Содержание

Согласие на обработку персональных данных. Образец и бланк 2021 года

Относительно недавно в России был введен в оборот новый документ под названием «Согласие на обработку персональных данных». Очень быстро он получил повсеместное распространение и на данный момент широко используется в самых разных организациях, начиная от государственных бюджетных учреждений и до коммерческих компаний.

ФАЙЛЫ
Скачать пустой бланк согласия на обработку персональных данных .docСкачать образец согласия на обработку персональных данных .doc

Что собой представляет согласие

Согласие на обработку персональных данных – это письменное разрешение гражданина Российской Федерации, которое он дает заинтересованной стороне на получение, сбор, хранение и использование персональных сведений о себе.

Также документ гарантирует человеку то, что информация о нем будет применяться для строго определенных целей и будет защищена от неправомерных действий.

Когда чаще всего требуется согласие

Сейчас согласие необходимо писать почти повсеместно:

  • при подаче документов на ребенка в садик или школу;
  • при трудоустройстве;
  • при заключении договора с банком, страховой компанией и т.д.

Иными словами, везде, где гражданин предоставляет свои личные документы или документы лица, представителем которого он является, заполняет различного рода тесты и анкеты, он подписывается такое согласие.

Что вкладывается в термин «персональные данные»

Закон четко определяет это понятие: под персональными данными понимается вся информация, которая напрямую относится к человеку, как к физическому лицу. Это:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • сведения из паспорта, трудовой книжки и прочих документов;
  • а также некоторые характеристики его личности.

При этом следует отметить, что согласие на обработку персональных данных требуется даже несмотря на то, что далеко не все эти сведения имеют характер конфиденциальных и закрытых.

В частности их условно можно поделить на три основных вида:

  1. общедоступные данные (ФИО, пол, дата, место рождения, гражданство и т.п.)
  2. биометрические (физиологические особенности индивида, его внешние параметры)
  3. специальные (народность, религия, здоровье и т.д.). Сюда же в некоторой степени относится и информация о месте работы человека, его отношениях с законодательством, привычках и т.п.

По закону, согласие на обработку персональных действий строго необходимо только тогда, когда оно касается двух последних из вышеназванных категорий, однако зачастую оно пишется и в отношении той информации, которая имеет позицию общедоступной.

Для чего формируется согласие на обработку при трудоустройстве

Когда человек устраивается на работу, он дает представителю работодателя свои личные документы: паспорт, трудовую книжку, СНИЛС, свидетельство об образовании, медкнижку, военный билет и т.д. Как только эти бумаги попадают на стол специалиста по кадрам, они получают статус конфиденциальных (что обеспечивается статьей 14 Трудового Кодекса РФ), поэтому для их дальнейшего использования (а без этого в кадровом делопроизводстве никак не обойтись), необходимо заручиться письменным согласием работника (п.

8 ст. 65 ТК РФ).

В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.

Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.

Если сотрудник отказывается подписывать согласие

Законодательство РФ однозначно говорит о том, что согласие должно быть только и исключительно добровольным, то есть работодатель не имеет права принудить подчиненного подписать данный документ, поэтому в практике кадровых специалистов встречаются люди, которые отказываются подписывать согласие на обработку персональных данных.

Обычно это бывает вызвано тем, что они не понимают истинного назначения документа: защитить права работника, а напротив, опасаются, что личные сведения о них попадут в руки недобросовестных граждан.

В этих случаях закон допускает обработку персональных данных без согласия работника, но только тогда, когда это нужно для реализации условий и целей ранее заключенного трудового договора.

Здесь отдельно следует акцентировать внимание на том, что это касается только тех сотрудников организации, которые уже зачислены в ее штат, а вот в отношении новых работников согласие на обработку персональных данных получить необходимо – без него в большинстве случаев человека на сегодняшний день даже невозможно принять на работу. Связано это с тем, что между сторонами еще не заключен трудовой договор, а значит, у работодателя еще нет и обязанности его исполнять.

Логично, что администрация предприятия стремится избежать ситуаций, когда, например, даже в таких мелочах, как выписка пропуска на территорию компании, отсутствие согласия на обработку персональных данных может сыграть свою негативную роль.

Что грозит за разглашение персональных данных

Как уже говорилось выше, действия, которые работодатель может совершать с персональными данными работников, четко прописываются в тексте согласия.

Если полномочия в какой-то степени превышаются, а, тем более, если происходит какое-то злоупотребление, ответственность может наступить самая серьезная: начиная от дисциплинарной и административной, вплоть до уголовной.

Для того, чтобы сотрудник имел четкое представление о том, не выходит ли запрашиваемая у него информация за рамки нужной по закону или не превышаются ли полномочия работников предприятия по тексту согласия, следует заранее проанализировать документ (возможно даже воспользовавшись помощью квалифицированного юриста) и только тогда ставить под согласием свою подпись.

В частности, данные о том, отбывал ли гражданин срок в местах лишения свободы, нужна только тогда, когда должность, на которую он претендует, напрямую требует отсутствия судимости (иными словами, если соискатель хочет работать менеджером по рекламе, такие данные он имеет право не предоставлять).

Как уведомить

Законодательство гласит о том, что представители организаций должны извещать Роскомнадзор об обработке поступивших в их распоряжение всех персональных данных (статья 22 закона № 152-ФЗ). Посмотреть, исполняет ли работодатель эту норму закона можно на сайте данной госструктуры.

Можно ли отозвать согласие

Обычно действие с согласием на обработку персональных данных происходит так: устраиваясь на работу, человек подписывает документ, после чего благополучно о нем забывает.

Но в некоторых случаях, возникает необходимость об отзыве ранее подписанного согласия. Как правило, это бывает, когда работодатель нарушает условия хранения, использования и обеспечения закрытости поступившей в его распоряжение информации, а также при увольнении.

Для того, чтобы оформить отзыв достаточно всего лишь написать заявление в свободной форме, потребовать в нем прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о подчиненном (сослаться надо на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22).

Это требование должно быть выполнено не позже чем через месяц после написания отзыва.

Образец согласия

Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. При этом в бланке обязательно должны быть следующие данные:

  • наименование компании-работодателя;
  • место и дата составления документа;
  • фамилия, имя, отчество работника, его паспортные данные и сведения о месте жительства.

Далее в основной части подробно указывается:

  • каких именно персональных данных касается документ;
  • в каких целях и что именно допустимо с ними делать;
  • срок действия согласия и возможность его отзыва (хотя это итак гарантировано законодательством).

Обязательно следует поставить отметку о том, что согласие написано без принуждения и в добровольном порядке. После того этого под документом ставится подпись.

СОГЛАСИЕ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

г. Иваново

03.08.2018 г.

Я, Ковтун Инна Олеговна, паспорт 2495 564738, выдан Ленинским РОВД г. Иваново, адрес регистрации: г. Иваново, ул. Мельничная д.73, кв. 8, даю свое согласие ОАО «КомЖилФонд» на обработку моих персональных данных. Согласие касается фамилии, имени, отчества, данных о поле, дате рождении, гражданстве, типе документа, удостоверяющем личность (его серии, номере, дате и месте выдачи), а также сведений из трудовой книжки: опыте работы, месте работы и должности.

Я даю согласие на использование персональных данных исключительно в целях формирования кадрового документооборота предприятия, бухгалтерских операций и налоговых отчислений, а также на хранение всех вышеназванных данных на электронных носителях. Также данным согласием я разрешаю сбор моих персональных данных, их хранение, систематизацию, обновление, использование (в т.ч. передачу третьим лицам для обмена информацией), а также осуществление любых иных действий, предусмотренных действующим законом Российской Федерации.

До моего сведения доведено, что ОАО «КомЖилФонд» гарантирует обработку моих персональных данных в соответствии с действующим законодательством Российской Федерации. Срок действия данного согласия не ограничен. Согласие может быть отозвано в любой момент по моему письменному заявлению.

Подтверждаю, что давая согласие я действую без принуждения, по собственной воле и в своих интересах.

Ковтун И.О. (подпись)

Доверенность на дачу согласия на обработку персональных данных: бланк, образец 2021

                           ДОВЕРЕННОСТЬ N _____
на дачу согласия на обработку
персональных данных  1
______________________________________________
(дата, место совершения прописью  2 )

Гражданин(ка) ___________________ _____________________________________
(гражданство)        (Ф. И.О. доверителя полностью)
_____ года рождения, паспорт серии _____ N _______ выдан __________________
"__"_____ ____ г., код подразделения ______________, зарегистрированный(ая)
по адресу: ____________, проживающий(ая) по адресу: ______________________,
настоящей     доверенностью    уполномочивает   гр. _______________________
(гражданство)
______________________________________________, ____________ года рождения,
(Ф.И.О. доверенного лица полностью)
паспорт серии _________ N ___________ выдан _______________________________
"__"___________ ____ г.,  код    подразделения ___________________________,
зарегистрированного(ую) по адресу: ______________________, проживающего(ую)
по адресу: __________________________________, давать согласие на обработку
персональных данных доверителя в следующем порядке: ___________________ или
не соглашаться с обработкой таких данных в форме _____________________  
3
, отзывать согласие на обработку персональных данных доверителя в случае _____________________ 4 , а также осуществлять иные права, предусмотренные законодательством Российской Федерации в области персональных данных при выполнении данного поручения. Доверенность выдана сроком на ____________________ месяца(ев) (вариант: год(а), лет) 5 без права (вариант: с правом) передоверия 6 . Подпись _________________________ ______________ удостоверяю. (Ф.И.О. доверенного лица) (подпись) Доверитель: ________________________/_______________/ (подпись) (Ф.И.О.)

Согласия на обработку персональных данных, образец 2021

Что понимают под термином «персональные данные»

Сначала разберемся, что относится к личной информации и для чего ее охраняет закон. Заключение трудовых отношений между работником и работодателем обязывает последнего надлежащим образом осуществлять сбор, систематизацию, накопление, обновление, хранение и использование любой информации, относящейся к конкретному сотруднику или позволяющей его идентифицировать. Все личные сведения объединяются понятием персональных данных, а перечисленные процессы и операции называются обработкой. На законодательном уровне оба термина определяются и регулируются Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ и главой 14 Трудового кодекса Российской Федерации. Обязательный документ, который необходимо оформить на каждого работника и дать ему на подпись, — согласие на обработку персданных. В случае его отсутствия предприятие ждет штраф.

Состав личных данных

Законодательные документы не содержат строгого перечисления личных данных. Обычно работник предоставляет в распоряжение работодателя следующие сведения:

  • об образовании;
  • трудовом и общем стаже;
  • составе семьи;
  • воинском учете;
  • заработной плате;
  • социальных льготах;
  • занимаемой должности;
  • наличии судимостей;
  • адресе по месту регистрации и проживания;
  • контактных телефонах;
  • местах работы или учебы членов семьи;
  • условиях трудового договора;
  • наличии декларируемых материальных ценностей;
  • материалах по повышению квалификации, переподготовке, аттестации и служебных расследованиях и прочие.

Как работодателю получить разрешение на работу с личными сведениями сотрудника

Начинать работу с информацией следует с получения согласия. Необходимость этого шага продиктована п. 1 ст. 6 закона № 152-ФЗ, который гласит:

«согласие… дано субъектом… или его представителем в любой, позволяющей подтвердить факт его получения, форме, если иное не установлено Федеральным законом».

Работодателям рекомендуют разработать образец заявления на обработку персональных данных с помощью нового онлайн-сервиса Роскомнадзора, в который включить:

  • ФИО и паспортные данные сотрудника или его представителя;
  • полное наименование и адрес работодателя;
  • цель обработки информации;
  • перечень запрашиваемых данных;
  • срок действия разрешения;
  • способы отзыва согласия;
  • подпись работника.
С 1 сентября вступает в силу Приказ Роскомнадзора от 24.02.2021 № 18, которым введены требования к содержанию разрешения на обработку персональных данных, разрешенных работником для распространения. Это отдельный вид согласия, оформляемый на основании ч. 1 ст. 10.1 № 152-ФЗ.

Для чего формируется согласие при трудоустройстве

Фактически работодатель получает доступ к личным данным сотрудника в момент ознакомления с резюме или анкетой, т. е. до официального трудоустройства. И уже с этого момента должностные лица отвечают по ст. 90 ТК РФ за некорректное обращение с полученной информацией.

Чтобы защитить интересы обеих сторон, работник предоставляет разрешение на работу с личной информацией еще до заключения трудового договора.

Если сотрудник отказывается подписывать согласие

В соответствии с п. 1 ст. 9 закона № 152-ФЗ физлицо предоставляет данные о себе добровольно. Таким образом, работник вправе не давать согласие, если использование сведений о нем не связано напрямую с выполнением должностных обязанностей. Иными словами, отказ подписать разрешение не должен препятствовать трудовым отношениям. Тем более оно не требуется, когда речь идет о передаче сведений в Пенсионный фонд РФ, налоговую службу и другие установленные законодательством органы. Но на практике отказ иногда влечет за собой невозможность осуществлять трудовую деятельность — например, когда у работодателя установлен пропускной режим. Это и надо объяснить сотруднику, убедив, что для иных целей сведения о нем использовать никто не собирается.

Как правильно организовать работу с персональными данными в организации, видео

Образец согласия на обработку персональных данных

Согласие на обработку персональных данных — официальный документ, позволяющий организациям работать с личной информацией гражданина. Он должен быть у любого юридического и физического лица, которое получает, использует, передает или хранит такие сведения. В статье — образец соглашения на обработку персональных данных и требования к его оформлению.

Что относят к личной информации граждан

Персданные и порядок обращения с ними регулирует Федеральный закон от 27. 07.2006 № 152-ФЗ. В соответствии с этим документом, личной информацией гражданина считаются любые сведения, относящиеся к нему. Какая именно это информация о человеке, в законе не раскрывается, но на практике подлежат защите:

  • Ф.И.О.;
  • дата и место рождения;
  • адрес проживания и регистрации;
  • семейный статус и имущественное положение;
  • образование;
  • национальность и политические взгляды;
  • вероисповедание и состояние здоровья;
  • прочая общая и специфичная информация, позволяющая идентифицировать гражданина.

Обычно все эти сведения человек сообщает сам. Пользователями такой информации становятся государственные органы, медицинские, образовательные и кредитные организации, коммерческие структуры. Все они считаются операторами персональных данных и должны иметь соглашение с гражданами об обработке их личных сведений.

Хотите заявить о себе на отраслевых конференциях? Мы подготовим для вас специальный выпуск с качественными журналистскими материалами – под ключ.

Какие действия с персданными требуют согласия граждан

В законе № 152-ФЗ указано, что согласие требуется при любом действии (или их совокупности), совершаемом с личной информацией:

  • сбор и запись;
  • систематизация и накопление;
  • уточнение и использование;
  • извлечение и обезличивание;
  • передача и самой информации, и доступа к ней;
  • блокирование и хранение;
  • удаление и уничтожение сведений.

Неважно, как именно происходит обработка: на бумаге, с использованием средств автоматизации или без, онлайн-способом — оператор должен получить от каждого владельца согласие на обработку персональных данных (на сайте, например, вывесить). При этом деятельность работодателей с персданными — это отдельный случай, поскольку она дополнительно регулируется главой 14 ТК РФ. И они должны получать письменное заявление о согласии на обработку персональных данных от каждого работника — документ, который немного отличается от общего образца.

Образец формы согласия на обработку персональных данных

Чиновники не дают типовой формы разрешения на манипуляции с личной информацией граждан. Но само соглашение обязательно оформляется в письменном виде, и к нему есть ряд требований (ст. 9 закона № 152-ФЗ):

  • основные критерии документа — конкретика, информированность и сознательность;
  • среди обязательных реквизитов субъекта персданных — Ф.И.О., адрес, паспортные данные;
  • об операторе следует сообщать наименование, адрес, по желанию — контакты;
  • в согласии указывают:
    • цель получения сведений и действия с ними;
    • перечень данных, которые передает гражданин;
    • наименования третьих лиц, которые могут получить доступ к сведениям;
    • срок действия соглашения и способ его отзыва;
    • личная подпись владельца персданных.

Для работодателей все эти требования также актуальны, но они должны руководствоваться еще нормами ТК РФ. В частности, им запрещено работать со специфичной личной информацией сотрудников, а все общие персональные данные разрешено использовать только для реализации функций работодателя (сдача отчетности, подготовка пакета документов при трудоустройстве, направление на обучение или оценку квалификации, пр.).

Образец заполнения согласия на обработку персональных данных от сотрудника выглядит так:

 

Бланк согласия на обработку персональных данных (2019)

Звон монет. Кремль перестал ждать чего-либо от губернаторов

Губернаторы Петербурга и Ленобласти Александр Беглов и Александр Дрозденко на встрече с Владимиром Путиным в очередной раз попросили денег на дороги. И ничего лучше перед парламентскими выборами власть, похоже, предложить не может.

Михаил Шевчук 28.07.2021

Новость недели, которую вы все уже, конечно, знаете: губернатор Александр Беглов сбрил усы, которые носил, между прочим, много лет. Возможно, зря: раньше его хотя бы можно было отличить от других чиновников. Теперь, чтобы никого не путать, ему придется постоянно носить один и тот же галстук.

Михаил Шевчук 22.05.2021 Лев Каплан: «Пугает волна идиотских запретов: все притихли, боятся»

Вице-президент, директор «Союзпетростроя» Лев Каплан в интервью «Новому проспекту» поделился мнением о том, что сейчас происходит в строительном комплексе Петербурга, рассказал, как дружил с Анатолием Собчаком и о чем спорил с Валентиной Матвиенко, а также чем его беспокоит нынешняя политическая ситуация.

Александра Конфисахор 25.01.2021

Форма согласия на обработку персональных данных для online заявок

При этом, я ознакомлен и даю свое согласие на обработку моих персональных данных в соответствии с Политикой (правилами) обработки персональных данных каждого из Операторов в отдельности.

Учитывая, что в соответствии с п. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» обработка персональных данных допускается в случаях, если такая обработка необходима для исполнения договора, даю своё согласие на обработку Операторами любыми способами предусмотренными действующим законодательством РФ, в том числе передачу по защищенным информационным каналам информационно-коммуникационной сети «Интернет», а также на совершение любых действий с указанными персональными данными с использованием средств автоматизации или без, в том числе на сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, обезличивание, блокирование, передачу третьим лицам, удаление и уничтожение, моих персональных данных, содержащихся в анкете на получение кредита, в том числе, но не ограничиваясь:

  • фамилия, имя, отчество;
  • пол;
  • дата рождения;
  • адрес регистрации;
  • адрес фактического проживания;
  • электронная почта;
  • номер мобильного телефона;
  • данные гражданского паспорта;
  • данные о семейном положении;
  • данные водительского удостоверения;
  • данные регистрации места жительства;
  • данные о месте работы;
  • VIN номер автомобиля.
Целями предоставления мною персональных данных является возможность заключения с Оператором договоров по оказанию банковских услуг (кредитного договора, договора рефинансирования, иных договоров), иных гражданско-правовых договоров (в том числе заключения договора лизинга, займа) и их дальнейшее исполнение, страхование моей жизни/здоровья/имущества и иного страхование, осуществляемое при содействии Оператора или в пользу Оператора и/или в связи с заключением сделок между мной и Оператором, направление мне рекламных и/или информационных материалов, с помощью средств связи, в том числе, по сетям электросвязи, посредством использования телефонной, факсимильной, подвижной радиотелефонной связи (включая СМС – сообщения), а также по сети «Интернет» (включая мессенджеры и электронную почту). Настоящее согласие также действует на передачу моих персональных данных третьим лицам, непосредственно оказывающим запрошенную мной услугу – организациям, являющимися партнёрами Операторов.

Оператор, осуществляющий обработку персональных данных, вправе поручить обработку персональных данных, в т. ч., но не ограничиваясь, персональных данных, имеющихся в распоряжении партнеров Оператора, третьим лицам, действующим на основании агентских договоров или иных договоров, заключенных ими с Оператором, а они вправе осуществлять обработку персональных данных и передавать их и результат их обработки Оператору для достижения вышеуказанных целей обработки персональных данных. Право выбора указанных лиц предоставляется Оператору по его усмотрению и дополнительного согласования не требует.

Настоящее согласие действует с момента его подписания и до даты, наступающей через 5 (пять) лет с даты прекращения обязательств сторон по заключенным с Оператором договоров. Настоящее согласие может быть отозвано путем предоставления мной заявления Оператору в простой письменной форме в соответствии с требованиями законодательства Российской Федерации. В случае получения моего письменного заявления об отзыве настоящего согласия на обработку персональных данных, Оператор обязан прекратить их обработку, если иное не установлено действующим законодательством Российской Федерации.

Я подтверждаю, что, давая такое согласие на обработку моих персональных данных, действую по собственной воле и в своих интересах.

ФИО: _____________________________________
Дата: _____________________________________
Идентификатор ПЭП: _____________________________________

Образец согласия на обработку персональных данных при посещении медицинского центра

Я, [Ф.И.О. пациента], [Ф.И.О. законного представителя несовершеннолетнего лица],

паспорт серия: [серия паспорта], номер: [номер паспорта], выдан [когда и кем выдан паспорт], проживающий (ая) по адресу: [адрес регистрации / проживания пациента], телефон: [контактный телефон],

своей волей и в своем интересе в соответствии с Федеральным законом от 27.07.2006г. №152-ФЗ «О персональных данных», Основами законодательства РФ об охране здоровья граждан №5487-1 и иными нормативно-правовыми актами принял решение о предоставлении своих персональных данных (далее – «ПД») и даю согласие на их обработку ООО «МОСТ-ФАРМ», зарегистрированному по адресу: 143000, Московская область, г. Одинцово, ул.Маршала Жукова, д. 9, (далее – «Оператор ПД») в целях осуществления медицинской деятельности, организации оказания медицинских услуг на совершение следующих действий с ПД: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение.

Под ПД в настоящем документе понимается любая информация, относящаяся ко мне, в том числе фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, паспортные данные, семейное положение, данные о детях, сведения трудовой деятельности, контактный телефон, e-mail, профессия, и другие категории ПД, в том числе состояние здоровья и группа инвалидности (в том числе составляющие врачебную тайну согласно ст. 61 Основ законодательства РФ об охране здоровья граждан № 5487-1).

Настоящее согласие дано на использование следующих способов обработки ПД:

  • неавтоматизированная обработка персональных данных;
  • исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;
  • смешанная обработка персональных данных.

Настоящее согласие действует в течение 5 (пяти) лет с даты его выдачи.

Настоящим я подтверждаю, что в соответствии с ч. 3 ст. 18 Федерального закона от 27.07.2006г. №152-ФЗ «О персональных данных» до начала обработки моих ПД ООО «МОСТ-ФАРМ» (143000, МО, г. Одинцово, ул.Маршала Жукова, д. 9) предоставило мне информацию о своем наименовании и адресе, о цели обработки ПД (оказание медицинских услуг в ООО «МОСТ-ФАРМ») и ее правовом основании, о предполагаемых пользователях ПД и установленных Федеральным законом от 27.07.2006г. № 152-ФЗ «О персональных данных» правах субъекта ПД.

Дата [дата подписания]

Подпись [подпись пациента или представителя несовершеннолетнего лица]

Каковы требования к согласию GDPR?

Один из простых способов избежать крупных штрафов GDPR – всегда получать разрешение от пользователей перед использованием их личных данных. В этой статье объясняются требования к согласию GDPR, которые помогут вам соответствовать.

Вопреки распространенному мнению, GDPR (Общий регламент по защите данных) ЕС не требует, чтобы компании получали согласие людей перед использованием их личной информации в деловых целях. Скорее, согласие – это лишь одна из шести правовых основ, изложенных в статье 6 GDPR.Компании должны определить правовую основу для обработки своих данных.

Согласие является одним из самых простых для удовлетворения, поскольку оно позволяет вам делать с данными практически все, что угодно – при условии, что вы четко объясните, что собираетесь делать, и получите явное разрешение от субъекта данных. Однако, как недавно узнала компания Google, оштрафовав ее на 50 миллионов евро, нельзя срезать углы. Французские органы по защите данных заявили, что версия компании о получении согласия не является «осознанной», «однозначной» и «конкретной».”

В этой статье основное внимание уделяется тому, как удовлетворить требования GDPR для получения согласия в качестве правовой основы.

Чтобы получить более подробную информацию о GDPR, прочтите нашу статью «Что такое GDPR?» Он дает концептуальный обзор закона. Мы также опубликовали полный текст GDPR.

GDPR требует правовой основы для обработки данных

«Чтобы обработка была законной, личные данные должны обрабатываться на основе согласия соответствующего субъекта данных или на каком-либо другом законном основании», – поясняет GDPR в Recital 40.Другими словами, согласие – это лишь одна из юридических оснований, которую вы можете использовать для оправдания сбора, обработки и / или хранения личных данных людей. В статье 6 говорится о пяти других оправданиях.

Как мы объясняем в нашем обзоре GDPR, это и другие правовые основания:

  1. Обработка необходима для выполнения контракта, стороной которого является субъект данных.
  2. Вам необходимо обработать данные в соответствии с юридическим обязательством.
  3. Вам нужно обработать данные, чтобы спасти чью-то жизнь.
  4. Обработка необходима для выполнения задачи в общественных интересах или для выполнения некоторых официальных функций.
  5. У вас есть законный интерес в обработке чьих-либо личных данных. Это наиболее гибкая законная основа, хотя «основные права и свободы субъекта данных» всегда имеют приоритет над вашими интересами, особенно если это данные ребенка.

Вам нужно выбрать только одно правовое основание для обработки данных, но как только вы выберете его, вы должны его придерживаться.Вы не можете изменить свое правовое основание позже, хотя вы можете указать несколько оснований. Перед обработкой персональных данных вам следует провести оценку воздействия на защиту данных GDPR.

Определение согласия GDPR

Если вы обрабатываете чьи-либо данные на основе их согласия, GDPR четко объясняет обязательства, которые вы должны выполнить. Статья 4 (11) определяет согласие:

Согласие субъекта данных означает любое свободно данное, конкретное, информированное и недвусмысленное указание желаний субъекта данных, посредством которого он или она посредством заявления или четкого позитивного действия означает согласие на обработку относящихся к нему персональных данных.

GDPR дополнительно разъясняет условия согласия в статье 7:

1. Если обработка основана на согласии, контролер должен иметь возможность продемонстрировать, что субъект данных дал согласие на обработку его или ее личных данных. .

2. Если согласие субъекта данных дается в контексте письменного заявления, которое также касается других вопросов, просьба о согласии должна быть представлена ​​способом, который четко отличается от других вопросов, в понятной и легко доступной форме. , используя ясный и понятный язык.Любая часть такого заявления, которая представляет собой нарушение настоящего Регламента, не является обязательной.

3. Субъект данных имеет право отозвать свое согласие в любое время. Отзыв согласия не влияет на законность обработки на основании согласия до его отзыва. Перед тем, как дать согласие, субъект данных должен быть проинформирован об этом. Отзыв должен быть таким же легким, как и дать согласие.

4. При оценке того, дано ли согласие свободно, в максимальной степени учитывается, зависит ли, среди прочего, выполнение контракта, включая предоставление услуги, согласием на обработку персональных данных, в которой нет необходимости. для выполнения этого контракта.

Теперь, когда у вас есть определение, давайте рассмотрим некоторые из этих понятий.

Согласие должно быть предоставлено свободно.

Согласие «добровольно дано» по существу означает, что вы не заставили субъекта данных дать согласие на использование его данных. Во-первых, это означает, что вы не можете требовать согласия на обработку данных в качестве условия использования службы. Им нужно иметь возможность сказать «нет». Согласно Счету 42, «согласие не следует рассматривать как предоставленное свободно, если субъект данных не имеет подлинного или свободного выбора или не может отказать или отозвать согласие без ущерба.”

Единственное исключение – если вам нужны данные от кого-то, чтобы предоставить им вашу услугу. Например, вам может потребоваться информация об их кредитной карте для обработки транзакции или их почтовый адрес для отправки продукта.

Подробное описание 43 обсуждает добровольно данное согласие. В нем объясняется, что вы должны получать отдельное согласие на каждую операцию обработки данных. Поэтому, если вам нужен их адрес электронной почты для маркетинговых целей и их IP-адрес для целей аналитики веб-сайта, вы должны предоставить пользователю возможность подтвердить или отклонить каждое использование.

Согласие должно быть конкретным

«Запрос на согласие должен быть представлен в форме, которая четко отличается от других вопросов». Должно быть ясно, какие действия по обработке данных вы собираетесь выполнять, давая субъекту возможность дать согласие на каждое действие.

В примере с адресом электронной почты и IP-адресом вы не можете объяснить их использование в рамках одного длинного абзаца с подробным описанием деятельности вашей маркетинговой группы с единственным флажком согласия в конце. Вместо этого вы должны объяснять каждый вариант использования данных отдельно, давая субъектам данных возможность давать согласие на каждое действие индивидуально.

Если у вас есть несколько причин для выполнения действий по обработке данных, вы должны получить согласие для всех этих целей. Поэтому, если вы храните номера телефонов как для маркетинговых целей, так и для целей проверки личности, вы должны получать согласие для каждой цели.

Согласие должно быть проинформировано

Информированное согласие означает, что субъект данных знает вашу личность, какие действия по обработке данных вы собираетесь проводить, цель обработки данных и что он может отозвать свое согласие в любое время.

Это также означает, что запрос на согласие и объяснение действий по обработке данных и их цели описаны простым языком («в понятной и легко доступной форме, используя ясный и простой язык»). Это не означает никакого технического жаргона или юридического языка. Любой, кто обращается к вашим услугам, должен понимать, на что вы просите его согласиться.

Случай с Google предлагает поучительный пример из реальной жизни. Французские власти заявили, что компания не выполнила требования информированного согласия:

Информация об операциях обработки для персонализации рекламы представлена ​​в нескольких документах и ​​не позволяет пользователю узнать об их объеме.Например, в разделе «Персонализация рекламы» невозможно узнать о множестве служб, веб-сайтов и приложений, участвующих в этих операциях обработки… и, следовательно, об объеме обработанных и объединенных данных.

Управление британского комиссара по информации предоставляет дополнительный контекст: «Если запрос о согласии является расплывчатым, обширным или трудным для понимания, то он будет недействительным. В частности, формулировка, которая может ввести в заблуждение – например, использование двойного отрицания или противоречивой формулировки – сделает согласие недействительным.

Согласие должно быть недвусмысленным

То есть не должно быть никаких сомнений в том, дал ли субъект данных согласие. Согласно GDPR Recital 32.

«Однозначное согласие», «молчание, предварительно отмеченные поля или бездействие не должны означать согласие», «может включать в себя установку флажка при посещении веб-сайта, выбор технических настроек для услуг информационного общества или другое заявление или поведение, которое четко указывает в этом контексте на согласие субъекта данных с предлагаемой обработкой его или ее личных данных.”

Согласие можно отозвать

GDPR не указывает срок хранения согласия. Теоретически согласие человека бессрочно, хотя могут быть ситуации, в которых становится ясно, что согласие больше не является действительным или разумным или нарушает какой-либо принцип обработки данных.

Однако субъект данных имеет право отозвать согласие в любое время. Более того, вы должны упростить им это. В общем, для них должно быть так же легко отозвать согласие, как и для вас, чтобы получить согласие.

Требования GDPR относительно легко понять, но, возможно, сложнее реализовать. Вы можете столкнуться с техническими препятствиями или проблемами, связанными с согласованием потребностей вашего бизнеса с требованиями соответствия GDPR. Может помочь заполнение вашей оценки воздействия на защиту данных. Так же можно поговорить с юристом GDPR.
GDPR – это непрерывный процесс. Обратитесь к нашему контрольному списку GDPR, чтобы убедиться, что ваша организация честно.

Получение согласия на обработку персональных данных (GDPR)

Согласно Общему регламенту защиты данных (GDPR) в Европейском Союзе, любая обработка персональных данных должна иметь правовое основание, которое может включать согласие.Заключение договора также может быть действительным правовым основанием для обработки персональных данных. Другими словами, при бронировании отеля вы можете полагаться на «выполнение контракта» как на правовую основу для обработки личных данных гостя.

Однако важно отметить, что GDPR ограничивает обработку персональных данных первоначальной целью. Например, если вы также планируете отправлять своим гостям маркетинговые электронные письма, вам необходимо получить их согласие на обработку персональных данных для этой конкретной цели.

(Следующая информация не предназначена для использования в качестве юридической консультации).

Это определение согласия согласно GDPR:

«Любое свободно данное, конкретное, информированное и недвусмысленное указание желаний субъекта данных, посредством которого он или она посредством заявления или четкого позитивного действия означает согласие на обработку личных данных, относящихся к нему или ей».

Бронирования можно получить разными способами – через ваш сайт, электронную почту, телефон и т. Д.Основываясь на приведенном выше определении, можно утверждать, что, когда гость связывается с вашей гостиницей, чтобы сделать бронирование, и сообщает свои личные данные для регистрации в этом бронировании, это является «явным положительным действием». Нет необходимости явно запрашивать разрешение на обработку персональных данных с целью бронирования.

Для бронирований, сделанных онлайн через систему бронирования Sirvoy, вы все равно можете четко получить согласие гостя, особенно если вы планируете обрабатывать личные данные для других целей.Вы можете сделать это, установив флажок «Условия и положения». Или вы можете создать «настраиваемое поле» в системе бронирования – флажок с вашим собственным настраиваемым текстом; например, «Я даю согласие на обработку моих персональных данных для целей бронирования».

Образец формы согласия

– Аудит и соответствие

СОГЛАСИЕ НА СБОР И ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ ИЗ ЕВРОПЕЙСКОГО СОЮЗА

Примечание: Это всего лишь образец формы согласия, которую необходимо изменить для ваших деловых целей.Пожалуйста, свяжитесь с сотрудником по защите данных вашего университетского городка / института или с офисом главного юрисконсульта, прежде чем распространять форму согласия среди субъектов данных.

    1. В соответствии с Общим регламентом ЕС по защите данных («GDPR ЕС»), Университет Теннесси («UT») в качестве контроллера данных и / или обработчика данных в соответствии с GDPR ЕС должен получить ваше явное, подтверждающее и информированное согласие, прежде чем он сможет собирать или обрабатывать какие-либо личные данные на законных основаниях, включая, помимо прочего, трудоустройство, прием и зачисление, обучение за границей, стажировку за рубежом, онлайн-образование и т. д.Для получения информации о том, как UT использует личные данные, ознакомьтесь с [Уведомлением о конфиденциальности] [вставить ссылку].
    2. «Персональные данные» означает любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («субъект данных»). Идентифицируемое физическое лицо – это лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или на один или несколько факторов, специфичных для физического, физиологического, генетическая, ментальная, экономическая, культурная или социальная принадлежность этого физического лица.
    3. Любые персональные данные, которые собираются от вас, будут использоваться с единственной целью: [выберите правильную цель из маркированного списка и удалите остальные]
      • заявление о приеме в UT, отправленное из ЕС
      • планирование и организация программы обучения за рубежом в ЕС, а также оказание академических услуг в связи с этим в ___________ учреждении
      • планирование и организация, а также зачисление и участие в программе дистанционного обучения в UT
      • из страны ЕС.
      • трудовые отношения с UT в ЕС в _______________ учреждении
      • заявление о трудовых отношениях с UT, отправленное из ЕС
      • участие в исследовании (указать название исследования)
      • ДРУГОЕ: _____________________________________ (просьба указать)


      и необходим для этого.Это может включать обработку персональных данных, необходимую для выполнения договорных обязательств в связи с ранее описанной целью и соблюдением применимого законодательства, для выполнения обязательств перед вами в отношении вашего [выберите правильный элемент из маркированного списка и удалите другие]

      • зачисление на учебу в UT.
      • участие в программе обучения за рубежом, включая посещение курсов и другие академические требования, требования к питанию, а также информацию о здоровье и безопасности.
      • зачисление и / или участие из страны ЕС в программе дистанционного обучения в UT, включая посещение курсов и другие академические требования.
      • трудоустройства в ЕС, включая управление заработной платой, выплату заработной платы, соблюдение налоговых требований и информацию о здоровье и безопасности.
      • трудоустройства в UT, включая управление заработной платой, выплату заработной платы, налоговые последствия и информацию о здоровье.
      • участие в исследовании (укажите название исследования).
      • ДРУГОЕ: _____________________________________ (просьба указать)

    Персональные данные, касающиеся судебного процесса, которые могли быть предоставлены UT государственными органами, будут обрабатываться только для целей, связанных с чрезвычайной ситуацией в области здравоохранения или безопасности, и в соответствии с любым применимым законодательством.

    1. Невзирая ни на что в настоящем документе об обратном, UT может обрабатывать персональные данные без согласия субъекта данных на определенных других законных основаниях, в том числе когда обработка необходима для выполнения контракта, стороной которого является субъект данных; когда обработка необходима для соблюдения юридического обязательства, которому подчиняется UT; или когда обработка необходима для защиты жизненно важных интересов, таких как жизнь субъекта данных.
    2. Персональные данные будут обрабатываться и обрабатываться только лицами, которые несут ответственность за необходимые действия для вышеуказанной цели, и могут быть переданы из ЕС в один из университетских городков или институтов UT в Теннесси.
    3. Отказ в согласии может лишить UT возможности осуществлять необходимые действия для вышеуказанной цели, а также может лишить UT возможности предоставить вам запрашиваемые [образовательные услуги] [трудоустройство] [участие в исследовательском исследовании] [другое].
    4. Вы имеете право отозвать свое согласие на сбор и обработку персональных данных.Если вы хотите отозвать согласие, свяжитесь с сотрудником по защите данных вашего кампуса или института по адресу [email protected]
    5. UT стремится обеспечить безопасность вашей информации. Мы внедрили разумные физические, технические и административные меры безопасности, призванные предотвратить несанкционированный доступ к вашей информации.


    Ознакомившись с данным уведомлением, __________________________________________________ [Напечатайте здесь полное имя], нижеподписавшийся, настоящим:

    для использования его / ее личных данных и передачи личных данных за границу для целей, указанных в этом уведомлении.

    Дата [Месяц / День / Год]: ____________________________
    Подпись _________________________________________

    [[ДОБАВИТЬ СЛЕДУЮЩИЙ ЯЗЫК ДЛЯ ПРОГРАММ ОБУЧЕНИЯ / СТАЖИРОВКИ / ДРУГИХ МЕРОПРИЯТИЙ ЕС]]

    Я также отказываюсь от своего права на неприкосновенность частной жизни в отношении ________________________ (учреждение ЕС, принимающее студента / сотрудника), сообщающее в соответствующие органы в UT, если я серьезно болен, получил травму, являюсь жертвой или виновником домогательств, независимо от того, включено оно или нет. университетского городка, я являюсь жертвой правонарушителя сексуального или гендерного проступка и / или преступного поведения, независимо от того, на территории

    или за ее пределами

    , и я предоставляю властям ________________________ (Учреждение ЕС, принимающее студентов / сотрудников), преподавателей и администраторов полные полномочия сообщать в соответствующие органы UT обо всех подобных инцидентах в соответствии с действующим законодательством (включая, но не ограничиваясь, Раздел IX. и Закон Клери), независимо от того, предполагает ли это дисциплинарное взыскание.

    Дата [Месяц / День / Год]: ____________________________

    Напечатанное имя ______________________________________

    Подпись _________________________________________
    Подписи могут быть рукописными или цифровыми.

    Если у вас есть вопросы по поводу настоящего Согласия, свяжитесь с сотрудником по защите данных вашего кампуса или института по адресу [email protected] edu:

    • UT Ноксвилл: Джоэл Ривз, заместитель вице-канцлера и директор по информационным технологиям
    • UT Чаттануга: Др.Ричард Браун, исполнительный вице-канцлер по вопросам администрации и финансов
    • UT Мартин: Эди Гибсон, исполнительный помощник канцлера
    • UT Health Science Center: Мелани Берлисон, помощник вице-канцлера по соответствию и специальным проектам
    • UT Институт сельского хозяйства: Сэнди Линдси, директор по информационной безопасности
    • UT Институт государственной службы: Скотт Горди, директор по информационной безопасности
    • UT Foundation: Майкл Картер, помощник вице-президента по продвижению услуг
    • UT Системное администрирование: Роберт Риденур, директор по информационной безопасности

    Пересмотрено 22 мая 2018 г.
    Редактируемая версия документа Word Согласия на сбор и обработку персональных данных из Европейского Союза.

Согласие субъекта данных

Согласие является одним из возможных правовых оснований для обработки персональных данных. Согласие дает субъектам данных возможность контролировать обработку своих персональных данных и влиять на нее, отозвав свое согласие.

Требования к согласию

Чтобы согласие было действительным, оно должно быть

  • проинформирована,
  • бесплатно и
  • недвусмысленное указание на пожелания субъекта данных.

Субъекты данных могут давать свое согласие для заранее определенных, конкретных и законных целей. Если цель обработки персональных данных изменится, вам необходимо запросить новое согласие перед началом обработки.

Указание согласия

Когда вы запрашиваете согласие, вам необходимо указать цель, для которой собираются данные. Если вы обрабатываете персональные данные для нескольких целей, субъекты данных должны иметь возможность выбирать цели, для которых они хотят дать свое согласие.Вы должны запрашивать согласие отдельно для каждой цели. Как правило, вы всегда должны запрашивать согласие, когда начинаете обрабатывать личные данные для новой цели.

Свободно данное согласие

Согласие не дается действительно свободно, если субъект данных находится в уязвимом положении по отношению к контролеру. Субъекты данных могут оказаться в уязвимом положении, когда, например, контролер является их работодателем или органом власти.

Субъекты данных должны иметь возможность отказать в согласии и отозвать его без каких-либо негативных последствий.Отозвать согласие должно быть так же легко, как и дать его.

Подотчетность и учет принципов защиты данных

Вы должны иметь возможность продемонстрировать, что субъекты данных дали свое согласие на обработку персональных данных и что полученное согласие соответствует требованиям закона.

Согласие никогда не отменяет принципы защиты данных. Например, вы не можете собирать данные шире, чем это необходимо для заявленной цели, или отклоняться от обязательств по защите личных данных.

Запрос согласия

Согласие – это недвусмысленное и ясное выражение пожеланий субъекта данных, которым он соглашается на обработку своих персональных данных. Субъекты данных не могут дать свое согласие молчанием, предварительно отмеченными флажками или бездействием.

Если вы запрашиваете согласие в электронном виде, запрос должен быть четким и кратким и не должен без необходимости нарушать использование службы. Например, установка галочки на сайте – это достаточно однозначное и четкое выражение желания.

Опишите согласие четко и отдельно от другой информации. Не связывайте и не вставляйте согласие в условия использования или соглашения, чтобы у субъекта данных не было реальной возможности дать согласие или отказаться от него.

Если, например, вы запрашиваете согласие в связи с условиями использования службы, запрос должен быть представлен

  • отдельно от прочей информации
  • понятным и понятным языком и
  • в вразумительном виде.

Что нужно сообщить субъектам данных при запросе согласия?

При запросе согласия субъектов данных на обработку персональных данных вы должны сообщить им, как минимум,

  • Контроллер или контроллеры (совместные контроллеры) и любые другие стороны, которым будут раскрыты данные
  • все конкретные цели, для которых запрашивается согласие
  • какие данные будут собираться от субъекта данных
  • право субъекта данных отозвать согласие
  • использование данных для автоматизированного принятия индивидуальных решений и профилирования и
  • риски передачи данных в страны за пределами ЕС, если не было принято решение об адекватном уровне защиты данных в стране и не были реализованы соответствующие меры безопасности.

Нет необходимости указывать процессоров, которые будут обрабатывать персональные данные от имени контролера при запросе согласия. Однако в связи с запросом согласия вам также необходимо взять на себя более общее обязательство по предоставлению информации и информации, которую вы должны будете предоставить при сборе личных данных от субъектов данных. Общее обязательство по предоставлению информации требует указания получателей данных, включая процессоров, работающих от имени контролера.

Когда мне потребуется конкретное согласие субъекта данных на обработку персональных данных?

Конкретное согласие может быть использовано в качестве законного основания, если

  • вы обрабатываете особые категории персональных данных (например, медицинскую информацию или этническое происхождение)
  • вы передаете личные данные в третьи страны или международные организации
  • ваша обработка включает автоматизированное индивидуальное принятие решений или профилирование.

Требование конкретности относится к тому, как субъекты данных выражают свое согласие. Примеры конкретного согласия включают подписание письменного заявления, предоставление электронной подписи или двухфакторную аутентификацию. Например, субъект данных может сначала ответить на ваше электронное письмо, после чего ему или ей будет отправлена ​​ссылка для подтверждения или код по SMS.

Ваши обязанности как контролера возрастают с учетом рисков, связанных с обработкой персональных данных.

Отзыв согласия

Прежде чем субъект данных даст свое согласие, контролер должен сообщить субъекту данных

  • право отозвать согласие; и
  • , как согласие может быть отозвано на практике.

Отозвать согласие должно быть так же легко, как и дать его. Согласие можно отозвать в любое время бесплатно.

Если субъект данных отзывает свое согласие, вы должны будете прекратить обработку его или ее личных данных, поскольку обработка была основана на согласии.Сообщите субъектам данных обо всех основаниях для обработки, чтобы они знали, как отзыв согласия повлияет на обработку их персональных данных.

Если нет другой правовой основы для продолжения хранения данных, обработанных на основании согласия, удалите их после отзыва согласия. По окончании обработки персональных данных храните подтверждение согласия только до тех пор, пока это необходимо для предъявления, исполнения или защиты судебных исков.

Обработка персональных данных детей на основании согласия

Согласно законодательству о защите данных, детям обычно требуется согласие или разрешение их опекуна или другого лица, несущего родительскую ответственность, чтобы пользоваться услугами информационного общества, такими как социальные сети и различные приложения.В Финляндии возрастное ограничение составляет 13 лет. Однако дети могут пользоваться услугами консультирования и поддержки, а также профилактическими услугами без согласия их опекунов.

Постарайтесь определить возраст ребенка и убедитесь, что согласие было дано ребенком старше установленного возраста или опекуном ребенка. Оцените меры аутентификации, связанные с предоставлением согласия, с точки зрения характера и рисков обработки. Если вы просите детей дать свое согласие, обращайте особое внимание на ясный и простой язык.

Согласие, данное опекуном ребенка, не прекращается автоматически, когда ребенок становится достаточно взрослым, чтобы дать свое согласие на использование услуг информационного общества. Однако ребенок может отозвать свое согласие по достижении возраста, указанного в законе, и вы, как контролер, обязаны проинформировать ребенка об этой возможности.

Соответствует ли полученное вами согласие требованиям нового законодательства о защите данных?

Если вы являетесь контролером и обрабатываете персональные данные на основе согласия, оцените, соответствует ли согласие, которое вы запрашивали в прошлом, требованиям Общего регламента защиты данных.

Обратите внимание, что согласие должно быть

  • задокументировано в интересах отчетности
  • однозначно, поэтому предварительно поставленная галочка или отсутствие выбора не соответствуют требованиям согласия
  • для заранее определенной, конкретной и юридической цели
  • снять так же легко, как и отдать, а
  • в соответствии с GDPR в отношении его администрирования.

Изменения в обязанности предоставлять информацию, внесенные GDPR, не делают автоматически ранее полученные выражения согласия недействительными.GDPR также требует, чтобы вы информировали субъектов данных об основах обработки.

Если согласие не соответствует требованиям GDPR, оцените

  • , сможете ли вы запросить новое согласие, соответствующее требованиям GDPR и
  • , может ли обработка быть основана на другой основе, предусмотренной GDPR.

Убедитесь, что принципы законности, справедливости и прозрачности соблюдаются, если вы продолжаете обработку на другой основе.Субъект данных должен быть проинформирован об изменениях в основе обработки. После вступления GDPR в силу больше нельзя будет изменить базу обработки.

Если вы не можете основывать обработку на другом правовом основании или запросить новое согласие в соответствии с требованиями GDPR, вам придется прекратить обработку персональных данных.

Подробнее:
Права субъекта данных, когда обработка основана на контракте
Общего регламента по защите данных, статьи 4 (11), 6 (1.a), 7 и 9 (2. a), декларации 32‒33 и 42‒43 (EUR-Lex)
Руководящие указания по согласию согласно Регламенту 2016/679 (pdf)

Что такое действительное согласие? | ICO

Подробнее

Как определяется согласие?

Согласие определяется в статье 4 (11) как:

«любое свободно данное, конкретное, информированное и недвусмысленное указание желаний субъекта данных, посредством которого он или она посредством заявления или четкого позитивного действия означает согласие на обработку личных данных, относящихся к нему или ей».

Статья 7 также устанавливает дополнительные «условия» для согласия с конкретными положениями относительно:

  • ведение записей для демонстрации согласия;
  • известность и ясность запросов о согласии;
  • право отозвать согласие легко и в любое время; и
  • добровольно предоставленное согласие, если договор обусловлен согласием.

Дополнительная литература

Что «дарят даром»?

Согласие означает предоставление людям реального выбора и контроля над тем, как вы используете их данные.Если у человека нет реального выбора, согласие не дается добровольно и будет недействительным.

Это означает, что люди должны иметь возможность отказаться от согласия без ущерба и иметь возможность легко отозвать согласие в любое время. Это также означает, что согласие должно быть отделено от других условий (включая предоставление отдельных вариантов детального согласия для различных типов обработки), где это возможно.

GDPR Великобритании четко указывает на то, что согласие не должно рассматриваться как условие предоставления услуги, за исключением случаев, когда это необходимо для этой услуги:

Статья 7 (4) гласит:

«При оценке того, было ли дано согласие свободно, необходимо в максимальной степени учитывать, обусловлено ли… выполнение контракта, включая предоставление услуги, согласием на обработку персональных данных, которые не являются необходимыми для выполнения этого соглашения. договор.”

И Счет 43 говорит:

«Предполагается, что согласие не дается свободно… если выполнение контракта, включая предоставление услуги, зависит от согласия, несмотря на то, что такое согласие не является необходимым для такого исполнения».

Пример

Интернет-магазин мебели требует от покупателей согласия на передачу их данных другим магазинам товаров для дома в процессе оформления заказа. Магазин делает согласие условием продажи, но обмен данными с другими магазинами не является необходимым для этой продажи, поэтому согласие не дается свободно и недействительно.Магазин может попросить клиентов дать согласие на передачу их данных указанным третьим сторонам, но он должен предоставить им возможность свободно выбирать, соглашаться на них или отказываться от них.

Магазин также требует от покупателей согласия на передачу их данных стороннему курьеру, который доставит товар. Это необходимо для выполнения заказа, поэтому согласие можно считать предоставленным свободно, хотя «выполнение контракта», вероятно, будет более подходящим законным основанием.

В некоторых ограниченных обстоятельствах вы можете опровергнуть это предположение о том, что пакетное согласие не предоставляется свободно, и заявить, что согласие может быть действительным, даже если оно является предварительным условием и обработка не является строго необходимой.Вы должны иметь возможность продемонстрировать очень четкое обоснование этого, исходя из конкретных обстоятельств.

Однако, скорее всего, это будет необычно. Учитывая формулировку статьи 7 (4) и изложения 43, вы всегда будете рисковать, что согласие будет признано недействительным как не «добровольно данное». В целом, в таких случаях было бы лучше полагаться на «законные интересы» в качестве законной основы в сочетании с четкой и прозрачной информацией о конфиденциальности.

GDPR Великобритании также четко определяет, что люди должны иметь возможность отказываться и отозвать согласие без наказания:

«Согласие не следует рассматривать как предоставленное свободно, если субъект данных не имеет подлинного или свободного выбора или не может отказаться или отозвать согласие без ущерба.”

Мнение ICO состоит в том, что до некоторой степени все еще возможно стимулировать согласие. Согласие на обработку обычно дает некоторую пользу. Например, если присоединение к схеме лояльности розничного продавца предполагает доступ к купонам на получение скидки, очевидно, что существует определенный стимул для согласия на маркетинг. Тот факт, что эта льгота недоступна для тех, кто не регистрируется, не является ущербом для отказа. Однако вы должны быть осторожны, чтобы не переступить черту и несправедливо наказать тех, кто отказывается дать согласие.

Свободно данное согласие также будет труднее получить в контексте отношений, где существует дисбаланс сил, особенно для государственных органов и работодателей. Счет 43 говорит:

«Чтобы гарантировать, что согласие дано свободно, согласие не должно обеспечивать действительное правовое основание для обработки персональных данных в конкретном случае, когда существует явный дисбаланс между субъектом данных и контролером, в частности, когда контролер государственный орган, и поэтому маловероятно, что согласие было дано свободно во всех обстоятельствах данной конкретной ситуации….. »

См. Раздел о том, когда уместно согласие, для получения дополнительных указаний по дисбалансу мощности.

Дополнительная литература

Дополнительная литература – Европейский совет по защите данных

Европейский совет по защите данных (EDPB) состоит из представителей органов по защите данных каждого государства-члена ЕС. Он принимает руководящие принципы для соблюдения требований GDPR Великобритании. Руководящие принципы EDPB больше не имеют прямого отношения к режиму Великобритании и не будут иметь обязательной силы в рамках режима Великобритании.Однако они могут по-прежнему давать полезные советы по определенным вопросам.

EDPB выпустила Руководство по согласию.

Что такое «конкретный и информированный»?

Согласие должно быть конкретным и информированным. Это означает, что он должен конкретно охватывать следующее:

  • Идентификационные данные контролера : описание 42 говорит, что человек должен знать личность контролера. Это означает, что вам необходимо идентифицировать себя, а также указать имена сторонних контроллеров, которые будут полагаться на согласие.Если вы покупаете «согласованные» данные, это согласие действительно для вашей обработки только в том случае, если вы были специально идентифицированы. Вам не нужно называть своих обработчиков в запросе согласия (хотя вам необходимо соблюдать отдельные обязательства по обеспечению прозрачности).
  • Цели обработки : подробное описание 43 говорит, что отдельное согласие будет необходимо для различных операций обработки, где это уместно, поэтому вам необходимо предоставить подробные варианты согласия отдельно для отдельных целей, если это не будет чрезмерно разрушительным или запутанным.И в любом случае запрос согласия должен конкретно охватывать все цели, для которых вы запрашиваете согласие.
  • Действия по обработке : опять же, где это возможно, вам следует предоставить подробные варианты согласия для каждого отдельного типа обработки, если эти действия явно не взаимозависимы – но, как минимум, вы должны конкретно охватить все операции обработки.
  • Право отозвать согласие в любое время : мы также советуем вам указать подробную информацию о том, как это сделать.

Эти правила в отношении запросов на согласие отделены от ваших обязательств по обеспечению прозрачности в соответствии с правом на получение информации, которые применяются независимо от того, полагаетесь вы на согласие или нет.

Вы должны четко объяснять людям, на что они соглашаются, в понятной для них форме. Запрос на согласие должен быть заметным, кратким, отдельным от других условий и понятным языком.

Если запрос о согласии является расплывчатым, обширным или трудным для понимания, он будет недействителен.В частности, формулировка, которая может ввести в заблуждение – например, использование двойного отрицания или противоречивой формулировки – сделает согласие недействительным.

Recital 32 также разъясняет, что запросы электронного согласия не должны излишне мешать работе пользователей. Вам необходимо подумать о том, как лучше всего адаптировать запросы на согласие и методы, чтобы обеспечить четкую и исчерпывающую информацию, не вводя людей в заблуждение и не нарушая взаимодействия с пользователем – например, путем разработки удобной для пользователя многоуровневой информации и своевременных согласований.

Однако важно помнить, что это не исключение, и предотвращение сбоев не отменяет необходимости обеспечивать четкость и конкретность запросов на согласие. Для получения действительного согласия может потребоваться некоторый уровень нарушения.

Вам необходимо постоянно проверять свое согласие и обновлять его, если ваши цели или действия выходят за рамки того, что вы изначально указали. Согласие не будет достаточно конкретным, если детали изменятся – не существует такого понятия, как «развивающееся» согласие.

Даже если ваша новая цель считается «совместимой» с вашей первоначальной целью, это не отменяет необходимости конкретного согласия. Следовательно, если вы полагались на согласие, вам необходимо либо получить новое конкретное согласие, либо определить новое законное основание для новой цели.

См. Раздел «Как следует получать, записывать и обрабатывать согласие?», Чтобы узнать, что это означает на практике.

Дополнительная литература

Что такое недвусмысленное указание (заявление или четкое положительное действие)?

Должно быть очевидно, что человек согласился и на что он согласился.Для этого требуется больше, чем просто подтверждение того, что они прочитали условия – должен быть четкий сигнал, что они согласны. Если есть какие-либо сомнения, это недействительное согласие.

GDPR Великобритании четко определяет, что согласие требует четких позитивных действий, и в Рекитале 32 излагаются дополнительные указания по этому поводу:

«Согласие должно быть выражено в виде четкого утвердительного акта… например, посредством письменного заявления, в том числе с помощью электронных средств, или устного заявления. Это может включать в себя установку флажка при посещении веб-сайта, выбор технических настроек для услуг информационного общества или другое заявление или поведение, которые четко указывают в этом контексте на согласие субъекта данных с предлагаемой обработкой его или ее личных данных.Поэтому молчание, предварительно отмеченные флажки или бездействие не должны означать согласие ».

Четкое позитивное действие означает, что кто-то должен предпринять преднамеренные и конкретные действия, чтобы дать согласие на обработку или дать согласие на ее обработку, даже если это не выражено в виде поля согласия. Например, другие методы подтверждения могут включать подписание заявления о согласии, устное подтверждение, бинарный выбор, представленный с равной значимостью, или изменение технических настроек по сравнению с настройками по умолчанию.

Ключевым моментом является то, что все согласие должно быть согласием на подписку, т. Е. Положительным действием или указанием – не существует такой вещи, как «согласие на отказ».Отказ от отказа не является согласием, так как он не предполагает четкого позитивного действия. Вы не можете полагаться на молчание, бездействие, настройки по умолчанию, предварительно отмеченные флажки или свои общие положения и условия, а также пытаться воспользоваться инерцией, невнимательностью или предвзятостью по умолчанию каким-либо иным образом. Все эти методы также подразумевают двусмысленность – и для того, чтобы согласие было действительным, оно должно быть как недвусмысленным, так и утвердительным. Должно быть ясно, что человек сознательно и активно выбрал согласие.

Идея позитивного действия все еще оставляет место для подразумеваемых методов согласия в некоторых обстоятельствах, особенно в более неформальных оффлайновых ситуациях.Ключевой вопрос заключается в том, что по-прежнему должны быть предприняты позитивные действия, дающие понять, что кто-то соглашается на использование их информации для конкретной и очевидной цели. Однако такой подразумеваемый метод выражения согласия не выходил за рамки того, что было очевидным и необходимым.

Пример

Человек бросает свою визитку в коробку для розыгрыша призов в кафе. Это утвердительный акт, который ясно указывает на то, что они согласны с тем, что их имя и контактный номер будут обрабатываться для целей розыгрыша призов.Однако это согласие не распространяется на использование этих данных в маркетинговых или иных целях, и для этого вам потребуется иное законное основание.

Пример

Человек отправляет онлайн-опрос о своих предпочтениях в еде. Отправляя форму, они четко выражают согласие на обработку своих данных для целей самого опроса. Однако одной отправки формы будет недостаточно, чтобы продемонстрировать действительное согласие на дальнейшее использование информации.

Однозначное согласие также связано с требованием, чтобы согласие было проверяемым. В статье 7 (1) четко указано, что вы должны иметь возможность продемонстрировать, что кто-то дал согласие.

См. Раздел «Как следует получать, записывать и обрабатывать согласие?», Чтобы узнать, что все это означает на практике.

Дополнительная литература

Что такое «явное согласие»?

Явное согласие не определено в GDPR Великобритании, но вряд ли будет сильно отличаться от обычного высокого стандарта согласия.Любое согласие должно включать конкретное, информированное и недвусмысленное указание желаний человека. Ключевое различие, вероятно, будет заключаться в том, что «явное» согласие должно быть подтверждено в четком заявлении (устном или письменном).

В определении согласия говорится, что субъект данных может означать согласие либо заявлением (которое будет считаться явным согласием), либо четким положительным действием (которое не будет). Согласие, вытекающее из чьих-либо действий, не может быть явным согласием, каким бы очевидным ни было его согласие.Явное согласие должно быть прямо подтверждено словами.

Физические лица не обязаны писать заявление о согласии своими словами; вы можете написать это для них. Однако вам необходимо убедиться, что люди могут четко указать, что они согласны с заявлением, например, подписав свое имя или отметив поле рядом с ним.

Если вам нужно явное согласие, вам следует уделить особое внимание формулировке. Даже в письменном виде не всякое согласие будет явным. Вы всегда должны использовать явное заявление о согласии.

Пример

Спа-салон красоты предоставляет своим клиентам форму по прибытии, которая включает в себя следующее:

Тип кожи и сведения о любых состояниях кожи (по желанию):

Мы будем использовать эту информацию, чтобы порекомендовать подходящие косметические продукты.

Если кто-то вводит данные о своем кожном заболевании, скорее всего, это будет свободно данное, конкретное, информированное и недвусмысленное согласие на использование этих данных для вынесения таких рекомендаций – но, возможно, это все же подразумеваемое согласие, а не явное согласие.

В другом спа-салоне красоты вместо этого используется следующее выражение:

Тип кожи и сведения о любых состояниях кожи (по желанию):

Я разрешаю вам использовать эту информацию, чтобы рекомендовать подходящие косметические продукты ☐

Если физическое лицо поставило галочку в поле, значит, оно явным образом согласилось на обработку.

В явном заявлении о согласии также необходимо конкретно указать элемент обработки, требующий явного согласия. Например, в заявлении следует указать характер данных специальной категории, детали автоматизированного решения и его последствия или детали данных, которые должны быть переданы, и риски, связанные с передачей.

«Явный» элемент любого согласия также должен быть отделен от любых других согласий, которые вы запрашиваете, в соответствии с указаниями в Рекитале 43 по соответствующему детальному контролю.

Вы можете получить явное согласие устно, но вам нужно обязательно вести запись сценария.

Дополнительная литература

Как долго длится согласие?

GDPR Великобритании не устанавливает конкретных сроков для получения согласия. Согласие, вероятно, со временем ухудшится, но его продолжительность будет зависеть от контекста.Вам необходимо учитывать объем исходного согласия и ожидания человека.

Пример

В тренажерном зале проводится акция, которая дает участникам возможность подписаться на рассылку электронных писем с советами о здоровом питании и о том, как привести себя в форму к летним каникулам в этом году.

Поскольку в запросе согласия указывается конкретный временной масштаб и конечная точка – их летние каникулы – ожидается, что эти электронные письма прекратят свое существование после того, как лето закончится.Таким образом, согласие истекает.

Если ваши операции или цели обработки меняются, ваше первоначальное согласие может больше не быть конкретным или достаточно информированным – и вы не можете вывести более широкое согласие из простого отказа в возражении. Если это произойдет, вам нужно будет запросить новое согласие или указать другое законное основание.

Если кто-то отзовет согласие, вам необходимо как можно скорее в сложившихся обстоятельствах прекратить обработку на основании согласия. Это не повлияет на законность вашей обработки до этого момента.

Родительское согласие не истекает автоматически, когда ребенок достигает возраста, в котором он может дать свое согласие, но вы должны помнить, что вам, возможно, придется обновлять согласие более регулярно.

Вам следует постоянно проверять свое согласие и рассматривать возможность его обновления через соответствующие удобные для пользователя интервалы. См. Раздел о том, как управлять согласием? для дополнительной информации.

Может ли третье лицо дать согласие от имени физического лица?

GDPR Великобритании не запрещает третьей стороне, действующей от имени физического лица, выражать свое согласие.Однако вам необходимо продемонстрировать, что третья сторона имеет на это полномочия.

На практике в большинстве случаев бывает сложно проверить, имеет ли третья сторона полномочия предоставить согласие. Вы также должны быть в состоянии продемонстрировать, что человек был полностью информирован и согласие было дано свободно.

Это, скорее всего, уместно в тех случаях, когда у человека нет возможности дать согласие, а кто-то другой имеет определенные юридические полномочия принимать решения от его имени.

Каковы правила дееспособности?

GDPR Великобритании не содержит конкретных положений о правоспособности давать согласие, но вопросы правоспособности связаны с концепцией «осознанного» согласия.

Как правило, вы можете предположить, что взрослые могут дать согласие, если у вас нет оснований полагать обратное. Однако вы должны убедиться, что предоставляемая вами информация позволяет полностью информировать вашу предполагаемую аудиторию.

Возможно, у вас есть основания полагать, что кто-то не способен понять последствия согласия и поэтому не может дать осознанное согласие.В таком случае согласие может дать третье лицо, имеющее законное право принимать решения от их имени (например, по доверенности).

Каковы правила получения согласия детей?

В соответствии с GDPR Великобритании глобальных правил о согласии детей нет, но в статье 8 есть конкретное положение о согласии детей на «услуги информационного общества» (услуги, запрашиваемые и предоставляемые через Интернет).

Короче говоря, если вы предлагаете эти виды услуг непосредственно детям (кроме профилактических или консультационных услуг) и хотите полагаться на согласие, а не на другое законное основание для обработки ваших данных, вы должны получить согласие родителей для детей младше 13 лет (т.е. возраст, установленный Великобританией в Законе о защите данных 2018 г.).

Если вы решите полагаться на согласие детей, вам необходимо будет принять меры по проверке возраста и приложить «разумные усилия» для проверки родительской ответственности за лиц младше соответствующего возраста.

Для других типов обработки общее правило в Великобритании заключается в том, что вы должны учитывать, обладает ли отдельный ребенок компетенцией для понимания и согласия для себя («тест на компетентность Гиллика»). Однако в Шотландии считается, что лицо в возрасте 12 лет и старше имеет достаточный возраст и зрелость для такого понимания, если не указано иное.На практике вам все же может потребоваться рассмотреть меры по проверке возраста в рамках этой оценки и предпринять шаги для проверки согласия родителей в отношении детей, не обладающих компетенцией давать согласие для себя.

Согласие – одно из возможных законных оснований для обработки данных детей, но помните, что это не единственный вариант. Иногда другое законное основание более уместно и обеспечивает лучшую защиту ребенка. Например, вам может быть полезно рассматривать «законные интересы» в качестве потенциального законного основания вместо согласия.Это поможет вам оценить влияние вашей обработки на детей и подумать о том, является ли она справедливой и соразмерной.

Чтобы получить более подробные инструкции о том, что следует учитывать при выборе основы для обработки личных данных детей, нажмите здесь.

Дополнительная литература

Дополнительная литература – Европейский совет по защите данных

Европейский совет по защите данных (EDPB) состоит из представителей органов по защите данных каждого государства-члена ЕС.Он принимает руководящие принципы для соблюдения требований GDPR Великобритании. Руководящие принципы EDPB больше не имеют прямого отношения к режиму Великобритании и не являются обязательными для режима Великобритании. Однако они могут по-прежнему давать полезные советы по определенным вопросам.

EDPB выпустила Руководство по согласию.

Каковы правила получения согласия на научные исследования?

Нет правила, согласно которому вы должны полагаться на согласие на обработку персональных данных в целях научных исследований.

Даже если у вас есть отдельное этическое или юридическое обязательство получить согласие людей, участвующих в вашем исследовании, его не следует путать с согласием GDPR Великобритании.

Пример

Правила клинических испытаний применяются к клиническим испытаниям медицинского продукта, предназначенного для использования человеком. Сюда входит требование о получении «информированного согласия» от людей на участие в исследовании.

GDPR Великобритании не изменяет это требование. В Recital 161 признается, что он по-прежнему применяется, но это совершенно отдельное требование о согласии на участие в исследовании.Его не следует путать с согласием на обработку персональных данных в соответствии с GDPR Великобритании, и он не отменяет обязательство, предусмотренное статьей 6 GDPR Великобритании, по определению соответствующей законной основы.

В качестве отдельного упражнения вы также должны убедиться, что у вас есть законное основание для вашей обработки в соответствии с GDPR Великобритании, а также условие для обработки данных специальной категории, где это необходимо (например, клинические испытания с высокой вероятностью будут включать обработку данные о здоровье). Даже если люди дали согласие на участие в исследовании, вы вполне можете обнаружить, что другое законное основание (и другое условие данных специальной категории) более уместно в данных обстоятельствах.

В частности, помните, что согласие в соответствии с GDPR Великобритании может быть отозвано в любое время. Для научных исследований нет исключения. Это означает, что если вы полагаетесь на согласие в качестве законного основания, а физическое лицо отзывает свое согласие, вам необходимо немедленно прекратить обработку его личных данных или анонимизировать их.

Если вы не сможете в полной мере отозвать согласие – например, потому что удаление данных подорвет исследование и полная анонимность невозможна – тогда вы не должны использовать согласие в качестве законного основания (или условия для обработки данных специальной категории) .Согласие действительно только в том случае, если человек может отозвать его в любое время.

Дополнительную информацию см. В разделе «Как следует управлять правом на отзыв согласия?».

Если вы действительно хотите полагаться на согласие, GDPR Великобритании признает, что если вы собираете персональные данные для научных исследований, вы не сможете заранее полностью указать свои точные цели.

Если вы запрашиваете согласие на обработку персональных данных для научных исследований, это означает, что вам не нужно быть столь же конкретным, как для других целей.Тем не менее, вы должны определить общие области исследования и, по возможности, предоставить людям подробные варианты согласия только на определенные области исследования или части исследовательских проектов.

Дополнительная литература

Дополнительная литература – Европейский совет по защите данных

Европейский совет по защите данных (EDPB) состоит из представителей органов по защите данных каждого государства-члена ЕС.Он принимает рекомендации по соблюдению требований GDPR. Руководящие принципы EDPB больше не имеют прямого отношения к режиму Великобритании и не являются обязательными для режима Великобритании. Однако они могут по-прежнему давать полезные советы по определенным вопросам.

EDPB выпустила Руководство по согласию.

Когда согласие недействительно?

Таким образом, у вас нет действующего согласия, если применимо любое из следующих условий:

  • у вас есть сомнения относительно согласия кого-либо;
  • человек не осознает, что дал согласие;
  • : у вас нет четких записей, подтверждающих их согласие;
  • не было по-настоящему свободного выбора, следует ли соглашаться;
  • человек будет оштрафован за отказ в согласии;
  • существует явный дисбаланс сил между вами и человеком;
  • Согласие
  • было предварительным условием предоставления услуги, но обработка не требуется для этой услуги;
  • согласие было объединено с другими условиями;
  • запрос согласия был расплывчатым или неясным;
  • вы используете предварительно отмеченные поля согласия или другие методы согласия по умолчанию;
  • ваша организация конкретно не называлась;
  • Вы не рассказывали людям об их праве отозвать согласие;
  • человека не могут легко отозвать согласие; или
  • ваши цели или действия вышли за рамки первоначального согласия.
Вернуться наверх Предыдущий Следующий

Шесть законных оснований GDPR для обработки

Согласно GDPR (Общий регламент по защите данных), при обработке персональных данных организациями должно быть задокументировано законное основание.

Но что является законным основанием для обработки? Всегда ли вам нужно согласие отдельных лиц на обработку их данных? И что такое «законные интересы»?

Мы отвечаем на эти и другие вопросы в этом блоге.

Что такое законное основание?

Согласно статье 6 GDPR, когда организация обрабатывает персональные данные, необходима законная основа.

В нем описаны шесть баз, из которых организации могут выбирать в зависимости от обстоятельств:

1) Если субъект данных дает свое явное согласие или если обработка необходима

2) Для выполнения договорных обязательств , взятых на себя субъектом данных

3) Для соблюдения юридических обязательств контроллера данных

4) Для защиты жизненно важных интересов субъекта данных

5) Для задач, выполняемых в общественных интересах или осуществления полномочий, предоставленных контроллеру данных

6) Для целей законных интересов , преследуемых контролером данных

Давайте теперь рассмотрим каждый из них более подробно.


1. Согласие

Сольный концерт 32 состояния:

«Согласие должно быть выражено в виде четкого утвердительного акта, устанавливающего свободно данное, конкретное, информированное и недвусмысленное указание согласия субъекта данных на обработку относящихся к нему персональных данных, например, посредством письменного заявления, в том числе с помощью электронных средств. , или устное заявление ».

  • «Подтверждающее действие» означает, что субъект данных должен дать согласие – вы не можете предполагать его согласие, например, используя предварительно отмеченные поля на своем веб-сайте.
  • «Бесплатно предоставлено» означает, что субъект данных должен иметь реальный выбор: он не должен пострадать, если откажется от согласия.
  • «Конкретный и информированный» означает, что вы должны четко объяснить, на что они соглашаются: расплывчатый или непонятный запрос согласия будет недействительным.

Если вы полагаетесь на согласие, важно вести надлежащий учет, как это предусмотрено статьей 7 (1):

«Если обработка основана на согласии, контролер должен иметь возможность продемонстрировать, что субъект данных дал согласие на обработку его или ее личных данных.”

Это особенно важно, поскольку субъекты данных имеют право отозвать свое согласие в любое время.

Для них должно быть так же легко отозвать свое согласие, как и предоставить его в первую очередь.

Если они действительно отзовут свое согласие, вы должны удалить их данные «без неоправданной задержки», если только вы не представите законную причину для их сохранения.

Многие люди и организации сосредотачиваются на согласии, но это, пожалуй, самая слабая законная основа для обработки, поскольку его можно отозвать в любой момент.

Поэтому всегда стоит определять, может ли применяться другое законное основание для обработки.

Например, когда вы обрабатываете данные о персонале для расчета заработной платы, будут применяться договорных обязательств , поскольку персонал подписал трудовой договор.


2. Договорные обязательства

Вы можете рассчитывать на договорные обязательства, если:

  • У вас есть контракт с кем-то, и вам необходимо обрабатывать его личные данные для выполнения ваших обязательств в рамках этого контракта; или
  • У вас еще нет контракта с кем-то, но они попросили вас сделать что-то в качестве начального шага (например, предоставить расценки), и для этого вам необходимо обработать их личные данные.

В этом контексте контракт не обязательно должен быть официальным юридическим документом, если он соответствует требованиям договорного права. Устное заявление также имеет значение.

Выполняемая вами обработка должна быть необходима для выполнения ваших договорных обязательств. Это законное основание не будет применяться, если есть другие способы выполнения этих обязательств.

Если необходимо обрабатывать конфиденциальные данные в рамках контракта, вам также необходимо указать отдельное законное основание.


3. Юридические обязательства

Вы можете полагаться на юридические обязательства, если вам нужно обрабатывать личные данные в соответствии с общим правом или обязательством по закону. (Это не относится к договорным обязательствам .) Из соответствующего закона должно быть ясно, необходима ли обработка для соблюдения.

Опять же, важно вести учет: вы должны иметь возможность определить конкретное правовое положение, которое вы соблюдаете, или подготовить документ, в котором излагаются ваши юридические обязательства.


4. Жизненные интересы

Это основание применяется, если обработка личных данных необходима для защиты чьей-либо жизни. (Это применимо к любой жизни, а не только к жизни субъекта данных.)

В декларации 46 GDPR уточняется, что:

Обработка персональных данных, основанная на жизненных интересах другого физического лица, в принципе должна осуществляться только в тех случаях, когда обработка не может быть явно основана на другом правовом основании.

Вряд ли применимо, кроме случаев неотложной медицинской помощи.


5. Государственные интересы

Это законное основание применяется, когда вы должны обрабатывать личные данные «для выполнения задачи, выполняемой в общественных интересах» или «при исполнении служебных полномочий».

Для обработки персональных данных вам не нужны определенные законодательные полномочия, но у вас должна быть четкая юридическая основа, которую вы должны задокументировать.

DPA 2018 поясняет, что сюда входит обработка, необходимая для:

  • Отправление правосудия;
  • Выполняет функции любой из палат парламента;
  • Выполнение функции, возложенной на лицо законодательным актом или верховенством закона;
  • Осуществление функций короны, министра короны или правительственного ведомства; или
  • Деятельность, которая поддерживает или продвигает демократическое участие.

Права субъектов данных на удаление и переносимость данных не применяются, если вы обрабатываете данные на этом основании. Однако у них есть право на возражение.


6. Законные интересы

Наиболее гибкая из шести законных оснований для обработки, законные интересы теоретически могут применяться к любому типу обработки, выполняемой для любой разумной цели.

Статья 6 (1f) гласит, что обработка является законной, если и в той мере, в какой:

Обработка

необходима для целей законных интересов, преследуемых контролером или третьей стороной, за исключением случаев, когда такие интересы перекрываются интересами или основными правами и свободами субъекта данных, которые требуют защиты персональных данных, в частности, когда данные предмет – ребенок.

С одной стороны, это дает много возможностей для интерпретации.

С другой стороны, определение является бесполезным и расплывчатым, и вы должны определить, являются ли ваши интересы в обработке персональных данных законными.

ICO (Управление Комиссара по информации) опубликовало тест из трех частей, охватывающий цель, необходимость и баланс.

Разнообразные интересы могут быть законными, включая ваши собственные интересы, интересы третьих лиц и коммерческие интересы.Это может включать:

  • Обработка данных клиента или сотрудника;
  • Обработка осуществляется в маркетинговых целях;
  • Обработка, помогающая предотвратить мошенничество;
  • Внутригрупповая передача персональных данных; и
  • Обработка в целях ИТ-безопасности.

Как правило, вы можете определить, применимы ли законные интересы, если вы используете данные отдельных лиц таким образом, который они ожидают или иным образом считают разумным, и где обработка оказывает минимальное влияние на их конфиденциальность.

И, как всегда с GDPR, важнее всего будет ваш учет. Если вы можете продемонстрировать, что вы выполнили полную LIA (оценку законных интересов), надзорный орган должен быть удовлетворен.

Следует отметить, что, когда законные интересы используются для маркетинговой деятельности, право субъектов данных на возражение является абсолютным: вы должны прекратить обработку, если кто-либо возражает.

Вам также следует проверить свое соответствие PECR (Правила конфиденциальности и электронных коммуникаций 2003 г.).

Если вы полагаетесь на законные интересы, право на переносимость данных не применяется.

ДПО как услуга

Если вам нужна помощь в соответствии с требованиями DPO, вам следует рассмотреть наш DPO как услугу.

GDPR дает организациям возможность передать свои DPO на аутсорсинг, и с нашим решением это никогда не было проще.

Один из наших экспертов по защите данных выполнит все необходимые задачи удаленно, работая с вами, чтобы понять вашу организацию и ее нормативные требования.

Услуга, предлагаемая нашей дочерней компанией GRCI Law, также идеально подходит для организаций, которые не обязаны по закону назначать DPO, но все же хотят, чтобы кто-то дал экспертную консультацию.


Версия этого блога была первоначально опубликована 17 июля 2018 года.

правовых оснований для правомерной обработки персональных данных

Общий регламент по защите данных (GDPR) упоминает несколько юридических оснований для законности обработки персональных данных субъектов данных.Законное основание для обработки персональных данных состоит как минимум из одного из этих юридических оснований и может варьироваться в зависимости от деятельности и цели обработки персональных данных.

Необходимость в законном основании для обработки персональных данных в соответствии с GDPR (с необходимыми исключениями) не нова. В своих декларациях и статьях GDPR говорит примерно то же, что и его предшественник, Директива о защите данных (Директива 95/46 / EC) делала это по нескольким направлениям. Но есть и важные изменения.

Основные декларации и статьи о законной обработке и законных основаниях обработки как таковые, для начала, относятся к числу тех, в которых не так много изменилось.

Изложение 39 GDPR говорит об этом о законности, справедливости, прозрачности и цели обработки персональных данных: любая обработка персональных данных должна быть законной и справедливой, она должна быть прозрачной для субъектов данных, которые обрабатывают персональные данные, относящиеся к ним, и принцип прозрачности требует, чтобы ЛЮБАЯ информация и сообщения, касающиеся обработки персональных данных, были легкодоступными и понятными.Наряду с необходимостью использовать ясный и простой язык, последний прямо упоминается в рамках целей обработки. Помните цель, она возвращается.

Изложение 40 GDPR гласит, что для того, чтобы обработка была законной, личные данные должны обрабатываться на основе согласия соответствующего субъекта данных или на каком-либо другом законном основании.

Эта законная основа должна быть заложена в законе, при этом закон должен быть самим Общим регламентом защиты данных или другими законами ЕС или его государств-членов.

В жизни и юридических основаниях для законной обработки больше, чем согласие

Хотя согласие (что не совсем то же самое, что явное согласие, даже если де-факто граница может быть очень тонкой) является наиболее известным из юридических оснований, поскольку они резюмированы в статье 6 GDPR текста GDPR на законность обработки, это не всегда лучший путь.

Для каждого действия по обработке персональных данных важно определить наилучшее правовое основание, что также рекомендуется в руководящих принципах Рабочей группы по статье 29 (Европейский совет по защите данных) о согласии с конца ноября 2017 года.Проверка наилучшего правового основания для законности каждого процесса обработки начинается до фактической обработки. И, очевидно, в рамках соблюдения GDPR это означает, что у вас уже есть список и обязательная запись ваших действий по обработке персональных данных.

В упомянутых руководящих принципах подчеркивается, что согласие является одной из шести законных оснований для обработки персональных данных, как указано в этой статье 6. Тем не менее, в то же время, когда контролер инициирует действия, связанные с обработкой персональных данных, следует рассмотреть вопрос о том, является ли согласие является наиболее подходящим правовым основанием для законной обработки или может быть лучше другое.Помните, что когда согласие выбирается для какой-либо конкретной обработки, вам также необходимо соблюдать все правила и права в отношении согласия.

Шесть основных правовых оснований законности обработки персональных данных

Конечно, не всегда можно выбрать другой, и нужно быть уверенным. Это начинается со знания и понимания всех шести юридических оснований для обработки персональных данных. Так что бегло взгляните на них в качестве напоминания.

Также помните, что законность обработки означает, что применимо, ПО МЕНЯ, одно из шести правовых оснований, другими словами: одного достаточно.

1. Согласие как правовое основание для законной обработки

В статьях GDPR согласие упоминается в первую очередь как правовое основание законности обработки персональных данных как в статье 6, так и в статье 40.

В то время как общие правила относительно законного основания для согласия не сильно изменились, новые правила о согласии как законном основании имеют большое влияние на организации (как контроллеры данных, так и обработчики данных) .

Согласие означает, что субъект данных дал согласие на обработку персональных данных для одной или нескольких конкретных целей. Как уже упоминалось, понятие цели здесь является ключевым. Если субъект данных, также известный как физическое лицо, дает согласие на обработку, не зная (нескольких) целей (целей) в полном объеме и в понятной форме, то согласие не является законным основанием для обработки, поскольку оно по определению не дается свободно, конкретно , информированный и недвусмысленный. Более того, согласие не может быть объединено.Итак, для каждого действия по обработке данных в рамках одной более широкой операции общее правило заключается в том, что согласие недействительно, если оно предназначено для всех действий сразу. В качестве примера: давать согласие на ряд маркетинговых целей недействительно.

Статья 6 GDPR гласит, что согласие субъекта данных должно быть дано в отношении «одной или нескольких конкретных» целей и что субъект данных имеет выбор в отношении каждой из них. Это ясно: конкретные цели. Наряду со всеми обязанностями в отношении информации, несколько прав субъектов данных после получения согласия используются в качестве законного основания для обработки и, что еще более важно, это не всегда идеальный выбор, мягко говоря.Однако GDPR и его несколько юридических оснований для законной обработки не похожи на меню. Правило таково и остается тем, что для целей всех операций по обработке персональных данных выбирается наиболее подходящее правовое основание для каждой цели / деятельности.

2. Договорная необходимость как законное основание для обработки

Вторым правовым основанием для законной обработки, упомянутым в статье 6 GDPR, является необходимость обработки персональных данных для контракта.

Физическое лицо или субъект данных является стороной в контракте или должно предпринять шаги для заключения контракта, по его или ее запросу, и для заключения контракта или выполнения контракта необходимо и согласовано, что обработка персональных данных происходит в рамках этого договора. Это не новость по сравнению с Директивой, замененной GDPR.

GDPR Recital 40 упоминает «выполнение договора, стороной которого является субъект данных, или для принятия мер по запросу субъекта данных до заключения договора» как законное основание для законной обработки и GDPR Recital 44 просто заявляет, что обработка должна быть законной, если это необходимо в контексте контракта или намерения заключить контракт.

Каждый договор по определению означает обработку персональных данных. Вы не можете вступать в какие-либо договорные отношения без предоставления личных данных и идентификаторов, в зависимости от характера договора. По крайней мере, это касается контактной информации, в определенных типах договоров, таких как договор страхования, требуется гораздо больше. Лучше не растягивать определение контракта слишком далеко, например, чтобы избежать необходимости использовать согласие. В конце концов, все можно рассматривать как контракт, и будут случаи, когда контроллеры используют слишком широкий подход, чтобы они могли использовать контракт в качестве основы для законной обработки.

На этом же сайте мы могли бы, например, написать длинный текст условий и положений, в котором говорится, что посещение нас устанавливает договор, по которому мы имеем право обрабатывать то или это. Не пытайтесь: данные, необходимые для заключения или выполнения контракта, действительно должны быть предоставлены в рамках контракта и предлагаемых услуг.

Когда дело доходит до контрактов, обратите внимание на конкретные правила, применимые к конкретным отраслям или должностным обязанностям. Трудовой договор – это не просьба о жилищном кредите, не дополнительная медицинская страховка, ну этот список можно продолжить.

3. Законная обработка на основании юридических обязательств

Третьим правовым основанием для законной обработки является соблюдение юридических обязательств.

Если у контролера есть юридическая обязанность, для которой необходимо обработать определенные персональные данные, то обработка разрешена. Это соблюдение юридического обязательства, для которого требуется обработка и которому подчиняется контролер, также не ново.

Однако и здесь действуют особые правила.Что изменилось по сравнению с предшественником Общего регламента защиты данных, так это то, что в Recital 45 говорится, что «если обработка выполняется в соответствии с юридическим обязательством, которому подчиняется контролер, или когда обработка необходима для выполнения выполняемой задачи» в общественных интересах или при исполнении официальных полномочий обработка должна быть основана на законодательстве Союза или государства-члена ». Ограничение законодательством ЕС или законов государств-членов ЕС влечет за собой последствия.

4. Жизненные интересы и законная обработка персональных данных

Защита «жизненно важных интересов» физического лица является четвертым основанием для законной обработки.

В этом случае физическое лицо не обязательно должно быть субъектом данных, им также может быть другое физическое лицо. Конечно, контролер не должен определять, в чем состоит жизненный интерес. Здесь мы действительно говорим об опасных для жизни обстоятельствах, когда нет другого законного основания для обработки, но когда отказ от обработки персональных данных по сути означает, что кто-то умрет, если вы не примете меры, и поэтому вам нужно знать кое-что о естественных условиях. человек, который находится в опасности.

Если произошел серьезный несчастный случай, вы действительно хотите узнать несколько вещей об истории болезни жертвы, например об аллергии на определенные лекарства, GDPR или нет.

Кроме того, некоторые типы обработки персональных данных в таких случаях могут не только служить жизненно важным интересам субъекта данных или другой естественной цели, но также служить общественным интересам , например, в случае стихийных бедствий, эпидемий и т. Д., Как гласит GDPR Recital 46. . И это подводит нас к следующему правовому основанию для законной обработки: причинам общественного интереса как такового.

5. Общественный интерес как основание для законной обработки

Общественный интерес как основа для законной обработки описан в статье 6 GDPR следующим образом: «обработка необходима для выполнения задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера».

Это почти то же самое, что и в Директиве о защите данных, и на нелегальном языке просто означает, что этот общественный интерес остается основанием для обработки с общественным интересом, означающим, среди прочего, выполнение нескольких возможных общественных задач (e.g обязательства в отношении НДС и налогов) , задачи, которые вы выполняете как государственный орган и которые требуют обработки персональных данных в соответствии с юридическими обязательствами, и другие операции по обработке данных, которые рассматриваются как представляющие общественный интерес, такие как научные исследования, общественное здравоохранение и более.

Из GDPR Recital 45: «Законодательство Союза или государства-члена также должно определять, должен ли контролер, выполняющий задачу, выполняемую в общественных интересах или при осуществлении официальных полномочий, быть государственным органом или другим физическим или юридическим лицом, управляемым публичным правом или, если это отвечает общественным интересам, в том числе в целях здравоохранения, таких как общественное здравоохранение и социальная защита и управление медицинскими услугами, частным правом, например, профессиональной ассоциацией ».

6. Законные интересы как правовое основание для обработки

Последним из шести оснований, служащих законным основанием для обработки персональных данных в первом абзаце статьи 6 GDPR, является часто упоминаемая категория «законных интересов».

Законные интересы уже существовали в качестве законной основы для обработки персональных данных в Директиве, но GDPR добавляет к ней в форме оговорок, когда она НЕ применяется. В статье 6 говорится, что обработка необходима для целей законных интересов, преследуемых контролером или третьей стороной.Первое исключение, которое существовало раньше, – это когда законные интересы перекрываются интересами или основными правами и свободами субъекта данных (конечно, включая основные права субъекта данных в соответствии с GDPR) . Что касается последнего, GDPR, в отличие от Директивы, явно фокусируется на случае, когда субъектом данных является ребенок и всегда требуется разрешение родителей. Кроме того, в GDPR прямо говорится, что правовое основание законного интереса не распространяется на обработку персональных данных государственными органами при выполнении ими своих задач.

Разделы 47 и 48 Общего регламента по защите данных (GDPR) содержат несколько примеров законных интересов (хотя их основная цель – подчеркнуть, какие права, свободы и т. Д. Преобладают над законными интересами) .

  • Одним из таких примеров законного интереса может быть ситуация, когда «между субъектом данных и контролером существуют соответствующие и соответствующие отношения, например, когда субъект данных является клиентом или находится на службе у контролера».
  • Другой пример: обработка персональных данных, строго необходимая для предотвращения мошенничества, также представляет собой законный интерес.
  • GDPR Recital 47 также заявляет, что обработка персональных данных в целях прямого маркетинга может рассматриваться как осуществляемая в законных интересах.
  • В других Ситуациях упоминаются другие законные интересы, начиная от сетевой и информационной безопасности до внутренней работы в группе предприятий.

Главное, что нужно помнить о законных интересах, – это то, что эти интересы должны быть сбалансированы и сопоставлены с правами и рисками субъектов данных.Они должны быть пропорциональными, четко объясненными, более чем экономическими по своему характеру и, конечно, требовать обработки. С дополнительными положениями, касающимися детей, и множеством элементов, которые необходимо учитывать, когда контролер взвешивает законные интересы и их множество, это не самое простое из фундаментальных правовых оснований для законной обработки.

Дополнительные факты о законном оформлении

Очевидно, что существует гораздо больше возможностей для обработки особых типов и категорий персональных данных, как упоминалось ранее.

Существуют также специальные правила в отношении данных, касающихся обвинительных приговоров и правонарушений, и государства-члены могут более точно определять требования к обработке, а также могут определять другие меры для удаленной и законной обработки, среди прочего, в рамках положений, касающихся конкретных ситуаций обработки, которые являются рассматривается в главе IX текста GDPR.

Убедитесь, что вы тщательно перечислили свою деятельность по обработке данных и нашли наиболее подходящую законную основу для обработки персональных данных, которая на практике требует большего, чем этот обзор, конечно, для особых категорий персональных данных и организаций (контроллеры и процессоры) в очень конкретных отрасли, такие как здравоохранение, и даже группы, такие как религиозные организации, к которым применяются дополнительные или особые правила.