З набранням чинності у травні 2018 року Регламенту Європейського парламенту щодо захисту персональних даних (славнозвісний GDPR) питання отримання згоди на опрацювання персональних даних набуло неабиякого значення.
В даній статті ми не будемо зупинятись на загальних вимогах Регламенту, а пропонуємо детально з’ясувати деякі правові аспекти надання згоди особи на обробку її персональних даних у відповідності до положень GDPR.
Так, згода особи-суб’єкта даних на опрацювання своїх персональних даних є однією з шести правових підстав для такого опрацювання, передбачених ст. 6 GDPR. При цьому, згода на опрацювання даних є найпоширенішою правовою підставою для опрацювання персональних даних, а тому потребує ретельного вивчення.
Стаття 4 Регламенту надає загальне визначення згоди як вільно надана, конкретна, інформаційна та недвозначна вказівка суб’єкта даних, виражена шляхом оформлення заяви або шляхом здійснення чітких ствердних дій, якими суб’єкт даних підтверджує опрацювання його або її персональних даних.
Відтак, можна виокремити конкретні ознаки (елементи), якими обов’язково повинна бути наділена будь-яка згода суб’єкта даних:
- вільно надана,
- конкретна (надана для конкретно визначених цілей),
- інформаційна,
- недвозначна вказівка суб’єкта даних, виражена шляхом оформлення відповідної заяви або шляхом здійснення чітких ствердних дій;
Забезпечення дотримання усіх наведених елементів згоди є обов’язковим для всіх контролерів (особи, що здійснюють опрацювання даних), які опрацьовують персональні дані на підставі згоди особи.
Вільно надана згода («freely given»)
Відповідно до вимог GDPR згода вважається наданою вільно, якщо суб’єкт даних має реальну можливість вибору, не відчуває примушувань до надання згоди та для нього не настануть негативні наслідки у зв’язку з відмовою від надання згоди. Якщо згода є обов’язковою частиною чи умовою будь-якої угоди, така згода не може вважатись вільно наданою. Крім того, згода не може бути розглянута як надана вільно якщо в суб’єкта даних відсутня можливість відмовитись від неї чи відкликати надану раніше згоду.
Під час оцінки того, чи згода надана вільно, слід звертати увагу на конкретні ситуації прив’язки згоди до умов та цілей договорів, для виконання яких надається згода. Необхідно максимально враховувати, чи залежить виконання умов конкретного договору від згоди, наданої суб’єктом даних.
Будь-який прояв невідповідного тиску чи впливу на суб’єкта даних, які перешкоджають йому вільно укладати чи виконувати умови договору, буде підставою для визнання наданої згоди недійсною.
Наприклад, застосунок смарт-фону для опрацювання (редагування) фото запитує користувача про опрацювання його даних про місцерозташування; без надання такої згоди в особи відсутня можливість використовувати додаток. Однак опрацювання програмою смартфону інформації про місцезнаходження користувача не є необхідним для створення можливості в останнього для редагування фото. Відтак, згода, надана користувачем за таких умов, не може вважтись вільно наданою.
Конкретна згода («specific»)
Ст. 6 Регламенту передбачає, що підставою для опрацювання персональних даних є згода суб’єкта, надана для однієї чи кількох конкретних цілей.
Даний елемент згоди ґрунтується на одному із основоположних принципів GDPR – принцип «цільового обмеження» використання персональних даних (п. (b) ч. 1 ст. 5). Даний принцип означає, що опрацювання персональних даних можливе лише для визначених, чітких і законних цілей; контролер не вправі опрацьовувати дані у спосіб, що є несумісним з визначеними цілями.
Крім того, у випадку зміни цілей опрацювання даних, контролер зобов’язаний повідомити про це суб’єкта даних в простій та зрозумілій формі. У випадку, якщо суб’єкт не погодиться на подальше опрацювання його даних для нових цілей, контролер не вправі здійснювати таке опрацювання.
Контролер може опрацьовувати дані для кількох цілей. В такому випадку механізм отримання згоди повинен забезпечувати можливість суб’єкта даних надання згоди саме для конкретно визначеної цілі (цілей). При цьому, контролер повинен надати особі повну інформацію про кожну з визначених цілей, згоду на досягнення яких може надати суб’єкт.
Згода інформаційна («informed»)
Для того, щоб згода могла вважатись інформаційною, необхідною умовою є інформування суб’єкта даних про елементи згоди, які мають вирішальне значення для здійснення вибору (див. п. 1 – можливість вибору є однією зі складових вільно наданої згоди).
Контролер повинен повідомити усю необхідну інформацію до моменту надання суб’єктом даних своєї згоди. Це є необхідним для того, щоб суб’єкт даних розумів на що саме він/вона надає свою згоду, мав можливість прийняте обґрунтоване рішення.
Суб’єкт даних повинен бути проінформований, зокрема, про:
- дані контролера (у суб’єкта даних повинна бути реальна можливість ідентифікувати конкретну особу, яка опрацьовує його персональні дані);
- мету кожного з процесів опрацювання даних, на які надається згода;
- які дані будуть збиратись та використовуватись;
- про існування права суб’єкта даних відкликати свою згоду;
- інформація про автоматизоване опрацювання даних;
- про можливі ризики порушення захисту даних та наслідки порушення.
Регламент не містить чіткої імперативної вимоги щодо форми, в якій необхідна інформація може бути надана суб’єкту даних. Це означає, що інформація може бути представлена різними способами, зокрема, письмово або усно, шляхом аудіо чи відео повідомлення.
При цьому, встановлюється вимога, що контролер зобов’язаний надати необхідну інформацію простою та зрозумілою мовою. Тобто, повідомлення про надання згоди повинно бути повністю зрозумілим будь-якій особі, а не тільки юристам.
Недвозначна вказівка («Unambiguous indication of wishes»)
Для надання згоди суб’єкту даних необхідно вчинити дії, які дають можливість чітко встановити його/її бажання щодо опрацювання даних.
GDPR чітко встановлює, що суб’єкт даних може надати свою згоду у вигляді заяви, або шляхом чіткого підтвердження дій. Це означає, що в будь-якому випадку згода може виражатись тільки у вигляді активних дій суб’єкта даних. Повинно бути очевидним, що суб’єкт даних надав свою згоду для здійснення відповідного опрацювання.
Надання згоди «шляхом чіткого підтвердження дій» означає, що суб’єкт даних повинен здійснити умисні активні дії щодо погодження здійснення відповідних процесів опрацювання.
Найбільш поширеним прикладом цього сьогодні являється порядок надання згоди особи шляхом проставлення «галочки» у відповідному віконці електронної форми. Якщо «галочка» буде проставлена автоматично, без здійснення будь-яких дій суб’єктом даних, така згода не буде відповідати даному критерію. Тобто, для надання згоди, суб’єкт даних повинен власноручно проставити «галочку» (активна дія) у відповідному місці.
Загалом, усі наведені вище елементи згоди випливають із загальних принципів GDPR та є тісно пов’язаними між собою.
В будь-якому випадку особи, що здійснюють обробку персональних даних, повинні уважно та максимально ретельно ставитись до порядку то способів отримання згоди, які ними використовуються.
