GDPR: Так, я згодна
Особливості надання згоди на використання персональних даних.
«Так, я згодна!» – чи не найважливіша відповідь, яку сподівається почути будь-який чоловік лише єдиний раз у своєму житті.
Та не про освідчення в коханні піде мова нижче.
З набранням чинності у травні 2018 року Регламенту Європейського парламенту щодо захисту персональних даних (славнозвісний GDPR) питання отримання згоди на опрацювання персональних даних набуло неабиякого значення.
В даній статті ми не будемо зупинятись на загальних вимогах Регламенту, а пропонуємо детально з’ясувати деякі правові аспекти надання згоди особи на обробку її персональних даних у відповідності до положень GDPR.
Так, згода особи-суб’єкта даних на опрацювання своїх персональних даних є однією з шести правових підстав для такого опрацювання, передбачених ст. 6 GDPR. При цьому, згода на опрацювання даних є найпоширенішою правовою підставою для опрацювання персональних даних, а тому потребує ретельного вивчення.
Стаття 4 Регламенту надає загальне визначення згоди як вільно надана, конкретна, інформаційна та недвозначна вказівка суб’єкта даних, виражена шляхом оформлення заяви або шляхом здійснення чітких ствердних дій, якими суб’єкт даних підтверджує опрацювання його або її персональних даних.
Відтак, можна виокремити конкретні ознаки (елементи), якими обов’язково повинна бути наділена будь-яка згода суб’єкта даних:
- вільно надана,
- конкретна (надана для конкретно визначених цілей),
- інформаційна,
- недвозначна вказівка суб’єкта даних, виражена шляхом оформлення відповідної заяви або шляхом здійснення чітких ствердних дій;
Забезпечення дотримання усіх наведених елементів згоди є обов’язковим для всіх контролерів (особи, що здійснюють опрацювання даних), які опрацьовують персональні дані на підставі згоди особи.
Вільно надана згода («freely given»)
Відповідно до вимог GDPR згода вважається наданою вільно, якщо суб’єкт даних має реальну можливість вибору, не відчуває примушувань до надання згоди та для нього не настануть негативні наслідки у зв’язку з відмовою від надання згоди. Якщо згода є обов’язковою частиною чи умовою будь-якої угоди, така згода не може вважатись вільно наданою. Крім того, згода не може бути розглянута як надана вільно якщо в суб’єкта даних відсутня можливість відмовитись від неї чи відкликати надану раніше згоду.
Під час оцінки того, чи згода надана вільно, слід звертати увагу на конкретні ситуації прив’язки згоди до умов та цілей договорів, для виконання яких надається згода. Необхідно максимально враховувати, чи залежить виконання умов конкретного договору від згоди, наданої суб’єктом даних.
Будь-який прояв невідповідного тиску чи впливу на суб’єкта даних, які перешкоджають йому вільно укладати чи виконувати умови договору, буде підставою для визнання наданої згоди недійсною.
Наприклад, застосунок смарт-фону для опрацювання (редагування) фото запитує користувача про опрацювання його даних про місцерозташування; без надання такої згоди в особи відсутня можливість використовувати додаток. Однак опрацювання програмою смартфону інформації про місцезнаходження користувача не є необхідним для створення можливості в останнього для редагування фото. Відтак, згода, надана користувачем за таких умов, не може вважтись вільно наданою.
Конкретна згода («specific»)
Ст. 6 Регламенту передбачає, що підставою для опрацювання персональних даних є згода суб’єкта, надана для однієї чи кількох конкретних цілей.
Даний елемент згоди ґрунтується на одному із основоположних принципів GDPR – принцип «цільового обмеження» використання персональних даних (п. (b) ч. 1 ст. 5). Даний принцип означає, що опрацювання персональних даних можливе лише для визначених, чітких і законних цілей; контролер не вправі опрацьовувати дані у спосіб, що є несумісним з визначеними цілями.
Крім того, у випадку зміни цілей опрацювання даних, контролер зобов’язаний повідомити про це суб’єкта даних в простій та зрозумілій формі. У випадку, якщо суб’єкт не погодиться на подальше опрацювання його даних для нових цілей, контролер не вправі здійснювати таке опрацювання.
Контролер може опрацьовувати дані для кількох цілей. В такому випадку механізм отримання згоди повинен забезпечувати можливість суб’єкта даних надання згоди саме для конкретно визначеної цілі (цілей). При цьому, контролер повинен надати особі повну інформацію про кожну з визначених цілей, згоду на досягнення яких може надати суб’єкт.
Згода інформаційна («informed»)
Для того, щоб згода могла вважатись інформаційною, необхідною умовою є інформування суб’єкта даних про елементи згоди, які мають вирішальне значення для здійснення вибору (див. п. 1 – можливість вибору є однією зі складових вільно наданої згоди).
Контролер повинен повідомити усю необхідну інформацію до моменту надання суб’єктом даних своєї згоди. Це є необхідним для того, щоб суб’єкт даних розумів на що саме він/вона надає свою згоду, мав можливість прийняте обґрунтоване рішення.
Суб’єкт даних повинен бути проінформований, зокрема, про:
- дані контролера (у суб’єкта даних повинна бути реальна можливість ідентифікувати конкретну особу, яка опрацьовує його персональні дані);
- мету кожного з процесів опрацювання даних, на які надається згода;
- які дані будуть збиратись та використовуватись;
- про існування права суб’єкта даних відкликати свою згоду;
- інформація про автоматизоване опрацювання даних;
- про можливі ризики порушення захисту даних та наслідки порушення.
Регламент не містить чіткої імперативної вимоги щодо форми, в якій необхідна інформація може бути надана суб’єкту даних. Це означає, що інформація може бути представлена різними способами, зокрема, письмово або усно, шляхом аудіо чи відео повідомлення.
При цьому, встановлюється вимога, що контролер зобов’язаний надати необхідну інформацію простою та зрозумілою мовою. Тобто, повідомлення про надання згоди повинно бути повністю зрозумілим будь-якій особі, а не тільки юристам.
Недвозначна вказівка («Unambiguous indication of wishes»)
Для надання згоди суб’єкту даних необхідно вчинити дії, які дають можливість чітко встановити його/її бажання щодо опрацювання даних.
GDPR чітко встановлює, що суб’єкт даних може надати свою згоду у вигляді заяви, або шляхом чіткого підтвердження дій. Це означає, що в будь-якому випадку згода може виражатись тільки у вигляді активних дій суб’єкта даних. Повинно бути очевидним, що суб’єкт даних надав свою згоду для здійснення відповідного опрацювання.
Надання згоди «шляхом чіткого підтвердження дій» означає, що суб’єкт даних повинен здійснити умисні активні дії щодо погодження здійснення відповідних процесів опрацювання.
Найбільш поширеним прикладом цього сьогодні являється порядок надання згоди особи шляхом проставлення «галочки» у відповідному віконці електронної форми. Якщо «галочка» буде проставлена автоматично, без здійснення будь-яких дій суб’єктом даних, така згода не буде відповідати даному критерію. Тобто, для надання згоди, суб’єкт даних повинен власноручно проставити «галочку» (активна дія) у відповідному місці.
Загалом, усі наведені вище елементи згоди випливають із загальних принципів GDPR та є тісно пов’язаними між собою.
В будь-якому випадку особи, що здійснюють обробку персональних даних, повинні уважно та максимально ретельно ставитись до порядку то способів отримання згоди, які ними використовуються.
- Стейкхолдери – основний локомотив сучасної якісної освіти Сергій Пєтков 10:49
- "Спорт внє палітікі?". Як би ж то! Країна-агресор хоче повернутися у міжнародний спорт Володимир Горковенко 10:10
- Землі заказника "Лівобережний" у Дніпрі: історія зміни статусу та забудови Павло Васильєв вчора о 22:23
- Пам'яті жертв Другої Світової війни або чому ми не святкуємо! Дмитро Пульмановський вчора о 16:11
- Що робити, коли дії співробітника призвели до фінансових втрат? Олександр Висоцький вчора о 11:13
- Кабальні "угоди Яресько" блокують економічне відновлення України Любов Шпак вчора о 11:09
- Изменения в оформлении отсрочки от мобилизации с 06.05.2025 Віра Тарасенко 07.05.2025 23:36
- Безбар’єрність у лікарнях: чому доступ до медичних послуг виходить за межі пандусів Ігор Ткаченко 07.05.2025 15:10
- Де отримати криптоліцензію у 2025 році? Юлія Барабаш 07.05.2025 12:25
- Як сплачує податки та подає звітність контрольована іноземна компанія (КІК) Сергій Пагер 07.05.2025 09:19
- Тренди світових витрат засобами візуалізації: військо, освіта, охорона здоров’я Христина Кухарук 06.05.2025 19:13
- Як роботодавцю повернути кошти, сплачені працівнику за скасованим рішенням суду Альона Прасол 06.05.2025 14:30
- Чому підприємці бояться виходити на новий рівень і як подолати цей бар’єр? Олександр Висоцький 06.05.2025 14:12
- "Ситник проти України" – чи може справедливість бути упередженою? Дмитро Зенкін 06.05.2025 12:57
- Нові правила подачі заявок на торговельні марки Сергій Барбашин 06.05.2025 11:45
- Літо, тераси та куріння: чи є заборона для літніх майданчиків? 181
- Регіональні тренди запитів "Відео ШІ" в Україні: піки, спад і соціальні фактори 174
- Безбар’єрність у лікарнях: чому доступ до медичних послуг виходить за межі пандусів 117
- Тренди світових витрат засобами візуалізації: військо, освіта, охорона здоров’я 109
- Чому ми приймаємо нелогічні фінансові рішення? 104
-
Чому Путін святкує 9 травня. Справжня історія Другої світової, яку не вчать у Кремлі
10561
-
Угода Україна–США: три ключові вигоди для нашої держави
Думка 5974
-
Нове житло на межі зникнення. Що говорить статистика про кризу на ринку нерухомості
Бізнес 5529
-
8 травня. Чи можлива українська історія Другої світової
Думка 3505
-
Reuters: США і РФ обговорюють, як відновити постачання російського газу в Європу
Бізнес 3086