Перейти к основному содержанию

Гид по GDPR. Как получить согласие на обработку данных законно

Гид по GDPR. Как получить согласие на обработку данных законно

На многих веб-ресурсах есть возможность часто увидеть выражение «Продолжая пользоваться нашим сайтом, вы выражаете согласие на обработку персональных данных и файлов cookie». В результате этого, обычно возникает вопрос, законно ли такая формулировка и едва ли не должны компании принимать другие меры для получения законного согласия на обработку персональных данных. Очень важно работать в соответствии с требований законодательства, особенно когда речь идет о ведении бизнеса в рамках требований GDPR .

Согласие в понимании GDPR

В соответствии с General Data Protection Regulation, согласия следует считать согласие субъекта данных, которое предусматривает собой любое свободно предоставленное, специфическое, информированное и однозначное указание на желание субъекта данных, которой субъект данных, сделав заявление или осуществив четко утвердительный действие, дает свое согласие на обработку персональных данных.

В целом же, получение согласия есть довольно специфическим и сложным процессом, который предусматривает не только фактическое получение согласия, но и управление полученными от субъектов данных соглашениями в течение определенного периода, включая, при необходимости, предоставление информации о получении от субъектов данных согласия в контролирующие органы.

Перед тем как использовать такое законное основание как «согласие» для обработки персональных данных, необходимо установить, что вам импонирует именно такое законное основание, а не любое другое, учитывая тот факт, что в некоторых случаях, для обработки персональных данных может применяться комбинированный алгоритм применения законных оснований. Иногда, когут возникнуть ситуации, в соответствии с которыми, используя согласие, вы можете нарушить требования закона, в частности GDPR .

Например: Осуществляя реализацию товаров через веб-сайт, компания получает согласие от покупателей на обработку их персональных данных, необходимых для покупки соответствующего товара. В этом случае не обходимо применять другую законное основание для обработки данных чем согласие, которое основывалось на необходимости урегулирования договорных отношений. Соответственно, обработка персональных данных на основании согласия в этой ситуации может быть признанной незаконной, а к компании могут быть применены штрафные санкции.

Наряду с необходимостью определения релевантности соответствующего законного основания, компании чрезвычайно важно осознать и принять все обязательства, которые возлагаются на нее GDPR , в том случае, когда компания решит, что получение согласия, как инструмент, легитимизирует процесс сбора и обработки персональных данных, является наиболее подходящим вариантом.

Так как отмечалось выше, согласие должно быть свободно предоставленным, специфическим, информированным и однозначным. Информация, по этим аспектам, будет рассмотрена ниже.

Свободное предоставление согласия в понимании GDPR.

Под «свободно предоставленным согласием» подразумевается предоставление субъектам данных возможности осуществления настоящего выбора и контроля над тем, как компания использует их данные. Если лицо не будет реального выбора, согласие не считается таким, которое предоставлено свободно и, соответственно, оно будет недействительной (незаконной). В этом случае, компания не может заставлять субъекта данных предоставить ей согласие, например, размещая на сайте блокирующие окна, разблокировка которых возможно только после предоставлении согласия на обработку персональных данных.

Субъекты данных, в любом случае, должны иметь возможность отозвать предоставленное ими согласие в любой момент, не испытывая каких-либо притеснений и неудобств со стороны компании, которой такое согласие было дано.

Например: между компанией и субъектом данных было заключено соглашение о предоставлении услуг. Компания требует получения согласия на обработку персональных данных для возможности предоставить услуги. В Субъекта данных, желающий получить предоставляемые компанией услуги, не останетсяникакого другого варианта, кроме как дать согласие. В этом случае, согласие не будет считаться свободно предоставленным.

Специфическая согласие в понимании GDPR.

Чтобы быть законной, согласие также должно бать «специфическим». То есть, согласие должно предоставляться для осуществления определенных операций по обработке. Это означает, что перед компанией возникает обязанность доказывания того, что согласие получалась от субъекта данных исключительно под конкретную операцию, а не под любую другую, или же под набор неопределенных операций. 

Если обработка персональных данных имеет несколько целей, согласие должно быть предоставлено для всех таких целей. Обработка для нескольких целей может привести к дальнейшим трудностям, поскольку не всегда возможно заранее узнать, какая именно операция по обработке будет фактически осуществляться, а следовательно, согласие, предоставленное в определенное время, будет ограничено конкретными параметрами, установленными на момент ее предоставления.

 

Например: Компания, получая согласие от субъекта данных на обработку имени,  фамилии и адреса электронной почты для целей оказания услуг с разработки программного обеспечения, не имеет права использовать эти персональные данные для продажи субъекту данных комплектующих запчастей к персональному компьютеру, так как субъект данных свое согласие для этой цели не предоставлял. 

Есть возможность наступления ситуации, когда направление деятельности компании резко меняется, что приводит к возникновению новых операций по обработке персональных данных, согласие на обработку которых не было предоставлено ​​ранее. В этом случае может возникнуть необходимость в получении дополнительного согласия на обработку данных от субъекта данных, поскольку согласие, предоставленное ранние, не покрывает новые цели обработки персональных данных.

Проинформированное согласие в понимании GDPR

По требованию GDPR , согласие должно быть «информированным», то есть компания должна обеспечить субъектов данных всей необходимой информацией, которая раскрывала все  возможные детали обрабатывающей деятельности по отношению к персональным данным субъекта данных. Вместе с тем, такое информирование должно осуществляться на языке, понятном субъекту данных, а также в форме, которая предоставила возможность последнем понять как обработка персональных данных может повлиять на него.

Фактически, реализуя это требование, компания должна проинформировать субъекта данных о всех нюансах обработки персональных данных, предоставление которых требуется статьями 13 и 14 GDPR.

Однозначность согласия в понимании GDPR

Для того, чтобы согласие было признано «однозначным», заявление или четкое утвердительное действие субъектов данных не должны оставлять никаких сомнений в отношении намерения субъекта данных дать согласие на обработку персональных данных. Стоит заметить, что, когда у контролирующих органов будут существовать сомнения в том, было ли дано согласие однозначно или нет, такие органы всегда будут принимать сторону субъекта данных. Именно поэтому, компания очень осторожно и скрупулезно подходит к вопросу технической реализации возможности получения согласия.

Реализация принципа «однозначности согласия» предусматривает определенные технические

требования, которые должны реализовываться компанией. В частности, речь идет о том, что согласие должно получаться только, например, путем проставления определенной отметки в соответствующем окне в рамках сайта, какой бы подтверждал согласие на обработку персональных данных, или же предоставление любого заявления или подписание отдельного документа. Вместе с тем, молчание субъекта данных, бездействие субъекта данных, автоматическое заполнение ячеек метками или проставления отметок ( pre - ticket boxes ), соответственно, не следует считать действиями, как констатируют предоставления согласия субъектом данных.

 Управление полученными соглашениями

В соответствии с требованиями GDPR , в частности принципа « Подотчетности», который предусмотренный в статье 5, компания, которая осуществляет обработку персональных данных должна доказывать свое соответствие требованиям законодательства ЕС о обработки персональных данных, предусматривает принятие ряда мер, в частности технических и организационных, в том числе по отношению к полученным согласий на обработку персональных данных, их сохранению и использованию.