Пример согласия на обработку персональных данных для сайта: Что сделать на сайте, чтобы избежать штрафов за нарушение закона.

Согласие на обработку персональных данных

Приказ об утверждении формы Согласия на обработку персональных данных

Руководствуясь ст.6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

1.

Утвердить прилагаемую форму Согласия на обработку персональных данных.

2.

Ответственному за организацию обработки персональных данных :

— Обеспечить оформление Согласий со всеми субъектами персональных данных, обработка персональных данных которых должна осуществляться по их согласию.

3.

Контроль за исполнением приказа оставляю за собой.

на обработку персональных данных

1.

Я, , даю согласие следующему лицу (“Оператор”):

1.

на обработку принадлежащих мне персональных данных.

2.

разрешаю передачу персональных данных следующим лицам:

2.1.

организации, оказывающей Оператору услуги по ведению кадрового, налогового и бухгалтерского учета (  ) на . Цель и объем передаваемых персональных данных: персональные данные, обработка которых необходима для кадрового, налогового или бухгалтерского учета.

2.2.

 Следующим лицам в целях . Срок действия согласия: . Перечень обрабатываемых персональных данных: .

3.

в целях  разрешаю в течение  обработку следующих персональных данных, отнесенных законодательством к категории специальных: .

4.

в целях  разрешаю в течение  принятие следующих решений, затрагивающих мои права и интересы, на основании исключительно автоматизированной обработки персональных данных: . Осознаю, что указанное решение может повлечь для меня следующие последствия: . Информирован, что в случае принятия указанного решения я вправе заявить Оператору возражение в следующем порядке  в следующие сроки: . Оператор обязан рассмотреть мое возражение в течение тридцати дней со дня его получения и уведомить меня о результатах его рассмотрения (п.4 ст. 16 Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных). Для принятия указанных выше решений разрешаю Оператору получать и обрабатывать персональные данные:

4.1.

полученные с помощью онлайн-сервиса . Перечень персональных данных: .

— на обработку следующих персональных данных: , в следующих целях: .

5.

Обработка персональных данных включает в себя совершение следующих действий: .

6.

Обработка персональных данных осуществляется без использования средств автоматизации.

7.

Настоящее согласие может быть отозвано субъектом персональных данных досрочно тем же способом, которым было предоставлено. Независимо от способа предоставления согласия, оно может быть отозвано субъектом персональных данных следующими способами:

— путем предоставления Оператору собственноручно подписанного заявления об отзыве согласия заказным письмом с описью вложения по почтовому адресу Оператора (). Заявление должно содержать: ФИО, данные документа, удостоверяющего личность заявителя, дату составления заявления;

— путем предоставления Оператору заявления в электронной форме, подписанного усиленной квалифицированной электронной подписью заявителя, по электронной почте .

В случае отзыва Пользователем согласия на обработку персональных данных, Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, установленных законодательством.

8.

Настоящее согласие оформлено в бумажной форме и подписано заявителем собственноручно.

Мне понятны порядок принятия затрагивающего мои права и интересы решения на основании исключительно автоматизированной обработки персональных данных, порядок заявления возражений против такого решения, порядок защиты своих прав и законных интересов.

_____________________________ / __________________________________________

   (подпись)                                                    (расшифровка подписи)

Политика обработки персональных данных — Norton Caine

В соответствии с Федеральным законом № 152-ФЗ от 27.07.2006 г. «О персональных данных» под обработкой персональных данных подразумеваются любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

ООО «Нортон Кейн» осуществляет автоматизированную (с помощью средств вычислительной техники) и неавтоматизированную обработку персональных данных.
При обработке персональных данных ООО «Нортон Кейн» руководствуется следующими принципами:

1. Обработка осуществляется на законной и справедливой основе;
2. Обработка ограничивается достижением конкретных, заранее определенных и законных целей;
3. Мы не допускаем объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки;
5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки, обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.

Обработка персональных данных осуществляется с согласия соискателя на обработку его персональных данных.

ООО «Нортон Кейн» не обрабатывает специальные категории персональных данных касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также биометрические персональные данные.
Обработка указанных выше специальных категорий персональных данных допускается в случаях, если:

• Субъект персональных данных дал согласие в письменной форме на обработку специальных категорий персональных данных;
• Персональные данные сделаны общедоступными.

ООО «Нортон Кейн» принимает необходимые правовые, организационные и технические меры для защиты обрабатываемых персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, от иных неправомерных действий в отношении персональных данных.

ООО «Нортон Кейн» гарантирует конфиденциальность обрабатываемых персональных данных, соблюдает законы и этические нормы, выполняет свои обязательства перед субъектами персональных и исключает любую деятельность, которая может нанести ущерб деловой репутации, в том числе ущерб вызванный нарушением требований законодательства Российской Федерации о персональных данных.

Согласие на обработку персональных данных: зачем оно нужно

Шаг 2.

Опубликуйте в общий доступ на сайте (и в мобильном приложении) политику обработки и защиты персональных данных.

Шаг 3.

Самое главное по теме. Если у вас есть какие-либо формы, где пользователи оставляют свои данные (или в приложении автоматически собираются, используются cookie и иные способы сбора данных), то под каждую форму (или при первом входе в приложение) нужно поставить что-то типа «Даю согласие на обработку своих персональных данных» и чекбокс. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним.

При этом крайне важно, чтоб донести до пользователя возможность прочитать данные документы и поэтому необходимо сделать гиперссылку или хотя бы текст кликабельным и ведущим на текст самого документа!

Немного юридического обоснования чекбоксов, а как называет Роскомнадзор — «галочек»:

Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» устанавливает обязательство собирать персональные данные:

«4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью…».

Но это как-то всё слишком сложно и в хозяйственной деятельности оперативно нельзя реализовать, поэтому наш доблестный Роскомнадзор пошёл навстречу людям и дал разъяснения:

«Получение согласия на обработку персональных данных может быть получено посредством проставления „галочки“ пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме».

Вариативно, ещё шаг 4.

Подать уведомление об обработке ПДн в Роскомнадзор.

В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных», оператор должен это сделать до начала обработки ПД. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Согласие на обработку персональных данных (2014/2015)

Участники Международной олимпиады молодежи обязаны предоставить в Оргкомитет следующий документ в письменной форме:

 Согласие на обработку персональных данных (PDF, 78 Кб)

Согласие необходимо распечатать, заполнить от руки и принести на олимпиадное состязание. В случае участия в состязаниях по двум и более предметам, необходимо принести соответствующий документ  по каждому из состязаний.

Примеры заполнения в зависимости от возраста участника

Совершеннолетний участник (согласие заполняется самостоятельно)

Пример заполнения согласия на обработку персональных данных (PDF, 150 Кб)

Несовершеннолетний участник (согласие заполняется родителем/законным представителем)

Пример заполнения согласия на обработку персональных данных (PDF, 151 Кб)

В случае если в роли законного представителя субъекта персональных данных выступает лицо, не являющееся родителем, необходимо внести реквизиты доверенности или иного документа, подтверждающего полномочия представителя, в соответствующую графу.

Cодержание документа на английском языке

 Consent to personal data processing (PDF, 48 Кб)

Обращаем внимание, что для заполнения предусмотрена форма согласия на русском языке, а англоязычный вариант текста имеет только разъяснительную функцию.

Вопросы и ответы

Кто должен давать согласие на обработку персональных данных?

Согласие на обработку персональных данных дает совершеннолетний участник, либо родитель (законный представитель) несовершеннолетнего участника (в соответствии со ст. 9  ФЗ от 27.07.2006 N 152-ФЗ (ред. от 23.07.2013) «О персональных данных»).

Могут ли родители дать согласие на обработку персональных данных своих несовершеннолетних детей?

Родители являются законными представителями своих детей и выступают в защиту их прав и интересов в отношениях с любыми физическими и юридическими лицами, в том числе в судах, без специальных полномочий (в соответствии со ст. 64 Семейного кодекса Российской Федерации).

Могут ли родители (законные представители) или же сам совершеннолетний школьник не давать свое согласие на обработку персональных данных?

Согласие на обработку персональных данных дается добровольно (в соответствии с ФЗ «О персональных данных»). Однако если родители (законные представители) или же сам совершеннолетний школьник не хотят давать согласие на обработку персональных данных в установленной в соответствии с законом форме, то школьник не сможет принять участие в Олимпиаде, поскольку для организации и проведения олимпиадных состязаний требуется обработка персональных данных участников.

Достаточно ли согласия от одного родителя?

Да, достаточно.

Зачем (почему) в согласии на обработку персональных данных должны указываться паспортные данные родителя (законного представителя)?
Эти данные вносятся на основании статьи 9, п. 4.1 и п. 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Почему необходимо давать согласие на обработку персональных данных, регулирование которых осуществляется в соответствии с законодательством РФ, если участник является гражданином другого государства?

Международная олимпиада молодежи проводится НИУ ВШЭ, в том числе электронная регистрация участников проводится на странице Олимпиады на корпоративном портале (сайте) НИУ ВШЭ, списки победителей и призеров Олимпиады размещаются на странице Олимпиады на корпоративном портале (сайте). НИУ ВШЭ расположен на территории РФ, соответственно обработка персональных данных также будет производиться на территории РФ. При этом каких-либо ограничений в отношении гражданства субъектов персональных данных, подпадающих под сферу деятельности вышеуказанного ФЗ, не установлено. Следовательно, обработка персональных данных участников Олимпиады, вне зависимости от их гражданства должна осуществляться в соответствии с нормами Закона о персональных данных.

UWC Russian Federation — Согласие на обработку персональных данных

Настоящим я, далее также – «Субъект персональных данных», во исполнение требований Федерального закона от 27.07.2006 г. No 152-ФЗ «О персональных данных» (с изменениями и дополнениями) подтверждаю, что указанные мною персональные данные, которые я сообщу Благотворительному фонду «Школы мира» (далее – «Фонд», место нахождения: 125009, Российская Федерация, г. Москва, Романов переулок, д. 5, кв. 21), сообщены мною свободно, по своей воле и в своем интересе путем заполнения веб-формы (электронной анкеты) на сайте http://www.ru.uwc.org/ (далее – Сайт), направляемой (предоставляемой) Фонду с использованием Сайта.

Под персональными данными, на обработку которых я даю настоящее согласие, я понимаю любую информацию, относящуюся ко мне как к Субъекту персональных данных, в том числе мои фамилию, имя, отчество, гражданство, дату рождения, сведения о месте проживания, контактные данные (электронная почта), иную другую информацию.

Под обработкой персональных данных я понимаю сбор, запись, систематизацию, накопление, уточнение (обновление, изменение), извлечение, использование, распространение, предоставление, доступ, передачу, обезличивание, блокирование, удаление, уничтожение, бессрочное хранение и любые другие действия (операции) с персональными данными.
Я согласен(-на), что обработка моих персональных данных осуществляется любым не запрещенным законом способом, исключительно в целях информирования меня о начале приема заявок от кандидатов на обучение в колледже или школе системы UWC (United World Colleges).

Я согласен(-на), что обработка моих персональных данных может осуществляться любым не запрещенным законом способом с помощью средств автоматизации и/или без использования средств автоматизации, с использованием сети Интернет.

Я уведомлен(-а), что Фонд принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, а также принимает на себя обязательство сохранения конфиденциальности персональных данных Субъекта персональных данных.

Датой выдачи согласия на обработку персональных данных Субъекта персональных данных является дата отправки веб-формы (электронной анкеты) с Сайта.

Настоящее согласие на обработку персональных данных действует на срок до достижения целей предоставления согласия.

Я уведомлен(-а), что я вправе отозвать настоящее согласие на обработку персональных данных путем направления соответствующего заявления в письменной форме по адресу Фонда с требованием о прекращении обработки указанных персональных данных, которое должно быть исполнено в срок, установленный Федеральным законом от 27. 07.2006 г. No 152-ФЗ «О персональных данных».

Согласие на обработку персональных данных

Настоящим я, далее – «Субъект Персональных Данных», во исполнение требований Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (с изменениями и дополнениями) свободно, своей волей и в своем интересе даю свое согласие  ООО «Информационные системы для бизнеса» (далее – «Получатель», юридический адрес: 440068, Пензенская область,  г. Пенза,  ул. Терновского 160-119) на обработку своих персональных данных, указанных при заполнения веб-формы на сайте Получателя и его поддоменов *.crmnedv.ru (далее – Сайт), направляемой (заполненной) с использованием Сайта.

Под персональными данными я понимаю любую информацию, относящуюся ко мне как к Субъекту Персональных Данных, в том числе мои фамилию, имя, отчество, адрес, образование, профессию, контактные данные (телефон, факс, электронная почта, почтовый адрес), фотографии,  иную другую информацию. Под обработкой персональных данных я понимаю сбор, систематизацию, накопление, уточнение, обновление, изменение, использование, распространение, передачу, в том числе трансграничную, обезличивание, блокирование, уничтожение, бессрочное хранение), и любые другие действия (операции) с персональными данными.

Обработка персональных данных Субъекта Персональных Данных осуществляется исключительно в целях информирования Получателя о желании Субъекта Персональных Данных получать информацию о продуктах Получателя с последующим направлением Субъекту Персональных Данных почтовых сообщений и смс-уведомлений, в том числе рекламного содержания, от Получателя, его аффилированных лиц  и/или субподрядчиков, а также с целью подтверждения личности Субъекта Персональных Данных при взаимодействии с Получателем.

Датой выдачи согласия на обработку персональных данных Субъекта Персональных Данных является дата отправки веб-формы с Сайта.

Обработка персональных данных Субъекта Персональных Данных может осуществляться с помощью средств автоматизации и/или без использования средств автоматизации в соответствии с действующим законодательством РФ и внутренними положениями Получателя.

Получатель принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, а также принимает на себя обязательство сохранения конфиденциальности персональных данных Субъекта Персональных Данных. Получатель вправе привлекать для обработки персональных данных Субъекта Персональных Данных субподрядчиков, а также вправе передавать персональные данные для обработки своим аффилированным лицам, обеспечивая при этом принятие такими субподрядчиками и аффилированными лицами соответствующих обязательств в части конфиденциальности персональных данных.

Я ознакомлен(а), что:

1. настоящее согласие на обработку моих персональных данных, указанных при отправки веб-формы на Сайте Получателя, направляемых (заполненных) с использованием Cайта, действует в течение 20 (двадцати) лет с момента регистрации на Cайте Получателя;
2. согласие может быть отозвано мною на основании письменного заявления в произвольной форме;
3. предоставление персональных данных третьих лиц без их согласия влечет ответственность в соответствии с действующим законодательством Российской Федерации.

Соглашение на обработку персональных данных

Заполняя настоящую форму, в соответствии с требованиями Федерального закона от 27. 07.2006 № 152-ФЗ «О персональных данных»  Вы подтверждаете свое согласие на обработку компанией ООО «Консультант» персональных данных: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу исключительно в целях продажи программного обеспечения на Ваше имя, как это описано ниже, блокирование, обезличивание, уничтожение. 

Компания ООО «Консультант» гарантирует конфиденциальность получаемой информации. Обработка персональных данных осуществляется в целях эффективного исполнения заказов, договоров и иных обязательств, принятых компанией ООО «Консультант» в качестве обязательных к исполнению. 

В случае необходимости предоставления Ваших персональных данных правообладателю, дистрибьютору или реселлеру программного обеспечения в целях регистрации программного обеспечения на Ваше имя, Вы даёте согласие на передачу Ваших персональных данных. Компания ООО «Консультант» гарантирует, что правообладатель, дистрибьютор или реселлер программного обеспечения осуществляют защиту персональных данных.

Настоящее согласие распространяется на следующие Ваши персональные данные: фамилия, имя и отчество, адрес электронной почты, почтовый адрес доставки заказов, контактный телефон, платёжные реквизиты. 

Срок действия согласия является неограниченным. Вы можете в любой момент отозвать настоящее согласие, направив письменное уведомление на адрес: 173000, Новгородская обл., г. Великий Новгород, ул. Фёдоровский Ручей, д. 2/13, с пометкой «Отзыв согласия на обработку персональных данных». 

Обращаем Ваше внимание, что отзыв согласия на обработку персональных данных влечёт за собой удаление Вашей учётной записи с интернет-сайта (http://consultant.nov.ru), а также уничтожение записей, содержащих Ваши персональные данные, в системах обработки персональных данных компании ООО «Консультант», что может сделать невозможным пользование интернет-сервисами компании ООО «Консультант». 

Пример согласия: гарантирую, что предоставленная мной информация является полной, точной и достоверной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся предоставленная информация заполнена мной в отношении себя лично. 

Настоящее согласие действует в течение всего периода хранения персональных данных, если иное не предусмотрено законодательством Российской Федерации.

Примеры согласия

GDPR — TermsFeed

В мае 2018 года Евросоюз сделал снимок о конфиденциальности в Интернете, о котором слышали во всем мире. Вы это пропустили? Скорее всего, нет.

Если вы открыли свой почтовый ящик в мае, вы, вероятно, заметили одну вещь: поток писем с адресов, которые вы знаете и не знаете, с информацией о том, что они «обновили свою политику конфиденциальности».

Для европейцев это было очередным ежедневным напоминанием о том, что скоро вступит в силу новый закон о данных. Но поток писем о согласии заставил остальной мир почесать в затылках: почему все обновляют свои политики и просят согласия одновременно?

Причиной стало введение Общего регламента по защите данных (GDPR) .

Большая часть GDPR касается получения согласия от посетителей. Для этого вам, вероятно, потребуется обновить стандарты и механизмы согласия.

Мы упростим обновление стандартов вашего согласия и оставим вас в сети.

GDPR: что это такое?

GDPR — вам не враг. Это уровень защиты граждан, а также некоторые преимущества для бизнеса.

По своей сути GDPR — это любовное письмо европейских бюрократов к правам на цифровую конфиденциальность .Он взял некоторые из лучших частей предыдущей политики — Директивы о защите данных — и обновил ее для современного социального Интернета.

Целью правил было синхронизировать политику данных каждой европейской страны, чтобы в равной степени защитить всех граждан ЕС. Европейская комиссия и лидеры на всем континенте увидели, что мир стал все более ориентированным на данные в период между первой директивой о данных в 1995 году и тем, как Интернет используется сейчас.

GDPR не похож ни на что в настоящее время в Соединенных Штатах. США представляют собой смесь федеральных законов и законов штата о защите детей и медицинских данных. В Европе GDPR — это всеобъемлющая политика, охватывающая все типы данных для всех членов Европейского Союза. Будь вы британец или ирландец, чех или словак, если вы состоите в Союзе, на вас распространяется GDPR.

Самое важное изменение, которое следует отметить, касается юрисдикции закона. Это применимо к каждой компании, которая взаимодействует с персональными данными субъектов в Европейском Союзе, независимо от того, где находится организация.

Неважно, в Нью-Йорке вы или в Никарагуа. Если вы собираете данные из любого европейца от Голуэя до Греции, то GDPR относится к вам .

Изменения в способах получения согласия

GDPR уделяет большое внимание согласию. Прошли те времена, когда были предварительно отмечены флажки, неразборчивый жаргон и скрытые, но обязательные Условия обслуживания. GDPR гласит, что:

«Согласие должно быть четким и отличаться от других вопросов, и должно быть предоставлено в понятной и легко доступной форме, используя ясный и простой язык. Отозвать согласие должно быть так же легко, как и дать его ».

Что это значит для вас? Ваши механизмы согласия должны отражать новые требования.

Согласие и роль, которую оно играет в обработке, не нова, и GDPR использует то же определение и роль, которые указаны в Законе о защите данных и других политиках. Вместо того, чтобы заново изобретать согласие, оно укрепляет любые области, где в прошлом, возможно, было пространство для маневра.

Примеры ранее приемлемого согласия

Многие из ваших предыдущих методов согласия больше не квалифицируются как согласие в соответствии с новым законом.

Вот два самых популярных метода согласия, которые сейчас нарушают закон ЕС :

Обзор

Browsewrap — это способ побудить пользователей дать согласие, просто используя веб-сайт или службу. Средний метод обтекания обозначает заявление в соглашении (например, Политике конфиденциальности), в котором говорится:

«Обратите внимание, что использование вами нашего Сайта означает ваше согласие следовать и соблюдать условия этого соглашения».

Вот пример общего оператора обтекания в юридическом соглашении:

По сути, предполагается, что пользователи соглашаются с вашими Условиями обслуживания и Политикой конфиденциальности при использовании вашего сайта.Не имеет значения, читал ли пользователь когда-либо Условия обслуживания. Согласие подразумевается и предполагается.

ЕС больше не разрешает использовать соглашения о просмотре для получения согласия. Заявления о согласии, спрятанные на странице Условий использования, нечеткие и недоступные. В них также нет положительного согласия. GDPR требует, чтобы пользователь предпринял определенные позитивные действия, чтобы продемонстрировать согласие.

Ящики с предварительно установленной отметкой

Любимый прием согласия экспертов по интернет-маркетингу — это предварительно отмеченный флажок.Эти поля часто используются для подписки на рассылку новостей, они присутствуют в формах и требуют, чтобы пользователь снял флажок, если они не хотят с чем-то соглашаться.

Это больше не разрешено.

На изображении ниже оба поля должны быть представлены пользователям как снятые:

Обязательное согласие

Вам не разрешается наказывать пользователей за несогласие с вашими политиками. Если пользователь не согласен с вашей политикой использования файлов cookie, вы не можете запретить им доступ к своему сайту.

До 25 мая 2018 года согласие было разовым решением, которое могло или не могло требовать от человека установки флажка или нажатия кнопки для согласия с вашими политиками. Если вы использовали обтекание по страницам, то это требовалось только при использовании сайта.

Согласие случается не один раз. Он органичный и живой. Согласие — это постоянные отношения, которые позволяют людям соглашаться и отказываться от различных видов использования данных по своему усмотрению.

GDPR требует:

• Ведение записей о согласии
• Предоставление детализированных методов подписки
• Предоставление простых и легких способов отзыва согласия

Итак, как обновить механизмы согласия, чтобы они соответствовали GDPR и избежали этих штрафов?

Как получить согласие на соответствие GDPR

Офис комиссара по информации в Великобритании предоставляет полезный и подробный обзор согласия в мире GDPR. По их совету мы составили контрольный список для создания значимого согласия, соответствующего GDPR:

.

• Обновите механизм подписки
• Держите пользователей в курсе, направляя их к своей Политике конфиденциальности
• Добавить новое согласие на использование файлов cookie
• Обновите свои политики, чтобы удалить браузер.
• Сообщите пользователям, как отозвать согласие

Обновите механизм подписки

Consent требует активного и положительного согласия на использование вашей политики данных в обновлении GDPR и всякий раз, когда вы вносите в нее существенные изменения.

При первом переходе на ваш сайт после серьезного изменения политики необходимо получить согласие. Дайте им поле для проверки вручную или нажмите кнопку «Согласен».

Если вы добавляете несколько вариантов, например, разрешаете им соглашаться с вашими Условиями использования в одном пункте и ваше Уведомление о конфиденциальности отдельно, то оба должны иметь одинаковую значимость.

Вот пример согласия от The Atlantic в соответствии с GDPR:

Посетители должны активно нажимать кнопку «Я согласен», чтобы согласиться с политикой The Atlantic в отношении данных.

Вот пример того, как Adobe ID получает согласие на свои юридические соглашения, а также согласие на общение с пользователями по электронной почте в той же форме регистрации, используя два отдельных флажка для отказа:

Держите пользователей в курсе: перенаправьте их к своей политике конфиденциальности

Согласие — это не просто получение положительного согласия. Это также требует, чтобы вы помогли людям понять, что означает их согласие.

Хотя большинство из нас не просматривают Уведомление о конфиденциальности сайта перед просмотром, ЕС хочет, чтобы вы изложили свою Политику конфиденциальности прямо перед посетителями.Он также хочет, чтобы эти правила были легкими для чтения и понимания. Никакой юридический язык не допускается. Никаких крошечных шрифтов. Никаких бесконечных абзацев.

В приведенном выше примере из The Atlantic обратите внимание, как Политика конфиденциальности связана с уведомлением, в котором запрашивается согласие. Пользователи могут легко получить доступ к политике для получения дополнительной информации. То же самое и с примером из Adobe ID.

Всегда делайте ваши политики и соглашения легкодоступными, особенно в момент, когда вы запрашиваете согласие.

Добавить новое согласие на использование файлов cookie

Файлы cookie не являются предметом особого внимания GDPR, но они прямо упоминаются.Файлы cookie теперь являются личными данными , когда их можно использовать для идентификации человека .

Распространенный способ получения согласия на использование файлов cookie — это уведомление пользователей с помощью всплывающего баннера при первом посещении веб-сайта. В уведомлении должна быть кнопка «согласен» или «принимаю».

Помните, что отклонять файлы cookie должно быть так же легко, как и принимать их.

Hertz показывает уведомление, посвященное исключительно тому, как веб-сайт использует файлы cookie, и подробно объясняет его политику. Он показывает пользователям, как отключить файлы cookie для Hertz.com и создает согласие не с помощью кнопки соглашения, а путем нажатия кнопки «Закрыть X» или выхода из сообщения.

Вот как Computerworld запрашивает согласие на размещение файлов cookie на мобильных устройствах:

Обратите внимание на четкий способ, которым пользователям предлагаются варианты принять или отклонить. Ссылка на Политику использования файлов cookie включена в начало запроса на согласие.

Обновите свои политики, чтобы удалить Browsewrap

Как упоминалось ранее, практика просмотра веб-страниц больше не считается согласием согласно GDPR.Это означает, что если вы ранее использовали этот метод получения согласия, пора обновить свои соглашения и политики, чтобы удалить этот язык.

Информировать пользователей, как отозвать согласие

Согласие больше не действие, а процесс. Европейские пользователи теперь имеют право предоставлять и отзывать согласие, когда они выбирают, не влияя на их обслуживание.

Вы обязаны информировать пользователей, как отозвать согласие. Отказ должен быть таким же простым, как и сам подписка, и вы не можете наказывать пользователей за то, что они решили отказаться.

Когда пользователи подписываются на что-то, вы можете сообщить им, что они могут отозвать согласие или отказаться в любое время, как в этой форме подписки от WebMD:

Вы можете включить в свою Политику конфиденциальности и / или Условия использования инструкции, как отказаться от участия или изменить настройки согласия.

Вот как это делает DPN с пунктом в своем Заявлении о конфиденциальности:

Вы также можете использовать формы и интерфейсы, чтобы пользователям было удобнее, проще и удобнее вносить изменения.

Популярный информационный сайт HelloGiggles включает ссылку на запросы субъектов данных ЕС в нижнем колонтитуле веб-сайта.

Интерактивная ссылка ведет к простой форме, которая позволяет пользователям выполнять ряд различных действий и делать запросы, включая запрос на отказ.

Более традиционный метод, позволяющий пользователям отказаться или отозвать согласие, включает добавление контактных данных в вашу Политику конфиденциальности. New York Times так и поступила:

Чтобы решить проблему конфиденциальности, вы можете отправить электронное письмо, письмо или позвонить в New York Times.

Помните

GDPR ищет простые механизмы согласия. При запросе согласия пользователя сделайте следующее:

• Добавьте кнопку «Я согласен» или какой-нибудь четкий, активный способ дать согласие.
• Используйте детализированные методы. Спрашивайте согласие на разные вещи отдельно.
• Свяжите различные политики и соглашения с тем, где вы запрашиваете согласие.
• Сделайте отзыв так же просто, как и дать согласие.
• Избавьтесь от браузера, предварительно отмеченных флажков и обязательных требований согласия.

GDPR Примеры согласия, определения и руководство

Если вы изо всех сил пытаетесь понять, что на самом деле означают требования согласия Общего регламента защиты данных (GDPR) для вашего бизнеса, вы не одиноки.

Согласие, безусловно, является одним из самых спорных вопросов с GDPR — в основном из-за того, что в тексте отсутствуют четкие примеры и модели того, как должна выглядеть надлежащая практика согласия .

Отсутствие каких-либо четких указаний открыло двери самопровозглашенным «экспертам по GDPR», чтобы они могли делать свои собственные интерпретации и выдвигать различные версии того, как получить законное согласие.В результате большинство владельцев бизнеса сейчас сбиты с толку больше, чем когда-либо.

Согласие — это лишь небольшая часть GDPR. Чтобы получить четкий обзор всего этого закона и того, что нужно делать вашему бизнесу, ознакомьтесь с нашей статьей Что такое GDPR? гид.

Вот почему команда Termly решила помочь преодолеть шум и составила простое, но исчерпывающее руководство по согласию, а также лучшие практики его получения. Самое приятное то, что для понимания этого не требуется юридического образования!

Оглавление

1. Как GDPR определяет согласие?
2. Нужно ли мне получать согласие?
3. Примеры согласия GDPR и инструкции
4. Запись и управление согласием GDPR
5. Альтернативы согласию
6. Дополнительные ресурсы GDPR

1.Как GDPR определяет согласие?

Прежде чем мы углубимся в согласие, важно отметить, что статья 6 GDPR предусматривает, что сбор и использование пользовательских данных является законным только в том случае, если оно соответствует хотя бы одной из шести правовых основ.

Компании должны оценить каждую точку, в которой они собирают и использовать персональные данные, а затем определить, подпадает ли она под одно из правовых оснований для сбора и обработки данных:

1. Согласие пользователя
2. Законный интерес
3. Необходимость по договору
4. Жизненный интерес пользователя
5. Юридические обязательства
6. Общественные интересы

Если ваши методы сбора данных не соответствуют одному из вышеперечисленных условий, то они незаконны в соответствии с GDPR, и ваш бизнес подлежит серьезным финансовым штрафам. В этой статье мы сосредоточимся на согласии как на правовой основе для обработки данных. Однако мы обсудим пять альтернатив ближе к концу, если вам интересно.

Юридическое определение

Чтобы лучше понять согласие в соответствии с GDPR, давайте сначала посмотрим на определение, изложенное в статье 4:

«согласие» субъекта данных (пользователя) означает любое свободно данное, конкретное, информированное и недвусмысленное указание на пожелания субъекта данных, посредством которого он или она посредством заявления или четкого позитивного действия означает согласие на обработку личных данных, относящихся к нему или к ней »

Слова, выделенные жирным шрифтом выше, являются ключом к обеспечению законного получения согласия пользователя, но что именно они означают?

Давайте разберем эти термины на вещи, которые мы все понимаем:

— Свободно предоставлено: Пользователям должен быть предоставлен реальный выбор, а не принуждение к негативным последствиям.

– Конкретные: Согласие следует давать только на определенные действия (например, еженедельный информационный бюллетень) вместо широкого согласия на использование данных по тем причинам, которые компания считает нужными.

— Информировано: Пользователи должны понимать весь объем сбора данных и их использования, прежде чем принимать решение о согласии. Следует четко указать, что запрашивается согласие, и для каких конкретных целей.

— Однозначно: Необходимо сделать очевидным, что пользователь дает свое согласие.

— Позитивное действие: Пользователи должны предпринять действия, чтобы продемонстрировать свое согласие на обработку своих данных. На практике это означает, что стандартные предварительно отмеченные флажки, которые вы регулярно видите во время процесса регистрации учетной записи, больше не действуют в соответствии с GDPR, потому что пользователь не может предпринять никаких действий, чтобы продемонстрировать свое согласие. Однако, если бы этот флажок был снят при первом представлении пользователю, установка этого флажка будет считаться утвердительным действием.

Если в вашей практике получения согласия отсутствует какой-либо из вышеперечисленных аспектов, то в соответствии с GDPR вы не получаете его на законных основаниях. Возьмем, к примеру, штраф Google GDPR, который обошелся технологическому гиганту в 50 миллионов евро за нарушение требований согласия GDPR.

Требования к согласию

Чтобы соответствовать приведенному выше определению, вам необходимо выполнить несколько условий:

1. Согласие на подписку: Как указано в статье 4 GDPR, пользователи должны предпринимать позитивные действия, то есть отмеченные заранее поля отказа больше не будут проходить проверку согласия.С этого момента пользователи должны вручную выполнить действие, в котором они хотят участвовать в описанных методах сбора / использования / обмена данными. Например, использование переходов по ссылкам на веб-сайтах может быть способом заставить пользователя принять позитивное действие, чтобы дать согласие на использование файлов cookie.
2. Согласие с документом: Компании должны вести учет согласия всех пользователей, включая то, как они дали согласие, на что именно они согласились и когда они дали свое согласие. Это важно для защиты вашего бизнеса и будет служить доказательством в случае, если пользователь заявляет, что не давал своего согласия.
3. Упростите отзыв согласия: Компании должны упростить отзыв согласия и дать его. Пользователям должна быть предоставлена ​​возможность отозвать свое согласие в любое время с помощью четко определенного процесса.
4. Согласие на разделение: Согласие не должно быть предварительным условием для завершения контракта или получения услуги — за исключением случаев, когда это абсолютно необходимо для выполнения контракта или услуги. Пользователи должны иметь возможность принимать решение против согласия без последствий.
5. Сделайте это гранулярным: Пользователи должны иметь возможность давать отдельное согласие на различные действия по обработке данных. Для каждой цели обработки требуется отдельное согласие.
6. Избегайте дисбаланса сил: Это в основном относится к отношениям между работником и работодателем, в которых работник чувствует давление, чтобы дать согласие из-за страха потерять работу.

Согласно GDPR, запросы на согласие и политика конфиденциальности больше не могут быть забиты юридическими фразами, понятными только юристу.Узнайте больше о том, что считается законным и как этого избежать.

Однозначное согласие против явного согласия

Когда дело доходит до обработки «особых категорий» пользовательских данных, статья 9 гласит, что контролер данных должен сначала получить явное согласие. Согласно GDPR, «особые категории» (также называемые конфиденциальной личной информацией) относятся к любой информации, касающейся пользователя:

• расовое или этническое происхождение
• политические взгляды
• религиозные или философские убеждения
• членство в профсоюзе
• генетические данные
• биометрические данные
• данные о состоянии здоровья
• половая жизнь или сексуальная ориентация

Но в чем разница между явным и недвусмысленным согласием?

Вы, наверное, задаетесь вопросом, если все согласие уже должно даваться свободно, конкретное, информированное, недвусмысленное и утвердительное, какая разница в том, чтобы делать его явным?

Явное согласие должно быть в форме заявления — письменного или устного.

Рассмотрим два примера:

Пример №1.

Несмотря на то, что на веб-сайте выше четко указаны действия по обработке, и пользователь должен предпринять недвусмысленные позитивные действия для обработки своих данных, все же можно утверждать, что согласие не является явным, поскольку нет утверждения, которое однозначно говорит о том, что пользователь дает согласие на получение информационных бюллетеней и рекламных акций.

Пример №2.

В отличие от примера № 1, компания, представленная выше, представляет два четко написанных заявления с полями, которые пользователь должен отметить, чтобы дать согласие на обработку своих данных.

Хотя разница может показаться незначительной при чтении фактического текста GDPR, приведенные выше примеры ясно показывают различие между недвусмысленным и явным согласием.

Нужна помощь в обеспечении совместимости вашего веб-сайта с WordPress? Ознакомьтесь с этими 5 бесплатными плагинами GDPR для WordPress.

2. Нужно ли мне получать согласие?

Теперь, когда мы рассмотрели, что такое согласие, давайте определим, нужно ли вашей компании использовать согласие в качестве правовой основы для обработки данных.

Вы должны использовать согласие как юридическое основание, если:

Остальные 5 правовых оснований (юридическое обязательство, договорная необходимость и т. Д.) не относятся к вашей деятельности по обработке данных

Вы обрабатываете «Особые категории» личной информации (раса, религия и т. Д.)

Вы хотите предоставить своим пользователям законный выбор

Вы хотите завоевать доверие и заинтересованность пользователей

Вы отправляете маркетинговые электронные письма, такие как предложения третьих лиц и информационные бюллетени

Вы не должны использовать согласие в качестве юридического основания, если:

Есть еще одно правовое основание, которое лучше подходит для обработки ваших данных.

Вы не будете предоставлять пользователям возможность легко отозвать свое согласие

Выбор согласия на самом деле не является подлинным, и вы будете обрабатывать данные пользователя независимо от того, согласны ли они.

Согласие является предварительным условием для получения услуги, но сбор этих данных на самом деле не является необходимым для оказания этой услуги

Существует дисбаланс сил между контроллером данных и субъектом, когда субъект может чувствовать давление, чтобы дать согласие (например,г., работодатель и работник)

3. Примеры и инструкции по применению GDPR

Решение о том, как именно настроить запрос согласия, возможно, является самой сложной частью соблюдения требований GDPR о согласии. Конечно, теперь вы знаете определение согласия, а также различные требования для его получения на законных основаниях, но как вы можете применить все это на практике на своих веб-сайтах и ​​в приложениях?

Ниже мы рассмотрим четыре основных компонента формы согласия GDPR и приведем несколько примеров компаний, которые делают это правильно.

а. Формулировка запроса согласия

Как мы упоминали ранее, согласие должно быть конкретным и информированным . Это означает, что получение согласия на формулировку вашего запроса согласия или права на форму является абсолютной необходимостью.

Давайте взглянем на форму подписки BBC ниже:

Первое, что вы заметите, — это вопрос с просьбой дать согласие на отправку пользователю обновлений по электронной почте. Само по себе электронное сообщение о том, что вам понравится, не так уж и конкретно, и при этом оно не информирует пользователя о цели обновлений.

Однако BBC продолжает предоставлять короткую аннотацию, в которой информирует пользователей о том, что будут обновляться по электронной почте. Вдобавок к этому они также дают понять, что согласие может быть отозвано в любое время, и предоставляют ссылку, которая дополнительно объясняет особенности содержимого электронной почты .

Хотя BBC дает нам хороший пример того, как мы можем сформулировать наш запрос согласия, есть много других способов его сформулировать.

Вот еще несколько примеров формулировок согласия, которые вы можете использовать в запросе маркетингового согласия:

• «Я хочу получать новости о продуктах от [Brand]. Вы можете отписаться в любое время.»

• «Да, подпишитесь, пожалуйста, на еженедельную рассылку [Brand]. Вы можете отписаться в любое время.»

• «Я подтверждаю, что прочитал и согласен с Политикой конфиденциальности и Условиями использования [Brand]».

• «Нажимая« Продолжить », вы соглашаетесь соблюдать Политику конфиденциальности и Условия использования [Brand]».

Эти 5 маркетинговых инструментов формы согласия GDPR по электронной почте помогут легко убедиться, что все формы вашего веб-сайта имеют правильную формулировку согласия, а наш шаблон политики конфиденциальности электронного маркетинга может помочь вам разработать идеальную политику конфиденциальности электронной почты.

г. Где разместить запрос согласия

Где и , когда вы запрашиваете согласие пользователя, может быть сложно получить правильно, потому что они требуют, чтобы вы рассмотрели ряд деталей.

Вот список вещей, которые следует учитывать при принятии решения о размещении вашего запроса согласия:

• Формулировка согласия должна быть ЗНАЧИТЕЛЬНОЙ. Не скрывайте его внизу сайта или во всплывающем окне с размером шрифта 8.
• Отделите ваш запрос согласия от политики конфиденциальности и условий.Согласие с условиями не должно также означать, что пользователь соглашается на маркетинговое письмо. Если вы еще не сделали этого, создайте условия, которые отличаются от других ваших юридических политик.
• Запросы о согласии должны быть сделаны ДО сбора пользовательских данных. Нет смысла запрашивать согласие после того, как вы собрали информацию.
• Фактически вы должны предоставить пользователям выбор — без каких-либо параметров по умолчанию. Помните, никаких предварительно отмеченных полей.
• Не влияйте на их выбор с помощью другого цвета или текста, выделенного жирным шрифтом.Это не совсем правильный выбор, если вариант «Да» выделен зеленым жирным шрифтом и на него указывают стрелки.
• Вы должны запрашивать согласие на каждом этапе сбора данных. Тот факт, что они предоставили свой адрес электронной почты для загрузки вашей электронной книги, не означает, что они также согласились получать ваш ежедневный информационный бюллетень.

Как вы ДОЛЖНЫ это сделать:

Ниже приведен пример того, как GitHub — служба веб-хостинга — запрашивает согласие. GitHub хорошо справляется с запросом согласия на отдельные действия по обработке данных.

Во время процесса регистрации GitHub представляет пользователям два отдельных заявления о согласии: первое запрашивает у пользователей разрешение на создание организации, а второе — отправляет новости и предложения.

Наконец, они также упоминают, как пользователь может отказаться от подписки в любое время, и даже ссылаются на сообщение во всех типах писем, которые они отправляют.

GitHub отмечает все флажки, когда дело доходит до размещения запроса на согласие:

Согласие запрашивается перед сбором данных

Занимает видное место

Они запрашивают отдельное согласие на разные виды деятельности

Есть четкий выбор для пользователя

Нет влияния на выбор пользователя

Исчерпывающие положения и условия жизненно важны для безопасности вашего веб-сайта.Воспользуйтесь нашими бесплатными примерами условий, чтобы начать работу и обеспечить дополнительную защиту вашего сайта.

г. Информация для включения

Есть 3 основных элемента информации, которые вы должны включить в свой запрос на согласие:

• Кто занимается обработкой
• Цель обработки
• Что вы будете делать с данными

В дополнение к трем требованиям, указанным выше, рекомендуется также упомянуть, что согласие может быть отозвано в любое время и как пользователи могут его отозвать.

Пример:

В приведенном выше примере от Friends of the Earth Scotland набраны все требуемые очки. Мы знаем:

Это FoE Scotland обрабатывает информацию для отправки своего информационного бюллетеня

Каким будет содержание информационного бюллетеня

Как отписаться

г. Возможные действия при включении

Последнее, что вам нужно учитывать при составлении запроса на согласие, — это решить, какое действие по подписке должен предпринять пользователь, чтобы дать действительное согласие.

Выбранное вами действие по подписке зависит от собираемых вами данных. Как мы уже обсуждали ранее, если вы собираете конфиденциальные личные данные , вам потребуется явное согласие .

Возможные действия:

• Установка флажка
• Подписание формы согласия
• Выбор предпочтений пользователя
• Нажатие переключателя
• Заполнение необязательных полей формы для конкретной цели

Практика: хорошее, плохое и уродливое

Чтобы лучше понять, как на самом деле выполнить вышеуказанные требования, давайте рассмотрим некоторые другие примеры из Интернета.

Как НЕ делать:

Во-первых, давайте взглянем на некоторые стили, которые просто не подходят для GDPR:

Пример № 1:

В заявлении о согласии выше есть несколько проблем:

Пользователи должны отказаться (флажок уже установлен)

«Выбрать партнеров»? Кто они? Будет ли у них доступ к пользовательским данным?

«И еще»? Еще что? На что еще пользователи могли неосознанно соглашаться?

Пользователь автоматически включился для получения информационных бюллетеней и уведомлений

Сможет ли пользователь отказаться от подписки позже ?

Я не только не знаю, кто может видеть мои данные, но также неясно, в какой степени мои данные будут обрабатываться и как я могу отказаться от рассылки новостей.

Пример № 2:

Если вы настроите всплывающее окно или форму согласия GDPR, как показано выше, вы НЕ будете соответствовать GDPR.

Вот что с ним не так:

Пользователи должны отказаться (необходимо снять флажки)

Неясно, кто может быть «партнерами и спонсорами»

Неясно, может ли пользователь отказаться в любое время

Неясно, какие «обновления» могут повлечь за собой

Близко… но все еще нет отметки:

Следующие ниже примеры многое объясняют, некоторые из них вы даже можете перенять.К сожалению, в них также отсутствуют некоторые важные детали:

Пример № 1:

В приведенном выше заявлении о согласии есть что понравиться. Во-первых, на сайте представлена ​​подробная информация о том, как будут использоваться ваши данные, и указано, что вы можете отказаться от подписки в любое время. Он также идет еще дальше и заверяет пользователей, что их данные не будут проданы третьим лицам.

Однако есть две основные проблемы:

Обработка не является гранулярной. Если мне нужна электронная книга, я должен подписаться на информационный бюллетень.

Текст внизу кажется скрытым. Размер и цвет затрудняют чтение, чем остальной текст во всплывающем окне.

Пример № 2:

По иронии судьбы, вышеуказанная регистрационная форма предназначена для вебинара GDPR. Фраза внизу достаточно подробна — я знаю, кто обрабатывает мои данные, для каких целей, и что я могу отказаться от подписки в любое время.

Большая проблема с этой формой заключается в том, что, регистрируясь на веб-семинар, я автоматически подписываюсь на получение электронных писем И телефонных звонков о продуктах и ​​услугах компании.Опять же, согласие должно быть детальным и разделенным, что означает, что эта форма также должна иметь отдельные механизмы согласия для электронных писем и телефонных звонков.

Отличные примеры:

Наконец, теперь, когда мы увидели, чего не следует делать, давайте рассмотрим некоторые методы получения согласия, которые прошли тест GDPR:

Пример # 1:

Приведенный выше пример Saltare Consulting отражает все основные моменты:

Соответствующее действие согласия (заполнение полей формы)

Указывает, кто обрабатывает данные

Подробно, какие данные обрабатываются для

Объясняет, как именно отписаться

Пример № 2:

Наш последний пример взят из сети защиты данных.Вот что нам нравится в их форме членства:

Соответствующее действие по подписке на список рассылки (переключение)

Отдельные условия участия

Пользователь не должен щелкать ссылку, чтобы прочитать условия

Разъясняет, как отказаться

Повторное разрешение ваших старых списков контактов

В этот момент вы, вероятно, задаетесь вопросом: «Применяется ли GDPR к моим старым спискам контактов?»

Это может быть больно слышать, но GDPR действительно применяется к любым пользовательским данным, которые вы могли собрать в прошлом .Но пока не приступайте к удалению старых списков рассылки. Вы все еще можете спасти свои старые списки контактов, запустив кампанию повторного разрешения.

Первое, что вам нужно сделать, это вернуться и проверить, как вы собрали эти старые контакты. . Если методы, которые вы использовали для сбора пользовательских данных, соответствуют требованиям GDPR (вы получили надлежащее согласие и имеете записи, подтверждающие это), вам НЕ нужно повторно разрешать свой старый список.

Однако , если ваши старые методы сбора данных не соответствуют требованиям GDPR (e.g., ваш информационный бюллетень НЕ был включен), то вам нужно будет либо запустить кампанию повторного разрешения, либо очистить списки рассылки. Мы сделаем предположение и предположим, что вы не хотите, чтобы вся работа, которую вы вложили в создание своих списков контактов, пропала даром.

Самый распространенный метод повторного разрешения — это отправить электронное письмо вашим старым контактам и сообщить им, что они должны повторно подписаться, если они хотят продолжать получать предложения, информационные бюллетени, обновления или все, на что они подписались изначально.

Вот как Litmus повторно разрешил свои старые списки:

Электронная почта

Litmus — отличная модель для кампании по повторному разрешению электронной почты.Формулировка легкая, дружелюбная и прямолинейная. Пользователю предоставляется четкий список того, что он получит, если повторно подпишется, и как отказаться от подписки в любое время.

Самая важная часть вашего электронного письма для повторного разрешения — это помнить, что, если пользователь не соглашается, его данные должны быть удалены. В противном случае вы, вероятно, столкнетесь с серьезными финансовыми штрафами.

При повторном разрешении не отправляйте по электронной почте старые списки отказа от подписки. Несколько компаний, в том числе Honda, уже столкнулись с проблемами из-за рассылки электронных писем пользователям, которые отписались.

Электронная почта

— не единственный способ повторно разрешить ваши старые контакты. Visual Retailing создала отдельную страницу на своем веб-сайте для подписки пользователей на их информационный бюллетень:

Опять же, формулировка незамысловата и ясно представляет ситуацию старым подписчикам. Пользователи получают подробную информацию о том, что включено в информационные бюллетени, как часто они отправляются и как получатели могут отказаться от подписки.

То, как вы решите структурировать свои новые механизмы согласия и повторно разрешить старые контакты, во многом зависит от собираемых вами пользовательских данных, но если вы будете следовать приведенным выше рекомендациям и примерам, вы будете в хорошей форме.

Все еще не уверены? Прочтите нашу полную статью о выборе и отказе, чтобы узнать больше об этих концепциях и их связи с согласием GDPR.

4. Запись и обработка согласия GDPR

Даже если действие по выбору, формулировка и размещение вашего запроса согласия полностью удовлетворяют требованиям GDPR, получение согласия — это лишь полдела. В соответствии с GDPR вы также должны вести подробный учет согласия ваших пользователей.

Статья 7, раздел 1 гласит, что:

«Если обработка основана на согласии, контролер должен иметь возможность продемонстрировать, что субъект данных дал согласие на обработку его или ее личных данных.”

По сути, это означает, что компаниям необходимо вести подробный учет всех пользователей и их согласия. Это будет особенно полезно в качестве доказательства в том случае, если пользователь обвинит вас в сборе его данных без его согласия.

Какая информация должна быть записана?

Записи, которые вы храните в деталях согласия пользователей, должны быть такими же конкретными и подробными, как и само согласие. У вас должна быть запись о следующем:

• Кто: Имя, идентификатор пользователя, адрес электронной почты или другие идентификаторы (например,г., IP-адрес)
• Когда: Отметка времени, когда пользователь дал согласие
• Как: Конкретная форма или место на сайте, где пользователь дал согласие (например, всплывающая форма или форма регистрации)
• Что: На что именно они согласились (например, еженедельная информационная рассылка или сторонние предложения)
• Если и , когда они отозвали свое согласие

Как разрешить пользователям управлять своим согласием?

В главе 3 GDPR, статьи с 15 по 21 охватывают конкретные права пользователей в отношении собранных от них данных.Среди наиболее примечательных — право пользователя на доступ, изменение, передачу, удаление и возражение против обработки своих данных для определенных целей в любое время.

Помимо этих прав, пользователи должны иметь возможность легко ими пользоваться — пользователям не нужно прыгать через обручи в бесконечном лабиринте экранов настроек и всплывающих окон. Кроме того, инструкции о том, как пользователи могут осуществлять эти права, должны быть четко указаны в вашей политике конфиденциальности.

Если вы еще не создали свою политику конфиденциальности или оптимизировали текущую для GDPR, воспользуйтесь нашим бесплатным образцом шаблона политики конфиденциальности, который поможет вам начать работу.

Хотя эти новые права отлично подходят для пользователей, поскольку они возвращают контроль над своими данными в их руки, они создают уникальные проблемы для предприятий, ответственных за их защиту. Как компания может предложить эти права, не нанимая специальную команду по обслуживанию клиентов?

Большинство компаний реализуют эти права, предлагая пользователям центр конфиденциальности. Проще говоря, центр конфиденциальности — это набор страниц, на которых представлены все политики, условия и пользовательские настройки веб-сайта или приложения .

Ознакомьтесь с фрагментами центра конфиденциальности SnapChat ниже:

Snapchat имеет информативный и удобный центр конфиденциальности. На скриншотах выше вы увидите, как они объясняют свои меры по обеспечению конфиденциальности, а также то, как пользователи могут контролировать свою информацию. Их панель «Управление моей учетной записью» предоставляет пользователям несколько действий, которые они должны предпринять со своими данными.

Хотя центр конфиденциальности — один из лучших способов предоставить вашим пользователям контроль над своими данными, если вы владелец малого бизнеса, создание такого центра, скорее всего, не в рамках вашего бюджета.

К счастью, центры конфиденциальности — это еще не все — самое главное, что вы даете пользователям четкий и простой способ запросить просмотр, передачу, обновление или удаление их данных в любое время.

Срок предлагает такое решение. Наш простой инструмент запроса данных дает владельцам бизнеса простой способ помочь удовлетворить требования главы 3 GDPR. С помощью нашего инструмента предприятия могут предоставить своим пользователям форму для запроса на просмотр, редактирование, передачу или удаление их личных данных .

После того, как пользователь заполнит форму, владельцы бизнеса получат запрос вместе с контрольным списком того, как его решить. Согласно GDPR, у предприятий есть 30 дней, чтобы ответить на запрос.

5. Альтернативы согласию

Как мы упоминали в первом разделе, вполне возможно, что согласие не может быть лучшим оправданием для ваших методов сбора и обработки данных. Поэтому, прежде чем вы решите приступить к реализации стратегий запроса согласия для своей практики сбора и обработки данных, вам следует рассмотреть другие правовые основы, предлагаемые GDPR.

Есть пять других юридических оснований, которые могут оказаться более применимыми:

• Законный интерес — Самое неоднозначное из юридических оснований. Позволяет компаниям собирать и обрабатывать данные без согласия пользователя, если это не ущемляет права и свободы пользователя. Компаниям следует провести балансирующий тест, чтобы определить, является ли это подходящей правовой основой. Несмотря на то, что GDPR неясен, он дает несколько примеров того, что может считаться законным интересом:
  • Предотвращение мошенничества
  • Внутренние административные цели (e.г., фонд заработной платы)
  • Исследование рынка

• Необходимость по договору — Обработка персональных данных разрешена, если это абсолютно необходимо для оказания услуги или выполнения контракта с пользователем (например, обработка номера кредитной карты и контактной информации для предоставления пользователю учетной записи)

• Жизненный интерес пользователя — Применяется, если обработка необходима для защиты жизненно важных интересов пользователя (обычно применяется только в ситуации жизни или смерти)

• Юридическое обязательство — Разрешает обработку персональных данных, если это необходимо в соответствии с законом (например,г., уголовное дело или повестка в суд)

• Общественный интерес — Применяется, если необходимо для выполнения задачи для официального органа или в интересах общественности (действительно должно применяться только к правительственным организациям)

6. Дополнительные ресурсы GDPR

GDPR охватывает гораздо больше, чем просто согласие. Для получения дополнительных рекомендаций по соблюдению нормативных требований ознакомьтесь с другими нашими ресурсами GDPR:

Как написать уведомление о конфиденциальности данных GDPR — бесплатный шаблон

Закон о защите данных в Великобритании изменился в результате Brexit.Вы можете найти последние инструкции здесь .

Согласно GDPR (Общий регламент по защите данных), организации должны предоставлять физическим лицам определенную информацию через заявление о конфиденциальности данных или уведомление о конфиденциальности.

Но что такое уведомление о конфиденциальности данных и что оно должно содержать? В этом блоге мы объясняем все, что вам нужно знать, вместе с примером заявления GDPR.

Что такое уведомление о конфиденциальности?

Уведомление о конфиденциальности — это один из нескольких документов, необходимых для соответствия GDPR.

Но поскольку многие из этих документов являются строго внутренними, для клиентов и других заинтересованных сторон предоставляется уведомление о конфиденциальности, в котором объясняется, как организация обрабатывает их личные данные.

Для этого есть две причины. Во-первых, это предотвращает путаницу в том, как используются личные данные, и обеспечивает уровень доверия между организацией и отдельным лицом.

Во-вторых, это дает людям больше контроля, когда организация собирает их личные данные.Если что-то их не устраивает, они могут запросить это через DSAR (запрос доступа к данным) и попросить организацию приостановить эту обработку.

Как написать уведомление о конфиденциальности

Статья 30 GDPR объясняет, что соответствующий документ должен включать следующие данные:

1) Контактные данные

Первое, что нужно указать в уведомлении о конфиденциальности, — это имя, адрес, адрес электронной почты и номер телефона вашей организации.

Если вы назначили DPO (сотрудника по защите данных) или представителя в ЕС, вы также должны указать их контактные данные.

2) Типы персональных данных, которые вы обрабатываете

Определение личных данных намного шире, чем вы думаете, поэтому вы должны убедиться, что включили все необходимое — и в конкретных деталях.

Например, вместо того, чтобы просто говорить «финансовая информация», укажите, какие это номера счетов, номера кредитных карт и т. Д.

Вам также следует указать, где вы получили информацию, если она не была предоставлена ​​непосредственно субъектом данных.

Чтобы получить представление о том, как это может выглядеть, взгляните на наш шаблон уведомления о конфиденциальности:

Как можно точнее укажите тип информации, которую вы собираете, и то, как вы ее получили.

3) Законное основание для обработки персональных данных

Согласно GDPR, организации могут обрабатывать персональные данные только при наличии для этого законных оснований.В вашей политике конфиденциальности следует указать, на какую из них вы полагаетесь для каждой цели обработки.

Если вы полагаетесь на законные интересы, вы должны их описать. Аналогичным образом, если вы полагаетесь на согласие, вы должны указать, что его можно отозвать в любой момент.

Помните, что существуют особые правила, когда дело касается обработки особых категорий персональных данных.

4) Как вы обрабатываете личные данные

Вы должны объяснить, будете ли вы передавать личные данные третьим лицам.

Мы предлагаем также указать, как вы будете защищать общие данные, особенно если третья сторона находится за пределами ЕС.

Вы можете указать, будут ли данные передаваться организациям за пределами ЕС.

5) Как долго вы будете хранить их данные

GDPR гласит, что вы можете хранить личные данные только до тех пор, пока применима правовая основа для обработки.

В большинстве случаев это легко определить.Например, данные, обработанные для выполнения контрактов, должны храниться до тех пор, пока организация выполняет задачу, к которой применяется контракт.

Аналогичным образом, организации должны хранить любые данные, обрабатываемые на основании юридических обязательств, общественных задач или жизненных интересов, пока такая деятельность актуальна.

С согласием и законными интересами дела обстоят сложнее, поскольку нет четкого момента, когда они перестают действовать.

Таким образом, мы рекомендуем пересматривать свои методы хранения данных не реже одного раза в два года.

6) Права субъекта данных

GDPR дает физическим лицам восемь прав субъектов данных, которые вы должны перечислить и пояснить в своем уведомлении о конфиденциальности:

• Право на получение информации : организации должны сообщать людям, какие их данные собираются, как они используются, как долго они будут храниться и будут ли они переданы третьим лицам.
• Право доступа : люди имеют право запрашивать копию информации, которую организация хранит о них.
• Право на исправление : физические лица имеют право исправлять неточные или неполные данные.
• Право на забвение : при определенных обстоятельствах люди могут попросить организации удалить любые личные данные, которые хранятся на них.
• Право на переносимость : физические лица могут потребовать от организации передать любые данные, которые она хранит, другой компании.
• Право на ограничение обработки : отдельные лица могут потребовать от организации ограничить способ использования личных данных.
• Право на возражение : физические лица имеют право оспаривать определенные виды обработки, такие как прямой маркетинг.
• Права, связанные с автоматическим принятием решений, включая профилирование. : отдельные лица могут попросить организации предоставить копию своей автоматизированной обработки, если они считают, что данные обрабатываются незаконно. Вам также следует напомнить людям, что они могут пользоваться своими правами, и объяснить, как они могут это сделать.

Создайте собственное уведомление о конфиденциальности, соответствующее GDPR, с помощью нашего шаблона.

Зачем вам нужно уведомление о конфиденциальности

Уведомления о конфиденциальности являются юридическим требованием в соответствии с GDPR, гарантируя, что люди знают, как обрабатываются их личные данные.

Однако они также могут принести пользу организациям несколькими способами.

Например, политика конфиденциальности предоставляет документальное подтверждение ваших действий по обработке данных. Это поможет вам оправдать вашу обработку, если кто-то подает жалобу в надзорный орган.

Политика и процедуры

GDPR также могут помочь вам выиграть бизнес, поскольку они доказывают, что у вас есть соответствующие меры защиты информации.

Уведомление о конфиденциальности — это то же самое, что и политика конфиденциальности?

Хотя они охватывают многие из тех же тем, не следует путать уведомления о конфиденциальности с политиками конфиденциальности.

В контексте GDPR уведомление о конфиденциальности — это общедоступный документ, созданный для субъектов данных.

В отличие от этого, политика конфиденциальности GDPR — это внутренний документ, который объясняет обязательства и методы организации по соблюдению их нормативных требований.

Когда следует предоставлять уведомление о конфиденциальности GDPR?

Контроллеры данных должны предоставлять уведомление о конфиденциальности всякий раз, когда они получают личную информацию субъектов данных.

В этом нет необходимости, только когда:

• Субъект данных уже имеет информацию, указанную в уведомлении о конфиденциальности;
• Предоставление такой информации было бы невозможным или потребовало бы непропорциональных усилий;
• Организация обязана получать информацию; или
• Персональные данные должны оставаться конфиденциальными, при условии соблюдения профессиональной тайны.

Когда организация получает личную информацию от третьей стороны, она должна предоставить уведомление о конфиденциальности в течение месяца.

Это должно быть сделано при первом общении организации с субъектом данных или когда личные данные впервые передаются другому получателю.

Самый простой способ предоставить уведомление о конфиденциальности — это разместить его на своем веб-сайте и дать на него ссылку, когда это необходимо.

Если у вас нет веб-сайта, сделайте физическую копию своей политики конфиденциальности.

Составление уведомления о конфиденциальности

Ваша политика конфиденциальности должна быть написана ясным и понятным языком, понятным субъектам данных.

Это особенно важно, когда вы обрабатываете личные данные детей, так как существует множество концепций, которые вам придется объяснить более подробно.

Как правило, политика конфиденциальности должна быть написана активным голосом и избегать ненужной юридической и технической терминологии.

Точно так же вам следует избегать таких определителей, как «может», «мог бы», «некоторые» и «часто», поскольку они намеренно расплывчаты. Заявление о том, что вы «можете» что-то сделать, не помогает субъекту данных понять, при каких обстоятельствах это произойдет.

Наконец, полис должен быть бесплатным и легкодоступным. Не прячьте его в ссылке внизу формы, где его вряд ли увидят.

Вместо этого вы должны предоставить им политику в письменной форме или дать ссылку на нее при запросе их личных данных.

Не делайте догадок из своего уведомления о конфиденциальности

Вам нужны дополнительные советы о том, как задокументировать соответствие GDPR? В таком случае наш настраиваемый шаблон уведомления о конфиденциальности идеально подходит.

Наш шаблон уведомления о конфиденциальности включает аннотации, чтобы гарантировать соответствие требованиям GDPR.

Написанный экспертами по защите данных, этот шаблон GDPR поможет вам создать уведомление о конфиденциальности в соответствии с требованиями Регламента всего за несколько минут.

Версия этого блога была первоначально опубликована 8 ноября 2018 года.

Рекомендуемая литература:

Согласие субъекта данных

Согласие является одним из возможных правовых оснований для обработки персональных данных. Согласие дает субъектам данных возможность контролировать обработку своих персональных данных и влиять на нее, отозвав свое согласие.

Требования к согласию

Чтобы согласие было действительным, оно должно быть

• проинформировано,
• бесплатно и
• недвусмысленное указание на пожелания субъекта данных.

Субъекты данных могут давать свое согласие для заранее определенных, конкретных и законных целей. Если цель обработки персональных данных изменится, вам необходимо запросить новое согласие перед началом обработки.

Указание согласия

Когда вы запрашиваете согласие, вам необходимо указать цель, для которой собираются данные. Если вы обрабатываете персональные данные для нескольких целей, субъекты данных должны иметь возможность выбирать цели, для которых они хотят дать свое согласие.Вы должны запрашивать согласие отдельно для каждой цели. Как правило, вы всегда должны запрашивать согласие, когда начинаете обрабатывать личные данные для новой цели.

Свободно данное согласие

Согласие не дается действительно свободно, если субъект данных находится в уязвимом положении по отношению к контролеру. Субъекты данных могут оказаться в уязвимом положении, когда, например, контролер является их работодателем или органом власти.

Субъекты данных должны иметь возможность отказаться от согласия и отозвать его без каких-либо негативных последствий.Отозвать согласие должно быть так же легко, как и дать его.

Подотчетность и учет принципов защиты данных

Вы должны иметь возможность продемонстрировать, что субъекты данных дали свое согласие на обработку персональных данных и что данное согласие соответствует требованиям закона.

Согласие никогда не отменяет принципы защиты данных. Например, вы не можете собирать данные в большем объеме, чем это необходимо для заявленной цели, или отклоняться от обязательств по защите личных данных.

Запрос согласия

Согласие — это недвусмысленное и ясное выражение пожеланий субъекта данных, которым он соглашается на обработку своих персональных данных. Субъекты данных не могут дать свое согласие молчанием, предварительно отмеченными флажками или бездействием.

Если вы запрашиваете согласие в электронном виде, запрос должен быть четким и кратким и не должен без необходимости нарушать использование службы. Например, установка галочки на сайте — это достаточно однозначное и ясное выражение желания.

Опишите согласие четко и отдельно от другой информации. Не связывайте и не вставляйте согласие в условия использования или соглашения, чтобы у субъекта данных не было реальной возможности дать согласие или отказаться от него.

Если, например, вы запрашиваете согласие в связи с условиями использования службы, запрос должен быть представлен

• отдельно от прочей информации
• на понятном и понятном языке и
• в вразумительном виде.

Что нужно сообщить субъектам данных при запросе согласия?

При запросе согласия субъектов данных на обработку персональных данных вы должны сообщить им, как минимум,

• Контроллер или контроллеры (совместные контроллеры) и любые другие стороны, которым будут раскрыты данные
• все конкретные цели, для которых запрашивается согласие
• какие данные будут собраны от субъекта данных
• право субъекта данных отозвать согласие
• использование данных для автоматизированного принятия индивидуальных решений и профилирования и
• риски передачи данных в страны за пределами ЕС, если не было принято решение об адекватном уровне защиты данных в стране и не были реализованы соответствующие меры безопасности.

Нет необходимости указывать обработчиков, которые будут обрабатывать персональные данные от имени контролера при запросе согласия. Однако в связи с запросом согласия вам также необходимо взять на себя более общее обязательство по предоставлению информации и информации, которую вы должны будете предоставить при сборе личных данных от субъектов данных. Общее обязательство по предоставлению информации требует указания получателей данных, включая процессоров, работающих от имени контролера.

Когда мне потребуется конкретное согласие субъекта данных на обработку персональных данных?

Конкретное согласие может быть использовано в качестве законного основания, если

• вы обрабатываете особые категории персональных данных (например, медицинскую информацию или этническое происхождение)
• вы передаете личные данные в третьи страны или международные организации
• ваша обработка включает автоматизированное индивидуальное принятие решений или профилирование.

Требование конкретности относится к тому, как субъекты данных выражают свое согласие. Примеры конкретного согласия включают подписание письменного заявления, предоставление электронной подписи или двухфакторную аутентификацию. Например, субъект данных может сначала ответить на ваше электронное письмо, после чего ему или ей будет отправлена ​​ссылка для подтверждения или код по SMS.

Ваши обязанности как контролера возрастают с учетом рисков, связанных с обработкой персональных данных.

Отзыв согласия

Прежде чем субъект данных даст свое согласие, контролер должен сообщить субъекту данных

• право отозвать согласие; и
• , как согласие может быть отозвано на практике.

Отозвать согласие должно быть так же легко, как и дать его. Согласие можно отозвать в любое время бесплатно.

Если субъект данных отзывает свое согласие, вы должны будете прекратить обработку его или ее личных данных, поскольку обработка была основана на согласии.Сообщите субъектам данных обо всех основаниях для обработки, чтобы они знали, как отзыв согласия повлияет на обработку их персональных данных.

Если нет другой правовой основы для продолжения хранения данных, обработанных на основании согласия, удалите их после отзыва согласия. По окончании обработки персональных данных храните доказательство согласия только до тех пор, пока это необходимо для предъявления, исполнения или защиты судебных исков.

Обработка персональных данных детей на основании согласия

Согласно законодательству о защите данных, детям обычно требуется согласие или разрешение их опекуна или другого лица, несущего родительскую ответственность, для того, чтобы пользоваться услугами информационного общества, такими как социальные сети и различные приложения.В Финляндии возрастное ограничение составляет 13 лет. Однако дети могут пользоваться услугами консультирования и поддержки, а также профилактическими услугами без согласия их опекунов.

Постарайтесь определить возраст ребенка и убедитесь, что согласие было дано ребенком старше установленного возраста или опекуном ребенка. Оцените меры аутентификации, связанные с предоставлением согласия, с точки зрения характера и рисков обработки. Если вы просите детей дать свое согласие, обращайте особое внимание на ясный и простой язык.

Согласие, данное опекуном ребенка, не прекращается автоматически, когда ребенок становится достаточно взрослым, чтобы дать свое согласие на использование услуг информационного общества. Однако ребенок может отозвать свое согласие по достижении возраста, указанного в законе, и вы, как контролер, обязаны проинформировать ребенка об этой возможности.

Соответствует ли полученное согласие требованиям нового законодательства о защите данных?

Если вы являетесь контролером и обрабатываете персональные данные на основе согласия, оцените, соответствует ли согласие, которое вы запрашивали в прошлом, требованиям Общего регламента защиты данных.

Обратите внимание, что согласие должно быть

• задокументировано в интересах отчетности
• однозначно, поэтому предварительно поставленная галочка или отсутствие выбора не соответствуют требованиям согласия
• для заранее определенной, конкретной и юридической цели
• так же легко снять, как и отдать, а
• в соответствии с GDPR в отношении его администрирования.

Изменения в обязанности предоставлять информацию, внесенные GDPR, не делают автоматически ранее полученные выражения согласия недействительными.GDPR также требует, чтобы вы информировали субъектов данных об основах обработки.

Если согласие не соответствует требованиям GDPR, оцените

• , сможете ли вы запросить новое согласие, соответствующее требованиям GDPR и
• , может ли обработка быть основана на другой основе, предусмотренной GDPR.

Убедитесь, что принципы законности, справедливости и прозрачности соблюдаются, если вы продолжаете обработку на другой основе.Субъект данных должен быть проинформирован об изменениях в основе обработки. После вступления GDPR в силу больше нельзя будет изменить базу обработки.

Если вы не можете основывать обработку на другом правовом основании или запросить новое согласие в соответствии с требованиями GDPR, вам придется прекратить обработку персональных данных.

Подробнее:
Права субъекта данных, когда обработка основана на контракте
Общие правила защиты данных, статьи 4 (11), 6 (1.a), 7 и 9 (2. a), декларации 32‒33 и 42‒43 (EUR-Lex)
Руководство по согласию в соответствии с Регламентом 2016/679 (pdf)

действительное, свободно данное, конкретное, информированное и активное согласие

Согласие — одна из самых сложных частей Общего регламента обработки данных (GDPR) . Согласие в соответствии с GDPR непросто, особенно на практике, и когда вы начинаете смотреть на него с точки зрения конкретных действий по обработке персональных данных, когда согласие оказывается единственным или наиболее подходящим правовым основанием для законной обработки персональных данных.

Мы рассмотрели те юридические основания, на которых вам разрешено собирать / обрабатывать персональные данные и раньше, но сразу же упомяните об этом здесь, поскольку один из мифов GDPR остается, что только когда согласие дается заинтересованным физическим лицом, также известным как субъект данных, вы можете обрабатывать его данные. Это не верно.

Когда согласие является правовой основой для законной обработки данных, субъекты данных должны быть четко проинформированы о своих правах на отзыв согласия и должны иметь возможность легко сделать это при желании

Существует также разница между согласием и явным согласием, хотя грань тонкая.Наконец, напоминание для компаний за пределами ЕС, которые обрабатывают личные данные граждан ЕС (и обработка близка ко всему, что вы можете себе представить в отношении личных данных субъекта данных) : GDPR и правила согласия также применяются к вам.

Согласие в соответствии с GDPR — непростой вопрос по многим причинам. Основная причина во многом связана с объемом GDPR и характером согласия.

GDPR дает субъектам данных контроль над своими личными данными, согласие в GDPR дает еще больший контроль

GDPR — это новая правовая база ЕС для защиты конфиденциальности и личных данных.Он догоняет цифровую реальность, адаптируется к глобальному миру данных (почему это важно для контроллеров данных и для процессоров данных по всему миру) , создает общую структуру для всех организаций и, по сути, возвращает контроль над личными данными в руки людей.

Это означает, что организации должны думать о том, как они работают с личными данными, и действовать, чтобы воплотить это мышление в жизнь.

ОДНАКО, в то время как контроль над личными данными возвращается людям, при этом конфиденциальность является фундаментальным правом и рядом новых прав для людей, СОГЛАСИЕ ДАЕТ ЛЮДЯМ ЕЩЕ БОЛЬШЕ КОНТРОЛЯ НАД ИХ ДАННЫМИ (мы не зря пишем заглавными буквами) в дополнение к основным правам субъекта данных.

Если вы посмотрите на это с точки зрения организации, это означает, что помимо новых прав, которыми обладают субъекты данных и которые организация должна предоставить, с согласия субъектов данных есть еще больше прав, а компании, использующие согласие, имеют больше обязанностей и механизмов для работы. с ними на месте.

Можете ли вы использовать другие варианты после согласия? Вы, конечно, можете. Фактически, для КАЖДОЙ деятельности по обработке данных вы должны спросить себя, какое правовое основание является наилучшим. Это согласие? Это другое? ОДНАКО, де-факто всегда будут операции по обработке персональных данных, для которых согласие является единственным / лучшим вариантом.

Согласие и управление согласием

Итак, вам необходимо понимать согласие в соответствии с GDPR. Вам также необходимо понимать, как управлять согласием.

Управление согласием по существу охватывает жизненный цикл согласия от начала до конца: от сбора данных и предоставления субъектам данных возможности изменить или отозвать согласие до удаления личных данных всякий раз, когда цель и срок действия данных, на которые согласился субъект данных, завершены.

Согласно GDPR, согласие требует четкого утвердительного действия и должно быть продемонстрировано контролером.

На практике это довольно сложно.Более того, как только вы начнете искать решения для управления согласием, появится несколько платформ, но те, которые также позволяют вам легко позволить людям (субъекты данных) осуществлять свои права, если вы находитесь в «режиме» согласия в GDPR, такие как отзыв согласия, часто представляют собой высокопроизводительные корпоративные решения, которые непросто понять или позволить себе малым и средним предприятиям и даже крупным организациям, которые сопряжены с проблемами. Тем не менее, помимо решений для управления согласием, которые являются частью иногда очень дорогостоящих приложений для обеспечения соответствия, некоторые из них также доступны для малых и средних организаций.Мы рассмотрели два примера платформ управления согласием GDPR: платформа OneTrust для управления согласием GDPR и решение Evidon GDPR.

Прежде чем приступить к обдумыванию решений и инструментов, важно иметь механизмы вашего согласия, которые также требуют, чтобы вы знали, где вам нужно согласие (какие действия по обработке персональных данных) , каковы последствия и соответствующие обязанности и как вы будете выполнять многочисленные требования GDPR в области согласия.

Итак, вот где мы начнем с различных аспектов определения согласия, а затем значения и воздействия свободно данного, информированного, конкретного, ясного и активного согласия.Обратите внимание, что согласие также присутствует в тексте Регламента электронной конфиденциальности, поскольку оно было одобрено Парламентом ЕС («Отчет Лауристена») .

Напоминание о согласии в соответствии с GDPR

Как упоминалось в (также в других статьях) , согласие является одним из шести правовых оснований для законной обработки, согласно которому для каждой операции по обработке данных необходимо наличие хотя бы одного из этих шести. Вы можете увидеть все шесть ниже.

Согласие, вероятно, является наиболее известным и наиболее часто упоминаемым, но это не значит, что оно всегда является наиболее подходящим, как сказано.Более того, как сказано, с согласия в качестве правовой основы возникают некоторые обязанности и дополнительные права для субъектов данных, которые дали согласие на обработку своих данных.

Согласие — одно из шести основных правовых оснований для законной обработки.

Во-первых, определение того, что такое согласие, согласно GDPR (как вы можете прочитать в определениях GDPR в статье 4 GDPR).

Согласие — это недвусмысленное указание на желание субъекта данных, которое означает согласие с ним / ею на обработку персональных данных, относящихся к нему / ее (примечание: в любой конкретной деятельности по обработке персональных данных) , в соответствии с которым это согласие должно быть дано четко определенными способами, которые являются теми элементами определения согласия, которые будут изучены далее.

Статья 7 GDPR резюмирует основные условия, касающиеся согласия (должно быть действительным). В двух словах:

• Согласие должно быть дано свободно.
• Согласие должно быть конкретным для каждой цели.
• Необходимо сообщить согласие.
• Согласие должно быть недвусмысленным указанием.
• Согласие — это действие: оно должно быть дано заявлением или четким действием.
• Согласие должно отличаться от других вопросов.
• Запрос на согласие должен быть ясным и простым языком, понятным и легкодоступным.

Мы рассмотрим их ниже, начиная с более глубокого изучения первого элемента — добровольного согласия.

Свободно предоставленное согласие в соответствии с GDPR

Тот факт, что согласие должно быть дано свободно, — это больше, чем может показаться, если вы начнете разбираться в том, что именно означает добровольно данное.

У нас есть, среди прочего, руководство GDPR Recital 43, в котором упоминаются примеры, когда согласие не считается добровольным.

Свободно данное согласие и свободная воля против дисбаланса власти и обусловленности

Первый вводит понятие дисбаланса сил, при котором очевидный дисбаланс между субъектом данных и контроллером данных (организация, определяющая цель и объем персональных данных, которые она обрабатывает или хочет обработать) в конкретном случае такое, что вряд ли согласие было дано свободно.

Свободно данное согласие подразумевает реальный выбор и особенно сложно или невозможно, когда существует дисбаланс между контроллером и субъектом данных, когда согласие является условным, когда несколько целей обработки объединены, должны быть разделены и требуют согласия для каждой цели, а также случай причинения вреда.

Это особенно актуально, когда контролером данных является государственный орган (существуют, конечно, ситуации, в которых государственным органам необходимо обрабатывать личные данные без добровольного согласия или согласия как такового) .

Руководящие принципы WP29 по согласию напоминают, что дисбаланс сил может также возникать в контексте занятости (что не исключает согласия в этом контексте) и в других ситуациях.

В целом это то, что руководство говорит о дисбалансе власти и согласия: «Согласие не будет бесплатным в случаях, когда присутствует какой-либо элемент принуждения, давления или неспособности осуществлять свободную волю».

Второй пример в GDPR Recital 43 — это ситуация, при которой невозможно дать отдельное согласие на различные операции обработки данных, даже если согласие является уместным в конкретном случае или если выполнение контракта или предоставление услуг зависит от согласия хотя согласие не требуется для выполнения контракта или оказания услуги.Это вводит понятие секунд в рамках свободно данного согласия: условность .

В четвертом абзаце статьи 7 GDPR очень четко говорится о добровольно предоставленном согласии, где говорится, что «при оценке того, было ли согласие дано свободно, в максимальной степени должно приниматься во внимание, помимо прочего, выполнение договора, включая положение о услуга зависит от согласия на обработку персональных данных, которые не являются необходимыми для выполнения этого контракта ».С «среди прочего», означающим «среди прочего», это по существу означает: не делайте согласие условием для всех тех случаев (таких как контракты и услуги) , если оно не является строго необходимым, потому что будет считаться, что оно не было дано добровольно. Это понятие обусловленности.

Некоторые из основных моментов, которые необходимо проверить в рамках условий, напоминают руководящие принципы WP29 по согласию, включают: 1) выбор правильной основы для законной обработки, обязательно в контексте контракта, 2) недопущение слияния нескольких основы законной обработки и 3) рассмотрение объема контракта или услуги, в соответствии с которыми «необходимо для выполнения» должно толковаться строго.

Легко представить себе случаи, когда существует явный дисбаланс между субъектом данных и контроллером данных (несбалансированность власти) , существует множество обстоятельств, когда согласие запрашивается в рамках контракта или услуги (условность) и / или если отдельное согласие не может быть дано (где мы встречаемся с другим понятием; степень детализации ).

Де-факто многие организации до сих пор связывают требование о предоставлении согласия с тем фактом, что потребитель получает что-то (или нет), что, очевидно, означает, что согласие не дается свободно. В качестве примера: ассоциация водителей автомобилей, которая предлагает своим членам возможность получить замену автомобиля в рамках помощи при поломке только в том случае, если водители, которые хотят получить замененный автомобиль в рамках своего членства, согласны с отслеживанием данных и мониторинг их поведения при вождении с помощью телематики. В таком случае согласие — не лучший подход и не допускается, поскольку согласие не дается свободно.

Свободно предоставленное согласие: детализация, объединенное согласие и цель

Эти понятия являются важными элементами.Хотя это прямо не упоминается в тексте, GDPR подчеркивает важность действительно добровольного согласия.

GDPR Статья 7 также гарантирует защиту некоторых пунктов в Рекитале 43:

Хотя опять-таки не упоминается «добровольно», во втором абзаце статьи 7 говорится, что, когда согласие дается в рамках письменного заявления, которое также касается других вопросов, согласие должно быть дано таким образом, чтобы отличить эти другие материи очень четким способом и языком.Другими словами: согласие не может считаться предоставленным свободно, если там, где оно необходимо, оно скрыто в декларации и / или нечетко и, самое главное, неразличимо.

Согласие актуально, когда нет лучшей правовой основы для законной обработки личных данных людей, вы можете предоставить им больший контроль и выбор в отношении того, как вы обрабатываете их личные данные, чем GDPR как таковой, и если вы стремитесь к высоким уровням доверять.

Как упоминалось в нашей статье о юридических основаниях для законной обработки, согласие дается для одной или нескольких конкретных целей, и это понятие цели является ключевым, как вы можете прочитать в статье 6 GDPR.

Более того, согласие не может быть «связным», и именно здесь на самом деле играет роль понятие гранулярности : отсутствие согласия на набор целей обработки и гранулярности; вместо этого: разделение нескольких целей и согласие на цель.

Или, как гласит GDPR Recital 32: «Согласие должно охватывать все действия по обработке, выполняемые для той же цели или целей. Если обработка имеет несколько целей, согласие должно быть дано для всех ».

Комментарий из руководящих принципов WP29 по детализации и свободному предоставлению согласия: «Если контролер объединил несколько целей для обработки и не пытался получить отдельное согласие для каждой цели, это означает отсутствие свободы.Эта детализация тесно связана с необходимостью конкретного согласия … когда обработка данных выполняется для нескольких целей, решение для соблюдения условий действительного согласия заключается в степени детализации, то есть разделении этих целей и получении согласия для каждой из них. цель».

Свободно данное согласие: рекомендации и пример

Дальнейшие пояснения в тексте GDPR и в рекомендациях по согласию WP29 (Европейский совет по защите данных) ясны.

Контроль над личными данными находится в руках субъекта данных, поэтому, когда вы запрашиваете согласие, не используйте какую-либо силу или давление для принуждения субъекта данных (не только между государственными органами и субъектами данных, но также, например, между работодателями и сотрудники или другие отношения, в которых наблюдается явный дисбаланс, и можно почувствовать себя вынужденным) , не скрывайте вещи в контрактах и ​​убедитесь, что у субъекта данных есть реальный выбор, чтобы сказать «да» или «нет» без каких-либо оправданий.

Цитата из «Руководства по согласию в соответствии с Регламентом 2016/679» Рабочей группы по защите данных по статье 29 (руководящие принципы, которым часто следуют надзорные органы) : «Элемент« бесплатно »подразумевает реальный выбор и контроль для субъектов данных. Как правило, GDPR предписывает, что если у субъекта данных нет реального выбора, он чувствует себя обязанным дать согласие или столкнется с негативными последствиями, если он не даст согласия, то согласие будет недействительным ».

Рекомендации WP29 по согласию дают пример, который делает его более осязаемым и может заставить вас вообразить несколько похожих.

Пример касается мобильного приложения, позволяющего пользователям редактировать фотографии. Однако он также хочет знать локализацию пользователей, говоря, что приложение должно активировать функции GPS, чтобы сделать это, чтобы иметь возможность использовать услуги, предлагаемые приложением, и предлагать поведенческую рекламу. Поскольку и реклама, и геолокация не нужны для работы приложения (цель, а именно редактирование фотографий) , согласие пользователей не считается предоставленным свободно, поскольку оно не требуется для предоставления услуги. Внимание: этот пример приводится WP29 в своих руководящих принципах и в рамках согласия как правовое основание для обработки!

Кроме того, «Если согласие включено в состав не подлежащих обсуждению частей условий, предполагается, что оно не было дано добровольно. Соответственно, согласие не будет считаться свободным, если субъект данных не может отказаться или отозвать свое согласие без ущерба. Понятие дисбаланса между контролером и субъектом данных также принимается во внимание GDPR ».

Свободно данное согласие и ущерб

Итак, по сути, эти цитаты из руководящих принципов и примера охватывают элементы добровольно данного согласия и упомянутые понятия. В последней части цитаты добавлен еще один элемент и понятие, касающееся свободно данного согласия, — «вред».

Элемент ущерба сначала необходимо рассматривать в контексте GDPR Recital 42, в котором не только упоминается обязанность контролера продемонстрировать, что согласие было дано. (одна из этих дополнительных обязанностей, если согласие является выбранная правовая основа для обработки данных) , но, среди прочего, в конце также говорится, что «согласие не следует рассматривать как предоставленное свободно, если субъект данных не имеет подлинного или свободного выбора или не может отказать или отозвать согласие без ущерба».

Другими словами: как предусмотрено в первом параграфе статьи 7 GDPR об условиях согласия, контролер должен продемонстрировать, что данные предоставлены, и, кроме того, не разрешает отказ или отзыв согласия. означает отсутствие добровольно данного согласия.

В руководстве WP29 также упоминается обман, запугивание, принуждение или значительные негативные последствия как примеры причинения ущерба.

Действительное согласие: конкретное согласие, конкретные цели и ограничение цели

От свободно данного согласия мы переходим ко второму элементу действительного согласия: согласие должно быть конкретным.Это имеет прямое отношение к упомянутому ранее ключевому понятию целей обработки персональных данных.

Помимо законности, цель обработки должна быть конкретной. Это, безусловно, затрагивает элементы, которые мы упоминали в рамках добровольно данного согласия. Просто подумайте о понятии детализации и о том, как, если цель обработки недостаточно конкретна, субъект данных может дать согласие на цели, на которые он или она, возможно, не согласился, если бы цель (цели) были конкретными.

Когда цель обработки данных, на которую было дано согласие, изменилась, требуется повторное согласие. Если несколько операций служат одной и той же цели, согласие должно охватывать все действия по обработке, выполняемые для одной и той же цели или целей

GDPR Статья 6 о законности обработки персональных данных подчеркивает тот факт, что обработка может быть законной только в том случае, если согласие выбрано в качестве законного основания, если согласие относится к одной или нескольким конкретным целям.

Первый абзац статьи 5 GDPR, касающийся принципов обработки персональных данных, также подчеркивает концепцию ограничения цели.

Хотя это не относится строго к согласию как правовому основанию для законной обработки, но ко всей обработке персональных данных, это, конечно, соответствует необходимости быть конкретным. По сути, ограничение цели означает именно то, что говорится: цель должна быть ограничена и четко известна, когда в рамках этой статьи запрашивается согласие субъекта данных.Вы также не можете просто изменить это потом вот так. Наконец, сама обработка должна происходить таким образом, чтобы она была совместима с конкретной целью.

Это также означает, что, когда различные операции по обработке данных служат одной и той же цели, может быть дано согласие на эти различные операции. WP29 подчеркивает, ссылаясь на Статью 5, которая также гласит, что личные данные должны собираться для определенных, явных и законных целей и не обрабатываются в дальнейшем способом, несовместимым с этими целями и с GDPR Recital 32, где это еще яснее: «Согласие должно охватывать все действия по обработке, выполняемые для той же цели или целей.Если обработка имеет несколько целей, согласие должно быть дано для всех ».

Есть два исключения в отношении ограничения цели : 1) в том случае, если обработка для целей, отличных от той, для которой были собраны персональные данные, не основывается на согласии субъекта данных (статья 6 GDPR, пункт 4) , который не имеет значения в контексте нашей статьи, поскольку мы рассматриваем согласие и 2) в области обработки персональных данных для архивирования, научных, исторических или статистических целей (статья 89 GDPR) .Мы рассмотрим их отдельно в нашей статье о принципах обработки персональных данных.

Вернуться к согласию и конкретному согласию. Вы могли заметить использование термина «явный». Явно относится к цели операции обработки данных здесь. Это не то же самое, что явное согласие; однако это еще раз (поверх начальных проектов текста GDPR) — знак того, насколько жесткой может быть строка.

Для WP29 необходимо рассматривать конкретное согласие в контексте конкретной цели (целей), выбора субъектов данных в отношении каждой цели и гарантии того, что субъект данных имеет такую ​​степень контроля и прозрачности (еще одна важная концепция, как и мы ». я увижу).

Конкретное согласие также тесно связано с элементом информированного согласия, который следует далее, и, как уже говорилось, с требованием свободного согласия или свободно данного согласия и детализации.

• Ссылка с информированным согласием ясна: если субъект данных не проинформирован в ясной и конкретной форме о конкретных целях, тогда не может быть явного согласия.
• Ссылка со свободно предоставленным согласием тогда также становится ясной, так же как и тот факт, что с детализацией для каждой конкретной цели требуется конкретное согласие.

И последнее, но не менее важное, как следствие всего вышеперечисленного: если у вас есть согласие для определенной цели и вы хотите обрабатывать данные для новой цели, согласие необходимо запросить еще раз, поскольку явно данное согласие больше не применяется.

6 фактов о согласии GDPR — источник GDPR Awareness Coalition

Информированное согласие: информация как обязанность и право со списком информации, которая должна быть предоставлена ​​в контексте прозрачности

Итак, теперь рассмотрим информированное согласие, которое, как уже упоминалось, пересекается как со свободно данным, так и с конкретным согласием, но при этом упоминается как элемент действительного согласия как такового.

Информированное согласие и принципы, связанные с информацией

Соблюдение GDPR не означает прозрачности, справедливости, законности, целостности и точности. Однако эти принципы закреплены в Регламенте, и с осознанного согласия мы находимся в контексте этих принципов, главным образом, но не исключительно, прозрачности.

Если согласие должно быть дано свободно, в отношении конкретной цели и в соответствии со всеми другими элементами согласия, то относительно легко увидеть, что субъект данных должен быть проинформирован ясным и прозрачным образом, прежде чем давать согласие на что-либо вообще .

Это относится не только к информации, которая позволяет осознанному согласию сделать правильный выбор, но и к информации о правах, которыми обладают субъекты данных в контексте нашего согласия, причем отзыв согласия является основным.

Давайте посмотрим, что GDPR говорит об информированном согласии, помимо ранее упомянутых статей и деклараций.

Предоставление информации субъектам данных до получения их согласия важно для того, чтобы они могли принимать обоснованные решения, понимать, на что они соглашаются, и, например, осуществлять свое право отозвать свое согласие (Руководство WP29 по согласию)

GDPR Recital 42 указывает на требование к контроллеру данных продемонстрировать, что субъект данных дал согласие.Более того, меры предосторожности должны гарантировать, что субъект данных четко осведомлен о том, что согласие дано и в какой степени. Это особенно упоминается в «контексте письменного заявления по другому вопросу», как также указано в статье 7 GDPR.

Однако тот факт, что заявление о согласии должно быть предварительно сформулировано контролером данных в понятной и легко доступной форме, с использованием ясного и простого языка (и что оно не должно содержать несправедливых терминов) признается обязанностью контролера .И это связано с конкретными требованиями к информации, которые, по крайней мере, должны быть представлены и должны быть переданы.

GDPR Recital 42: «для получения согласия на получение информации субъект данных должен знать, по крайней мере, личность контролера и цели обработки, для которой предназначены личные данные».

GDPR Recital 78 четко упоминает прозрачность в отношении функций и обработки персональных данных как один из примеров технических и организационных мер, которые контролер должен предусмотреть, чтобы иметь возможность выполнять свои обязанности по демонстрации соответствия (наряду с другими, такими как в качестве псевдонима и других разделов GDPR, таких как DPIA, соблюдение утвержденного кодекса поведения и т. д.) .

Другими словами: если отсутствует прозрачность как в отношении функций, так и в отношении обработки (включая получение согласия) , то соблюдение требований отсутствует и не может быть продемонстрировано.

Прозрачность также упоминается в статье 12 GDPR в области прав субъектов данных. Как мы писали в нашей статье о правах субъектов данных, право на получение информации является одним из этих прав. Фактически, статья 12 GDPR начинается с того, что «Контроллер должен принять соответствующие меры для предоставления любой информации, указанной в статьях 13 и 14, а также любых сообщений в соответствии со статьями 15–22 и 34, касающихся обработки, субъекту данных в краткой и прозрачной форме. , понятная и легкодоступная форма, использующая ясный и понятный язык ».

Информированное согласие: какую информацию следует предоставлять?

GDPR Статья 13 более подробно описывает информацию, которая должна быть предоставлена ​​в случае сбора персональных данных от субъекта данных, независимо от правового основания для законной обработки.

Эта информация должна быть предоставлена ​​при получении личных данных и должна, среди прочего, как минимум упоминать:

• Идентификационные данные и контактные данные диспетчера или представителя диспетчера.
• Если возможно, контактные данные DPO (Сотрудник по защите данных) .
• Правовая основа обработки И ЦЕЛИ обработки.
• Получатели или типы получателей персональных данных.
• Продолжительность хранения личных данных или способ ее определения.
• Уведомление о праве на доступ, исправление, стирание, ограничение обработки, возражение против обработки и переносимость данных.
• ЕСЛИ согласие является юридическим основанием, поскольку существует право отозвать его в любое время, включая тот факт, что отзыв согласия не влияет на законность обработки до этого.
• Право на подачу жалобы.
• И многое другое, что вы можете проверить в этой статье 13 GDPR.

GDPR и согласие — 6 пунктов, которые следует учитывать для согласия Коалиции осведомленности GDPR

Это не отвечает на наш вопрос, какую информацию необходимо предоставить при информировании. требуется согласие (и приведенный выше список не является исчерпывающим).

В большинстве упомянутых информационных обязанностей четко упоминается согласие и они действительны, если согласие является законным основанием.Более того, некоторые четко упомянуты в рамках честной и прозрачной обработки.

Однако в руководстве WP29 по согласию выбраны следующие шесть типов информации, которые необходимы для получения действительного информированного согласия:

• Идентификатор контроллера.
• Цель каждой операции обработки, если согласие является законным основанием.
• Данные и тип данных, которые будут собираться и использоваться с согласия.
• Дело в том, что есть право на отзыв согласия.
• Информация об использовании данных для принятия решений, которые основаны исключительно на автоматизированной обработке (включая профилирование) , что является еще одним из тех, которые упомянуты в статье 13 GDPR.
• Тот факт, что существует возможный риск передачи данных в третьи страны в некоторых случаях (также упоминается в статье 13).

Хотя этот список может показаться менее исчерпывающим, чем в статье 13 GDPR, это, конечно, не означает, что статья 13 недействительна, но информация может быть предоставлена ​​в другом месте, как WP29 упоминает в своих рекомендациях по прозрачности.

Обязательно ознакомьтесь с тем, что WP29 говорит об информированном согласии, потому что помимо упоминания типа информации и основных принципов, действующих в сфере информированного согласия, существуют обширные рекомендации по форме и способам предоставления информации субъект данных.

Однозначное указание на согласие и значение четкого позитивного действия в согласии

Хотя о согласии можно сказать намного больше (подумайте о детях, явное согласие, которое мы рассмотрели отдельно, согласие через электронные каналы, упомянутая необходимость продемонстрировать согласие, право на отзыв согласия, научные исследования и многое другое ) мы завершаем эту часть GDPR и соглашаемся с последней частью определения (действительное) согласия: необходимость того, чтобы согласие было недвусмысленным и выражалось в виде заявления или четкого позитивного действия.

Мы рассмотрели как параметры «однозначного указания», так и элемент действия (отсутствие предварительно отмеченных полей, молчание или бездействие) во введении и в рамках добровольно данного согласия в начале этой статьи.

Однако давайте посмотрим, что об этом говорится в руководстве WP29 по согласию. Прежде всего, должно быть очевидно, что было дано согласие на обработку данных. По определению это почти то же самое, что сказать, что субъект данных должен был предпринять свободное, информированное, конкретное и недвусмысленное действие, при котором нет никаких сомнений в возможности.

Руководящие принципы WP29 по согласию относятся к предшественнику GDPR (Директива 95/46 / EC) , в котором согласие описывалось как «указание пожеланий, которыми субъект данных выражает свое согласие с обрабатываемыми персональными данными, относящимися к нему». . Нетрудно представить, как это не всегда интерпретировалось одинаково в нескольких государствах-членах и приводило, мягко говоря, к некоторым недоразумениям и лазейкам.

Скажем прямо: многие национальные надзорные органы уже недофинансированы (и, судя по всему, в некоторых странах с GDPR, который не собирается быстро меняться, что, конечно, влечет за собой последствия в отношении соблюдения GDPR) и Вы не можете быть более расплывчатым, чем когда говорите об указании желаний.

Путем явного добавления элемента недвусмысленного указания, упоминания необходимости заявления или четкого позитивного действия и создания предварительно отмеченных полей согласия, а также молчания или бездействия со стороны субъекта данных, явно НИКАКИХ активных указаний По крайней мере, теоретически эта ситуация должна измениться с появлением GDPR.

Согласие: отличается от прочих вопросов

Согласие также должно отличаться от других вопросов, как указано во второй части статьи 7 GDPR.

Пример делает это сразу ощутимым: компания организовала маркетинговую кампанию, чтобы люди пересмотрели свое мнение. Он пригласил их на мероприятие, на котором был добавлен флажок для подтверждения согласия. Это не допускается, поскольку запрос согласия, включая новое согласие на маркетинг, таким образом не отличался от цели кампании с точки зрения субъекта данных, а именно приглашения на мероприятие.

Вы можете вообразить множество подобных сценариев, в которых запрос согласия или нового согласия может быть привязан к другому, неотличимому вопросу.

GDPR, статья 7 (2): «Если согласие дается в контексте письменного заявления, которое также касается других вопросов, просьба о согласии должна быть представлена ​​способом, который четко отличается от других вопросов, в понятной и простой форме. доступная форма, понятный и понятный язык. Если субъекта данных просят дать согласие на что-то, что несовместимо с требованиями GDPR, это согласие не будет иметь обязательной силы ».

Подробнее см. В Руководстве по согласию в соответствии с Регламентом 2016/679 ‘Рабочей группы по защите данных по статье 29 (загрузка в формате PDF)

Вкратце о некоторых элементах согласия GDPR — источник и дополнительная информация FOIMan

Верхнее изображение: Shutterstock — Авторское право: pashabo.GDPR Recital 43 изображение: Shutterstock — Авторские права: Карлос Амарилло. Несмотря на то, что наше содержание GDPR было тщательно проверено, мы не несем ответственности за возможные ошибки и советуем вам обратиться за помощью в подготовке к GDPR.

GDPR и согласие на использование файлов cookie | Совместимое использование файлов cookie

Обновлено 27 октября 2020 г.

Ваш веб-сайт требуется в соответствии с Общим регламентом ЕС по защите данных (GDPR), чтобы пользователи из Европы могли контролировать активацию файлов cookie и трекеров, которые собирают их личные данные.

В этом суть согласия GDPR на файлы cookie — и будущее нашей цифровой инфраструктуры.

В этой статье мы объясним самые важные вещи, которые вам нужно знать при работе с GDPR и файлами cookie на вашем веб-сайте, и покажем вам, как Cookiebot решает их все за вас.

Краткое описание

GDPR вкратце о согласии на использование файлов cookie

Общий регламент по защите данных (GDPR) — это европейский закон, который регулирует весь сбор и обработку персональных данных от физических лиц внутри ЕС.

Согласно GDPR, несет юридическую ответственность владельцев и операторов веб-сайтов. следить за тем, чтобы личные данные собирались и обрабатывались на законных основаниях.

Веб-сайт за пределами ЕС должен соответствовать GDPR, если он собирает данных от пользователей внутри ЕС. .

Хотя файлы cookie упоминаются только один раз в GDPR, согласие на использование файлов cookie , тем не менее, является краеугольным камнем соответствия для веб-сайтов с пользователями, находящимися в ЕС.

Это связано с тем, что одним из наиболее распространенных способов сбора и передачи персональных данных в Интернете является использование файлов cookie веб-сайта .GDPR устанавливает особые правила использования файлов cookie.

Вот почему в соответствии с GDPR согласие на использование файлов cookie является наиболее часто используемым правовым основанием, позволяющим веб-сайтам обрабатывать личные данные и использовать файлы cookie.

GDPR требует, чтобы веб-сайт собирал личные данные пользователей только после того, как они дали свое явное согласие на конкретные цели его использования .

Веб-сайты должны соответствовать следующим требованиям GDPR о согласии на использование файлов cookie:

• Перед любой активацией файлов cookie необходимо получить предварительное и явное согласие (кроме необходимых файлов cookie из белого списка).
• Согласия должны быть детализированными, то есть пользователи должны иметь возможность активировать одни файлы cookie, а не другие, и не должны быть принуждены давать согласие ни на все, ни на какие-либо.
• Согласие должно быть дано свободно, то есть не должно быть принудительным.
• Согласие должно быть отозвано так же легко, как и дано.
• Согласия должны надежно храниться как юридическая документация.
• Согласие необходимо продлевать не реже одного раза в год. Однако некоторые национальные руководящие принципы защиты данных рекомендуют более частое продление, например.грамм. 6 месяцев. Ознакомьтесь с местными правилами защиты данных на предмет соответствия.

Как правило, соответствие GDPR cookie достигается на веб-сайтах с помощью баннеров cookie , которые позволяют пользователям выбирать и принимать одни файлы cookie для активации, а не другие, при посещении сайта.

Баннер cookie от Cookiebot, соответствующий требованиям

GDPR, в рамках нашей платформы управления согласием.

В рекомендациях Европейского совета по защите данных (EDPB) от мая 2020 года разъясняется, что является действительным согласием на веб-сайтах в соответствии с GDPR.

Правила

EDPB гласят, что на баннере файлов cookie вашего веб-сайта не разрешается иметь предварительно отмеченные флажки. и , продолжение прокрутки или просмотра пользователями не может рассматриваться как действительное согласие на обработку персональных данных.

Пользователи должны свободно дать четкое и утвердительное действие , чтобы указать свое согласие, чтобы ваш веб-сайт активировал файлы cookie и обрабатывал личные данные.

Тест на соответствие файлам cookie GDPR

Проверьте, соответствует ли ваш веб-сайт требованиям GDPR о согласии на использование файлов cookie, с помощью бесплатного теста на соответствие Cookiebot.

Просто введите URL-адрес вашего домена и позвольте Cookiebot провести бесплатное сканирование вашего веб-сайта для обнаружения всех файлов cookie и трекеров на пяти подстраницах, включенных в бесплатное сканирование, независимо от того, соответствуете ли вы согласию GDPR с файлами cookie. требования.

Не пугайтесь, обнаружив, что на вашем веб-сайте гораздо больше неизвестных файлов cookie, трекеров и троянских коней, о которых вы думали — о них, как известно, трудно узнать, учитывая это —

72% файлов cookie на веб-сайтах секретно загружаются другими сторонними файлами cookie, поэтому их трудно узнать как о владельце веб-сайта.

18% файлов cookie на веб-сайтах являются троянскими конями, то есть файлами cookie, которые скрыты так же глубоко, как и в восьми других файлах cookie, что делает их практически невозможными для обнаружения без технологии глубокого сканирования.

50% троянских коней будут меняться между посещениями, что означает, что это могут быть разные файлы cookie в целом, собирающие разные данные для разных агентов и возлагая на владельца веб-сайта юридическую ответственность за то, чтобы всегда информировать пользователей о цели и продолжительности использования файлов cookie. головная боль с самого начала.

Источник: Beyond the Front Page , исследование 2020 года о файлах cookie веб-сайтов.

Просканируйте свой веб-сайт с помощью Cookiebot бесплатно сегодня

Подробнее о GDPR

Узнайте больше о том, как добиться соответствия GDPR

Посетите веб-сайт ЕС по защите данных

Посетите официальный текст закона GDPR

Изменяющийся ландшафт Интернета определяется файлами cookie вашего веб-сайта и GDPR.

Cookiebot и соответствие GDPR cookie

Cookiebot — это платформа для управления согласием по принципу plug-and-play — технология, разработанная специально для защиты конфиденциальности в Интернете и соответствия вашего веб-сайта мировым законам о данных.

Cookiebot состоит из непревзойденного сканера, который обнаруживает все файлы cookie и трекеры в вашем домене, и решения для управления согласием, которое автоматически контролирует их все и предоставляет вашим конечным пользователям детальное согласие или решения для отказа, в зависимости от того, где в мире они расположены.

Cookiebot и согласие на использование файлов cookie GDPR

Когда пользователь из ЕС посещает ваш веб-сайт, Cookiebot автоматически настраивает геотаргетинг на его местоположение и предлагает им правильное решение для соответствия GDPR cookie:

• автоматическая блокировка всех файлов cookie и трекеров по предварительному согласию
• детализированный, явный выбор согласия между четырьмя категориями файлов cookie
• исчерпывающее заявление о поставщике, цели, продолжительности и типе каждого файла cookie
• надежно задокументированное согласие пользователя
• запросов на автоматическое продление согласия пользователей

Cookiebot — это решение для согласия на использование файлов cookie GDPR, которое позволяет пользователям контролировать свою конфиденциальность данных на вашем веб-сайте в полном соответствии с GDPR.

Технология

Cookiebot включает в себя всего несколько строк JavaScript на вашем веб-сайте, которые устанавливаются непосредственно из облака без какой-либо необходимости в ручном внедрении или помощи на месте.

Создайте учетную запись Cookiebot, чтобы начать работу, и позвольте нашему ведущему в мире решению для получения согласия взять на себя сложную часть защиты конфиденциальности и соблюдения требований GDPR по разрешению файлов cookie.

Попробуйте Cookiebot бесплатно в течение 30 дней… или навсегда, если у вас небольшой веб-сайт.

С нашим согласием на использование файлов cookie GDPR Cookiebot работает для личного будущего

Интернет — это меняющийся ландшафт.

Он был построен как плоская песочница, но превратился в неровную землю, полную эксплуатации пользователей и вторжений в частную жизнь, которые до сих пор оставались в значительной степени нерегулируемыми.

В меняющихся ландшафтах Интернета веб-сайты являются важными экосистемами, в которых Cookiebot помогает поддерживать баланс и защиту.

Ваш веб-сайт — это динамическая система, которая также постоянно изменяется и взаимодействует с личными, частными, а иногда и личными данными реальных, живых людей.Во всем Интернете ваш сайт может показаться маленьким и незначительным, всего лишь еще одним доменом среди миллиардов.

Но на самом деле ваш веб-сайт — независимо от его размера — может содержать сотни трекеров и троянских коней, которые используют личные данные ваших пользователей без их ведома или согласия.

Поскольку Интернет стал фундаментальной инфраструктурой в наших обществах, управляя нашими финансами, отраслями здравоохранения и нашими частными, социальными сферами, законы, защищающие личные данные от несанкционированного сбора и использования, появляются во всем мире.

Одним из крупнейших и наиболее влиятельных законов о защите данных на сегодняшний день является Общий регламент ЕС по защите данных (GDPR).

Узнайте больше о том, как работает соблюдение GDPR в отношении файлов cookie и как Cookiebot предоставляет решение, отвечающее всем приведенным ниже требованиям GDPR в отношении согласия на использование файлов cookie.

Попробуйте Cookiebot бесплатно в течение 30 дней … или навсегда, если у вас небольшой веб-сайт.

Режим согласия Google и Cookiebot

С помощью Google Consent Mode и Cookiebot вы можете запустить все службы Google на своем веб-сайте в зависимости от состояния согласия ваших конечных пользователей — полное соответствие GDPR с оптимизированными аналитическими данными и доходами от рекламы в одном простом решении.

Cookiebot управляет согласием пользователей вашего веб-сайта, а затем передает состояние согласия API, в котором запущен режим согласия Google, который затем управляет всеми вашими любимыми службами (такими как Google Analytics и Google Реклама) на основе состояния согласия каждого отдельного пользователя на вашем веб-сайте.

Пользователь не дал согласие на использование статистических данных или маркетинговых файлов cookie? Cookiebot сообщает режиму согласия Google, который затем гарантирует, что вы по-прежнему будете получать сводные и неидентифицирующие данные об эффективности вашего веб-сайта и возможность показа контекстной рекламы вместо целевой рекламы — с соблюдением конфиденциальности пользователей при оптимизации вашего веб-сайта.

С помощью Cookiebot и Google Consent Mode вы можете мгновенно и просто обеспечить соответствие GDPR, а также оптимизированные аналитические данные и доход от рекламы в одном решении.

Начать работу с Google Consent Mode

Попробуйте Cookiebot бесплатно в течение 30 дней — или навсегда, если у вас небольшой веб-сайт.

Просканируйте свой веб-сайт бесплатно, чтобы узнать, какие файлы cookie и трекеры используются

GDPR Подробное согласие на использование файлов cookie

К настоящему времени вы, вероятно, поняли, как связаны файлы cookie и GDPR: личные данные защищены GDPR, а файлы cookie чаще всего собирают информацию, которая в соответствии с GDPR считается персональными данными, поэтому ваш веб-сайт является обязательным соблюдать GDPR при использовании файлов cookie.

А что такое личные данные?

Персональные данные — это любая информация, которая относится или может каким-либо образом быть связана с идентифицированным или идентифицируемым живым человеком (известным в законодательстве как «субъект данных»).

Сюда входят:

• Имена
• Домашние адреса
• Электронная почта
• Номера идентификационных карт (например, социального страхования, паспорта и т. Д.)
• Данные о местоположении (например, геолокация по телефону)
• IP-адресов
• История поиска и браузера
• Биометрические данные и данные о здоровье
• Информация об этнической принадлежности
• Политические убеждения
• Религиозные убеждения
• Сексуальная ориентация

GDPR фактически рассматривает последних пяти пунктов в контрольном списке выше как особую категорию личных данных, называемых конфиденциальными личными данными.

В редких случаях, когда ваш веб-сайт обрабатывает такие данные, GDPR требует от вас соблюдения определенных условий обработки.

Посетите ЕС по личным данным и GDPR

GDPR и файлы cookie: насколько они сбалансированы в динамической системе вашего веб-сайта?

GDPR для файлов cookie

Файлы cookie — это небольшие текстовые файлы, которые, как вы, вероятно, знаете, хранятся в браузерах ваших конечных пользователей.

Вы можете не знать, что файлы cookie чаще всего содержат идентификатор (известный как «идентификатор файла cookie»), который сам по себе считается личными данными в соответствии с GDPR.

Да — согласно GDPR идентификаторы файлов cookie считаются личными данными.

Идентификатор файла cookie — это идентификатор, который включается в большинство файлов cookie при установке в браузере пользователя. Это уникальный идентификатор, который позволяет вашему веб-сайту запоминать отдельных пользователей, их предпочтения и настройки, когда они возвращаются на ваш сайт.

Но идентификаторы файлов cookie часто отслеживают пользователей в Интернете и могут использоваться для создания подробных профилей отдельных людей, которые затем продаются агентствам цифровой рекламы и используются для поведенческого маркетинга.

Стандартные сторонние файлы cookie от Google, которые создают уникальные идентификаторы для отдельных пользователей и отслеживают их на разных платформах.

GDPR требует, чтобы ваш веб-сайт собирал персональные данные ваших пользователей только для указанных , явных и законных целей , и чтобы вы перед этим получили их четкое и положительное согласие.

В повседневной работе с вашим веб-сайтом это требование GDPR в отношении файлов cookie означает, что вам нужно не только знать, какие файлы cookie и трекеры используются в вашем домене, , но также , почему они там .

• Откуда берутся файлы cookie, т.е. кто их провайдер?
• Какие данные собирают или обрабатывают файлы cookie? Это личные данные? Если да, убедитесь, что вы получили предварительное согласие, прежде чем они будут активированы и начнут сбор?
• Какова цель сбора данных cookie? Для законного сбора персональных данных законные цели должны быть указаны как часть информации, которую вы предоставляете своему конечному пользователю, в противном случае их согласие может считаться недействительным.
• Что это за тип cookie или трекер? Технические детали важны как часть действительного согласия, так как это часть требований к информации.
• Как долго файл cookie активен, т.е. как долго он будет храниться в браузерах ваших пользователей?

ПРИМЕР — файлы cookie и GDPR

На вашем веб-сайте используется плагин от такой технической компании, как Google или Facebook. Это может быть Диспетчер тегов Google или раздел комментариев / лайков на одной из ваших подстраниц в Facebook.

Теперь на вашем веб-сайте будут храниться файлы cookie.

Это сторонние файлы cookie. потому, что они исходят не с вашего собственного веб-сайта, а устанавливаются в браузере пользователя из Google или Facebook.

Эти файлы cookie будут не обязательными файлами cookie , то есть не внесены в белый список и не подпадают под действие GDPR, а потребуют явного согласия пользователей, прежде чем вашему веб-сайту будет разрешено их активировать.

Несмотря на то, что эти сторонние файлы cookie поступают от таких компаний, как Google или Facebook, юридическая ответственность за соблюдение требований GDPR в отношении файлов cookie по-прежнему лежит на вас как на владельце веб-сайта.

Детальное согласие, различные файлы cookie и GDPR

Насколько я знаю, у вас, вероятно, нет никаких сомнений — да, на вашем веб-сайте есть файлы cookie, GDPR требует, чтобы вы контролировали их, и вы хотите соответствовать требованиям.

Но очень вероятно, что на вашем веб-сайте есть более одного типа файлов cookie. Это важно, поскольку требования GDPR к файлам cookie различаются для разных типов файлов cookie и технологий отслеживания, используемых в Интернете.

Правовой режим защиты данных ЕС основан на Общем регламенте защиты данных (GDPR), но он также состоит из юридических прецедентов, таких как случай Planet49, директивы ePrivacy об электронных коммуникациях (закон ЕС о файлах cookie) и руководящих принципов обоих национальные агентства по защите данных и Европейский совет по защите данных (EDPB).

В совокупности они формируют особые требования, которым сегодня должны соответствовать веб-сайты, у которых есть пользователи из Европы.

Сумма этого правового режима состоит в том, что в ЕС согласие должно даваться пользователями в явной и недвусмысленной форме ; их согласие должно быть гранулированным ; их согласие должно быть дано свободно, , и их согласие не должно быть получено толчком или дано в обмен на услуги.

Ваш веб-сайт представляет собой динамическую систему, которая должна одновременно обеспечивать баланс между GDPR и использованием файлов cookie.

Полное соответствие файлов cookie GDPR означает, что ваш веб-сайт должен —

1. Знать обо всех действующих файлах cookie и трекерах,
2. Информировать пользователей о файлах cookie, их продолжительности, назначении и поставщике,
3. Предложить пользователям выбор детального согласия, то есть возможность активировать одни файлы cookie, а не другие на вашем веб-сайте,
4. Разрешить пользователям отозвать свое согласие так же легко, как они его дали,
5. Задокументировать все согласия в защищенном и зашифрованном виде,
6. Просите повторное согласие не реже одного раза в 12 месяцев.

Для вашего веб-сайта это означает, что вам необходимо разрешить конечным пользователям выбирать между различными типами файлов cookie , которые есть на вашем веб-сайте.

В соответствии с GDPR файлы cookie подразделяются на четыре категории на платформе управления согласием Cookiebot —

• Необходимые файлы cookie , которые чаще всего являются собственными (основными) вашим веб-сайтом, и их важно всегда активировать для правильной работы вашего домена.Чаще всего это сеансовые файлы cookie, которые действуют только до тех пор, пока пользователь посещает ваш сайт. Только строго необходимые файлы cookie могут быть внесены в белый список, чтобы на них не распространялось согласие на использование файлов cookie GDPR.
• Файлы cookie предпочтений , которые запоминают выбранные пользователем параметры, такие как языковые настройки или валюта, на вашем веб-сайте.
• Статистические файлы cookie , которые чаще всего исходят от сторонних сервисов, таких как аналитическое программное обеспечение, которое вы внедряете на своем веб-сайте.
• Маркетинговые файлы cookie , которые почти всегда поступают от сторонних технических или рекламных компаний с целью предоставления рекламы вашим пользователям или сбора личных данных от них для будущих маркетинговых целей.

Согласно GDPR, файлы cookie, которые не являются строго необходимыми для основных функций вашего веб-сайта, должны быть активированы только после того, как ваши конечные пользователи дадут свое явное согласие на конкретную цель их работы и сбора личных данных.

Благодаря технологии глубокого сканирования Cookiebot все файлы cookie вашего веб-сайта будут обнаружены, а их технические детали объяснены вам и вашим пользователям в простой декларации файлов cookie, которая предоставляет всю необходимую информацию для полного соответствия GDPR в отношении файлов cookie.

Благодаря платформе управления согласием Plug and Play Cookiebot, ваш веб-сайт всегда будет информировать своих пользователей точной и актуальной информацией о том, как он собирает и передает их личные данные.

Попробуйте Cookiebot бесплатно в течение 30 дней… или навсегда, если у вас небольшой веб-сайт.

Политика в отношении файлов cookie и GDPR

На вашем веб-сайте должна быть политика использования файлов cookie, которая была бы легко доступна для ваших конечных пользователей.

Согласно GDPR, политика файлов cookie должна информировать пользователей о —

• Какую информацию вы собираете
• Что вы делаете с их информацией
• Как вы защищаете свою информацию
• Если вы раскрываете какую-либо информацию третьим лицам
• Как вы храните их информацию
• Как пользователи могут получать доступ, переносить, запрашивать реструктуризацию, ограничение или удаление информации

Cookiebot автоматически генерирует декларацию cookie для вашего веб-сайта после сканирования вашего домена.

Это составляет основу вашей политики в отношении файлов cookie, поскольку содержит большую часть информации, требуемой GDPR в политике в отношении файлов cookie.

Политику использования файлов cookie GDPR можно легко интегрировать с существующей политикой конфиденциальности вашего веб-сайта.

См. Собственное заявление Cookiebot о файлах cookie и Политику конфиденциальности, где приведены примеры того, как создать собственный веб-сайт и какую информацию вам необходимо включить.

Политика файлов cookie — это динамическая вещь, поскольку ваш веб-сайт — это динамическая система.Файлы cookie меняются, как и ваша политика в отношении файлов cookie.

Автоматически созданное объявление

Cookiebot о файлах cookie гарантирует, что ваша политика в отношении файлов cookie всегда актуальна. Это сэкономит вам значительное количество времени, потраченного на составление проекта и его обновление самостоятельно.

Узнайте больше о том, как создать для вашего веб-сайта политику в отношении файлов cookie, соответствующую GDPR.

Cookiebot и соответствие cookie GDPR

Хорошо, вы дошли до конца длинной статьи о GDPR и согласии на использование файлов cookie.Вперед!

Cookiebot работает с 2014 года и представляет собой развитую технологию, которая обеспечивает соблюдение GDPR ЕС и аналогичных законов о защите данных во всем мире с помощью нашей непревзойденной технологии сканирования и решения для управления согласием. Наша технология упрощает соблюдение нормативных требований и защиту конфиденциальности.

Каждый в Cookiebot работает каждый день, чтобы сделать защиту конфиденциальности простым и надежным решением сегодня, чтобы гарантировать будущее человечества в наших цифровых инфраструктурах завтра.

Зарегистрируйтесь в Cookiebot сегодня и попробуйте бесплатно в течение 30 дней… или навсегда, если на вашем веб-сайте менее 100 подстраниц.

См. Наши тарифные планы

Ознакомьтесь с нашими функциями

Нужна помощь с Cookiebot?

Подробнее о согласии на использование файлов cookie

Защитите конфиденциальность пользователей в постоянно меняющихся цифровых ландшафтах с помощью Cookiebot для соблюдения баланса между GDPR и файлами cookie.

FAQ

Что такое GDPR?

GDPR — это закон ЕС о защите данных, который регулирует сбор личных данных от физических лиц внутри Европейского Союза.Если на вашем веб-сайте есть файлы cookie, которые собирают личные данные пользователей внутри ЕС, вы несете ответственность за соблюдение этих правил. GDPR требует, чтобы вы получили явное согласие пользователя вашего веб-сайта, прежде чем разрешить активацию файлов cookie и сбор личных данных.

Узнайте больше о GDPR здесь

Что такое согласие на использование файлов cookie GDPR?

Согласие на использование файлов cookie

GDPR — это когда пользователи дают свое информированное, явное, недвусмысленное согласие на активацию файлов cookie на вашем веб-сайте и сбор их личных данных при посещении вашего сайта.Согласие на использование файлов cookie в соответствии с GDPR должно быть детальным, то есть пользователи должны иметь возможность выбирать одни файлы cookie, а не другие, и не должны быть принуждены просто принять или отклонить все.

Узнайте больше о согласии на использование файлов cookie GDPR здесь

Что такое баннер cookie, соответствующий GDPR?

Баннер файлов cookie, соответствующий GDPR, — это интерактивный модуль, который информирует ваших пользователей обо всех файлах cookie и трекерах, работающих на вашем веб-сайте, их назначении, продолжительности и поставщике, а также позволяет пользователям дать свое явное согласие на использование некоторых, всех или всех файлов cookie, установив флажки. или скользящие элементы управления и нажатие кнопки.Для соблюдения GDPR жизненно важно, чтобы баннеры cookie не имели предварительно отмеченных флажков и не заставляли пользователей выбирать, принимать все или ничего в обмен на услуги.

Узнайте больше о баннерах cookie, соответствующих GDPR, здесь

Что такое политика в отношении файлов cookie в соответствии с GDPR?

Политика использования файлов cookie, соответствующая GDPR, информирует ваших пользователей о том, какие данные собирает ваш веб-сайт, для каких целей вы используете эти данные, с какими третьими сторонами вы делитесь своими данными, кто является поставщиком файлов cookie, как вы храните их данные и обеспечиваете их защиту. , и как пользователи могут получать доступ, переносить, запрашивать исправление или удаление своих данных.Политика вашего веб-сайта в отношении файлов cookie должна быть написана простым для понимания языком и быть легко доступной для ваших пользователей.

Узнайте больше о политике GDPR в отношении файлов cookie здесь

Ресурсы

Подробнее о GDPR и файлах cookie

Подробнее о Директиве о конфиденциальности (закон ЕС о файлах cookie)

Больше Planet49 и действительное согласие на использование файлов cookie в ЕС

Посетите официальный сайт ЕС о защите данных

Прочтите официальный текст закона GDPR

Read Beyond the Front Page, исследование файлов cookie веб-сайтов 2020 г.

Узнайте, как работает поведенческая реклама в Интернете

Посетите веб-сайт Европейского совета по защите данных

Согласие как законное основание для обработки | Защита данных

«Обработка персональных данных обычно запрещена, если это прямо не разрешено законом или если субъект данных не дал согласия на обработку».

Содержание

Общая информация:

• Согласие должно быть недвусмысленным, свободно выраженным, конкретным, и субъекты данных должны быть проинформированы для каждой цели, для которой данные обрабатываются, особенно если цели меняются со временем
• Должно быть «явным» для обработки конфиденциальных данных, переименованных в данные специальной категории в соответствии с GDPR. Явное согласие потребует четкого одобрения субъекта данных e.грамм. подписанная форма согласия
• Получено для каждого отдельного действия по обработке
• Субъекты данных будут иметь право отозвать свое согласие в любое время
• «Явное» согласие должно быть получено для передачи персональных данных за пределы Европейской экономической зоны (EEA.

GDPR будет в целом копировать действующий Закон о защите данных 1998 г. Однако всем исследователям необходимо будет рассмотреть различные типы обработки, которые они выполняют в рамках этой деятельности, чтобы обеспечить соответствие.

Хотя они по-прежнему могут полагаться на согласие как на правовое основание для обработки персональных данных для своих исследований. Субъекту данных должен быть предоставлен простой способ отозвать их. Согласие должно быть «явным» для обработки конфиденциальных данных, переименованных в данные специальной категории в соответствии с GDPR. Контроллер данных должен будет продемонстрировать, что такое согласие было дано.

UCL по-прежнему будет Контролером данных в соответствии с GDPR для всех персональных данных, обрабатываемых для исследований под руководством UCL. В большинстве случаев студенты несут ответственность за обеспечение того, чтобы их исследования с участием живых, идентифицируемых лиц соответствовали требованиям DPA, а с мая 2018 года — GDPR.

Как и в случае с DPA, GDPR требует, чтобы у контроллеров данных была законная причина для обработки личных данных. Если исследователи должны полагаться на согласие субъекта данных, они должны быть в состоянии продемонстрировать, что оно было недвусмысленным, свободно предоставленным, конкретным и информированным для каждой цели, для которой обрабатываются данные. Согласие может быть дано в письменной форме (в том числе в электронном виде) или в виде устного заявления. GDPR дает некоторую ясность:

Это может включать отметку поля при посещении веб-сайта в Интернете, выбор технических настроек для услуг информационного общества или любое другое заявление или поведение, которое четко указывает в этом контексте на согласие субъекта данных с предлагаемой обработкой. своих личных данных.

Таким образом, молчание, предварительно отмеченные флажки или бездействие не являются выражением согласия.

Это может включать отметку поля при посещении веб-сайта в Интернете, выбор технических настроек для услуг информационного общества или любое другое заявление или поведение, которое четко указывает в этом контексте на согласие субъекта данных с предлагаемой обработкой его личных данных. Поэтому молчание, предварительно отмеченные флажки или бездействие не должны означать согласие.

Важно убедиться, что согласие получено для каждого отдельного процесса обработки.Согласие будет недействительным, если несколько целей без необходимости были объединены вместе, так что человек должен принять их все или ни одну из них.

Например, сохранение контактных данных для приглашения участников к участию в будущих исследованиях является отдельной обработкой по сравнению с первоначальным исследованием, и поэтому необходимо получить отдельное согласие. Точно так же использование изображений участников, собранных в рамках исследовательского исследования на конференции, также является отдельной обработкой, и люди, как правило, не должны давать согласие на это только для того, чтобы принять участие в исследовательском исследовании.

Согласие отозвано

В соответствии с GDPR субъекты данных имеют право отозвать свое согласие в любое время. Поэтому должны быть созданы механизмы, обеспечивающие простоту и эффективность процесса. Они также должны быть проинформированы об этом праве до того, как дать свое согласие.

Как долго действует согласие?

GDPR не определяет, как долго должно длиться согласие. Однако любое согласие, вероятно, со временем ухудшится, и его продолжительность будет зависеть от контекста исходного согласия.. Некоторые исследовательские мероприятия также могут развиваться с течением времени, и по-прежнему важно обеспечить, чтобы обработка личных данных не использовалась для целей, выходящих за рамки полученного согласия, поэтому согласие следует постоянно пересматривать. Должно быть четкое подтверждение согласия, это не может быть выведено из отказа возразить или указать на дальнейшее использование сверх того, что было первоначально указано. Заявление о том, что разовое согласие остается в силе через несколько лет после его получения, если исследование продолжается, вряд ли будет соответствовать требованиям.Поэтому следует подумать о том, как можно пересмотреть согласие.

Передача за границу

GDPR в значительной степени сохраняет текущее DPA в отношении передачи личных данных за границу. Например, запрещение передачи персональных данных за пределы ЕЭЗ, если не выполняются определенные условия (адекватность).

Исследователи должны проанализировать предполагаемые потоки персональных данных за пределами ЕЭЗ и подумать, какие механизмы они используют для соблюдения GDPR.Например, подразумевается ли предполагаемая передача страны, которая приняла решение о соответствии (которое считается приемлемым для ЕС), или, если базируется в США, организация, присоединившаяся к программе обмена конфиденциальной информацией между ЕС и США?

Если вы намереваетесь передать личные данные за пределы ЕЭЗ и страна не считается обеспечивающей адекватный уровень защиты, вам необходимо убедиться, что передача соответствует одному из других требований GDPR, например, с помощью стандартные договорные положения или обязательные корпоративные правила (BCR).Отступления (исключения) также разрешены при ограниченных дополнительных обстоятельствах. Одно из таких отступлений — явное согласие. Если в начале исследования вы знаете, что собираетесь передать личные данные в другую страну, вам следует сообщить об этом субъектам данных и, при необходимости, получить согласие.

Этически одобренное исследование

Для этически одобренного исследования UCL законным основанием для обработки личных данных будет «общественная задача», а не «согласие». Возможно, исследователи получают согласие участников в этических целях, например.грамм. для подтверждения участия человека в исследовании или, возможно, для выполнения своих обязательств в соответствии с обязанностью общего права по соблюдению конфиденциальности, но это не будет законным основанием для обработки в соответствии с законодательством о защите данных.

Хотя согласие на участие в проекте, полученное в этических целях, должно быть полностью информированным и добровольным, помимо выполнения других требований, исследователям не нужно получать согласие, которое соответствует высоким стандартам, изложенным в GDPR, который является:

«« любое свободно данное, конкретное, информированное и недвусмысленное указание на пожелания субъекта данных, посредством которого он или она посредством заявления или четкого позитивного действия означает согласие на обработку персональных данных ».