Pre-Ticked Boxes: признание незаконными на законном уровне.

18 ноября 2020

Использование pre-ticked boxes, в процессе получения согласия на обработку персональных данных, не является законным. Это может побудить к притягення компаний, зарегистрированных на территории Европейского Союза или бизнес которых ориентирован на европейский рынок, к ответственности за нарушение норм законодательства ЕС.

проблематика вопроса

До недавнего времени, многие компании, которые осуществляют свою деятельность в сети Интернет, ставя перед собой цель, направленную на облегчение ведения собственного бизнеса, старались избегать оказания технической возможности своим клиентам — физическим лицам оказывать активную согласие в рамках веб-сайта, используя при этом soft opt-in методологию или pre-ticked boxes. Ц е давало возможность таким компаниям избегать рутинной работы, связанной с учетом полученных согласий, а также их хранением с своих базах данных.

Акцентируя внимание на soft opt-in, стоит сказать, что речь идет о неком вид получения согласия, когда физическому лицу не предлагается предоставить согласие путем совершения конкретной активного действия, при этом, соответствующее согласие считается предоставленной, если клиент, например продолжает пользоваться веб -сайте или пассивно совершает любые другие действия.

По pre-ticked boxes, то в этом случае речь идет превенцию компанией активных действий, которые физическое лицо должно поступать, когда получение согласия является необходимым. Например, клиент должен проставить галочки напротив сообщение об обработке персональных данных или рассылки маркетинговых сообщений, однако такие галочки компания проставила самостоятельно.

Общее видение европейского законодательства

В процессе совершенствования законодательства Европейского Союза, более четким становится факт, что компания, которая не требует от физического лица активного предоставления согласия, а только сообщает о факте того, что будет совершаться или иное действие в отношении его персональных данных, или же совершает необходимую действия , связанные с предоставлением согласия, вместо клиента, не является приемлемым. Так, European Data Protection Board (EDPB) в своих разъяснениях отмечает, что каждое лицо должно предоставить осознанную, четкую и недвусмысленную согласие, прямо выражает волю человека. Соответственно, компания должна хранить информацию о предоставленной клиентом согласие и, при необходимости, предоставлять такую ​​информацию контролирующему органу по его требованию. Если компания получает согласие счет использования методологии soft opt-in или использует так называемые pre-ticked boxes, то такие действия могут быть расценены как нарушение действующего законодательства Европейского Союза.

Решение Court of Justice of the European Union

Факт того, что использование pre-ticked boxes является ненадлежащим и незаконным, в своих решениях также подтверждает и Европейский Суд Справедливости (Court of Justice of the European Union). Речь в частности идет о решении суда по делу против немецкой компании Planet49 GmbH, а также в деле против компании Orange România SA.

В деле против Planet49 GmbH, компанию обвиняют в использовании файлов cookie без получения соответствующего согласия. Фактически, согласие приобреталась с использованием pre-ticked boxes, что в свою очередь лишало физических лиц, чьи персональные данные оброблювалися, отозвать свое согласие. В своем решении с октября 2020 года, Court of Justice of the European Union постановил, что использование pre-ticked boxes не является законным, а физическое лицо должно иметь возможность снимать проставленную галочку в соответствующем окне и отозвать свое согласие в любой момент.

В деле по Orange România SA, решения в которой было вынесено в ноябре 2020 года, Европейский Суд Справедливости постановил, что предоставление услуг по договору, в котором есть пункт о том, что клиент дал согласие на обработку его идентифицирующих документов (персональных данных) является незаконным и неприемлемым, поскольку de-yure и de-facto согласие не предоставлялась, а компания даже не предлагала клиенту такое согласие предоставить. В этом случае судом было установлено, что компания использовала так называемую pre-ticked технологию, противоречит требованиям закона, в частности General Data Protection Regulation (GDPR).

вывод

Исходя из всего вышесказанного, следует сделать вывод, что получение согласия и методов ее получения остается вопросом, внимание к которому должна быть особенно пристальное. Компания, зная о своей обязанности получать согласие, не должна игнорировать ее или использовать незаконные методологии, накштал pre-ticked boxes и soft opt-in.

Компания BSO Privacy Group с радостью поможет вам разобрать в сложных вопросах применения норм GDPR, поможет понять, как и когда требуется получение согласия на обработку персональных данных, а также разработать оптимальный вариант получения согласия, учитывая особенность вашего бизнеса и используя разрешенные методологии.