Согласие на обработку персональных данных означает предоставление людям настоящего выбора и контроля над использованием персональных данных. Люди должны иметь возможность отказаться от согласия без ущерба и возможность легко отозвать согласие в любое время. Это также означает, что согласие должно быть отделено от других условий (включая предоставление отдельных вариантов согласия для различных типов обработки), где это возможно.

Например, интернет-магазин мебели требует, чтобы клиенты давали согласие на обмен их данными с другими магазинами домашнего хозяйства как часть процесса оформления заказа. Магазин ставит согласие условием продажи товаров, но обмен данными с другими магазинами не является необходимым для такой продажи, поэтому согласие не предоставляется свободно и не действует. Магазин может попросить у клиентов согласие на передачу своих данных третьим лицам, но он должен обеспечить им свободу выбора. В магазине также требуется, чтобы клиенты давали согласие на передачу деталей курьеру третьей стороны, который доставит товар. Это необходимо для выполнения приказа, поэтому согласие можно считать свободным (хотя «выполнение контракта», вероятно, будет более приемлемым законным основанием).

В известной степени можно будет стимулировать согласие. Например, если присоединение к схеме лояльности розничной торговли осуществляется с помощью ваучеров для получения денег, существует определенный стимул к согласию на маркетинг. Тем не менее, вы должны быть осторожными, чтобы не пересекать линию и несправедливо наказывать тех, кто отказывается от согласия.

Свободно полученное согласие также будет труднее получить в контексте отношений, где существует дисбаланс власти - особенно для государственных органов власти и работодателей.

"Для того, чтобы гарантировать свободное согласие, она не должна давать действительное правовое основание для обработки персональных данных в конкретном случае, когда существует явный дисбаланс между субъектом данных и контролером, в частности, когда контроллером выступает государственная власть, поэтому маловероятно, что согласие было свободно предоставлено во всех обстоятельствах данной конкретной ситуации".

Что такое "конкретность и осведомленность"?
Согласие на обработку персональных данных должно содержать следующую информацию:

1. Идентификация контроллера. Это означает, что вам нужно идентифицировать себя, а также называть любых контролеров, которые будут полагаться на согласие. Вам не нужно называть процессоров в вашем запросе о согласии.
2. Цели обработки. Отдельное согласие потребуется для различных операций обработки, где это уместно - так что вам необходимо дать отдельные варианты для согласия на конкретно определенные цели, если это не будет чрезмерно разрушительным или запутанным.
3. Деятельность по обработке. Опять, где это возможно, вы должны предоставлять детальные параметры согласия для каждого типа обработки, если только эти виды деятельности не являются явно взаимосвязаны - но как минимум, вы должны конкретно охватывать все виды обработки.
4. Право на отзыв согласия в любое время. Мы также рекомендуем вам включить детали о том, как это сделать.

 

Вы должны четко объяснить людям, на что они согласны легким для понимания способом. Запрос на согласие должен быть заметным, лаконичным, отделенным от других условий, а также простым языком.

Если просьба о согласии расплывчатая, непонятная, то оно будет недействительным. Это касается и языка, который может запутать, например, использование двойных негативов или непоследовательного языка приведет к отмене согласия.
Необходимо подумать над тем, как лучше подобрать свои запросы на согласие и методы, чтобы обеспечить четкую и исчерпывающую информацию, не мешая людям или не нарушая опыт пользователей, например, разработку удобной слоистой информации и временное согласование.

Вам необходимо просматривать ваши согласия и обновлять их, если ваши цели или деятельность выходят за рамки того, что вы сначала указали. Согласие не является конкретным, если будут меняться детали - не существует такого понятия, как «эволюция» согласия.

Что такое однозначное указание (по утверждению или четкими положительными действиями)?

Согласие должно быть дано четким утвердительным актом, например, письменным заявлением, в том числе электронными средствами, или устным заявлением. Это может включать отметку в окне во время посещения веб-сайта, выбор технических настроек для служб информационного общества или другое заявление. Молчание, предварительно установленые окна или бездействие, таким образом, не должны составлять согласие.
Например, индивид бросает свою визитную карточку в призовой ящик в кафе. Это акт положительного характера, который четко указывает, что он соглашается с тем, чтобы его имя и контактный номер обрабатывались для розыгрыша призов. Однако это согласие не распространяется на использование этих деталей для маркетинговых или любых других целей, ведь и для этого вам нужна другая законная основа.

Что такое "явное согласие"?
Любое согласие должно предусматривать конкретные, проинформированые и однозначные указания пожеланий человека. Ключевое отличие, вероятно, заключается в том, что «явное» согласие должно быть подтверждено в четком изложении (устно или письменно).
Лица не обязаны писать заявления о согласии; вы можете написать для них. Однако необходимо убедиться, что они могут четко указать, что согласны с заявлением - например, подписавшись своим именем или установив флажок него.

В заявлении на явное согласие также необходимо специально ссылаться на элемент отделки, который ее требует. Например, в заявлении следует указать характер данных специальной категории, детали автоматизированного решения и его последствия, или детали данных, которые необходимо передать, и риски передачи.

Сколько длится согласие?
Зависит от контекста, где необходимо учесть объем оригинального согласия и ожидания человека. Например, тренажерный зал запускает акцию, которая предоставляет участникам возможность выбирать электронные письма с советами о здоровом питании и о том, как получить форму для своего летнего отдыха. Поскольку запрос на получение согласия определяется определенным периодом и конечной точкой - летний отдых - ожидается, что эти письма прекратятся после лета. Поэтому согласие заканчивается.
В случае, если кто-то отменяет согласие, необходимо прекратить обработку как можно скорее.

Может третья сторона давать согласие от имени лица?
GDPR не препятствует третьей стороне, которая действует от имени физического лица, указать свое согласие. Однако, вы должны продемонстрировать, что третья сторона полномочна делать это. На практике в большинстве случаев трудно убедиться, что третья сторона полномочна давать согласие. Это будет уместным в случаях, когда индивидуму не хватает способности давать согласие, но кто-то имеет определенные юридические полномочия принимать решения от его имени (например, по доверенности).

Какие правила согласия детей?
Если вы предоставляете услуги непосредственно детям (кроме профилактических или консультационных услуг), вы должны получить согласие родителей для детей до 13 лет (возраст, установленный Великобританией в Законе о защите данных 2018).
Если вы решите положиться на согласие детей, вам нужно будет ввести меры по проверке возраста и сделать «разумные усилия» для проверки родительской ответственности тех, кто не достиг соответствующего возраста.
Для других видов обработки общее правило в Великобритании заключается в том, что вы должны рассмотреть, каждый ребенок способен ли понимать на что он дает согласие ( «тест на компетентность Гиллик»).

Когда согласие неприемлемо?
Подытоживая вышеизложенное, отметим, что у вас нет действительного согласия, если применяется любое из следующих:

1. Вы сомневаетесь, кто согласился;
2. Человек не понимает, что он согласилась;
3. У вас нет четких записей, чтобы продемонстрировать согласие;
4. Не было настоящего свободного выбора;
5. За отказ в согласии лицо будет наказано;
6. Есть четкий дисбаланс власти между вами и человеком;
7. Согласие было предпосылкой услуги, но обработка не требуется для этой услуги;
8. Согласие было совмещено с другими условиями;
9. Просьба о согласии была неясной;
10. Вы используете предварительно установленые окна выбора или другие методы согласия по умолчанию;
11. Вы не рассказывали людям об их праве отозвать согласие;
12. Люди не могут легко отказаться от согласия;
13. Ваша деятельность развивалась за пределами первичного согласия.