Перейти до основного вмісту

Pre-Ticked Boxes: визнання незаконними на законному рівні.

Pre-Ticked Boxes: визнання незаконними на законному рівні.

Використання pre-ticked boxes, в процесі отримання згоди на обробку персональних даних, не є законним. Це може спонукати до притягення компаній, які зареєстровані на території Європейського Союзу або бізнес яких орієнтований на європейський ринок, до відповідальності за порушення норм законодавства ЄС. 

Проблематика питання

До недавнього часу, багато компаній, які здійснюють свою діяльність в мережі Інтернет, ставлячи перед собою ціль, спрямовану на полегшення ведення власного бізнесу, намагалися уникати надання технічної можливості своїм клієнтам – фізичним особам надавати активну згоду в рамках веб-сайту, використовуючи при цьому soft opt-in методологію або ж pre-ticked boxes. Ц е надавало можливість таким компаніям уникати рутинної роботи, пов’язаної з обліком отриманих згод, а також їхнім зберіганням с своїх базах даних.

Акцентуючи увагу на soft opt-in, варто сказати, що мова йде про такий собі вид отримання згоди, коли фізичній особі не пропонується надати згоду, шляхом вчинення конкретної активної дії, при цьому, відповідна згода вважається наданою, якщо клієнт, наприклад продовжує користуватися веб-сайтом або пасивно вчиняє будь-які інші дії.

Щодо pre-ticked boxes, то в цьому випадку мова йде превенцію компанією активних дій, які фізична особа повинна вчиняти, коли отримання згоди є необхідним. Наприклад, клієнт повинен проставити галочки навпроти повідомлення про обробку персональних даних або розсилання маркетингових повідомлень, однак такі галочки компанія проставила самостійно.

Загальне бачення європейського законодавства

В процесі вдосконалення законодавства Європейського Союзу, більш чітким стає факт того, що компанія, яка не потребує від фізичної особи активного надання згоди, а лише повідомляє про факт того, що буде вчинятися та чи інша дія стосовно її персональних даних, або ж вчиняє необхідну дії, пов’язані з наданням згоди, замість клієнта, не є прийнятним. Так, European Data Protection Board (EDPB) в своїх роз’ясненнях зазначає, що кожна особа повинна надати усвідомлену, чітку та недвозначну згоду, яка прямо висловлює волю особи. Відповідно, компанія повинна зберігати інформацію про надану клієнтом згоду та, при необхідності, надавати таку інформацію контролюючому органу, на його вимогу. Якщо компанія отримує згоду з допомогою використання методології soft opt-in або ж використовує так звані pre-ticked boxes, то такі дії можуть бути розцінені як порушення діючого законодавства Європейського Союзу. 

Рішення Court of Justice of the European Union

Факт того, що використання pre-ticked boxes є неналежним та незаконним, в  своїх рішеннях також підтверджує і Європейський Суд Справедливості (Court of Justice of the European Union). Мова зокрема йде про рішення суду у справі проти німецької компанії Planet49 GmbH, а також у справі проти компанії Orange România SA.

У справі проти Planet49 GmbH, компанію звинувачують у використанні файлів cookie без отримання відповідної згоди. Фактично, згода отримувалася з використанням pre-ticked boxes, що в свою чергу позбавляло фізичних осіб, чиї персональні дані оброблювалися, відізвати свою згоду. В своєму рішенні від жовтня 2020 року, Court of Justice of the European Union постановив, що використання pre-ticked boxes не є законним, а фізична особа повинна мати змогу знімати проставлену галочку у відповідному вікні та відкликати свою згоду в будь-який момент.

У справі по Orange România SA, рішення в якій було винесено в листопаді 2020 року, Європейський Суд Справедливості постановив, що надання послуг по договору, в якому є пункт про те, що клієнт надав згоду на обробку його ідентифікуючих документів (персональних даних) є незаконним та неприйнятним, оскільки de-yure та de-facto згода не надавалася, а компанія навіть не пропонувала клієнту таку згоду надати. В цьому випадку судом було встановлено, що компанія використала так звану pre-ticked технологію, що протирічить вимогам закону, зокрема General Data Protection Regulation (GDPR).

Висновок

Виходячи зі всього вищесказаного, слід зробити висновок, що отримання згоди та методів її отримання залишається тим питанням, увага до якого повинна бути особливо прискіплива. Компанія, знаючи про свій обов’язок отримувати згоду, не повинна ігнорувати її або ж використовувати незаконні методології, накштал  pre-ticked boxes та soft opt-in.

Компанія BSO Privacy Group з радістю допоможе вам розібрати  в складних питаннях щодо застосування норм GDPR, допоможе зрозуміти, як та коли вимагається отримання згоди на обробку персональних даних, а також розробити найоптимальніший варіант отримання згоди, враховуючи особливість вашого бізнесу та використовуючи дозволені методології.