📖 ЗАКОННОСТЬ ОБРАБОТКИ И СОГЛАСИЕ
GDPR требует, чтобы контролеры обрабатывали персональные данные «законно, справедливо и прозрачно».
Для законной обработки данных контролер должен иметь одно из 6 оснований:
🔸 согласие;
🔸 выполнение договорного обязательства;
🔸 соблюдение юридического обязательства;
🔸 защита жизненных интересов субъекта данных;
🔸 выполнение задач в общественных интересах;
🔸 выполнение задач в законных интересах контролера или третьего лица, если они сбалансированы с правами и интересами субъекта данных.
❗️ Если контролер не может продемонстрировать одно из этих оснований для обработки, то такая обработка будет незаконной.
За исключением случаев, когда, например, преобладает свобода слова и другие публичные интересы.
Сегодня мы поговорим только о согласии.
Согласие субъекта данных – это «добровольное, конкретное, информированное и однозначное волеизъявление, в котором субъект данных с помощью заявления или четкого утвердительного действия дает согласие на обработку своих персональных данных».
Контролер обязан продемонстрировать, что субъект данных дал согласие на обработку и согласие должно быть предоставлено в понятной и легко доступной форме, с использованием ясных и понятных формулировок и без несправедливых условий, в том числе в соответствии с требования законодательства о защите прав потребителей.
Теперь пройдемся по элементам дефиниции:
1️⃣ Добровольное (freely given)
«Добровольное» согласие означает, что субъект данных должен иметь реальный выбор и иметь возможность отказаться или отозвать согласие.
Не будет добровольности согласия, когда есть явное неравенство между субъектом данных и контролёром, особенно когда контролёр является публичным органом власти.
Это касается и отношений работодатель-работник, поскольку одна из сторон зависит от другой.
2️⃣ Конкретное (specific)
Чтобы быть законным, согласие также должно быть «конкретным».
Согласие должно быть дано для конкретной операции обработки и контролер должен четко объяснить предполагаемое использование данных, чтобы согласие, данное субъектом данных, было согласием на эту конкретную обработку.
Если обработка имеет несколько целей, необходимо дать согласие на все из них.
Обработка для нескольких целей может вызвать трудности, поскольку не всегда возможно заранее точно знать, какая обработка будет задействована, и, следовательно, согласие, данное в конкретное время, будет ограничено конкретными параметрами, установленными тогда.
Если процесс обработки изменяется, может потребоваться запросить новые согласия от всех затронутых лиц, поскольку ранее предоставленное согласие не распространяется на новую обработку.
3️⃣ Информированное (informed)
Согласие должно быть «информированным», чтобы субъекту данных предоставлялись все необходимые подробности процесса обработки на языке и в форме, которую он может понять.
Контролер всегда должен демонстрировать, что согласие субъекта данных было дано на основе достаточно точной информации, включая всю информацию, необходимую для надлежащего получения согласия.
✅ НАПРИМЕР
Размещение кнопки «подтвердить» в онлайн-форме для субъекта данных может и не означать согласия в соответствии с законом о защите данных.
4️⃣ Однозначное волеизъявление (unambiguous indication)
Чтобы быть «однозначно волеизъявленным», заявление субъекта данных или его действия не должны оставлять сомнений относительно его намерения дать согласие.
Если существует неопределенность относительно того, было ли дано согласие, обстоятельства истолковываются не в пользу контролера.
Если субъект данных активно отмечает поле выбора, действие, скорее всего, будет считаться однозначным согласием, тогда как поле с предварительно отмеченной галочкой может и не быть.
GDPR требует, чтобы контролеры обрабатывали персональные данные «законно, справедливо и прозрачно».
Для законной обработки данных контролер должен иметь одно из 6 оснований:
🔸 согласие;
🔸 выполнение договорного обязательства;
🔸 соблюдение юридического обязательства;
🔸 защита жизненных интересов субъекта данных;
🔸 выполнение задач в общественных интересах;
🔸 выполнение задач в законных интересах контролера или третьего лица, если они сбалансированы с правами и интересами субъекта данных.
❗️ Если контролер не может продемонстрировать одно из этих оснований для обработки, то такая обработка будет незаконной.
За исключением случаев, когда, например, преобладает свобода слова и другие публичные интересы.
Сегодня мы поговорим только о согласии.
Согласие субъекта данных – это «добровольное, конкретное, информированное и однозначное волеизъявление, в котором субъект данных с помощью заявления или четкого утвердительного действия дает согласие на обработку своих персональных данных».
Контролер обязан продемонстрировать, что субъект данных дал согласие на обработку и согласие должно быть предоставлено в понятной и легко доступной форме, с использованием ясных и понятных формулировок и без несправедливых условий, в том числе в соответствии с требования законодательства о защите прав потребителей.
Теперь пройдемся по элементам дефиниции:
1️⃣ Добровольное (freely given)
«Добровольное» согласие означает, что субъект данных должен иметь реальный выбор и иметь возможность отказаться или отозвать согласие.
Не будет добровольности согласия, когда есть явное неравенство между субъектом данных и контролёром, особенно когда контролёр является публичным органом власти.
Это касается и отношений работодатель-работник, поскольку одна из сторон зависит от другой.
2️⃣ Конкретное (specific)
Чтобы быть законным, согласие также должно быть «конкретным».
Согласие должно быть дано для конкретной операции обработки и контролер должен четко объяснить предполагаемое использование данных, чтобы согласие, данное субъектом данных, было согласием на эту конкретную обработку.
Если обработка имеет несколько целей, необходимо дать согласие на все из них.
Обработка для нескольких целей может вызвать трудности, поскольку не всегда возможно заранее точно знать, какая обработка будет задействована, и, следовательно, согласие, данное в конкретное время, будет ограничено конкретными параметрами, установленными тогда.
Если процесс обработки изменяется, может потребоваться запросить новые согласия от всех затронутых лиц, поскольку ранее предоставленное согласие не распространяется на новую обработку.
3️⃣ Информированное (informed)
Согласие должно быть «информированным», чтобы субъекту данных предоставлялись все необходимые подробности процесса обработки на языке и в форме, которую он может понять.
Контролер всегда должен демонстрировать, что согласие субъекта данных было дано на основе достаточно точной информации, включая всю информацию, необходимую для надлежащего получения согласия.
✅ НАПРИМЕР
Размещение кнопки «подтвердить» в онлайн-форме для субъекта данных может и не означать согласия в соответствии с законом о защите данных.
4️⃣ Однозначное волеизъявление (unambiguous indication)
Чтобы быть «однозначно волеизъявленным», заявление субъекта данных или его действия не должны оставлять сомнений относительно его намерения дать согласие.
Если существует неопределенность относительно того, было ли дано согласие, обстоятельства истолковываются не в пользу контролера.
Если субъект данных активно отмечает поле выбора, действие, скорее всего, будет считаться однозначным согласием, тогда как поле с предварительно отмеченной галочкой может и не быть.
Комментарии
Отправить комментарий