GDPR: Так, я згодна
Особливості надання згоди на використання персональних даних.
«Так, я згодна!» – чи не найважливіша відповідь, яку сподівається почути будь-який чоловік лише єдиний раз у своєму житті.
Та не про освідчення в коханні піде мова нижче.
З набранням чинності у травні 2018 року Регламенту Європейського парламенту щодо захисту персональних даних (славнозвісний GDPR) питання отримання згоди на опрацювання персональних даних набуло неабиякого значення.
В даній статті ми не будемо зупинятись на загальних вимогах Регламенту, а пропонуємо детально з’ясувати деякі правові аспекти надання згоди особи на обробку її персональних даних у відповідності до положень GDPR.
Так, згода особи-суб’єкта даних на опрацювання своїх персональних даних є однією з шести правових підстав для такого опрацювання, передбачених ст. 6 GDPR. При цьому, згода на опрацювання даних є найпоширенішою правовою підставою для опрацювання персональних даних, а тому потребує ретельного вивчення.
Стаття 4 Регламенту надає загальне визначення згоди як вільно надана, конкретна, інформаційна та недвозначна вказівка суб’єкта даних, виражена шляхом оформлення заяви або шляхом здійснення чітких ствердних дій, якими суб’єкт даних підтверджує опрацювання його або її персональних даних.
Відтак, можна виокремити конкретні ознаки (елементи), якими обов’язково повинна бути наділена будь-яка згода суб’єкта даних:
- вільно надана,
- конкретна (надана для конкретно визначених цілей),
- інформаційна,
- недвозначна вказівка суб’єкта даних, виражена шляхом оформлення відповідної заяви або шляхом здійснення чітких ствердних дій;
Забезпечення дотримання усіх наведених елементів згоди є обов’язковим для всіх контролерів (особи, що здійснюють опрацювання даних), які опрацьовують персональні дані на підставі згоди особи.
Вільно надана згода («freely given»)
Відповідно до вимог GDPR згода вважається наданою вільно, якщо суб’єкт даних має реальну можливість вибору, не відчуває примушувань до надання згоди та для нього не настануть негативні наслідки у зв’язку з відмовою від надання згоди. Якщо згода є обов’язковою частиною чи умовою будь-якої угоди, така згода не може вважатись вільно наданою. Крім того, згода не може бути розглянута як надана вільно якщо в суб’єкта даних відсутня можливість відмовитись від неї чи відкликати надану раніше згоду.
Під час оцінки того, чи згода надана вільно, слід звертати увагу на конкретні ситуації прив’язки згоди до умов та цілей договорів, для виконання яких надається згода. Необхідно максимально враховувати, чи залежить виконання умов конкретного договору від згоди, наданої суб’єктом даних.
Будь-який прояв невідповідного тиску чи впливу на суб’єкта даних, які перешкоджають йому вільно укладати чи виконувати умови договору, буде підставою для визнання наданої згоди недійсною.
Наприклад, застосунок смарт-фону для опрацювання (редагування) фото запитує користувача про опрацювання його даних про місцерозташування; без надання такої згоди в особи відсутня можливість використовувати додаток. Однак опрацювання програмою смартфону інформації про місцезнаходження користувача не є необхідним для створення можливості в останнього для редагування фото. Відтак, згода, надана користувачем за таких умов, не може вважтись вільно наданою.
Конкретна згода («specific»)
Ст. 6 Регламенту передбачає, що підставою для опрацювання персональних даних є згода суб’єкта, надана для однієї чи кількох конкретних цілей.
Даний елемент згоди ґрунтується на одному із основоположних принципів GDPR – принцип «цільового обмеження» використання персональних даних (п. (b) ч. 1 ст. 5). Даний принцип означає, що опрацювання персональних даних можливе лише для визначених, чітких і законних цілей; контролер не вправі опрацьовувати дані у спосіб, що є несумісним з визначеними цілями.
Крім того, у випадку зміни цілей опрацювання даних, контролер зобов’язаний повідомити про це суб’єкта даних в простій та зрозумілій формі. У випадку, якщо суб’єкт не погодиться на подальше опрацювання його даних для нових цілей, контролер не вправі здійснювати таке опрацювання.
Контролер може опрацьовувати дані для кількох цілей. В такому випадку механізм отримання згоди повинен забезпечувати можливість суб’єкта даних надання згоди саме для конкретно визначеної цілі (цілей). При цьому, контролер повинен надати особі повну інформацію про кожну з визначених цілей, згоду на досягнення яких може надати суб’єкт.
Згода інформаційна («informed»)
Для того, щоб згода могла вважатись інформаційною, необхідною умовою є інформування суб’єкта даних про елементи згоди, які мають вирішальне значення для здійснення вибору (див. п. 1 – можливість вибору є однією зі складових вільно наданої згоди).
Контролер повинен повідомити усю необхідну інформацію до моменту надання суб’єктом даних своєї згоди. Це є необхідним для того, щоб суб’єкт даних розумів на що саме він/вона надає свою згоду, мав можливість прийняте обґрунтоване рішення.
Суб’єкт даних повинен бути проінформований, зокрема, про:
- дані контролера (у суб’єкта даних повинна бути реальна можливість ідентифікувати конкретну особу, яка опрацьовує його персональні дані);
- мету кожного з процесів опрацювання даних, на які надається згода;
- які дані будуть збиратись та використовуватись;
- про існування права суб’єкта даних відкликати свою згоду;
- інформація про автоматизоване опрацювання даних;
- про можливі ризики порушення захисту даних та наслідки порушення.
Регламент не містить чіткої імперативної вимоги щодо форми, в якій необхідна інформація може бути надана суб’єкту даних. Це означає, що інформація може бути представлена різними способами, зокрема, письмово або усно, шляхом аудіо чи відео повідомлення.
При цьому, встановлюється вимога, що контролер зобов’язаний надати необхідну інформацію простою та зрозумілою мовою. Тобто, повідомлення про надання згоди повинно бути повністю зрозумілим будь-якій особі, а не тільки юристам.
Недвозначна вказівка («Unambiguous indication of wishes»)
Для надання згоди суб’єкту даних необхідно вчинити дії, які дають можливість чітко встановити його/її бажання щодо опрацювання даних.
GDPR чітко встановлює, що суб’єкт даних може надати свою згоду у вигляді заяви, або шляхом чіткого підтвердження дій. Це означає, що в будь-якому випадку згода може виражатись тільки у вигляді активних дій суб’єкта даних. Повинно бути очевидним, що суб’єкт даних надав свою згоду для здійснення відповідного опрацювання.
Надання згоди «шляхом чіткого підтвердження дій» означає, що суб’єкт даних повинен здійснити умисні активні дії щодо погодження здійснення відповідних процесів опрацювання.
Найбільш поширеним прикладом цього сьогодні являється порядок надання згоди особи шляхом проставлення «галочки» у відповідному віконці електронної форми. Якщо «галочка» буде проставлена автоматично, без здійснення будь-яких дій суб’єктом даних, така згода не буде відповідати даному критерію. Тобто, для надання згоди, суб’єкт даних повинен власноручно проставити «галочку» (активна дія) у відповідному місці.
Загалом, усі наведені вище елементи згоди випливають із загальних принципів GDPR та є тісно пов’язаними між собою.
В будь-якому випадку особи, що здійснюють обробку персональних даних, повинні уважно та максимально ретельно ставитись до порядку то способів отримання згоди, які ними використовуються.
- Успіх компанії залежить від ефективності кожного працівника Катерина Мілютенко вчора о 23:55
- Поділу доходів отриманих другим із подружжя від зайняття підприємницькою діяльністю Євген Морозов вчора о 20:34
- Скасування повідомлення про підготовчі роботи: юридичні аспекти Павло Васильєв вчора о 17:22
- Судова практика: сервітут без переговорів – шлях до відмови в позові Світлана Приймак вчора о 16:11
- Доцільність залучення експерта у виконавчому провадженні Дмитро Зенкін вчора о 13:14
- 2025. Рік економічного відновлення, репатріації та інтеграції військових. Чи буде так? Сергій Лабазюк вчора о 11:43
- Розпорядження майном "цивільного подружжя" при поділі спільного сумісного майна Євген Морозов 22.12.2024 20:34
- JIT – концепція, час якої настав Наталія Качан 22.12.2024 19:43
- Оновлення законодавства про захист персональних даних: GDPR в законопроєкті 8153 Анастасія Полтавцева 21.12.2024 18:47
- Податкова біполярність або коли виграв справу, але неправильно Євген Власов 21.12.2024 16:35
- Встановлення факту спільного проживання «цивільного подружжя» при поділі майна Євген Морозов 21.12.2024 10:52
- Когнітивка від Psymetrics – прогнозований бар’єр для Вищого антикорупційного суду Лариса Гольник 21.12.2024 09:26
- Топ-3 проєктів протидії фінансовому шахрайству у 2024 році Артем Ковбель 20.12.2024 23:10
- Как снять арест с карты: советы для должников ЖКХ Віра Тарасенко 20.12.2024 21:40
- Кейс нотаріальної фальсифікації в Україні: кримінал, зловживання довірою й порушення етики Світлана Приймак 20.12.2024 16:40
- Україна сировинний придаток, тепер офіційно? 1396
- Когнітивка від Psymetrics – прогнозований бар’єр для Вищого антикорупційного суду 685
- Правова стратегія для захисту інтересів дитини у суді 567
- Вчимося та вчимо дітей: мотивація та управління часом 316
- 2025. Рік економічного відновлення, репатріації та інтеграції військових. Чи буде так? 200
-
В Україні рекордно подорожчав часник
Бізнес 8108
-
Укренерго дало команду на екстрені відключення світла: причина
оновлено Бізнес 3654
-
"Особливі буряти" Путіна. Як солдати КНДР воюють проти України: ексклюзивні подробиці
3135
-
Королі савани, небезпечний Крейвен і поїздка, з якої немає вороття: три кіноновинки тижня
Життя 2723
-
"Ми повинні потримати цю штуку ще трохи". Трамп виступив проти заборони TikTok в США
Бізнес 2569