved besøg på et websted, ved valg af tekniske indstillinger til informationssamfundstjenester eller en anden erklæring eller handling, der tydeligt i denne forbindelse tilkendegiver den registreredes accept af den foreslåede behandling af vedkommendes personoplysninger. Tavshed, forudafkrydsede felter eller inaktivitet bør derfor ikke udgøre samtykke. Samtykke bør dække alle behandlingsaktiviteter, der udføres til det eller de samme formål. Når behandling tjener flere formål, bør der gives samtykke til dem alle. Hvis den registreredes samtykke skal gives efter en elektronisk anmodning, skal anmodningen være klar, kortfattet og ikke unødigt forstyrre brugen af den tjeneste, som samtykke gives til.

(32) Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject's agreement to the processing of personal data relating to him or her, such as by a written statement, including by electronic means, or an oral statement. This could include ticking a box when visiting an internet website, choosing technical settings for information society services or another statement or conduct which clearly indicates in this context the data subject's acceptance of the proposed processing of his or her personal data. Silence, pre-ticked boxes or inactivity should not therefore constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. When the processing has multiple purposes, consent should be given for all of them. If the data subject's consent is to be given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.

(33) Det er ofte ikke muligt fuldt ud at fastlægge formålet med behandling af personoplysninger til videnskabelige forskningsformål, når oplysninger indsamles. De registrerede bør derfor kunne give deres samtykke til bestemte videnskabelige forskningsområder, når dette er i overensstemmelse med anerkendte etiske standarder for videnskabelig forskning. Registrerede bør have mulighed for kun at give deres samtykke til bestemte forskningsområder eller dele af forskningsprojekter i det omfang, det tilsigtede formål tillader det.

(33) It is often not possible to fully identify the purpose of personal data processing for scientific research purposes at the time of data collection. Therefore, data subjects should be allowed to give their consent to certain areas of scientific research when in keeping with recognised ethical standards for scientific research. Data subjects should have the opportunity to give their consent only to certain areas of research or parts of research projects to the extent allowed by the intended purpose.

(42) Hvis behandling er baseret på den registreredes samtykke, bør den dataansvarlige kunne påvise, at den registrerede har givet samtykke til behandlingen. Navnlig i forbindelse med skriftlige erklæringer om andre forhold bør garantier sikre, at den registrerede er bekendt med, at og i hvilket omfang der er givet samtykke. I overensstemmelse med Rådets direktiv 93/13/EØF (10) bør der stilles en samtykkeerklæring udformet af den dataansvarlige til rådighed i en letforståelig og lettilgængelig form og i et klart og enkelt sprog, og den bør ikke indeholde urimelige vilkår. For at sikre, at samtykket er informeret, bør den registrerede som minimum være bekendt med den dataansvarliges identitet og formålene med den behandling, som personoplysningerne skal bruges til. Samtykke bør ikke anses for at være givet frivilligt, hvis den registrerede ikke har et reelt eller frit valg eller ikke kan afvise eller tilbagetrække sit samtykke, uden at det er til skade for den pågældende.

(42) Where processing is based on the data subject's consent, the controller should be able to demonstrate that the data subject has given consent to the processing operation. In particular in the context of a written declaration on another matter, safeguards should ensure that the data subject is aware of the fact that and the extent to which consent is given. In accordance with Council Directive 93/13/EEC [10] a declaration of consent pre-formulated by the controller should be provided in an intelligible and easily accessible form, using clear and plain language and it should not contain unfair terms. For consent to be informed, the data subject should be aware at least of the identity of the controller and the purposes of the processing for which the personal data are intended. Consent should not be regarded as freely given if the data subject has no genuine or free choice or is unable to refuse or withdraw consent without detriment.

[10]  Rådets direktiv 93/13/EØF af 5. april 1993 om urimelige kontraktvilkår i forbrugeraftaler (EFT L 95 af 21.4.1993, s. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC

[10] Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts (OJ L 95, 21.4.1993, p. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC

(43) Med henblik på at sikre, at der frivilligt er givet samtykke, bør samtykke ikke udgøre et gyldigt retsgrundlag for behandling af personoplysninger i et specifikt tilfælde, hvis der er en klar skævhed mellem den registrerede og den dataansvarlige, navnlig hvis den dataansvarlige er en offentlig myndighed, og det derfor er usandsynligt, at samtykket er givet frivilligt under hensyntagen til alle de omstændigheder, der kendetegner den specifikke situation. Samtykke formodes ikke at være givet frivilligt, hvis det ikke er muligt at give særskilt samtykke til forskellige behandlingsaktiviteter vedrørende personoplysninger, selv om det er hensigtsmæssigt i det enkelte tilfælde, eller hvis opfyldelsen af en kontrakt, herunder ydelsen af en tjeneste, gøres afhængig af samtykke, selv om et sådant samtykke ikke er nødvendigt for dennes opfyldelse.

(43) In order to ensure that consent is freely given, consent should not provide a valid legal ground for the processing of personal data in a specific case where there is a clear imbalance between the data subject and the controller, in particular where the controller is a public authority and it is therefore unlikely that consent was freely given in all the circumstances of that specific situation. Consent is presumed not to be freely given if it does not allow separate consent to be given to different personal data processing operations despite it being appropriate in the individual case, or if the performance of a contract, including the provision of a service, is dependent on the consent despite such consent not being necessary for such performance.

Руководство и прецедентное право Оставить комментарий
[js-disqus]