Согласие на обработку персональных данных

(далее – Согласие)

Субъект персональных данных (далее — Пользователь), оставляя обращения через форму «Обратная связь» на
веб-сайте https://doublev.ru/, а также регистрируясь в кабинете клиента
интернет-магазина на веб-сайте https://doublev.ru/
(далее — Веб-сайт), свободно, своей волей и в своем интересе дает свое согласие ООО «ДВ Бумага» (ОГРН
1077764213427, ИНН 7725625323, адрес местонахождения: 115280, г. Москва, ул. Мастеркова, д. 4, эт. 1
антресоль, пом. I, ком. 42, далее — Оператор), на обработку своих персональных данных, добровольно указанных
Пользователем на Веб-сайте.

Обработка персональных данных осуществляется Оператором с соблюдением принципов и правил, предусмотренных
ст. 24 Конституции Российской Федерации, Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»,
настоящим Согласием на обработку персональных данных.

Согласие дается на обработку персональных данных Пользователя, не являющиеся специальными или
биометрическими: фамилия и имя; номера контактных телефонов; адреса электронной̆ почты; адреса доставки,
пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия браузера; тип устройства и
разрешение его экрана; веб-сайт или иной источник, откуда Пользователь пришел на Веб-сайт; язык ОС и
браузера; ip-адрес и др.), а также другие персональные данные, обработка которых отвечает целям обработки
персональных данных, указанным в настоящем Соглашении, и которые могут использоваться для идентификации
Пользователя, если Пользователь добровольно указывает их на Веб-сайте.

Запрос о наличии персональных данных, относящихся к Пользователю, и/или о предоставлении возможности
ознакомления с этими персональными данными в соответствии с Федеральным законом от 27. 07.2006 №152-ФЗ «О
персональных данных» Пользователь направляется по адресу, указанному в настоящем Согласии.

Настоящее Согласие дается на обработку персональных данных как без использования средств автоматизации, так
и с их использованием.

Персональные данные Пользователя не являются общедоступными.

Цель обработки персональных данных: обработка входящих запросов Пользователей (заказов товара, замечаний,
вопросов, предложений) с целью оказания Пользователю услуг, предоставляемых Оператором, в т.ч. посредством
Веб-сайта.

Пользователь предоставляет право осуществлять любые действия (операции) со своими персональными данными без
ограничения: сбор, запись, учет, систематизацию, хранение, уточнение (обновление, изменение), извлечение,
накопление, обезличивание, блокирование, удаление, уничтожение; использование в статистических целях, в
целях проведения анализа, в целях информирования Пользователя, а также осуществлять любые иные действия в
соответствии с действующим законодательством.

Обработка персональных данных может быть прекращена по запросу субъекта персональных данных.

Согласие может быть отозвано субъектом персональных данных или его представителем путем направления
письменного заявления Оператору по адресу, указанному в настоящем Согласии. В случае отзыва субъектом
персональных данных или его представителем согласия на обработку персональных данных Оператор вправе
продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований,
предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных». Обработка персональных
данных Пользователя прекращается в течение 10 дней с момента получения Оператором письменного заявления
(отзыва) Пользователя.

Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или
в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим
законодательством. Обезличенные персональные данные Пользователя могут использоваться Оператором в
статистических и иных исследовательских целях после получения заявления (отзыва) согласия, а также после
достижения целей, для которых настоящее согласие было получено.

Пользователь дает согласие на поручение обработки персональных данных Оператором другому лицу на основании
заключаемого с этим лицом договора. В случае, если Оператор поручает обработку персональных данных другому
лицу, ответственность перед Пользователем за действия указанного лица несет Оператор, обработка персональных
данных Пользователя указанным лицом осуществляется в пределах и на условиях настоящего Согласия.

Дент Арт — требуется ли согласие на обработку персональных данных от клиента

Требуется ли согласие на обработку персональных данных от клиента, самостоятельно обратившегося с заявлением на сайт компании?

На сайте организации предусмотрен раздел «Обратная связь», в котором клиенты могут задать интересующие вопросы по работе организации (в том числе направить жалобу). При этом форма обращения клиента, заполняемая on-line, содержит поля для указания клиентом его персональных данных (фамилия, имя и отчество, номер телефона, адрес электронной почты).

Согласно ст. 9 Федерального закона N 152-ФЗ от 27.07.2006 «О персональных данных» согласие на обработку персональных данных может быть дано субъектом персональных данных в любой позволяющей подтвердить факт его получения форме.

Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора.

Обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.

Правомерно ли получение согласия клиента на обработку его персональных данных посредством проставления клиентом отметки в соответствующем поле, содержащем текст согласия на обработку персональных данных, формы обращения на интернет-странице?

Требуется ли вообще получение от него согласия на обработку персональных данных, поскольку клиент организации самостоятельно обращается с заявлением?

Случаи допустимости обработки персональных данных перечислены в ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ). В частности, обработка персональных данных признается допустимой в случаях, когда она:

— осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

— необходима для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;

— необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п.п. 1, 2, 5 ч. 1 ст. 6 Закона N 152-ФЗ).

Напомним, что под обработкой персональных данных для целей Закона N 152-ФЗ понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без

использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона N 152-ФЗ). Частью 1 ст. 9 Закона N 152-ФЗ определено, что субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Часть 4 той же статьи предусматривает, что в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. В той же норме перечислены сведения, которые в обязательном порядке должно содержать согласие субъекта персональных данных на их обработку. Из системного толкования норм ч. 1 и 4 ст. 9 Закона N 152-ФЗ можно сделать вывод о том, что оператор должен получить письменное согласие субъекта персональных данных на их обработку, включающее сведения, предусмотренные ч. 4 ст. 9 этого федерального закона только в случаях, когда федеральный закон прямо указывает на необходимость получения согласия именно в такой форме. К примеру, согласие в письменной форме требуется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (п. 1 ч. 2 ст. 10 Закона N 152-ФЗ), биометрических персональных данных (ч. 1 ст. 11 Закона N 152-ФЗ), на трансграничную передачу персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (п. 1 ч. 4 ст. 12 Закона N 152-ФЗ). В остальных случаях согласие на обработку персональных данных может быть дано в любой форме в соответствии с правилом ч. 1 ст. 9 Закона N 152-ФЗ.

Из вопроса не следует, что речь идет об обработке персональных данных, требующей получения согласия субъекта персональных данных именно в письменной форме. Поэтому согласие может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме. Если технология заполнения размещенной на сайте формы запроса обеспечивает сохранность сведений о получении согласия (позволяет подтвердить его получение), то, на наш взгляд, такое согласие получено в надлежащей форме.

Следует учитывать, что в случае спора обязанность представления доказательств получения такого согласия возлагается на оператора (ч. 3 ст. 9 Закона N 152-ФЗ).

В рассматриваемом случае, как мы поняли из вопроса, обработка персональных данных заключается в их сборе, накоплении и использовании в целях информирования клиента об организации, оказываемых ею услугах и в соответствующих случаях об исполнении заключенного с клиентом договора. При этом избранный организацией способ коммуникации (размещенная на сайте форма запроса) с учетом информации о его назначении, которая доводится до клиента, позволяет клиенту исходя из обычного уровня понимания определить способы и цели обработки его персональных данных и путем заполнения и отправки запроса в электронном виде дать осознанное согласие на такую обработку персональных данных.

Поэтому мы полагаем, что размещение дополнительной формы согласия на обработку персональных данных организации в этом случае не требуется, если обработка не выходит за рамки тех целей, которые заявлены организацией (для дачи ответа на сформулированный клиентом запрос). Если персональные данные будут обрабатываться не только в связи с предоставлением клиенту интересующей его информации, относящейся к сфере деятельности организации, но и для других целей, такая обработка потребует дополнительного согласия субъекта персональных данных, при отсутствии предусмотренных законом обстоятельств, когда оператор не обязан получать такое согласие (например, в силу п. 5 ч. 1 ст. 6 Закона N 152-ФЗ).

Косвенно этот вывод можно подтвердить судебной практикой. В постановлении от 13.12.2010 N Ф07-13220/2010 ФАС Северо-Западного округа указал применительно к рассмотренной им ситуации, что, отправив свои данные по алгоритму заполнения анкеты-запроса на получение ипотечного кредита, форма которой была размещена на веб-ресурсе, физические лица — потенциальные клиенты фактически выразили свое согласие на обработку своих персональных данных для определенных в анкете целей.

Кроме того, на наш взгляд, обработка персональных данных в этой ситуации может быть соотнесена с положением п. 2 ч. 1 ст. 6 Закона N 152-ФЗ, в соответствии с которым такая обработка допускается, если она необходима для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.

Так, если на отношения клиента и организации распространяется действие Закона РФ от 07.02.1992 N 2300-I «О защите прав потребителей» (далее также — Закон о защите прав потребителей), следует иметь в виду, что пункт 1 ст. 8 этого закона наделяет потребителя (гражданина, имеющего намерение заказать или приобрести либо заказывающего, приобретающего или использующего товары (работы, услуги) исключительно для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности — смотрите преамбулу к данному закону) правом требовать предоставления ему необходимой и достоверной информации об изготовителе (исполнителе, продавце), режиме его работы и реализуемых им товарах (работах, услугах). Закон о защите прав потребителей в ряде случаев предписывает определенные способы информирования потребителя (п. 1 ст. 9, п.п. 2, 3 ст. 10), однако по смыслу норм п. 2 ст. 8, п. 1 ст. 10 этого закона перечень форм и способов, с использованием которых потребитель может быть ознакомлен с информацией об исполнителе и оказываемых им услугах, не является исчерпывающим.

В связи с этим мы полагаем, что, если в рассматриваемом случае информация, доводимая до клиента с использованием электронной формы запроса, объективно направлена на возможность правильного выбора клиентом оказываемых организацией услуг, согласия на обработку персональных данных оператору не требуется, поскольку такое предоставление информации осуществляется во исполнение обязанности, возложенной на организацию как исполнителя услуг в соответствии с федеральным законом. При этом обработка персональных данных не должна выходить за пределы информирования потребителя в соответствии с требованиями Закона о защите прав потребителей.

Отметим также, что персональные данные должны обрабатываться в целях, заранее определенных и заявленных при сборе персональных данных, в соответствии с полномочиями оператора (п. 2 ч. 1 ст. 6 Закона N 152-ФЗ). По достижении цели обработки или в случае утраты необходимости в ее достижении персональные данные подлежат уничтожению (ч. 2 ст. 5, ч. 4 ст. 21 Закона N 152-ФЗ).

Ответ подготовил:

Эксперт службы Правового консалтинга ГАРАНТ

Ерин Павел Информационное правовое обеспечение ГАРАНТ http://www.garant.ru

Каковы требования согласия GDPR?

Один из простых способов избежать больших штрафов GDPR — всегда получать разрешение от ваших пользователей, прежде чем использовать их личные данные. В этой статье объясняются требования к согласию GDPR, которые помогут вам их соблюдать.

Вопреки распространенному мнению, GDPR ЕС (Общее положение о защите данных) не требует от компаний получения согласия от людей перед использованием их личной информации в коммерческих целях. Скорее, согласие является лишь одним из шести правовых оснований, изложенных в статье 6 GDPR. Предприятия должны определить правовую основу для обработки своих данных.

Согласие получить проще всего, поскольку оно позволяет вам делать с данными практически все, что угодно, при условии, что вы четко объясните, что собираетесь делать, и получите явное разрешение от субъекта данных. Однако, как недавно узнал Google в виде штрафа в размере 50 миллионов евро, срезать углы нельзя. Французские органы по защите данных заявили, что версия компании о получении согласия не была ни «информированной», ни «однозначной», ни «конкретной».

В этой статье основное внимание будет уделено тому, как удовлетворить требования GDPR в отношении согласия в качестве правовой основы.

Для получения более общей информации о том, что говорит GDPR, прочитайте нашу статью «Что такое GDPR?» Он дает концептуальный обзор закона. Мы также опубликовали полный текст GDPR.

GDPR требует правовой основы для обработки данных

«Чтобы обработка была законной, персональные данные должны обрабатываться на основании согласия соответствующего субъекта данных или на каком-либо другом законном основании», — поясняется GDPR в преамбуле 40. Другими словами, согласие — это лишь одно из юридических оснований, которые вы можете использовать для оправдания сбора, обработки и/или хранения персональных данных людей. В статье 6 указаны пять других оснований.

Как мы объясняем в нашем обзоре GDPR, это другие правовые основания:

  1. Обработка необходима для выполнения договора, стороной которого является субъект данных.
  2. Вам необходимо обработать данные, чтобы выполнить юридическое обязательство.
  3. Вам необходимо обработать данные, чтобы спасти чью-то жизнь.
  4. Обработка необходима для выполнения задачи в общественных интересах или для выполнения какой-либо официальной функции.
  5. У вас есть законный интерес к обработке чьих-либо личных данных. Это самая гибкая законная основа, хотя «основные права и свободы субъекта данных» всегда преобладают над вашими интересами, особенно если это данные ребенка.

Вам нужно выбрать только одно правовое основание для обработки данных, но после того, как вы его выбрали, вы должны придерживаться его. Вы не можете изменить свою правовую основу позже, хотя вы можете указать несколько баз. Вы должны провести оценку воздействия GDPR на защиту данных перед обработкой персональных данных.

Определение согласия GDPR

Если вы обрабатываете чьи-либо данные на основании их согласия, в GDPR четко разъясняются обязательства, которые вы должны выполнить. Статья 4(11) определяет согласие:

Согласие субъекта данных означает любое свободно данное, конкретное, информированное и недвусмысленное указание на пожелания субъекта данных, посредством которого он или она заявлением или четким утвердительным действием выражает согласие на обработку персональных данных, касающихся ему или ей.

GDPR дополнительно разъясняет условия для согласия в статье 7:

1. Если обработка основана на согласии, контролер должен иметь возможность продемонстрировать, что субъект данных дал согласие на обработку своих персональных данных. .

2. Если согласие субъекта данных дается в контексте письменного заявления, которое также касается других вопросов, запрос на согласие должен быть представлен способом, который четко отличается от других вопросов, в понятной и легкодоступной форме. , используя ясный и простой язык. Любая часть такой декларации, которая представляет собой нарушение настоящего Регламента, не имеет обязательной силы.

3. Субъект данных имеет право отозвать свое согласие в любое время. Отзыв согласия не влияет на законность обработки, основанной на согласии до его отзыва. Прежде чем дать согласие, субъект данных должен быть проинформирован об этом. Отказаться будет так же легко, как и дать согласие.

4. При оценке того, добровольно ли дано согласие, необходимо максимально учитывать, в частности, выполнение договора, включая предоставление услуги, обусловлено согласием на обработку персональных данных, которая не является необходимой. для исполнения этого контракта.

Теперь, когда у вас есть определение, давайте раскроем некоторые из этих понятий.

Согласие должно быть дано свободно

«Свободно данное» согласие, по сути, означает, что вы не загнали субъекта данных в угол, чтобы он дал вам согласие на использование его данных. Во-первых, это означает, что вы не можете требовать согласия на обработку данных в качестве условия использования сервиса. Им нужно уметь говорить нет. Согласно Декламации 42, «Согласие не следует рассматривать как добровольно данное, если субъект данных не имеет подлинного или свободного выбора или не может отказаться или отозвать согласие без ущерба».

Единственным исключением является случай, когда вам нужны какие-то данные от кого-то, чтобы предоставить им вашу услугу. Например, вам может понадобиться информация об их кредитной карте для обработки транзакции или их почтовый адрес для отправки продукта.

В преамбуле 43 обсуждается добровольное согласие. В нем поясняется, что вы должны получать отдельное согласие на каждую операцию обработки данных. Поэтому, если вам нужен их адрес электронной почты для маркетинговых целей и их IP-адрес для целей аналитики веб-сайта, вы должны предоставить пользователю возможность подтвердить или отклонить каждое использование.

Согласие должно быть конкретным

«Запрос о согласии должен быть представлен таким образом, который четко отличается от других вопросов». Должно быть ясно, какие действия по обработке данных вы собираетесь выполнять, предоставляя субъекту возможность дать согласие на каждое действие.

В примере с адресом электронной почты и IP-адресом вы не можете объяснить их использование в рамках одного длинного абзаца с подробным описанием операций вашей маркетинговой команды с одним флажком согласия в конце. Вместо этого вы должны объяснить каждый вариант использования данных отдельно, давая субъектам данных возможность дать согласие на каждое действие в отдельности.

Если у вас есть несколько причин для обработки данных, вы должны получить согласие для всех этих целей. Поэтому, если вы храните номера телефонов как в целях маркетинга, так и в целях проверки личности, вы должны получить согласие для каждой из этих целей.

Согласие должно быть информировано

Информированное согласие означает, что субъект данных знает вашу личность, какие действия по обработке данных вы собираетесь проводить, цель обработки данных и что он может отозвать свое согласие в любое время.

Это также означает, что запрос на согласие и объяснение действий по обработке данных и их цели описаны простым языком («в понятной и легкодоступной форме, с использованием ясного и простого языка»). Это означает отсутствие технического жаргона или юридического языка. Любой, кто получает доступ к вашим услугам, должен понимать, на что вы просите его согласиться.

Дело Google представляет собой поучительный пример из реальной жизни. Французские власти заявили, что компания не выполнила требования информированного согласия:

Информация об операциях обработки для персонализации рекламы разбросана по нескольким документам и не позволяет пользователю быть в курсе их объема. Например, в разделе «Персонализация рекламы» невозможно знать о множестве сервисов, веб-сайтов и приложений, участвующих в этих операциях обработки… и, следовательно, об объеме обрабатываемых и объединяемых данных.

Управление комиссара по информации Великобритании предоставляет дополнительный контекст: «Если запрос о согласии является расплывчатым, широким или трудным для понимания, то он будет недействительным. В частности, язык, который может сбить с толку, например, использование двойных отрицаний или непоследовательный язык, сделает согласие недействительным».

Согласие должно быть недвусмысленным

То есть не должно возникать вопросов о том, дал ли субъект данных согласие. «Молчание, предварительно установленные галочки или бездействие не должны, таким образом, означать согласие», — говорится в Декларации 32 GDPR. поведение, которое в этом контексте ясно указывает на согласие субъекта данных с предлагаемой обработкой его или ее персональных данных».

Согласие может быть отозвано

GDPR не указывает срок действия согласия. Теоретически согласие человека является бессрочным, хотя могут быть ситуации, когда становится ясно, что согласие больше не является действительным или разумным или нарушает какой-либо принцип обработки данных.

Однако субъект данных имеет право отозвать согласие в любое время. Более того, вы должны сделать так, чтобы им было легко это сделать. В общем, им должно быть так же легко отозвать согласие, как и вам получить согласие.

Требования к согласию GDPR относительно просты для понимания, но, возможно, их сложнее реализовать. Вы можете столкнуться с техническими препятствиями или проблемами при согласовании потребностей вашего бизнеса с требованиями GDPR. Заполнение оценки воздействия на защиту данных может помочь. Так же как и разговор с юристом GDPR. Соответствие
GDPR — это непрерывный процесс. Обратитесь к нашему контрольному списку GDPR, чтобы убедиться, что ваша организация добросовестна.

Общий регламент по защите данных (GDPR)

Обработка персональных данных, как правило, запрещена, за исключением случаев, когда это прямо разрешено законом или если субъект данных дал согласие на обработку. Хотя согласие является одним из наиболее известных правовых оснований для обработки персональных данных, оно является лишь одним из шести оснований, упомянутых в Общем регламенте по защите данных (GDPR). Другие: контракт, юридические обязательства, жизненно важные интересы субъекта данных, общественные интересы и законные интересы, как указано в статье 6 (1) GDPR.

Основные требования к эффективности действительного законного согласия определены в статье 7 и дополнительно указаны в пункте 32 GDPR. Согласие должно быть дано свободно, конкретно, информировано и недвусмысленно. Чтобы получить свободное согласие, оно должно быть дано на добровольной основе. Элемент «бесплатно» подразумевает реальный выбор субъекта данных. Любой элемент ненадлежащего давления или влияния, который может повлиять на результат этого выбора, делает согласие недействительным. При этом юридический текст учитывает определенный дисбаланс между контролером и субъектом данных. Например, в отношениях между работодателем и работником: работник может беспокоиться о том, что его отказ дать согласие может иметь серьезные негативные последствия для его трудовых отношений, поэтому согласие может быть законным основанием для обработки только в нескольких исключительных обстоятельствах. Кроме того, действует так называемый «запрет на сцепку» или «запрет на сцепку или связывание». Таким образом, выполнение договора не может быть поставлено в зависимость от согласия на дальнейшую обработку персональных данных, которые не нужны для выполнения этого договора.

Чтобы согласие было информированным и конкретным, субъект данных должен быть, по крайней мере, уведомлен о личности контролера, о том, какие данные будут обрабатываться, как они будут использоваться и о цели операций обработки в качестве защиты от «расползания функций». ‘. Субъект данных также должен быть проинформирован о своем праве отозвать согласие в любое время. Выход должен быть таким же простым, как и согласие. В соответствующих случаях контролер также должен информировать об использовании данных для автоматизированного принятия решений, возможных рисках передачи данных из-за отсутствия решения об адекватности или других соответствующих мерах предосторожности.

Согласие должно быть связано с одной или несколькими указанными целями, которые затем должны быть достаточно объяснены. Если согласие должно узаконивать обработку особых категорий персональных данных, информация для субъекта данных должна прямо указывать на это.
Всегда должно быть четкое различие между информацией, необходимой для информированного согласия, и информацией о других договорных вопросах.

И последнее, но не менее важное: согласие должно быть недвусмысленным, что означает, что оно требует либо заявления, либо четкого утвердительного действия. Согласие не может быть подразумеваемым и всегда должно даваться путем подписки, заявления или активного движения, чтобы не возникло недопонимания того, что субъект данных дал согласие на конкретную обработку. При этом для согласия не требуется формы, даже если письменное согласие рекомендуется из-за ответственности контролера. Таким образом, он также может быть предоставлен в электронной форме. В связи с этим согласие детей и подростков в отношении услуг информационного общества представляет собой особый случай. Для лиц моложе 16 лет требуется дополнительное согласие или разрешение от лица, несущего родительскую ответственность. Возрастное ограничение регулируется оговоркой о гибкости. Государства-члены могут установить более низкий возраст в соответствии с национальным законодательством при условии, что такой возраст не ниже 13 лет. Когда предложение услуги явно не адресовано детям, оно освобождается от этого правила. Однако это не относится к предложениям, адресованным как детям, так и взрослым.

Как видите, согласие не является панацеей, когда речь идет об обработке персональных данных. Особенно с учетом того, что европейские органы по защите данных ясно дали понять, «что если контролер решит полагаться на согласие для какой-либо части обработки, он должен быть готов уважать этот выбор и остановить эту часть обработки, если физическое лицо отзовет согласие. ” В строгом понимании это означает, что контролеру не разрешается переключаться с согласия на законных основаниях на законный интерес после того, как субъект данных отзывает свое согласие. Это применимо даже в том случае, если изначально существовал действительный законный интерес.