Pre-Ticked Boxes: визнання незаконними на законному рівні.

18 Листопада 2020

Використання pre-ticked boxes, в процесі отримання згоди на обробку персональних даних, не є законним. Це може спонукати до притягення компаній, які зареєстровані на території Європейського Союзу або бізнес яких орієнтований на європейський ринок, до відповідальності за порушення норм законодавства ЄС.

Проблематика питання

До недавнього часу, багато компаній, які здійснюють свою діяльність в мережі Інтернет, ставлячи перед собою ціль, спрямовану на полегшення ведення власного бізнесу, намагалися уникати надання технічної можливості своїм клієнтам – фізичним особам надавати активну згоду в рамках веб-сайту, використовуючи при цьому soft optin методологію або ж preticked boxes. Ц е надавало можливість таким компаніям уникати рутинної роботи, пов’язаної з обліком отриманих згод, а також їхнім зберіганням с своїх базах даних.

Акцентуючи увагу на soft optin, варто сказати, що мова йде про такий собі вид отримання згоди, коли фізичній особі не пропонується надати згоду, шляхом вчинення конкретної активної дії, при цьому, відповідна згода вважається наданою, якщо клієнт, наприклад продовжує користуватися веб-сайтом або пасивно вчиняє будь-які інші дії.

Щодо preticked boxes, то в цьому випадку мова йде превенцію компанією активних дій, які фізична особа повинна вчиняти, коли отримання згоди є необхідним. Наприклад, клієнт повинен проставити галочки навпроти повідомлення про обробку персональних даних або розсилання маркетингових повідомлень, однак такі галочки компанія проставила самостійно.

Загальне бачення європейського законодавства

В процесі вдосконалення законодавства Європейського Союзу, більш чітким стає факт того, що компанія, яка не потребує від фізичної особи активного надання згоди, а лише повідомляє про факт того, що буде вчинятися та чи інша дія стосовно її персональних даних, або ж вчиняє необхідну дії, пов’язані з наданням згоди, замість клієнта, не є прийнятним. Так, European Data Protection Board (EDPB) в своїх роз’ясненнях зазначає, що кожна особа повинна надати усвідомлену, чітку та недвозначну згоду, яка прямо висловлює волю особи. Відповідно, компанія повинна зберігати інформацію про надану клієнтом згоду та, при необхідності, надавати таку інформацію контролюючому органу, на його вимогу. Якщо компанія отримує згоду з допомогою використання методології soft optin або ж використовує так звані preticked boxes, то такі дії можуть бути розцінені як порушення діючого законодавства Європейського Союзу. 

Рішення Court of Justice of the European Union

Факт того, що використання preticked boxes є неналежним та незаконним, в  своїх рішеннях також підтверджує і Європейський Суд Справедливості (Court of Justice of the European Union). Мова зокрема йде про рішення суду у справі проти німецької компанії Planet49 GmbH, а також у справі проти компанії Orange România SA.

У справі проти Planet49 GmbH, компанію звинувачують у використанні файлів cookie без отримання відповідної згоди. Фактично, згода отримувалася з використанням preticked boxes, що в свою чергу позбавляло фізичних осіб, чиї персональні дані оброблювалися, відізвати свою згоду. В своєму рішенні від жовтня 2020 року, Court of Justice of the European Union постановив, що використання preticked boxes не є законним, а фізична особа повинна мати змогу знімати проставлену галочку у відповідному вікні та відкликати свою згоду в будь-який момент.

У справі по Orange România SA, рішення в якій було винесено в листопаді 2020 року, Європейський Суд Справедливості постановив, що надання послуг по договору, в якому є пункт про те, що клієнт надав згоду на обробку його ідентифікуючих документів (персональних даних) є незаконним та неприйнятним, оскільки deyure та defacto згода не надавалася, а компанія навіть не пропонувала клієнту таку згоду надати. В цьому випадку судом було встановлено, що компанія використала так звану preticked технологію, що протирічить вимогам закону, зокрема General Data Protection Regulation (GDPR).

Висновок

Виходячи зі всього вищесказаного, слід зробити висновок, що отримання згоди та методів її отримання залишається тим питанням, увага до якого повинна бути особливо прискіплива. Компанія, знаючи про свій обов’язок отримувати згоду, не повинна ігнорувати її або ж використовувати незаконні методології, накштал  preticked boxes та soft optin.

Компанія BSO Privacy Group з радістю допоможе вам розібрати  в складних питаннях щодо застосування норм GDPR, допоможе зрозуміти, як та коли вимагається отримання згоди на обробку персональних даних, а також розробити найоптимальніший варіант отримання згоди, враховуючи особливість вашого бізнесу та використовуючи дозволені методології.