ГИД ПО GDPR. КАК ПОЛУЧИТЬ СОГЛАСИЕ на обработку данных законно

13 декабря 2019

На многих веб-ресурсах есть возможность часто увидеть выражение «Продолжая пользоваться нашим сайтом, вы выражаете согласие на обработку персональных данных и файлов cookie». В результате этого, обычно встает вопрос, законно ли такая формулировка и не должны ли компании принимать другие меры для получения законной согласия на обработку персональных данных. Очень важно работать в соответствии с требованиями законодательства, особенно когда речь идет о ведении бизнеса в рамках требований GDPR.

Согласие в понимании GDPR.

В соответствии с General Data Protection Regulation, согласия следует считать согласие субъекта данных, которая предусматривает собой любую свободно предоставленную, специфическую, информированное и однозначную указание на желание субъекта данных, которой субъект данных, сделав заявление или осуществив четко утвердительный действие, дает свое согласие на обработку персональных данных.

В целом же, получение согласия довольно специфическим и сложным процессом, который предусматривает не только фактическое получение согласия, но и управление полученными от субъектов данных соглашениями в течение определенного периода, включая, при необходимости, предоставление информации о полученных от субъектов данных согласия в контролирующих органов.

Перед таким как использовать такую ​​законное основание как «согласие» для обработки персональных данных, необходимо установить, что вам импонирует именно такая законное основание, а не любая другая, учитывая тот факт, что в некоторых случаях, для обработки персональных данных может применяться комбинированный алгоритм применение законных оснований. Иногда, могут возникнуть ситуации, в соответствии с которыми, используя согласие, вы можете нарушить требования закона, в частности GDPR.

Например: Осуществляя реализацию товаров через веб-сайт, компания получает согласие от покупателей на обработку их персональных данных, необходимых для покупки соответствующего товара. В этом случае необходимо применять другую законное основание для обработки данных чем согласие, которая основывалась на необходимости урегулирования договорных отношений. Соответственно, обработка персональных данных на основании согласия в этой ситуации может быть признанной незаконной, а к компании могут быть применены штрафные санкции.

Наряду с необходимостью определения релевантности соответствующей законного основания, компании чрезвычайно важно осознать и принять все обязательства, которые возлагаются на нее GDPR, в том случае, когда компания решит, что получение согласия, как инструмента, легитимизирует процесс сбора и обработки персональных данных, является наиболее подходящим вариантом.

Так как отмечалось выше, согласие должно быть свободно предоставленной, специфической, информированным и однозначной. Информация, относительно этих аспектов, будет разорить ниже.

Свободное предоставления согласия в понимании GDPR.

Под «свободно предоставленной согласия» подразумевается предоставление субъектам данных возможности осуществления настоящего выбора и контроля над тем, как компания использует их данные. Если лицо не будет реального выбора, согласие не считается предоставленной свободно и, соответственно, она будет недействительной (незаконной). В этом случае, компания не может заставлять субъекта данных предоставить ей согласие, например, размещая на сайте блокирующие окна, разблокировка которых возможно только после предоставления согласия на обработку персональных данных.

Субъекты данных, в любом случае, должны иметь возможность отозвать предоставленную ими согласие в любой момент, не испытывая каких-либо притеснений и неудобств со стороны компании, которой такое согласие было дано.

Например: Между компанией и субъектом данных было заключено соглашение о предоставлении услуг. Компания требует получения согласия на обработку персональных данных для возможности предоставить услуги. В Субъекта данных, желающий получить предоставляемые компанией услуги, не останется никакого другого варианта, кроме как дать согласие. В этом случае, согласие не будет считаться свободно предоставленной.

Специфическая согласие в понимании GDPR.

Чтобы быть законной, согласие также должно быть «специфическим». То есть, согласие должно предоставляться для осуществления определенных определенных операций по обработке. Это означает, что перед компанией возникает обязанность доказывания того, что согласие получалась от субъекта данных исключительно под конкретную операцию, а не под любую другую, или же под набор неопределенных операций.

Если обработка персональных данных имеет несколько целей, согласие должна быть предоставлена ​​для всех этих целей. Обработка для нескольких целей может вызвать дальнейшие трудности, поскольку не всегда возможно заранее узнать, какая именно операция по обработке будет фактически осуществляться, а следовательно, согласие, предоставленную в определенное время, будет ограничено конкретными параметрами, установленными на момент ее предоставления.

Например: Компания, получая согласие от субъекта данных на обработку имени, фамилии и адреса электронной почты для целей предоставления услуг по разработке программного обеспечения, не имеет права использовать эти персональные данные для продажи субъекту данных комплектующих запчастей к персональному компьютеру , так как субъект данных свое согласие по этой цели не предоставлял.

Есть возможность наступления ситуации, когда направление деятельности компании резко меняется, что приводит к возникновению новых операций по обработке персональных данных, согласие на обработку которых не была предоставлена ​​ранее. В этом случае может возникнуть необходимость в получении дополнительного согласия на обработку данных от субъекта данных, поскольку согласие, предоставленная прежнему не покрывает новые цели обработки персональных данных.

Проинформирована согласие в понимании GDPR

По требованию GDPR, согласие должно быть «информированным», то есть компания должна обеспечить субъекта данных всей необходимой информацией, которая раскрывала все возможные детали обрабатывающей деятельности по отношению к персональным данным субъекта данных. Вместе с тем, такое информирование должно осуществляться на языке, понятном субъекту данных, а также в форме, которая предоставила возможность последнем понять как обработка персональных данных может повлиять на него.

Фактически, реализуя это требование, компания должна проинформировать субъекта данных обо всех нюансах обработки персональных данных, предоставление которых требуется статьями 13 и 14 GDPR.

Однозначность согласия в понимании GDPR

Для того, чтобы согласие было признано «однозначной», заявление или четкая утвердительный действие субъекта данных не должны оставлять никаких сомнений относительно намерения субъекта данных дать согласие на обработку персональных данных. Стоит заметить, что когда у контролирующих органов существовать сомнения относительно того, было дано согласие однозначной или нет, такие органы всегда будут принимать сторону субъекта данных. Именно поэтому, компания очень осторожно и тщательно подходить к вопросу технической реализации возможности получения согласия.

Реализация принципа «однозначности согласия» предусматривает определенные технические требования, которые должны реализовываться компанией. В частности, речь идет о том, что согласие должно получаться только, например, путем проставления определенной отметки в соответствующем окне в рамках сайта, какой бы подтверждалась согласие на обработку персональных данных, или же предоставление любого заявления или подписания отдельного документа. Вместе с тем, молчание субъекта данных, бездействие субъекта данных, автоматическое заполнение ячеек метками проставления отметок (pre-ticket boxes), соответственно, не следует считать действиями, как констатируют предоставления согласия субъектом данных.

Управление полученными соглашениями

В соответствии с требованиями GDPR, в частности принципа «подотчетности», который предусмотрен в статье 5, компания, которая осуществляет обработку персональных данных должна доказывать свое соответствие требованиям законодательства ЕС об обработке персональных данных, предусматривает принятие ряда мер, в том числе технических и организационных, в том числе по отношению к полученным согласий на обработку персональных данных, их сохранению и использованию.