2. Если согласие субъекта данных дается в письменной декларации, которая также касается и других вопросов, запрос согласия должен быть представлен ему таким образом, чтобы запрос четко отличался от других вопросов, был в понятной и доступной форме, использовал ясный и простой язык. Любая часть такой декларации, которая представляет собой нарушение настоящего Регламента, не является обязательной.
(42) Если обработка осуществляется на основании согласия субъекта данных, контролёр должен быть в состоянии продемонстрировать, что субъект данных дал согласие на операцию по обработке. В частности, в случае письменного заявления, представленного по другому вопросу, должны быть гарантии, что субъект данных осознает даваемое согласие и его объем. В соответствии с директивой Совета 93/13 / EEC [10] заявление о согласии, которое подготовил контролёр, должно предоставляться в понятной и легко доступной форме, использовать четкий и простой язык, не должно содержать несправедливые условия. Информированным согласие является когда субъект данных осведомлен, по крайней мере, о наименовании (имени) контролёра и целях обработки, для которых предназначаются персональные данные. Согласие не должно рассматриваться как данное свободно, если субъект данных не имеет подлинного или свободного выбора, либо не может отказаться или отозвать свое согласие без негативных последствий.
[10] Директива 93/13/ЕЭС Совета ЕС от 5 апреля 1993 г. о несправедливых условиях в договорах с потребителями (Официальный журнал Европейского союза N L 95, 21.04.1993, стр. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC
3. Субъект данных имеет право в любое время отозвать свое согласие. Отзыв согласия не влияет на законность обработки, которая была основана на согласии до его отзыва. Субъект данных должен быть проинформирован об этом перед тем, как он выразил согласие. Отзыв согласия должен быть столь же прост, как и его выражение.
4. При оценке, выражено ли согласие добровольно, наибольшее внимание следует уделить, помимо всего прочего, тому, не обуславливается ли выполнение договора (в том числе исполнение услуги) дачей согласия на обработку персональных данных, которые не нужны для выполнения договора.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraph to article 7(4) GDPR:
8.2.3 Marketing and advertising use
Control
The organization should not use PII processed under a contract for the purposes of marketing and advertising without establishing that prior consent was obtained from the appropriate PII principal.
…
Logga in
för att komma åt hela textenу
(43) Для обеспечения добровольности согласия, оно не должно предоставлять допустимое правовое основание для обработки персональных данных в отдельных случаях, когда имеет место явное неравенство между субъектом данных и контролёром, особенно когда контролёр является публичным органом власти и поэтому низка вероятность того, что во всех условиях данного отдельного случая согласие дано свободно. Предполагается, что согласие не является свободным, если невозможно дать отдельного согласия на разные операции по обработке персональных данных, несмотря на то, что оно в данном случае было бы уместным, или если исполнение договора, в том числе предоставление услуги, ставится в зависимость от дачи согласия, несмотря на то, что для его исполнения согласие не является необходимым.
(32) Согласие на обработку персональных данных субъекта данных должно выражаться четким утвердительным действием, устанавливающим добровольное, конкретное, обоснованное и однозначное волеизъявление, например, письменным (в том числе, в электронной форме) либо устным заявлением. Таким согласием можно считать также проставление галочки при посещении сайта в интернете, выбор технических настроек услуг информационного общества, либо иные действия, которые явно указывают на то, что в данном контексте субъект данных согласен на предполагаемую обработку ее/его персональных данных. При этом, молчание, ранее проставленная галочка при посещении сайта или бездействие не должны рассматриваться как согласие. Согласие должно охватывать все способы обработки персональных данных, осуществляемые для достижения одной и той же цели. В случае, если обработка персональных данных имеет несколько целей, необходимо получить согласие для каждой из них. Если согласие субъекта данных даётся по запросу с помощью электронных средств, этот запрос должен быть ясным, чётким и не препятствующим использованию сервиса его запрашивающего.
Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO – https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО “Дата Прайваси Офис”.
(EN) A controller relying on consent as a legal basis to collect, store or use data should respect the basic principles stated in article 4 (11), which provides a legal definition of the notion, and always make sure that it meets the additional conditions listed in article 7. A person must supply a “freely given” consent, distinct from other related matters, and s/he should be offered a “genuine choice” between accepting or refusing to provide it without having to suffer any negative consequences (Guidelines on Consent and recital 42). It is also essential to offer a person full control over her/his consent, including the possibility to withdraw it at any time, and to keep adequate records of consents.
…
Logga in
för att komma åt hela textenу
(EN)
Concern: Withdrawal of consent to process my personal data
Dear Madam, Dear Sir,
You are currently processing my personal data based on my consent…
…
Logga in
för att komma åt hela textenу
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to articles 7(1) and 7(2) GDPR:
7.2.4 Obtain and record consent
Control
The organization should obtain and record consent from PII principals according to the documented processes.
Implementation guidance
The organization should obtain and record consent from PII principals in such a way that it can provide on request details of the consent provided (for example the time that consent was provided, the identification of the PII principal, and the consent statement).
…
Logga in
för att komma åt hela textenу
(32) Согласие на обработку персональных данных субъекта данных должно выражаться четким утвердительным действием, устанавливающим добровольное, конкретное, обоснованное и однозначное волеизъявление, например, письменным (в том числе, в электронной форме) либо устным заявлением. Таким согласием можно считать также проставление галочки при посещении сайта в интернете, выбор технических настроек услуг информационного общества, либо иные действия, которые явно указывают на то, что в данном контексте субъект данных согласен на предполагаемую обработку ее/его персональных данных. При этом, молчание, ранее проставленная галочка при посещении сайта или бездействие не должны рассматриваться как согласие. Согласие должно охватывать все способы обработки персональных данных, осуществляемые для достижения одной и той же цели. В случае, если обработка персональных данных имеет несколько целей, необходимо получить согласие для каждой из них. Если согласие субъекта данных даётся по запросу с помощью электронных средств, этот запрос должен быть ясным, чётким и не препятствующим использованию сервиса его запрашивающего.
(33) Зачастую невозможно в полной мере определить цель обработки персональных данных, предназначенных для научных исследований в момент сбора данных. Поэтому субъектам данных должна предоставляться возможность дать своё согласие для отдельных сфер научных исследований, исходя из соответствия их целей признанным этическим стандартам научных исследований. Субъекты данных должны иметь возможность давать своё согласие только в отношении отдельных сфер исследований или части научно-исследовательских проектов в соответствии с поставленной целью.
(42) Если обработка осуществляется на основании согласия субъекта данных, контролёр должен быть в состоянии продемонстрировать, что субъект данных дал согласие на операцию по обработке. В частности, в случае письменного заявления, представленного по другому вопросу, должны быть гарантии, что субъект данных осознает даваемое согласие и его объем. В соответствии с директивой Совета 93/13 / EEC [10] заявление о согласии, которое подготовил контролёр, должно предоставляться в понятной и легко доступной форме, использовать четкий и простой язык, не должно содержать несправедливые условия. Информированным согласие является когда субъект данных осведомлен, по крайней мере, о наименовании (имени) контролёра и целях обработки, для которых предназначаются персональные данные. Согласие не должно рассматриваться как данное свободно, если субъект данных не имеет подлинного или свободного выбора, либо не может отказаться или отозвать свое согласие без негативных последствий.
[10] Директива 93/13/ЕЭС Совета ЕС от 5 апреля 1993 г. о несправедливых условиях в договорах с потребителями (Официальный журнал Европейского союза N L 95, 21.04.1993, стр. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC
(43) Для обеспечения добровольности согласия, оно не должно предоставлять допустимое правовое основание для обработки персональных данных в отдельных случаях, когда имеет место явное неравенство между субъектом данных и контролёром, особенно когда контролёр является публичным органом власти и поэтому низка вероятность того, что во всех условиях данного отдельного случая согласие дано свободно. Предполагается, что согласие не является свободным, если невозможно дать отдельного согласия на разные операции по обработке персональных данных, несмотря на то, что оно в данном случае было бы уместным, или если исполнение договора, в том числе предоставление услуги, ставится в зависимость от дачи согласия, несмотря на то, что для его исполнения согласие не является необходимым.
(EN)
Article 29 Working Party, Opinion 4/2012 on Cookie Consent Exemption (2012).
Article 29 Working Party, Working Document 2/2013 Providing Guidance on Obtaining Consent for Cookies (2013).
EDPB, Guidelines 5/2020 on Consent under Regulation 2016/679 (2020).
CNIL, Guidelines on Cookies and Tracking Devices (in French) (2019).
European Commission, Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection Brussels (2020).
CJEU, Judgment in Planet 49 Gmbh, Case C-673/17 (2019).
Belgian DPA Fines Belgian Telecommunications Provider for Several Data Protection Infringements, (2020). Brief description in English.
CJEU, Data Protection Commissioner/Facebook Ireland Ltd and Schrems, C-311/18 (2020).
CNIL, Cookies : sanction de 35 millions d’euros à l’encontre d’AMAZON EUROPE CORE and sanction de 60 millions d’euros à l’encontre de GOOGLE LLC et de 40 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED (2020).
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 7(3) GDPR:
7.3.4 Providing mechanism to modify or withdraw consent
Control
The organization should provide a mechanism for PII principals to modify or withdraw their consent.
Implementation guidance
The organization should inform PII principals of their rights related to withdrawing consent (which may vary by jurisdiction) at any time, and provide the mechanism to do so.
…
Logga in
för att komma åt hela textenу