Содержание

Нужно ли перезаключать соглашения на обработку персональных данных с работниками при смене ими паспорта или прописки?

Рассмотрев вопрос, мы пришли к следующему выводу:

Получать новое согласие работника при изменении его персональных данных не нужно при условии, что срок действия первоначального не истек или оно не было отозвано работником. Тот факт, что в самом согласии указаны прежние персональные данные, не отменяет и не изменяет действие данного согласия и не делает его недействительным.

Обоснование вывода:

1. Согласно ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ “О персональных данных” (далее – Закон N 152-ФЗ) персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), а обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

При обработке персональных данных оператор должен руководствоваться принципами, сформулированными в ст. 5 Закона N 152-ФЗ. Так, надлежит учитывать, что обработке подлежат только персональные данные, которые отвечают целям их обработки (п. 4 ч. 1 ст. 5 Закона N 152-ФЗ). Обрабатываемые персональные данные не могут быть избыточными по отношению к заявленным целям их обработки (п. 5 ч. 1 ст. 5 Закона N 152-ФЗ). При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность (п. 6 ст. 5 Закона N 152-ФЗ). Заключая трудовой договор лицо, поступающее на работу, предъявляет работодателю документы, указанные в части первой ст. 65 ТК РФ. В этих документах содержатся персональные данные лица, ищущего работу. Если предстоящая обработка персональных данных не подпадает под исключения, предусмотренные п.п. 2-11 ч. 1 ст. 6, п.п. 2-10 ч. 2 ст. 10 Закона N 152-ФЗ, то работодателью необходимо получить согласие гражданина на обработку его персональных данных (п. 1 ч. 1 ст. 6, п. 1 ч. 2 ст. 10 Закона N 152).

Согласие на обработку персональных дается субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом (ч. 1 ст. 9 Закона N 152-ФЗ). Исключительно в письменной форме согласие требуется, в частности, на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, биометрических персональных данных, на трансграничную передачу персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных. Требования к содержанию такого согласия изложены в ч. 4 ст. 9 Закона N 152-ФЗ. Если согласие на обработку персональных данных составляется в форме электронного документа, то оно должно быть подписано электронной подписью.

При иных обстоятельствах, по смыслу приведенных норм, согласие на обработку персональных данных может быть дано в любой форме: например, путем включения соответствующего пункта в договор, анкету или иной документ, если при этом его содержание отвечает установленным законом требованиям к содержанию письменного согласия (смотрите разъяснения Роскомнадзора от 14. 12.2012). Отметим, что ни Трудовой кодекс РФ, ни Закон N 152-ФЗ не устанавливают обязанности оператора при изменении персональных данных работника требовать от него новое согласие на обработку персональных данных, если срок действия первоначального не истек или согласие не было отозвано работником (ч. 2 ст. 9 Закона N 152-ФЗ). Тот факт, что в самом согласии указаны прежние персональные данные (п. 1 ч. 4 ст. 9 Закона N 152-ФЗ), не отменяет и не изменяет действие данного согласия и не делает его недействительным. Полагаем, что оно продолжает действовать – вне зависимости от изменения “внутреннего содержания” персональных данных, указанных в перечне, поскольку данные обстоятельства никак не порочат волеизъявление субъекта персональных данных. На наш взгляд, достаточно внести изменения в учетные документы, содержащие персональные данные работника (трудовую книжку, личную карточку работника*(1) и др.)*(2). Так, например, в одном из дел суд счел доверенность на представительство интересов истца действительной, несмотря на то, что фамилия представителя была изменена. Представленные документы, подтверждающие факт изменения фамилии: свидетельство о заключении брака и копия паспорта на новую фамилию позволили суду идентифицировать личность представителя, подписавшего исковое заявление (постановление ФАС Западно-Сибирского округа от 06.04.2011 N Ф04-1475/11 по делу N А45-15480/2010). Очевидно, что такой же подход должен быть использован и в рассматриваемом случае.

2. Равным образом не предусматривает действующее законодательство обязанности работника (субъекта персональных данных) предоставлять работодателю (оператору) сведения об изменении своих персональных данных, наделяя его только правом требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки (ст. 89 ТК РФ, ч. 1 ст. 14 Закона N 152-ФЗ). В то же время такая обязанность установлена, например, пенсионным законодательством. Так, в ст. 14 Федерального закона от 01.04.1996 N 27-ФЗ “Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования” (далее – Закон N 27-ФЗ) указано, что работники (застрахованные лица) обязаны предоставлять сведения работодателю и заполнять необходимые документы в случае изменения сведений, содержащихся в его индивидуальном лицевом счете. Работник (застрахованное лицо) обязан предъявить работодателю (страхователю) документы, подтверждающие сведения о новом адресе, и заполнить соответствующие формы (абз. второй и четвертый п. 2 ст. 9, п. 2 ст. 6 Закона N 27-ФЗ). К сожалению, Закон N 27-ФЗ не устанавливает сроков представления таких документов. Однако ничто не препятствует работодателю в целях обеспечения соблюдения законов конкретизировать данную обязанность в локальном нормативном акте и определить способы и сроки сообщения работниками об изменении тех сведений, которые необходимы работодателю для соблюдения правовых предписаний. При этом работники и их представители должны быть ознакомлены под подпись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области (пп. 8 ст. 86 ТК РФ).

Кроме того, условие об обязанности работника в определенные сроки сообщать работодателю об изменении своих персональных данных может быть включено в трудовой договор. По мнению специалистов Роструда, это не нарушает действующих норм законодательства (смотрите: Информационный портал Роструда “Онлайнинспекция.РФ”, март 2018 г.). Неисполнение требований локального нормативного акта, условий трудового договора в данном случае может расцениваться как нарушение дисциплины труда (смотрите, например, решение Первомайского районного суда г. Мурманска Мурманской области от 01.07.2016 по делу N 2-6858/2016).

Помимо этого, подобные меры позволят работодателю избежать претензии к нему со стороны работников или контролирующих органов при возникновении тех или иных негативных последствий использования неактуальных сведений при заполнении документов в целях предоставления их в различные государственные органы (смотрите, например, решение Сургутского городского суда Ханты-Мансийского автономного округа – Югры от 18. 04.2017 по делу N 12-305/2017, решение Тагилстроевского районного суда г. Нижнего Тагила Свердловской области от 08.12.2014 по делу N 2-2474/2014).

Ответ подготовил:

Эксперт службы Правового консалтинга ГАРАНТ

Виноградова Марина

Информационное правовое обеспечение ГАРАНТ

Многоканальный телефон: (347) 292-44-44

────────────────────────────────────────────────────────────────────────

*(1) Унифицированная форма N Т-2 (утверждена постановлением Госкомстата РФ от 05.01.2004 N 1).

*(2) Изменение анкетных данных: как отразить документально (И. Гущина, “Кадровик. Кадровое делопроизводство”, N 5, май 2010 г.).

Россияне будут давать больше согласий на обработку персональных данных — РБК

Новый закон значительно ужесточает правила обработки и распространения персональных данных лиц для операторов и бизнеса, сообщил РБК Александр Надмитов, управляющий партнер юридической фирмы «Надмитов, Иванов и Партнеры». Так, до обработки персональных данных из открытых источников надо будет убеждаться в том, что человек дал согласие на их распространение. Кроме того, нужно будет проверять наличие условий и ограничений на обработку данных другими операторами, пояснил Надмитов. В новом законе прописаны условия обработки тех персональных данных, которые россияне разрешат распространять, рассказала в беседе с РБК партнер коллегии адвокатов Pen & Paper Екатерина Тягай.

Читайте на РБК Pro

Как будет предоставляться согласие

Россияне смогут предоставить согласие непосредственно оператору или с использованием информационной системы Роскомнадзора, сообщила Екатерина Тягай. В своем специальном согласии субъект должен будет прямо определить перечень персональных данных, которые смогут быть распространены оператором. Оператор обязан будет предоставить субъекту возможность произвести такое определение по каждой категории разрешенных для распространения персональных данных, указанной в согласии на их обработку, рассказала юрист.

Надмитов отметил, что закон не содержит требования об обязательной письменной форме согласия на распространение. По его словам, требования к содержанию согласия на распространение будут установлены Роскомнадзором. На данный момент соответствующих актов регулятора нет. В любом случае операторам придется дополнять и конкретизировать свои стандартные согласия на обработку персональных данных, сказал юрист.

Новый закон особенно затронет владельцев (операторов) онлайн-ресурсов и сервисов, которые позволяют пользователям делиться информацией с неограниченным кругом лиц. Также закон повлияет на тех, кто использует в своей работе информацию из открытых источников, в частности СМИ, компании, использующие системы мониторинга поведения в интернете, считает Надмитов.

Как по новому закону будут удалять персональные данные

Россияне смогут в любое время потребовать прекратить передачу или распространение персональных данных, напомнил о положениях закона Надмитов. Действие согласия на обработку персональных данных прекращается с момента поступления оператору требования их обладателя.

При этом запреты на использование персональных данных не распространяются на случаи обработки информации в государственных, общественных и иных публичных интересах, определенных законодательством, указал юрист.

В начале декабря Ассоциация больших данных (объединяет «Яндекс», Mail.ru Group, Сбербанк, Газпромбанк, мобильных операторов) просила Госдуму не принимать нововведения в закон о персональных данных. Компании опасались, что закон усложнит обработку общедоступных персональных данных. В частности, в заявлении говорилось, что закон может создать правовую неопределенность при использовании данных в тех случаях, когда пользователь дает двум социальным сетям согласие на обработку данных, но с разными параметрами.

Также требования могут привести к дополнительным расходам площадок на доработку интерфейсов, причем российские ресурсы окажутся в невыгодном положении, так как контролировать соблюдение требований иностранцами будет невозможно, считает бизнес. Председатель комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России Александр Журавлев отмечал, что изменения могут осложнить работу компаний, которые используют искусственный интеллект и большие данные.

Согласие на обработку персональных данных

Участники олимпиады «Высшая проба» обязаны при регистрации загрузить в личном кабинете скан заполненного согласия на обработку персональных данных и публикацию работ. Без этого регистрация не может быть завершена.

Документ формируется автоматически в личном кабинете на основании персональных данных, внесенных в личном кабинете на втором шаге регистрации (после получения логина и пароля).

Кто должен давать согласие?

Согласие на обработку персональных данных и публикацию работ дает участник олимпиады и его родитель (законный представитель). 
Родители являются законными представителями своих детей и выступают в защиту их прав и интересов в отношениях с любыми физическими и юридическими лицами, в том числе в судах, без специальных полномочий (в соответствии со ст.

64 Семейного кодекса Российской Федерации)

Что писать в строке “на основании”?

Подразумевается тип документа, удостоверяющего личность, данные которого вы указали. Например, если вы вводили данные российского паспорта родителя, в поле должно быть написано: паспорта РФ. 

Достаточно ли согласия от одного родителя?

Да, достаточно.

Можно ли не давать свое согласие?

Согласие на обработку персональных данных дается добровольно (в соответствии с ФЗ «О персональных данных»). Однако если родители (законные представители) или же сам совершеннолетний школьник не хотят давать согласие на обработку персональных данных в установленной в соответствии с законом форме, то школьник не сможет принять участие в Олимпиаде, поскольку для организации и проведения олимпиадных состязаний требуется обработка персональных данных участников.

Зачем давать согласие на публикацию работ?

Согласие на публикацию работ требуется организаторам в соответствии с Порядком проведения олимпиад школьников (Приказ Минобрнауки России от 04.04.2014 N 267 в ред. от 10.12.2014 “Об утверждении Порядка проведения олимпиад школьников”)

Почему в согласии должны указываться паспортные данные?

Эти данные вносятся на основании статьи 9, п. 4.1 и п. 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».

19 вопросов рекрутеров о персональных данных

Поэтому мы создали систему управления персоналом Talantix, в которой автоматизировали сбор разрешений на использование персональных данных кандидатов. Неделю назад Сергей Кортиков, ведущий консультант по информационной безопасности АО «Винтегра Секьюрити», Наталья Родякина, менеджер по развитию продукта Talantix, и Юрий Донников, директор юридического департамента hh. ru, провели митап, на котором разъяснили суть закона «О персональных данных» и расcказали, как соблюдать его требования.

Мы собрали в статье самые интересные вопросы, которые задали участники митапа, и экспертные ответы на них. Все выступления вы можете посмотреть в записи.

По закону, общедоступная информация — та, к которой доступ не ограничен. Общедоступные персональные данные — это данные, неограниченный доступ к которым субъект предоставил со своего согласия, причем письменного.

Закон допускает получение согласия кандидатов через веб-форму. Когда у вас настроен автоматизированный сбор согласий, Роскомнадзор не будет проверять по отдельности наличие согласия каждого человека в базе данных. В случае проверки важно продемонстрировать, как идет процесс.

Например, ваш сбор согласий через сайт подтвержден внутренним приказом, и часть вашей системы в виде скриншота в этом приказе отражена, то есть у вас есть внутренние документы, которые такое получение согласия описывают. Текст согласия также утвержден каким-либо локальным актом вашей организации. Если вы можете продемонстрировать Роскомнадзору все эти документы и показать, что согласия собираются, этого должно быть достаточно, и не нужно будет просить согласие два раза.

Редко бывают случаи, когда требуется непосредственно письменное согласие. Можно решить это так: когда кандидат пришел на собеседование, попросите его подписать разрешение.

Вы должны их удалять после того, как вакансия, на которую рассматриваются субъекты, будет закрыта. Если же кандидаты просто присылают свои резюме не на какую-либо конкретную вакансию, то их также после просмотра необходимо удалить. Нужному вам кандидату необходимо отправить письмо с согласием на обработку.

Это специальные категории персональных данных: биометрические персональные данные, ограниченные для передачи в определенные страны; информация о здоровье, религиозных взглядах, политических взглядах. Но в кадровом делопроизводстве обычно такие данные не встречаются.

Это уже конфликт с субъектом. Он также может сказать, что его подпись на согласии подделана. Все, что можно сделать в этой ситуации, — продемонстрировать, что к вам пришел человек и сообщил, что будет с вами общаться с конкретного почтового ящика. Суд должен встать на вашу сторону, потому что у вас не было оснований считать, что пишет какой-то другой человек. Но как конкретно развернется дело, сказать сложно.

Пока вы работаете в рамках hh.ru, то вы остаетесь в контуре той оферты, которую принимает каждый пользователь этого ресурса, и вы можете вести переписку, приглашать на интервью и так далее, ни о чем не беспокоясь. Если вы скопировали или распечатали данные, в этот момент hh.ru заканчивается, и начинается ваше самостоятельное использование этих персональных данных. На то, что вы делаете с ними вне сайта, нужно согласие: например, распечатываете, сохраняете себе на флешку, переносите во внутреннюю систему.

Возможно, кадровое агентство уже позаботилось об этом, поэтому важно уточнить у кадрового агентства, в какой форме они собирают согласия. В этих формах должно быть обозначено, что данные будут передаваться в кадровый резерв третьих лиц. У вас должна быть копия этого согласия на случай проверки. Ну и на уровне договора с подрядчиком можно прописать, кто и как обходится с персональными данными кандидатов. Этот договор также можно предоставить в случае проверки.

Во-первых, в согласии важно прописать трансграничную передачу, если данные размещаются на серверах этой компании. Во-вторых, необходимо прописывать предоставление данных третьим лицам и то, с какой целью другие члены организации могут иметь доступ к данным.

В странах СНГ свои законы о хранении и обработке персональных данных, требования различаются. Здесь все зависит от того, чье именно законодательство в конкретный момент времени вам надо выполнять. В этих законах также обозначена территория, на которой они действуют. В каких-то случаях закон будет действовать только на территории определенного государства, а в каких-то случаях вы будете обязаны особым образом подходить к обработке данных иностранных граждан. Но так как вы находитесь в России, то вы должны выполнять требования закона об обработке и хранении персональных данных и запрашивать согласие. В случае специальных требований других стран нужно исходить из ситуации.

Нет, запрашивать нужно согласие только на те данные, с которыми вы в дальнейшем собираетесь работать. Паспортные данные вы можете запросить, например, для идентификации конкретного соискателя, но так как вы не собираетесь ничего с ними делать, то и согласие не нужно.

Можно решить с помощью одного общего согласия, в котором будет указано и рассмотрение на вакансию, и внесение в кадровый резерв. Даже лучше брать одно согласие, чтобы не нагружать ни себя, ни человека.

Так как ваша цель достигнута (люди отработали, уволились), у вас нет формальных оснований хранить эти данные. Поэтому для хранения необходимо запросить у людей в какой-либо форме эти согласия. Либо удалить или обезличить, оставив для себя статистические данные: например, у вас работало столько-то человек такого-то года рождения.

Принцип, по которому Роскомнадзор выбирает компании для проверки, неизвестен. Обычно они публикуют план проверок, с которым можно ознакомиться на их сайте.

Сложно сказать, в какой момент Роскомнадзор захочет углубиться и посмотреть какие-либо этапы процесса работы с данными подробнее. Все зависит от конкретной ситуации и позиции проверяющего. Он может вдруг попросить посмотреть, как вы храните личное дело, а может и заглянуть в него, а в нем окажется какое-либо нарушение. Если такое обнаружится в нескольких делах, то проверяющий поймет, что нарушения носят массовый характер.

Роскомнадзор может попросить вас продемонстрировать, как работает вся система по обработке и хранению персональных данных. Например, попросит показать, как вы по электронной почте общаетесь с кандидатами. Или показать бухгалтерию, какие данные фрилансеров хранятся в «1С». Также могут попросить сделать скриншот и положат его в материал проверки. Но сами за компьютер они не могут садиться.

В Talantix процесс автоматизирован: вы можете выбрать список пофамильно или отметить, например, только тех кандидатов, которые откликнулись на конкретную вакансию.

Мы можем настроить для вас чат-бот под ваши задачи, сделаем его как виджет для вашей страницы, и вы сможете его арендовать. Кандидат, кликая на виджет, будет попадать на страницу с чат-ботом в стиле вашей компании. Согласие на обработку персональных данных будет ждать его наверху страницы.

Например, у вас есть фрилансеры, и вы заключаете с ними гражданско-правовые договоры. В силу требований налоговой вы не можете уничтожить договор с фрилансером просто потому, что он вас попросил, даже отправив вам требование, написанное по закону. Пока у вас есть договор, вы имеете право его данные хранить и обрабатывать, так как вам необходимо будет составлять акт оказанных услуг, начислить страховые взносы, платить налоги. Потому что налоговая проверка к вам тоже может прийти, и вам необходимо будет предоставить документы, по которым вы работали с фрилансером. И если Роскомнадзор спросит, почему вы храните данные, если уже не сотрудничаете с фрилансером, то вы можете сослаться на Закон об архивном деле, есть ПБУ, есть Налоговый кодекс, где прописаны свои требования по хранению данных.

Касательно личного дела. Допустим, у вас работал человек, потом уволился. Он имеет право прийти к вам через какое-то время и попросить вас предоставить ему справки о выплаченной зарплате, копии каких-либо документов и другое. И вы должны будете их предоставить, поэтому такие данные необходимо хранить. Закон обязывает вас хранить бухгалтерскую и кадровую документацию, и вы это делаете.

Процедура уничтожения персональных данных должна быть регламентирована и описана. Если это материальный носитель, то в регламенте должно быть прописано, что собирается комиссия, носитель уничтожается и составляется акт об уничтожении материального носителя. К примеру, вы хранили данные на жестком диске. Вы его уничтожаете и составляете акт. Роскомнадзор может попросить вас продемонстрировать экземпляр этого акта.

Субъект с такой просьбой может к вам обратиться в любой момент времени, здесь нет срока давности. Но ваши сроки хранения данных вам необходимо прописывать во внутренних регламентах.

Когда «необходима» обработка персональных данных для выполнения контракта?

Европейский совет по защите данных принял окончательное Руководство по обработке персональных данных с использованием законного основания « необходимо выполнить договор » в соответствии со статьей 6(1)(b) GDPR в контексте предоставления онлайн-услуг. .

Статья 6(1)(b) GDPR обеспечивает законную основу для обработки персональных данных в той степени, в которой обработка:

  • Необходим для исполнения договора , стороной которого является субъект данных; или
  • Чтобы принять меры по запросу субъекта данных до заключения договора.

В Руководстве изложены элементы законной обработки в соответствии со статьей 6(1)(b) и особое внимание уделяется понятию «необходимость». Они начинают с изучения взаимодействия между этим законным основанием и другими обязательствами в соответствии с GDPR.

Законная, справедливая и прозрачная обработка

В Руководстве поясняется, что для того, чтобы обработка персональных данных на этом основании была «законной»[1], договор на предоставление онлайн-услуг должен быть действительным. Например, когда речь идет о детях, обеспечение соблюдения национальных законов, касающихся способности детей заключать контракты.

Требование о том, чтобы обработка была добросовестной и законной, также требует, чтобы контролер выполнял другие соответствующие юридические обязательства, например, связанные с несправедливыми условиями потребительских договоров.[2]

Чтобы выполнить обязательства по обеспечению прозрачности в соответствии с GDPR, контролеры должны убедиться, что они не путают правовую основу, в частности убедиться, что у субъектов данных нет ошибочного впечатления, что они дают свое согласие на обработку их личные данные в соответствии со статьей 6(1)(a) GDPR, когда они подписывают контракт или принимают условия обслуживания.Руководящие принципы напоминают нам, что это две совершенно разные концепции с разными требованиями и последствиями.

Как выполнить статью 6(1)(b) и необходимость

Критерий для оценки того, удовлетворяется ли статья 6(1)(b) в качестве законного основания, заключается в том, является ли обработка « объективно необходимой » для (i) выполнения контракта с субъектом данных; или (ii) для принятия преддоговорных мер по запросу субъекта данных.

В Руководстве используется узкое толкование «необходимости», которое включает «объединенную, основанную на фактах оценку обработки» для преследуемой цели и рассмотрение вопроса о том, существует ли какой-либо менее навязчивый способ достижения той же цели.Если да, то обработка не является «необходимой» для выполнения контракта или выполнения преддоговорных действий.

Включение ссылок на обработку персональных данных в условия договора недостаточно для включения обработки в сферу действия статьи 6(1)(b) и, наоборот, обработка может быть объективно необходимой для выполнения договора, даже если в договоре это не указано. Контракт не может искусственно расширять категории персональных данных или виды обработки, которые необходимы для выполнения контракта в соответствии со статьей 6(1)(b), например, путем включения условий, налагающих дополнительные условия, касающиеся рекламы или файлов cookie.Ключевой вопрос заключается в том, является ли обработка объективно необходимой для цели, которая является неотъемлемой частью предоставления договорных услуг субъекту данных.

Контролер должен быть в состоянии продемонстрировать, что основной предмет конкретного договора с субъектом данных на самом деле не может быть выполнен без конкретной обработки рассматриваемых персональных данных. Следует принимать во внимание разумные ожидания субъекта данных – будет ли обычный пользователь услуги разумно ожидать, что обработка будет иметь место для предоставления услуги?

Если несколько отдельных услуг или элементов услуги связаны вместе в одном договоре, но они могут быть разумно выполнены независимо друг от друга, то при оценке соответствия статье 6(1)(b) в качестве правового основания каждая услуга или элемент должны оцениваться отдельно, чтобы определить, какая обработка объективно необходима для выполнения этой услуги или элемента.

Практические примеры

Руководство содержит некоторые более конкретные рекомендации по применению статьи 6(1)(b) к определенной обработке, например:

  • Поведенческая онлайн-реклама и связанное с ней отслеживание и профилирование субъектов данных, как правило, не являются необходимыми для выполнения контракта на онлайн-услуги, поскольку обычно трудно утверждать, что контракт не может быть выполнен без показа поведенческой рекламы. На статью 6(1)(b) нельзя полагаться на том основании, что интернет-реклама косвенно финансирует услугу.Хотя это может способствовать предоставлению услуги, этого недостаточно для установления необходимости выполнения контракта.
  • Персонализация — Персонализация контента может быть необходима для выполнения контракта, если она является неотъемлемым и ожидаемым элементом онлайн-сервиса, а не просто предназначена для увеличения взаимодействия со службой. Это зависит от характера услуги и ожиданий среднего субъекта данных, в свете условий обслуживания, того, как она рекламируется пользователям и может ли услуга предоставляться без персонализации.
  • Договорные гарантии – Хранение определенных данных в течение определенного времени после обмена товарами или услугами в целях договорных гарантий может быть необходимо для выполнения договора;
  • Улучшение обслуживания — Обработка персональных данных для улучшения обслуживания, как правило, не требуется для выполнения контракта, поскольку услуга может быть предоставлена ​​без сбора этой информации. Однако контролер может полагаться на альтернативное юридическое основание, такое как законные интересы или согласие.
  • Предотвращение мошенничества . Обработка персональных данных в целях предотвращения мошенничества, вероятно, выходит за рамки того, что объективно необходимо для выполнения контракта. Однако такая обработка может осуществляться в законных интересах контролера или может быть необходима ему для выполнения юридического обязательства.

[1] В соответствии со статьей 5(1)(a) GDPR

[2] Например, Директива 93/13/ЕЕС – Директива о недобросовестных условиях контракта

GDPR Возраст согласия — это не детская игра

Будучи взрослыми, мы можем принимать обоснованные решения о сборе или обработке наших данных.А как же дети? В каком возрасте они должны быть в состоянии принимать собственные решения? И это разумно или реально?

Каков возраст согласия GDPR?

В соответствии со статьей 8 Общего регламента по защите данных, возраст согласия, т. е. когда ребенок обязан или может дать свое согласие на обработку своих данных, составляет 16 лет. Однако государства-члены могут установить свой возраст согласия, но не более 13 лет. .

В Великобритании возраст согласия составляет 13 лет, поэтому это самый низкий возраст, разрешенный GDPR.

Это достаточно мало? Или слишком высоко?

Целью согласия является проведение линии на песке, показывающей, с какого возраста дети могут давать согласие на обработку своих персональных данных.

Как правило, мы склонны думать о детских данных, используемых для целей социальных сетей, таких как Instagram, который предназначен для лиц в возрасте 13 лет и старше и даже имеет онлайн-форму, позволяющую сообщать о пользователях учетных записей, которые моложе этого возраста.

Чем отличается возраст согласия GDPR в ЕС?

Многие страны-члены ЕС имеют тот же возраст согласия, что и Великобритания.Только один или два старше, и что удивительно, у некоторых народов нет провизии.

  • Австрия – 14 лет
  • Бельгия – 13 лет
  • Чехия – 15 лет
  • Дания – 13 лет
  • Финляндия – 13 лет
  • Франция – 15 лет (или моложе с согласия родителей)
  • Германия – нет
  • Венгрия – нет
  • Ирландия – 16 лет
  • Италия – 14 лет
  • Нидерланды – 16 лет
  • Польша – нет
  • Словакия – 16 лет
  • Испания – 14 лет
  • Швеция – 13 лет
  • Великобритания – 13 лет

Вы можете быть в курсе событий в каждой стране с помощью удобного трекера GDPR от Two Birds.

Дети невольно подвергают риску свою безопасность в Интернете?

Несмотря на правила, Уполномоченный по делам детей Великобритании говорит, что дети невольно отдают права на свои личные данные и подвергают риску свою безопасность в Интернете.

Опрос, проведенный Комиссаром по растущим цифровым технологиям, показал, что почти 50% детей в возрасте от 8 до 11 лет соглашаются с расплывчатыми условиями, предлагаемыми социальными сетями.

Ни один из опрошенных детей полностью не понял условия использования Instagram, которым пользуются более половины детей в возрасте от 12 до 15 лет и 48% детей в возрасте от 8 до 11 лет.Только половина этих детей в возрасте от 8 до 11 лет может даже прочитать термины, которые содержат более 5000 слов на 17 страницах текста. Тем не менее, Instagram предназначен для лиц старше 13 лет и имеет функцию отчетности для более молодых пользователей.

По данным Ofcom, дети в возрасте от 12 до 15 лет проводят более 20 часов в неделю в Интернете, и 70% из них имеют профиль в социальных сетях. Интересно, что Ofcom также сообщает, что даже 3- и 4-летние дети проводят 8 ¼ часов в неделю в Интернете — это довольно сумасшедшая мысль!

Как и большинство взрослых, если я хочу что-то узнать о социальных сетях, я спрошу ребенка из моей семьи или круга друзей.Нет лучших экспертов по социальным сетям , чем дети, но эксперты по соблюдению этих статистических данных могут сказать, что это не так.

Можем ли мы ожидать, что дети будут делать осознанный выбор в отношении своих прав на личные данные?

Тем не менее, здравый смысл подсказывает нам, что дети, даже в возрасте 13 лет, не могут разумно ожидать осознанного выбора в отношении своих прав, связанных с личными данными.

Мир защиты данных — это минное поле, заполненное профессионалами в области права и комплаенса, которые могут часами обсуждать темы и тонкости подобных вопросов.Тем не менее, в соответствии с GDPR мы разрешаем детям в возрасте 13 лет принимать решения относительно защиты своих данных.

Необходимость вмешательства родителей

Очевидно, что вмешательство родителей по-прежнему необходимо. Родители должны хоть как-то направлять своих детей. Интересно, что я уверен, что родители делают то же самое в отношении финансовых вопросов, таких как выбор, предоставлять или не давать свое согласие на банковские счета ребенка и трастовые фонды.

Точно так же будет интересно посмотреть, в каком направлении движутся фирмы финансовых услуг в отношении согласия детей. Независимо от того, соглашаются ли дети на получение маркетинговых и рекламных материалов или пытаются ограничить или отозвать согласие, у них, вероятно, отсутствует какое-либо реальное понимание влияния и последствий таких инструкций.

Хотите узнать больше о GDPR?

Если вы хотите быть в курсе лучших практик GDPR, отраслевой аналитики и ключевых тенденций в области соблюдения нормативных требований, цифрового обучения, новостей EdTech и RegTech, подпишитесь на бюллетень Skillcast Compliance Bulletin.

Чтобы помочь вам ориентироваться в сфере соблюдения требований, мы составили доступные для поиска глоссарии ключевых терминов и определений по сложным темам, включая GDPR, равенство, финансовые преступления и SMCR.Мы также регулярно сообщаем об основных выводах из недавних штрафов GDPR. И если вы ищете решение для обучения соответствию требованиям, почему бы не посетить нашу библиотеку курсов GDPR?

Вы можете следить за нашим текущим исследованием YouGov вопросов соответствия, отношения и восприятия рисков на рабочем месте в Великобритании через наши блоги Compliance Insights.

И последнее, но не менее важное: у нас есть более 70 бесплатных учебных пособий по соблюдению требований, включая оценки, руководства по передовой практике, контрольные списки, настольные пособия, электронные книги, игры, раздаточные материалы, плакаты, обучающие презентации и даже модули электронного обучения!

Если у вас есть какие-либо вопросы или опасения по поводу соблюдения требований или электронного обучения, свяжитесь с нами.

Мы рады помочь!

Может ли обязательное согласие быть необязательным? Обработка персональных данных детей в соответствии с бразильским LGPD

«Датификация» общества также затрагивает детей, которые особенно уязвимы к разглашению их личной информации. В своем онлайн-отчете о данных и конфиденциальности детей Лондонская школа экономики делит конфиденциальность детей на три сегмента: межличностный (создание цифровых следов детей), институциональный (как правительство и связанные с ним агентства обрабатывают данные детей) и коммерческий (как данные детей обрабатываются). используется предприятиями и в маркетинговых целях).С распространением законов о защите данных во всем мире возник ряд споров, в том числе о надлежащих гарантиях обработки данных детей предприятиями.

Общий закон Бразилии о защите данных ничем не отличается, но в настоящее время отсутствуют дополнительные указания по обработке данных детей.

Чтобы обеспечить особую защиту данных детей, LGPD устанавливает согласие родителей или законных опекунов в качестве правила для обработки. Это не обязательно имеет место в других юрисдикциях.Например, в странах, регулируемых Общим регламентом ЕС по защите данных, компании могут использовать законный интерес в качестве правового основания для обработки данных детей, при условии, что они проявляют особую осторожность при соблюдении баланса прав (см. Статью 6(1)(f)). Таким образом, можно утверждать, что GDPR более уступчив, в то время как LGPD, как правило, больше защищает детей. Но должно ли согласие во всех случаях применяться только к данным детей? Как показано ниже, статья 14 LGPD указывает на необходимость обработки данных детей с учетом правил, выходящих за рамки формального толкования закона.

Согласие как правило

Правила обработки данных детей обобщены в статье 14 LGPD. Статья 14, раздел 1 является правовой основой для принятия согласия в качестве общего правила для обработки данных детей, что ограничивает альтернативы. Учитывая, что статья 14 обеспечивает равное отношение к согласию как родителей, так и законных опекунов, ссылки на «родитель» или «родитель» в дальнейшем предназначены для включения «законных опекунов».

format_quote Обработка персональных данных детей осуществляется с конкретного и подчеркнутого согласия, данного как минимум одним из родителей или законным опекуном.

 

Следующие параграфы в соответствии со статьей 14 регулируют порядок получения такого согласия и случаи, когда от него можно отказаться. Этот выбор законодателя согласуется с аргументацией других законов в рамках правового поля Бразилии, например, о запрете рекламы, ориентированной на детей, сценарий, в котором компании, как известно, хотели бы отстаивать свои законные интересы в качестве правового основания для обработки.

Общеизвестно, что интересы ребенка должны быть особенно защищены.Однако особая защита ребенка не должна ограничиваться (менее) 300 словами о предмете в LGPD. Кроме того, в отчете Специальной комиссии по обсуждению проекта статьи 14 LGPD четко указано, что он был основан на Законе о защите конфиденциальности детей в Интернете, законодательстве США, которое защищает личные данные детей в Интернете. Затем Специальная комиссия предложила онлайн-мир в качестве идеального сценария применения LGPD, дополнительно учитывая конфликт между согласием родителей на обработку данных детей и возможностями онлайн-аутентификации.

Исключения из согласия

Несмотря на то, что статья 14, раздел 1 устанавливает согласие в качестве правовой основы, первое правило, которое устанавливает статья 14 LGPD, caput, заключается в том, что обработка данных несовершеннолетних всегда должна осуществляться в их интересах. Однако, как признала Специальная комиссия, само по себе это правило было бы поверхностным, не добавляя «какой-либо особой защиты для этой уязвимой группы людей». Таким образом, помимо наилучших интересов ребенка, статья 14 caput прямо упоминает две гипотезы обработки данных детей: «условия этой статьи» — которые являются самими правилами LGPD — и «условия соответствующего законодательства».” 

Условия Статьи 14

Хотя основное внимание в статье 14 уделяется согласию родителей или законных опекунов, как определено в Разделе 1, она также предусматривает важные исключения из этой гипотезы. Например, в Разделе 3 рассматривается возможность обработки данных детей, когда это необходимо для связи с их родителями или для их защиты. См.:

format_quote Персональные данные детей могут быть собраны без согласия, указанного в § 1 настоящей статьи, когда сбор необходим для связи с родителями или законным опекуном, и до тех пор, пока данные используются один раз и не сохраняются, или для их защиты, и ни при каких обстоятельствах данные не должны передаваться третьим лицам без согласия, как это предусмотрено в § 1 настоящей статьи.

 

Таким образом, LGPD признает в Статье 14, Разделе 3, что наилучшие интересы ребенка не обязательно приравниваются к волеизъявлению родителей, выраженному через согласие. Есть случаи, когда наилучшие интересы ребенка не могут быть предметом согласия. В сценарии, представленном в разделе 3, получение согласия может оказаться невозможным. Если между ребенком и родителями существует физическое разделение (как в настоящее время происходит с детьми в США), было бы неразумно требовать обработки данных исключительно на основании согласия.

Кроме того, в случаях защиты детей существует вероятность того, что обработка данных может выполняться вопреки или даже вопреки желанию родителей. Это связано с тем, что наилучшие интересы ребенка могут не совпадать с интересами его родителей либо из-за незнания необходимости защиты, либо из-за злого умысла. Таким образом, с целью защиты детей можно сделать вывод, что это исключение из Раздела 3 подразумевает применимость как минимум двух правовых оснований, не упомянутых в Статье 14: защита здоровья и защита жизни или физической безопасности. Даже если они прямо не включены в статью 14, обе эти гипотезы соответствуют концепции «защиты» ребенка и являются авторитетным основанием для обработки данных без согласия.

Условия соответствующего законодательства

Статья 14 caput ссылается на «соответствующее законодательство». У этого предложения есть два возможных значения.

format_quote Обработка персональных данных, принадлежащих детям и подросткам, осуществляется в их интересах в соответствии с настоящей статьей и соответствующим законодательством.

 

Во-первых, LGPD следует читать вместе с другими законами, в частности с бразильским Законом о детях и подростках и Гражданским кодексом, ища гармоничные толкования и избегая противоречивых выводов. Это более согласованное толкование статьи, и споров практически не возникает.

Во-вторых, менее изученная точка зрения состоит в том, что статья 14 caput открывает LGPD возможность обработки данных о детях на основе соблюдения юридических или нормативных обязательств, при выполнении государственной политики, предписанной законами или постановлениями, или для гарантии регулярного осуществления права при условии, что эти обязанности и права предусмотрены соответствующим законодательством.

Негативные последствия интерпретаций только с согласия

Независимо от толкования, принятого к статье 14, обработка данных детей не может быть сведена к согласию и нескольким исключениям, внесенным в LGPD. Например, школы дошкольного образования должны будут получить согласие родителей на обработку данных учащихся, чтобы отслеживать их развитие и составлять отчеты, обязательные в соответствии с Федеральным законом Бразилии № 12,796/2013. То же самое может произойти и со службами здравоохранения, которые по закону обязаны уведомлять органы здравоохранения о случаях (предполагаемых или подтвержденных) определенных заболеваний в качестве эпидемиологической информации в связи с проблемами общественного здравоохранения, в соответствии с Законом №6259/75. Если врач нарушает эту конкретную обязанность, он совершает уголовное преступление в соответствии со статьей 269 Уголовного кодекса Бразилии и может быть наказан лишением свободы на срок до двух лет и штрафом.

В этом смысле, при согласовании толкования LGPD с этими другими законами, можно заключить, что юридические обязательства могут и должны выполняться независимо от согласия. Ограничительное толкование исказило бы юридические и нормативные обязательства, которые могут быть нарушены волей родителей, особенно если учесть, что согласие подразумевает право на его отзыв.

Ограничительное толкование статьи 14 создает дополнительные пробелы. Одним из них является невозможность обработки данных о детях при необходимости осуществления права на защиту в судебном, административном или арбитражном процессе. Регулярное осуществление таких прав является правовой основой в соответствии со статьями 7 и 11 LGPD, позволяющей обрабатывать персональные данные любого другого типа.

Например, рассмотрим спор между контролером и родителями ребенка. В этом случае, поскольку согласие родителей является единственным законным основанием для обработки данных, контролеру будет запрещено предоставлять доказательства с использованием любых данных, связанных с ребенком, даже если такие данные находятся в распоряжении контролера.Кроме того, LGPD гарантирует право запросить удаление данных, обрабатываемых на основании согласия без объяснения причин. Это, по крайней мере, позволило бы родителям в этом случае потребовать удаления стратегических данных, что позволило бы неправомерно манипулировать документами.

Можно утверждать, что статья 16 перечисляет гипотезы отказа в удалении персональных данных и может предотвратить вышеупомянутое искажение. Однако осуществление прав не является основанием согласно LGPD для сохранения информации, подлежащей удалению.Юридические гипотезы охватывают только соблюдение юридического обязательства, изучение исследовательским органом, передачу третьей стороне и исключительное использование контролером, если данные анонимизированы. Поэтому помехи могут быть вызваны правилом «только согласие» на обработку данных детей. Тем не менее, LGPD не обеспечивает адекватных гарантий регулярного осуществления прав контролера против такого вмешательства в качестве действительного основания против удаления.

Заключение

Обработка данных детей может и должна в значительной степени основываться на согласии родителей и законных опекунов. Информация от несовершеннолетних должна быть защищена и должным образом заботиться. Однако эти утверждения не должны скрывать от контролеров данных случаи, когда обработка на основе согласия была бы нецелесообразной или даже невыполнимой.

Законы о защите данных должны быть направлены на защиту информации о детях для предотвращения злоупотреблений, чаще в отношении уязвимых субъектов данных. Тем не менее, это не должно препятствовать любой обработке данных детей, особенно когда это отвечает их интересам.

Правовые основания, предусмотренные в LGPD, такие как защита здоровья, защита жизни и физической неприкосновенности, юридические или нормативные обязательства и регулярное осуществление прав, могут быть совместимы с этими интересами в определенных сценариях.Другие правовые основания, которые не обсуждались, включая выполнение государственной политики, предписанной законами или правилами, также могут быть рассмотрены. Непризнание применимости этих правовых основ может серьезно исказить сложную систему правовых и нормативных обязательств и потенциально нанести ущерб самому благополучию этих несовершеннолетних, которые должны быть защищены.

Фото Джонатана Борбы на Unsplash

Правовая основа для обработки персональных данных в соответствии с GDPR

Регламент ЕС о защите данных (GDPR) недвусмысленно заявляет, что обработка персональных данных является законной только тогда, когда (и в той мере, в какой) это разрешено применимым законодательством.Любое обоснование обработки, которое контроллер данных может предоставить за рамками этой области, не имеет законных оснований и считается незаконным.

Иногда организации предполагают, что им необходимо получить согласие субъектов данных на обработку их данных. Это может показаться непреодолимым административным бременем, но получение согласия и управление им не является обязательным для всех действий по обработке персональных данных. Фактически согласие является лишь одной из ряда законных целей обработки персональных данных.Вот обзор шести правовых основ для обработки, признанных GDPR:

.

1.

Выполнение юридического обязательства

Наиболее строгим и точным, но также и оптимальным основанием для обработки (по отношению к контролеру данных) является наличие по крайней мере одного правового положения (пункты 39, 40, 41 преамбулы; статья 6(1)), требующего (т.е. обоснование) деятельности по обработке. Контроллеры/обработчики данных обязаны предоставить спецификацию правового акта и его пронумерованную выдержку до или в момент сбора данных.Чтобы узнать больше о различиях между контроллерами и процессорами данных, прочитайте статью: Контроллер GDPR ЕС и процессор — в чем разница?

Выдержки из пункта 45 декларации GDPR и статьи 6(1)(c), 6(3) разрешают обработку, если это необходимо для соблюдения юридических обязательств в соответствии с законодательством ЕС или законодательством государства-члена.

Существует множество примеров таких юридических оснований: трудовые книжки, отчеты о несчастных случаях для записей о здоровье и безопасности и т. д.

2. Исполнение договора

Признание самой основы ведения бизнеса (т.д., договорные обязательства) представлена ​​как правовая основа (Пункт 44; Статья 6(1)(b)), которая позволяет обрабатывать в двух сценариях. Во-первых, если это необходимо для заключения нового договора или работы по существующему договору с субъектом данных, обработка данных разрешена. Второй сценарий — когда субъект данных инициирует действия с контроллером данных, и в этом случае обработка разрешена еще до заключения договора. Это относится к преддоговорным отношениям (подготовка или переговоры перед заключением договора), где GDPR подчеркивает, что инициирование шагов обработки должно осуществляться по запросу субъекта данных, а не по инициативе контролера.

Примером этого является обработка данных кредитной карты для выполнения платежа. В случаях, когда договор еще не заключен, например, когда физическое лицо запрашивает у поставщика услуг информацию о конкретной услуге по электронной почте или в социальной сети, обработка персональных данных этого физического лица разрешается для целей ответа на запрос. .

3. Жизненно важные интересы


В ситуациях, не предусмотренных конкретным законом, и при отсутствии договора обработка разрешена, если это необходимо для защиты жизненно важных интересов (пункт 46 декларации; статья 6(1)(d)) субъекта данных.Условие может распространяться на других лиц (например, детей субъекта данных).

Однако следует с осторожностью применять это основание, поскольку «жизненные интересы» обычно применимы только к ситуациям жизни и смерти. Такие ситуации могут включать в себя получение экстренными службами списка имен и возрастов жителей после ответа на экстренный вызов.

4. Общественные интересы или действия в рамках официальной государственной власти

Когда выполнение задачи, выполняемой в общественных интересах, или осуществление официальных полномочий, возложенных на контролера, требует обработки персональных данных, это разрешается на основании Декларации 45; Статья 6(1)(e) GDPR.

Хотя разрешение предоставляется по умолчанию, обработка, выполняемая на его основе, может вызывать возражения со стороны субъектов данных. Это официально признано, чтобы можно было рассмотреть специфику ситуации. По сути, это дает субъекту данных возможность поставить под сомнение определение общественного интереса, данное контроллером данных. Возражение может оставаться в силе, а может и не быть, но оно должно быть подтверждено и на него должен быть своевременно дан ответ.

Примером такой обработки является то, что политическим партиям может быть разрешено управлять копией списка избирателей.

5. Законные интересы

Пожалуй, наиболее неоднозначной правовой основой для обработки является принцип «законных интересов» (пункты 47, 48 преамбулы; статья 6(1)(f)). В двух словах, это дает возможность разработать обоснование для обработки данных, которое не подпадает под вышеуказанные правовые модели. Это обоснование позволит обрабатывать данные, избегая управления согласием субъектов данных. Это может относиться как к контроллеру данных, так и к третьему лицу, которому будут раскрыты данные.

Однако это применимо только в тех случаях, когда интересы, права или свободы затронутых субъектов данных не имеют приоритета над интересами контролера. Чтобы сравнить эти потенциально противоположные наборы интересов, контролеры данных должны провести так называемый «балансирующий тест» (который будет предметом отдельной статьи).

GDPR дает расплывчатые описания возможных сценариев, подпадающих под категорию законных интересов. Примеры включают определенные клиентские или сервисные отношения между субъектом данных и контролером (с ограничениями, касающимися трудовых договоров и государственных органов).Он также включает процессы предотвращения мошенничества, а также передачу персональных данных на предприятиях или в учреждениях, аффилированных с центральным органом, для внутренних административных целей. Это может включать обработку персональных данных клиентов или сотрудников.

6. Согласие субъектов данных

Наконец, для сценариев, не подпадающих ни под одну из вышеперечисленных категорий, контролерам данных остается последнее средство: получение разрешения на обработку персональных данных, т.е.е. согласие субъектов данных (пункты 32, 42, 43 преамбулы; статья 6(1)(a)).

Согласие должно быть исключительным, отражать дискреционные действия субъекта данных, положительный и добровольно данный ответ на хорошо структурированное, недвусмысленное описание деятельности по обработке. Принцип «согласия» является обязательным, что означает, что никакая обработка не может выполняться до тех пор, пока согласие не будет подтверждено. Контролер данных должен иметь возможность продемонстрировать, что согласие было дано, что требует наличия контрольного журнала.

Что делает эту правовую основу наименее привлекательной, так это требования GDPR к действительности получения согласия и управления им, а также тот факт, что однажды предоставленное согласие может быть отозвано в любой момент и с той же легкостью, с которой оно было дано.

GDPR требует проверки возраста ребенка и получения согласия родителей/опекунов на обработку данных (за некоторыми исключениями). В зависимости от возраста ребенка может быть обязательным представлять информацию об обработке и ребенку на таком простом языке, который ребенок может легко понять.

Одним из наиболее распространенных сценариев, когда управление согласием является обязательным и его нельзя избежать, является сбор контактной информации субъектов данных в маркетинговых целях, например, для рассылки информационных бюллетеней по электронной почте.Не регулируемая каким-либо законом или юридическим обязательством и не подпадающая ни под одну из вышеперечисленных категорий, обработка персональных данных для простого улучшения деловых перспектив контролера данных допускается только с поддающимся проверке и действительным согласием.

Так много вариантов, так мало времени…

Помня обо всех этих фактах, организациям, выступающим в качестве контролеров данных, следует провести подробный анализ всех своих действий по обработке данных. Для каждого из них необходимо определить правовую основу, а также вести обязательную документацию для целей соблюдения.

Большинству организаций следует стараться не полагаться на согласие, чтобы снизить риск отказа и отказа, но эта стратегия уклонения будет работать не во всех правовых условиях. Для любой из шести баз абсолютно необходимо юридически обоснованное и прозрачно переданное определение обработки.

Нажмите здесь, чтобы загрузить бесплатный проектный план по реализации GDPR ЕС, чтобы узнать, как выполнить все требования GDPR.

Руководство по требованиям к согласию // Cooley // Global Law Firm

В декабре 2017 года Рабочая группа по статье 29 опубликовала для комментариев проект своего руководства по согласию в соответствии с GDPR.Согласие является одним из законных оснований для обработки персональных данных и одним из разрешенных способов, с помощью которых персональные данные могут быть переданы в третью страну за пределами Европейского Союза, даже если Европейская комиссия не установила, что эта страна предоставила « “достаточный” уровень защиты. Ниже приводится краткий обзор интерпретации Рабочей группой требований GDPR в отношении «согласия» и «явного согласия».

GDPR требует явного согласия, которое должно соответствовать требованиям согласия, а также дополнительным требованиям, изложенным ниже, в следующих трех случаях. (a) когда субъекту данных предлагается дать согласие на обработку специальных категорий информации; (b) когда контролер данных полагается на согласие в качестве основания для передачи и обработки персональных данных в страны или организации, в отношении которых отсутствует решение о достаточности, в соответствии со статьей 49; и (c) в случае, когда персональные данные используются для автоматизированного принятия индивидуальных решений, включая профилирование, в соответствии со статьей 22. 1

Согласие

Согласие должно быть свободно предоставленным, конкретным, информированным и недвусмысленным.

  1. Дается бесплатно: Согласие должно включать «реальный выбор и контроль для субъектов данных». Он не будет считаться предоставленным бесплатно, если: (а) он связан с не подлежащими обсуждению условиями; (b) в нем нельзя отказать или отозвать; (c) требуется согласие на обработку персональных данных, которая не является необходимой для выполнения договора; или (d) когда существует дисбаланс власти между контроллером данных и субъектом данных. То, что «необходимо для выполнения контракта», будет интерпретироваться строго, так что должна быть прямая и объективная связь между обработкой и исполнением, чтобы исполнение можно было квалифицировать как законное основание.В качестве примера Рабочая группа предусматривает, что приложение для редактирования мобильного телефона, которое требует от пользователей активировать службы определения местоположения GPS в поведенческих целях, не будет считаться «бесплатно предоставляемым», поскольку согласие на обработку ненужных персональных данных не может рассматриваться как обязательное соображение. в обмен на производительность. Рабочая группа предупреждает, что дисбаланс полномочий между контроллером данных и субъектом данных означает, что в большинстве случаев обработки данных на работе нельзя полагаться на согласие как на законное основание для обработки персональных данных сотрудников, поскольку маловероятно, что работники будут чувствовать себя в состоянии свободно отвечать на запрос своего работодателя об обработке их персональных данных или отказывать в таком запросе без ущерба для себя.
  2. Конкретный: Конкретное согласие предназначено для «обеспечения степени пользовательского контроля и прозрачности для субъекта данных» и тесно связано с требованием, чтобы согласие было информированным. Рабочая группа определяет три компонента специфики, которые должны применять контролеры данных: (а) должно быть указание цели обработки; (b) запросы на согласие должны быть детализированы; и (3) должно быть четкое разделение информации, связанной с получением согласия на обработку, от информации по другим вопросам.
  3. Информировано: Требование информированного согласия частично вытекает из принципа прозрачности в статье 5 GDPR. Рабочая группа заявляет, что следующие категории информации являются минимально необходимыми для получения согласия на получение информации: (a) личность контролера данных; (b) цель каждой операции обработки, для которой запрашивается согласие; (c) какие типы персональных данных будут собираться и обрабатываться; (d) наличие права отозвать согласие; (e) информация об использовании персональных данных для принятия решений, основанных исключительно на автоматизированной обработке, включая профилирование; и (f) если согласие относится к передаче, информацию о возможных рисках передачи данных в третьи страны в отсутствие решения об адекватности и/или соответствующих гарантий. Если есть совместные контроллеры, все совместные контроллеры должны быть названы. Рабочая группа отмечает, что действительное информированное согласие может существовать, даже если не все вышеперечисленные элементы упоминаются в процессе получения согласия, при условии, что соответствующее раскрытие информации осуществляется контроллером данных в другом месте.
  4. Однозначное указание на пожелания: Согласие должно включать заявление или утвердительный акт субъекта данных. Письменные или записанные устные заявления, в том числе электронные заявления, могут удовлетворять этому требованию, но предварительно отмеченные поля, молчание, бездействие, согласие, подразумеваемое пользователем, продолжающим работу со службой, или общее согласие с полным соглашением об условиях обслуживания не являются однозначное указание на пожелания.Отзыв согласия должен быть таким же простым, как и то, что требуется для предоставления согласия. Рабочая группа приводит несколько примеров физического движения, которое можно квалифицировать как недвусмысленное указание на пожелания (пролистывание экрана, махание рукой перед смарт-камерой и поворот телефона в указанном направлении), при условии предоставления четкой информации и согласия с указан конкретный запрос. Рабочая группа признает, что проблема усталости может возникнуть в результате многочисленных запросов на согласие, но напоминает диспетчерам, что они несут ответственность за решение этой проблемы.Если контролер данных полагается на согласие субъекта данных на обработку персональных данных, а субъект данных не ставит флажок, соглашаясь с политикой конфиденциальности контролера данных, или не подтверждает свое согласие явным утвердительным действием, субъекту данных не должно быть разрешено приступить к регистрации, созданию учетной записи и/или отправке или загрузке любых личных данных.
  1. Кроме того, в Руководстве рекомендуется обновлять согласие через «соответствующие интервалы» и при этом снова предоставлять всю необходимую информацию, описанную выше, чтобы гарантировать, что согласие по-прежнему информировано.

Явное согласие

«Явное согласие» отличается от обычного согласия (которое должно быть подтверждено посредством «недвусмысленного указания на согласие», как обсуждалось выше) посредством средств, с помощью которых оно получено. «Явное» требует «прямого заявления». Письменное заявление (например, напечатанные инструкции) является «наилучшей практикой» формы явного согласия. В Руководстве рабочей группы говорится, что письменное заявление, подписанное субъектом данных, является одним из способов получения явное согласие.Другие методы, включая заполнение субъектом данных электронной формы; послать электронное письмо; загрузить отсканированный документ с подписью; записать устное заявление; или подтвердите согласие с помощью двухэтапного процесса аутентификации (например, электронное письмо с последующим SMS-сообщением). Для явного согласия, полученного онлайн, Рабочая группа предлагает сохранить информацию о сеансе, в ходе которого было получено согласие, вместе с «документацией рабочего процесса получения согласия во время сеанса» и копией информации (т.e., отображаемая страница), представленная субъекту данных.

Как и в случае с другими согласиями, Руководство рекомендует обновлять явное согласие через «соответствующие интервалы» и при этом снова предоставлять всю необходимую информацию, описанную выше, чтобы убедиться, что явное согласие по-прежнему информировано.

Повторное согласие

В Руководстве четко указано, что контролеры данных, которые в настоящее время полагаются на согласие на обработку персональных данных, не обязаны запрашивать у субъектов данных повторное согласие, если первоначальное согласие соответствует всем требованиям, изложенным выше.Однако, если существующие согласия не соответствуют этим требованиям (например, поскольку они основаны на более подразумеваемой форме действий субъекта данных), их необходимо будет продлить. В качестве альтернативы контролеры данных могут полагаться на другое законное основание (например, на законные интересы).

Ключи на вынос

  1. Каждый контроллер данных, подпадающий под действие GDPR, который полагается на согласие в качестве основания для любого из следующих действий, должен будет проверить, когда и как он получает согласие от субъектов данных: общий сбор и использование персональных данных, использование файлов cookie и отправка прямых маркетинговых сообщений, таких как информационные бюллетени, рекламные электронные письма и т. д.
  2. Каждый контроллер данных, подпадающий под действие GDPR, который полагается на согласие, должен будет убедиться, что он внедрил процесс получения явного согласия: (a) когда субъекту данных предлагается дать согласие на обработку особых категорий информации; (b) когда контролер данных полагается на согласие в качестве основания для передачи и обработки персональных данных в страны или организации, в отношении которых отсутствует решение о достаточности, в соответствии со статьей 49; и (c) в случае, когда персональные данные используются для автоматизированного принятия индивидуальных решений, включая профилирование, в соответствии со статьей 22.
  3. Каждый контроллер данных, на которого распространяется GDPR, должен обновлять согласие через соответствующие промежутки времени и при этом снова предоставлять всю информацию субъекту данных, чтобы гарантировать, что согласие по-прежнему информировано.
  4. Каждый контроллер данных, подпадающий под действие GDPR, должен обеспечить, чтобы процесс отзыва согласия субъектом данных был таким же простым, как и процесс, с помощью которого субъект данных дал свое согласие.

Примечания
  1. «Особые категории персональных данных» определяются в статье 9 GDPR как персональные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзах, а также обработка генетических данных, биометрических данных с целью однозначной идентификации физического лица, данные о здоровье или данные о половой жизни или сексуальной ориентации физического лица.

GDPR и файлы cookie | Совместимое использование файлов cookie с Cookiebot CMP

Обновлено 17 января 2022 г.

Ваш веб-сайт требуется в соответствии с Общим регламентом ЕС по защите данных (GDPR), чтобы позволить пользователям из Европы контролировать активацию файлов cookie и трекеров, которые собирают их личные данные.

В этом суть соблюдения требований к файлам cookie GDPR и будущего наших цифровых инфраструктур.

В этом сообщении блога мы объясняем самые важные вещи, которые вам следует знать при работе с GDPR ЕС, соблюдением требований к файлам cookie и конфиденциальности данных на вашем веб-сайте, а также показываем, как платформа управления согласием Cookiebot (CMP) решает все эти проблемы за вас.


GDPR, файлы cookie и соответствие требованиям


Что делать с GDPR ЕС и файлами cookie на вашем веб-сайте

Общий регламент по защите данных (GDPR) — это законодательство ЕС, которое регулирует сбор и обработку персональных данных от физических лиц внутри ЕС.

В соответствии с GDPR ЕС, владельцы и операторы веб-сайтов несут юридическую ответственность за обеспечение законного сбора и обработки персональных данных.

Веб-сайт за пределами ЕС должен соответствовать GDPR, если он собирает данные от пользователей внутри ЕС .

Несмотря на то, что файлы cookie упоминаются в GDPR только один раз, согласие на использование файлов cookie , тем не менее, является краеугольным камнем соответствия для веб-сайтов с пользователями из ЕС.

Это связано с тем, что одним из наиболее распространенных способов сбора и обмена личными данными в Интернете являются файлы cookie веб-сайта . GDPR устанавливает особые правила использования файлов cookie.

Вот почему согласие конечного пользователя на использование файлов cookie является наиболее часто используемой правовой основой GDPR, которая позволяет веб-сайтам обрабатывать персональные данные и использовать файлы cookie.

GDPR требует, чтобы веб-сайт собирал личные данные пользователей только после того, как они дали свое явное согласие на конкретные цели его использования .

Веб-сайты должны соответствовать следующим требованиям к файлам cookie GDPR :

  • Прежде чем активировать файлы cookie (кроме необходимых файлов cookie, внесенных в белый список), необходимо получить предварительное явное согласие.
  • Согласия должны быть детализированными, т. е. пользователи должны иметь возможность активировать одни файлы cookie, а не другие, и их нельзя принуждать давать согласие ни на все, ни ни на одно из них.
  • Согласие должно быть дано добровольно, т. е. не может быть принуждено.
  • Согласие должно быть так же легко отозвано, как и дано.
  • Согласия должны надежно храниться как юридическая документация.
  • Согласие необходимо продлевать не реже одного раза в год. Однако некоторые национальные руководства по защите данных рекомендуют более частое обновление, например. 6 месяцев. Проверьте соответствие местным правилам защиты данных.

Как правило, соответствие требованиям GDPR к файлам cookie достигается на веб-сайтах с помощью баннеров файлов cookie , которые позволяют пользователям выбирать и принимать определенные файлы cookie для активации, а не другие, при посещении сайта.

GDPR-совместимый баннер cookie от Cookiebot CMP.

Руководящие принципы Европейского совета по защите данных (EDPB) от мая 2020 года разъясняют, что представляет собой действительное согласие на веб-сайтах в соответствии с GDPR.

В рекомендациях EDPB указано, что в баннере файлов cookie на вашем веб-сайте не могут быть предварительно отмечены флажки , а продолжение прокрутки или просмотра пользователями не может рассматриваться как действительное согласие на обработку персональных данных.

Пользователи должны свободно дать четкое и положительное действие , чтобы указать свое согласие , чтобы ваш веб-сайт активировал файлы cookie и обрабатывал личные данные.

Узнайте больше о значении рекомендаций EDPB для вашего веб-сайта

Узнайте больше о GDPR и согласии на использование файлов cookie

Бесплатное сканирование вашего веб-сайта, чтобы узнать, какие файлы cookie используются


Проверка соответствия файлам cookie GDPR

Проверьте, соответствует ли ваш веб-сайт требованиям GDPR относительно согласия на использование файлов cookie, с помощью бесплатного теста соответствия Cookiebot CMP.

Просто введите URL-адрес вашего домена и позвольте Cookiebot CMP провести бесплатное сканирование вашего веб-сайта, чтобы обнаружить все файлы cookie и трекеры на пяти подстраницах, включенных в бесплатное сканирование, и определить, соответствуете ли вы требованиям GDPR. требования согласия.

Не пугайтесь, если обнаружите, что на вашем веб-сайте гораздо больше неизвестных файлов cookie, трекеров и троянских коней, чем вы думали — о них, как известно, трудно узнать, учитывая это —

72% файлов cookie на веб-сайтах загружаются тайно другими сторонними файлами cookie, что затрудняет их распознавание как владельца веб-сайта.

18% файлов cookie на веб-сайтах являются троянскими конями, т.е. файлами cookie, которые скрыты так же глубоко, как и в восьми других файлах cookie, что делает их практически невозможными для обнаружения без технологии глубокого сканирования.

50% троянских коней изменятся между посещениями, а это означает, что они могут быть совершенно разными файлами cookie, собирающими разные данные для разных агентов и возлагающими на владельца веб-сайта юридическую ответственность за постоянное информирование пользователей о цели и сроке действия файлов cookie. головная боль с самого начала.

Источник: Beyond the Front Page , исследовательский документ 2020 года о файлах cookie веб-сайтов.

Просканируйте свой веб-сайт с помощью Cookiebot CMP бесплатно сегодня

Узнайте больше о GDPR

ЕС

Узнайте больше о GDPR и согласии на использование файлов cookie

Узнайте больше о том, как обеспечить соответствие GDPR

Посетите веб-сайт ЕС по защите данных

См. официальный текст закона GDPR

Изменение ландшафта в Интернете определяется файлами cookie вашего веб-сайта и GDPR.

Cookiebot CMP и соответствие требованиям к файлам GDPR


Cookiebot CMP от Usercentrics — это готовая к работе платформа управления согласием (CMP) — технология, разработанная для того, чтобы помочь сбалансировать конфиденциальность данных и бизнес, основанный на данных, на вашем веб-сайте.

Cookiebot CMP состоит из непревзойденного сканера, который обнаруживает все файлы cookie и средства отслеживания в вашем домене, а также решения для управления согласием, которое автоматически контролирует их все и предоставляет вашим конечным пользователям детализированное согласие или решения для отказа, в зависимости от того, где в мире они расположены.


Соответствие cookiebot CMP и GDPR

Когда пользователь из ЕС посещает ваш веб-сайт, Cookiebot CMP автоматически определяет его местоположение и предлагает ему правильное решение для соответствия файлам cookie GDPR:

  • автоматическая блокировка всех файлов cookie и трекеров по предварительному согласию
  • детальный выбор явного согласия между четырьмя категориями файлов cookie
  • исчерпывающая декларация поставщика, цели, продолжительности и типа каждого файла cookie
  • надежно задокументированных согласий пользователей
  • запросы на автоматическое продление согласия пользователя

Cookiebot CMP Решение для получения согласия на использование файлов cookie GDPR, которое позволяет пользователям контролировать конфиденциальность своих данных на вашем веб-сайте в полном соответствии с GDPR.

Технология Cookiebot CMP включает в себя всего несколько строк JavaScript на вашем веб-сайте, которые устанавливаются непосредственно из облака без необходимости ручной реализации или помощи на месте.

Создайте свою учетную запись Cookiebot CMP, чтобы приступить к работе, и пусть наше ведущее в мире решение для получения согласия возьмет на себя сложную часть защиты конфиденциальности и соблюдения требований GDPR относительно согласия на использование файлов cookie.

Попробуйте Cookiebot CMP бесплатно в течение 30 дней… или навсегда, если у вас небольшой веб-сайт.

Просканируйте свой веб-сайт бесплатно, чтобы увидеть все используемые файлы cookie

Узнайте больше о GDPR и согласии на использование файлов cookie


Cookiebot CMP соответствует требованиям к файлам cookie GDPR и работает на личное будущее

Интернет — это изменяющийся ландшафт.

Он был построен как плоская песочница, но превратился в неровную землю, полную эксплуатации пользователей и вторжения в частную жизнь, которая до сих пор оставалась в значительной степени нерегулируемой.

В изменяющемся ландшафте Интернета веб-сайты являются важными экосистемами, в которых Cookiebot CMP помогает обеспечить баланс и защиту.

Ваш веб-сайт представляет собой динамическую систему, которая также постоянно изменяется и взаимодействует с личными, частными, а иногда и интимными данными реальных, живых людей.Во всем Интернете ваш сайт может показаться маленьким и незначительным, просто еще одним доменом среди миллиардов.

Но на самом деле ваш веб-сайт, независимо от его размера, может содержать сотни трекеров и троянских коней, которые используют личные данные ваших пользователей без их ведома или согласия.

Поскольку Интернет стал фундаментальной инфраструктурой нашего общества, управляющей нашими финансами, отраслью здравоохранения и нашей частной социальной сферой, во всем мире появляются законы, защищающие персональные данные от несанкционированного сбора и использования.

Одним из крупнейших и наиболее влиятельных законов о защите данных на сегодняшний день является Общий регламент ЕС по защите данных (GDPR).

Узнайте больше о том, как работает соответствие требованиям к файлам cookie GDPR и как Cookiebot CMP предлагает решение для удовлетворения всех требований согласия на использование файлов cookie GDPR, приведенных ниже.

Режим согласия Google и CMP Cookiebot


С помощью Google Consent Mode и Cookiebot CMP вы можете запустить все сервисы Google своего веб-сайта на основе состояния согласия ваших конечных пользователей — полное соответствие GDPR с оптимизированными аналитическими данными и доходами от рекламы в одном простом решении.

Cookiebot CMP управляет согласием пользователей вашего веб-сайта, а затем передает состояние согласия API, работающему в режиме согласия Google, который затем управляет всеми вашими любимыми службами (такими как Google Analytics и Google Ads) на основе состояния согласия каждого отдельного пользователя на вашем веб-сайте. .

Пользователь не дал согласие на использование статистических или маркетинговых файлов cookie? Cookiebot CMP сообщает режиму согласия Google, который затем гарантирует, что вы по-прежнему получаете сводные и неидентифицирующие данные о производительности вашего веб-сайта и возможность показа контекстной рекламы вместо целевой рекламы, соблюдая конфиденциальность пользователей при оптимизации вашего веб-сайта.

С помощью Cookiebot CMP и Google Consent Mode вы получите мгновенное и простое соответствие GDPR, а также оптимизированные аналитические данные и доходы от рекламы в одном решении.

Начало работы с режимом согласия Google

Попробуйте Cookiebot CMP бесплатно в течение 30 дней или навсегда, если у вас небольшой веб-сайт.

Бесплатное сканирование вашего веб-сайта, чтобы узнать, какие файлы cookie и трекеры используются

Детальное согласие на использование файлов cookie GDPR


К настоящему моменту вы, наверное, поняли, как связаны файлы cookie и GDPR: персональные данные защищены GDPR ЕС, а файлы cookie чаще всего собирают информацию, которая в соответствии с GDPR считается персональными данными, поэтому ваш веб-сайт необходимо соблюдать GDPR при использовании файлов cookie.


Но являются ли файлы cookie личными данными?

Персональные данные — это любая информация, которая относится или может быть каким-либо образом связана с идентифицированным или идентифицируемым живым лицом (известным в законе как «субъект данных»).

Сюда входят:

  • Имена
  • Домашние адреса
  • Электронная почта
  • Номера удостоверений личности (например, карты социального страхования, паспорта и т. д.)
  • Данные о местоположении (например, геолокация по телефону)
  • IP-адресов
  • История поиска и браузера
  • Медицинские и биометрические данные
  • Этническая информация
  • Политические убеждения
  • Религиозные убеждения
  • Сексуальная ориентация

GDPR ЕС фактически рассматривает последние пять пунктов контрольного списка выше как особую категорию персональных данных, называемых конфиденциальными персональными данными.

В редких случаях, когда ваш веб-сайт обрабатывает какие-либо данные такого рода, GDPR требует от вас соблюдения определенных условий обработки.

Посетите ЕС по личным данным и GDPR

GDPR и файлы cookie: насколько они сбалансированы в динамической системе вашего веб-сайта?

GDPR ЕС о файлах cookie

Файлы cookie

— это небольшие текстовые файлы, которые хранятся в браузерах ваших конечных пользователей, как вы, вероятно, знаете.

Возможно, вы не знаете, что файлы cookie чаще всего содержат идентификатор (известный как «идентификатор файла cookie»), который сам по себе считается персональными данными в соответствии с GDPR.

Да — в соответствии с GDPR идентификаторы файлов cookie считаются личными данными.

Идентификатор файла cookie — это идентификатор, который включается в большинство файлов cookie, если он установлен в браузере пользователя. Это уникальный идентификатор, который позволяет вашему веб-сайту запоминать отдельных пользователей, их предпочтения и настройки, когда они возвращаются на ваш веб-сайт.

Но идентификаторы файлов cookie часто следуют за пользователями в Интернете и могут использоваться для создания исчерпывающих профилей отдельных людей, которые затем продаются агентствам цифровой рекламы и используются для поведенческого маркетинга.

Сторонние файлы cookie от Google обнаружены и контролируются Cookiebot CMP.

Общего регламента по защите данных требует, чтобы ваш веб-сайт собирал личные данные ваших пользователей только для определенных , явных и законных целей , и чтобы вы получили их явное и положительное согласие, прежде чем делать это.

В вашей повседневной работе с вашим веб-сайтом это требование к файлам cookie GDPR означает, что вам нужно не только знать, какие файлы cookie и трекеры используются в вашем домене, , но также , почему они там .

  • Откуда берутся файлы cookie, т.е. кто их поставщик?
  • Какие данные собирают или обрабатывают файлы cookie? Это личные данные? Если да, обязательно ли вы получаете предварительное согласие, прежде чем они будут активированы и начнут сбор?
  • Какова цель сбора данных cookie? Для законного сбора персональных данных законные цели должны быть указаны как часть информации, которую вы предоставляете своему конечному пользователю, иначе их согласие может быть сочтено недействительным.
  • Какой это тип файла cookie или трекера? Технические детали важны как часть действительного согласия, поскольку это является частью информационного требования.
  • Как долго файл cookie активен, т. е. как долго он будет храниться в браузерах ваших пользователей?

ПРИМЕР — файлы cookie и GDPR

На вашем веб-сайте используется плагин от такой технологической компании, как Google или Facebook. Это может быть Диспетчер тегов Google или раздел комментариев/лайков на одной из ваших подстраниц из Facebook.

Теперь на вашем веб-сайте будут файлы cookie.

Это сторонние куки-файлы , потому что они не поступают с вашего собственного веб-сайта, а устанавливаются в браузере пользователя из Google или Facebook.

Эти файлы cookie не являются необходимыми файлами cookie , т. е. не включены в белый список и не подпадают под действие GDPR, а скорее требуют явного согласия пользователей, прежде чем ваш веб-сайт сможет их активировать.

Несмотря на то, что эти сторонние файлы cookie поступают от таких компаний, как Google или Facebook, юридическая ответственность за соответствие файлам cookie GDPR по-прежнему лежит на вас как на владельце веб-сайта.


Детальное согласие, различные файлы cookie и GDPR

Знайте, вы, вероятно, не сомневаетесь — да, на вашем веб-сайте есть файлы cookie, GDPR требует, чтобы вы их контролировали, и вы хотите соответствовать требованиям.

Но, скорее всего, на вашем веб-сайте используется более одного типа файлов cookie. Это важно, поскольку требования GDPR к файлам cookie различаются для разных типов файлов cookie и технологий отслеживания, используемых в Интернете.

Правовой режим ЕС по защите данных основан на Общем регламенте по защите данных (GDPR), но также состоит из правовых прецедентов, таких как случай с Planet49, директивы ePrivacy об электронных коммуникациях (закон ЕС о файлах cookie) и руководств обоих национальные агентства по защите данных и Европейский совет по защите данных (EDPB).

В целом они формируют конкретные требования, которым сегодня должны соответствовать веб-сайты, у которых есть пользователи из Европы.

Суть этого правового режима заключается в том, что в ЕС согласие должно быть дано пользователями явным и недвусмысленным образом ; их согласие должно быть детализировано ; их согласие должно быть дано добровольно и их согласие нельзя подталкивать или давать в обмен на услуги.

Ваш веб-сайт представляет собой динамическую систему, которая должна одновременно сбалансировать GDPR и использование файлов cookie.

Полный Соответствие файлам cookie GDPR означает, что ваш веб-сайт должен —

  1. Знать обо всех работающих файлах cookie и трекерах,
  2. Информировать пользователей о файлах cookie, их продолжительности, цели и поставщике,
  3. Предложите пользователям выбор детального согласия, то есть возможность активировать одни файлы cookie, а не другие на вашем веб-сайте,
  4. Разрешить пользователям отзывать свое согласие так же легко, как они его давали,
  5. Документируйте все согласия безопасным и зашифрованным способом,
  6. Запрашивайте повторное согласие не реже одного раза в 12 месяцев.

Для вашего веб-сайта это означает, что вам необходимо разрешить конечным пользователям выбирать между различными типами файлов cookie, которые есть на вашем веб-сайте.

В соответствии с GDPR файлы cookie относятся к четырем категориям на CMP Cookiebot —

  • Необходимые куки-файлы , которые чаще всего являются собственными (первоначальными) вашего веб-сайта и важны для постоянной активации для правильной работы вашего домена. Чаще всего это сеансовые файлы cookie, которые действуют только до тех пор, пока пользователь посещает ваш сайт.Только строго необходимые файлы cookie могут быть внесены в белый список, чтобы на них не распространялось согласие на использование файлов cookie GDPR.
  • Файлы cookie предпочтений , которые запоминают выбор пользователя, например языковые настройки или валюту на вашем веб-сайте.
  • Статистические файлы cookie , которые чаще всего поступают от сторонних служб, таких как аналитическое программное обеспечение, которое вы внедряете на своем веб-сайте.
  • Маркетинговые файлы cookie , которые почти всегда поступают от сторонних технических или рекламных компаний с целью предоставления рекламы вашим пользователям или сбора их личных данных для будущих маркетинговых целей.

В соответствии с GDPR ЕС файлы cookie, которые не являются строго необходимыми для основных функций вашего веб-сайта, должны быть активированы только после того, как ваши конечные пользователи дали свое явное согласие на конкретную цель их работы и сбора персональных данных.

Благодаря технологии глубокого сканирования Cookiebot CMP все файлы cookie вашего веб-сайта будут обнаружены, а их технические детали объяснены вам и вашим пользователям в простом заявлении о файлах cookie, которое предоставляет всю необходимую информацию для полного соответствия файлам cookie GDPR.

А с помощью Cookiebot CMP ваш веб-сайт всегда будет информировать своих пользователей с точной и обновленной информацией о том, как он собирает и передает их личные данные.

Попробуйте Cookiebot CMP бесплатно в течение 30 дней… или навсегда, если у вас небольшой веб-сайт.

Бесплатное сканирование вашего веб-сайта, чтобы узнать, какие файлы cookie используются


Политика в отношении файлов cookie и GDPR

Ваш веб-сайт должен иметь политику использования файлов cookie, которая будет легко доступна для ваших конечных пользователей.

В соответствии с GDPR политика использования файлов cookie должна информировать пользователей о –

  • Какую информацию вы собираете
  • Что вы делаете с их информацией
  • Как вы защищаете их информацию
  • Если вы раскрываете какую-либо информацию третьим лицам
  • Как вы храните их информацию
  • Как пользователи могут получить доступ, перенести, запросить исправление, ограничение или удаление информации

Cookiebot CMP автоматически создает декларацию о файлах cookie для вашего веб-сайта после сканирования вашего домена.

Это формирует основу вашей политики использования файлов cookie, поскольку содержит большую часть информации, которая требуется в соответствии с GDPR ЕС в политике использования файлов cookie.

Политика использования файлов cookie GDPR может быть легко интегрирована с существующей политикой конфиденциальности вашего веб-сайта.

См. Декларацию о файлах cookie и Политику конфиденциальности Cookiebot CMP, где приведены примеры того, как создать собственный веб-сайт и какую информацию необходимо включить.

Политика использования файлов cookie — это динамическая вещь, поскольку ваш веб-сайт — это динамическая система.Файлы cookie меняются, как и ваша политика в отношении файлов cookie.

Cookiebot CMP автоматически создает декларацию о файлах cookie, которая гарантирует, что ваша политика в отношении файлов cookie всегда актуальна. Это сэкономит вам значительное количество времени, затрачиваемого на составление проекта и обновление его самостоятельно.

Узнайте больше о том, как создать политику использования файлов cookie, соответствующую GDPR, для вашего веб-сайта


Соответствие cookiebot CMP и GDPR


Итак, вы дочитали до конца длинной статьи о GDPR и согласии на использование файлов cookie.Путь!

Cookiebot CMP работает с 2014 года и представляет собой зрелую технологию, которая обеспечивает соблюдение GDPR ЕС и аналогичных законов о защите данных во всем мире с помощью нашей непревзойденной технологии сканирования и решения для управления согласием.

Технология Cookiebot CMP берет на себя трудную часть соблюдения требований и защиты конфиденциальности и каждый день работает над тем, чтобы сделать защиту конфиденциальности простым и гладким решением сегодня, чтобы гарантировать человеческое будущее в наших цифровых инфраструктурах завтра.

Зарегистрируйтесь в Cookiebot CMP сегодня и попробуйте бесплатно в течение 30 дней… или навсегда, если на вашем веб-сайте менее 100 подстраниц.

См. наши тарифные планы

См. наши характеристики

Нужна помощь с Cookiebot CMP?

Узнайте больше о согласии на использование файлов cookie

Защитите конфиденциальность пользователей в постоянно меняющихся цифровых ландшафтах с помощью Cookiebot CMP для обеспечения баланса между GDPR и файлами cookie.

Часто задаваемые вопросы


Как привести файлы cookie веб-сайта в соответствие с GDPR?

В соответствии с GDPR ЕС, файлы cookie на вашем веб-сайте, которые обрабатывают личные данные от лиц внутри ЕС, могут быть активированы только после того, как конечный пользователь дал на это свое согласие. Это означает, что любые файлы cookie на вашем веб-сайте, которые не являются строго необходимыми, и обработка персональных данных должны быть деактивированы до тех пор, пока конечный пользователь не примет их активацию.

Узнайте больше о GDPR и согласии на использование файлов cookie


Что GDPR говорит о файлах cookie?

В GDPR ЕС файлы cookie упоминаются только один раз, однако общеевропейское законодательство устанавливает четкие правила в отношении того, как персональные данные могут обрабатываться веб-сайтами, главным из которых является необходимость получения явного согласия конечных пользователей перед их сбором. их данные — и поэтому любой файл cookie на вашем веб-сайте, который обрабатывает личные данные, должен оставаться неактивным до тех пор, пока пользователь не даст на это согласие.

Узнайте больше о соответствии GDPR

ЕС

Что такое баннер cookie, соответствующий GDPR?

Баннер файлов cookie, соответствующий GDPR, представляет собой интерактивный модуль, который информирует ваших пользователей обо всех файлах cookie и трекерах, используемых на вашем веб-сайте, их назначении, сроке действия и поставщике, а также позволяет пользователям дать свое явное согласие на использование некоторых, ни одного или всех файлов cookie, отметив соответствующие поля. или сдвигая элементы управления и нажимая кнопку. Для соблюдения GDPR жизненно важно, чтобы баннеры с файлами cookie не имели заранее отмеченных флажков или не заставляли пользователей выбирать: принимать все или ничего в обмен на услуги.

Узнайте больше о баннерах cookie, соответствующих GDPR, здесь


Что такое политика использования файлов cookie в соответствии с GDPR?

Политика использования файлов cookie, соответствующая GDPR, информирует ваших пользователей о том, какие данные собирает ваш веб-сайт, для каких целей вы используете эти данные, с какими третьими лицами вы делитесь своими данными, кто является поставщиком файлов cookie, как вы храните их данные и обеспечиваете их защиту. и как пользователи могут получить доступ, перенести, запросить исправление или удаление своих данных. Политика использования файлов cookie вашего веб-сайта должна быть написана понятным языком и быть легко доступной для ваших пользователей.

Узнайте больше о политиках GDPR в отношении файлов cookie здесь


Ресурсы


Узнайте больше о GDPR и согласии на использование файлов cookie

Узнайте больше о Директиве о конфиденциальности (закон ЕС о файлах cookie)

Узнайте больше о Planet49 и действующем согласии на использование файлов cookie в ЕС

Посетите официальный сайт ЕС о защите данных

См. официальный текст закона GDPR

См. Beyond the Front Page, исследование 2020 года о файлах cookie веб-сайтов

Узнайте, как работает поведенческая реклама в Интернете

Посетите веб-сайт Европейского совета по защите данных

несовершеннолетних и GDPR

В моем бизнесе мне необходимо обрабатывать персональные данные, относящиеся к несовершеннолетним.Есть ли что-нибудь, что я должен знать?

Некоторые положения GDPR устанавливают особые правила обработки персональных данных, относящихся к несовершеннолетним, в частности GDPR, статья 8, параграф 1:

«Если применяется пункт (а) статьи 6(1) в отношении предложения услуг информационного общества непосредственно ребенку, обработка персональных данных ребенка должна быть законной, если ребенку не менее 16 лет. лет. Если ребенку еще не исполнилось 16 лет, такая обработка является законной только в том случае, если и в той мере, в какой это согласие дано или санкционировано носителем родительской ответственности в отношении ребенка.

Давайте подробнее рассмотрим этот пункт:

  1. Прежде всего, в отличие от остальной части GDPR, это положение применяется только к услугам, предоставляемым онлайн («услуги информационного общества»)
  2. Самое главное, оно применяется только в том случае, если предложение услуг информационного общества прямо, исключительно или в основном предназначенные для детей . Это тот случай, когда речь идет о детях, т.е. неформальным, детским языком, когда предлагаемые товары, услуги или контент предназначены специально для детей (например,грамм. детская литература, игры, школьные ресурсы и т. д.) или, очевидно, если предложение явно ограничено для детей («только для детей»). Вместо этого недостаточно, чтобы вы предлагали или продавали товары, услуги или контент, которые могут подходить для детей или включать товары, удобные для детей. Поэтому, если вы продаете игрушки в Интернете, это не обязательно означает, что ваш интернет-магазин «непосредственно предлагается детям».
  3. Применяется только в том случае, если правовым основанием для обработки персональных данных является согласие .Таким образом, если вы продаете рингтоны подросткам для их смартфонов, личные данные, собранные при совершении покупки (имя, фамилия, адрес электронной почты, платежные реквизиты), как правило, будут «необходимы для выполнения контракта ». стороной которого является субъект данных» и, таким образом, подпадают под договорно-правовую основу (статья 6, пункт 1, пункт b). Однако, если вы также хотите использовать адрес электронной почты субъекта данных для рассылки информационных бюллетеней о ваших рингтонах, вам необходимо получить согласие субъекта данных , поскольку обработка персональных данных в маркетинговых целях не подпадает под действие договорной объем.Вот где искусство. 8 становится актуальным: если субъекту данных меньше 16 лет, вам также необходимо получить согласие его/ее родителей.
  4. «Несовершеннолетние» для целей ст. 8 GDPR — это дети младше 16 лет . Однако GDPR позволяет государствам-членам снизить этот минимальный возраст до 13 лет. Например, Австрия снизила пороговый возраст до 14 лет.

Если вы считаете, что в вашем случае все эти условия соблюдены, вам обязательно следует добавить в свое онлайн-предложение дополнительный шаг, позволяющий проверять возраст ваших пользователей.Для этих целей будет достаточно всплывающего окна с вопросом («Сколько вам лет?» или «В каком году вы родились?»).

Как мне получить согласие родителей или получить от них разрешение на согласие своего ребенка?

Арт. 8 дает вам два варианта: либо вы получаете такое согласие непосредственно от родителей субъекта данных, либо родители «разрешают» согласие субъекта данных. Никакая обработка персональных данных не может быть выполнена, пока не будет разыгран один из этих двух вариантов.

Вопрос: как я узнаю, кто родители и что они на самом деле дают свое согласие? На этот вопрос нет четкого ответа. Комментаторы указали различные способы проверки личности и получения согласия, в том числе:

  • предоставление копии паспорта или удостоверения личности по электронной почте;
  • предоставление письменного согласия или доверенности, подписанного родителями по электронной почте;
  • обработка онлайн-заказов с помощью кредитной карты родителей;
  • согласие или разрешение родителей выражается по телефону.

Все эти методы ложатся тяжелым бременем на все вовлеченные стороны. Поэтому некоторые комментаторы отмечают, что для этой цели также может служить хорошо известный метод двойного согласия.

Пример

14-летний субъект данных хочет подписаться на информационный бюллетень. После объявления о том, что ему исполнилось 14 лет, ему необходимо указать а) свой собственный адрес электронной почты, на который в конечном итоге будут отправляться информационные бюллетени, и б) адрес электронной почты его родителей. После подписки как субъект данных, так и родители получают автоматическое электронное письмо с просьбой подтвердить подписку и подтвердить согласие родителей на такую ​​обработку персональных данных их сына.

Конечно, можно утверждать, что сообразительному подростку понадобится меньше минуты, чтобы открыть фальшивые учетные записи электронной почты для своих родителей. Но в некотором смысле то же самое можно сказать и о любой другой процедуре аутентификации: в конце концов, родители несут ответственность за предотвращение подобных злоупотреблений со стороны своих детей.

Золотое правило заключается в том, что вы всегда должны выбирать метод аутентификации в соответствии с риском, который может возникнуть в результате обработки персональных данных. В примере с информационным бюллетенем, где риск значительно низок, процедура двойного согласия может считаться достаточной.

Если вместо этого вы собираете согласие субъекта данных на то, чтобы сделать некоторые из его личных данных общедоступными в Интернете, это может повлечь за собой значительно высокие риски: в этом случае вам следует выбрать более сложный, но более безопасный метод аутентификации, такой как как просьба представить паспорта или удостоверения личности.