Згода на обробку персональних даних означає надання людям справжнього вибору та контролю над використанням персональних даних. Люди повинні мати змогу відмовитись від згоди без шкоди та можливість легко відкликати згоду в будь-який час. Це також означає, що згода повинна бути відокремлена від інших умов (включаючи надання окремих варіантів згоди для різних типів обробки), де це можливо.

Наприклад, Інтернет-магазин меблів вимагає, щоб клієнти давали згоду на обмін їх даними з іншими магазинами домашнього господарства як частину процесу оформлення замовлення. Магазин ставить згоду умовою продажу товарів, але обмін даними з іншими магазинами не є необхідним для такого продажу, тому згода не надається вільно і не діє. Магазин може попросити клієнтів погодитися на передачу своїх даних третім особам, але він повинен забезпечити їм свободу вибору. У магазині також вимагається, щоб клієнти давали згоду на передачу деталей кур'єру третьої сторони, який доставить товар. Це необхідно для виконання наказу, тому згоду можна вважати вільною (хоча "виконання контракту", ймовірно, буде більш прийнятною законною підставою).

До певної міри можна буде стимулювати згоду. Наприклад, якщо приєднання до схеми лояльності роздрібної торгівлі здійснюється за допомогою ваучерів для отримання грошей, існує певний стимул до згоди на маркетинг. Тим не менш, ви повинні бути обережними, щоб не перетинати лінію і несправедливо карати тих, хто відмовляється від згоди.

Вільно одержану згоду також буде важче отримати в контексті відносин, де існує дисбаланс влади - особливо для державних органів влади і роботодавців.

"Для того, щоб гарантувати вільну згоду, вона не повинна надавати дійсну правову підставу для обробки персональних даних у конкретному випадку, коли існує явний дисбаланс між суб'єктом даних та контролером, зокрема, коли контролером виступає державна влада, тому малоймовірно, що згода була вільно надана в усіх обставинах даної конкретної ситуації".

Що таке "конкретність та проінформованість"?
Згода на обробку персональних даних має містити таку інформацію:

1. Ідентифікація контролера. Це означає, що вам потрібно ідентифікувати себе, а також називати будь-яких контролерів, які будуть покладатися на згоду. Вам не потрібно називати процесорів у вашому запиті про згоду
2. Цілі обробки. Окрема згода буде потрібна для різних операцій обробки, де це доречно - так що вам необхідно дати окремі варіанти для згоди на конкретно визначені цілі, якщо це не буде надмірно руйнівним або заплутаним.
3. Діяльність з обробки. Знову, де це можливо, ви повинні надавати детальні параметри згоди для кожного окремого типу обробки, якщо тільки ці види діяльності не є явно взаємозалежними - але як мінімум, ви повинні конкретно охоплювати всі види обробки.
4. Право на відкликання згоди в будь-який час. Ми також рекомендуємо вам включити деталі про те, як це зробити.

 

Ви повинні чітко пояснити людям, на що вони згодні легким для розуміння способом. Запит на згоду повинен бути помітним, лаконічним, відокремленим від інших умов, а також простою мовою.

Якщо прохання про згоду розпливчасте, незрозуміле, то воно буде недійсним. Це стосується й мови, яка може заплутати, наприклад, використання подвійних негативів або непослідовної мови призведе до скасування згоди.
Необхідно подумати над тим, як найкраще підібрати свої запити на згоду та методи, щоб забезпечити чітку та вичерпну інформацію, не заважаючи людям або не порушуючи досвід користувачів, наприклад, розробку зручної шаруватої інформації та тимчасове погодження.

Вам необхідно переглядати ваші згоди та оновлювати їх, якщо ваші цілі або діяльність виходять за рамки того, що ви спочатку вказали. Згода не є конкретною, якщо змінюватимуться деталі - не існує такого поняття, як "еволюція" згоди.

Що таке однозначна вказівка (за твердженням або чіткими позитивними діями)?

Згода повинна бути надана чітким ствердним актом, наприклад, письмовою заявою, в тому числі електронними засобами, або усною заявою. Це може включати відмітку у вікні під час відвідування веб-сайту, вибір технічних налаштувань для служб інформаційного суспільства або іншу заяву. Мовчання, попередньо встановлені вікна або бездіяльність, таким чином, не повинні становити згоду.
Наприклад, індивід кидає свою візитну картку в призовий ящик у кафе. Це акт позитивного характеру, який чітко вказує, що він погоджуються з тим, щоб його ім'я та контактний номер оброблялися для розіграшу призів. Однак ця згода не поширюється на використання цих деталей для маркетингових або будь-яких інших цілей, адже і для цього вам потрібна інша законна основа.

Що таке "явна згода"?
Будь-яка згода повинна передбачати конкретні, проінформовані та однозначні вказівки побажань особи. Ключова відмінність, ймовірно, полягає в тому, що "явна" згода має бути підтверджена в чіткому викладі (усно чи письмово).
Особи не зобов'язані писати заяви про згоду; ви можете написати для них. Однак необхідно переконатися, що вони можуть чітко вказати, що згодні з заявою - наприклад, підписавшись своїм ім'ям або встановивши позначку біля нього.

У заяві на явну згоду також необхідно спеціально посилатися на елемент обробки, який її вимагає. Наприклад, у заяві слід вказати характер даних спеціальної категорії, деталі автоматизованого рішення та його наслідки, або деталі даних, які необхідно передати, та ризики передачі.

Скільки триває згода?
Залежить від контексту, де необхідно врахувати обсяг оригінальної згоди та очікування особи. Наприклад, тренажерний зал запускає акцію, яка надає учасникам можливість вибирати електронні листи з порадами про здорове харчування та про те, як отримати форму для свого літнього відпочинку. Оскільки запит на отримання згоди визначається певним періодом та кінцевою точкою - літній відпочинок - очікується, що ці листи припиняться після літа. Тому згода закінчується.
У випадку, якщо хтось скасовує згоду, необхідно припинити обробку якомога швидше.

Чи може третя сторона давати згоду від імені особи?
GDPR не перешкоджає третій стороні, яка діє від імені фізичної особи, вказати свою згоду. Однак, ви повинні продемонструвати, що третя сторона має повноваження робити це. На практиці в більшості випадків важко переконатися, що третя сторона має повноваження надавати згоду. Це буде доречним у випадках, коли індивідууму бракує здатності надавати згоду, але хтось має певні юридичні повноваження приймати рішення від його імені (наприклад, за дорученням).

Які правила щодо згоди дітей?
Якщо ви надаєте послуги безпосередньо дітям (крім профілактичних або консультаційних послуг), ви повинні отримати згоду батьків для дітей до 13 років (вік, встановлений Великобританією в Законі про захист даних 2018).
Якщо ви вирішите покластися на згоду дітей, вам потрібно буде запровадити заходи з перевірки віку та зробити «розумні зусилля» для перевірки батьківської відповідальності за тих, хто не досяг відповідного віку.
Для інших видів обробки загальне правило у Великобританії полягає в тому, що ви повинні розглянути, чи кожна дитина спроможна розуміти на що вона дає згоду ("тест на компетентність Гілліка").

Коли згода є неприйнятною?
Підсумовуючи вищевикладене, зазначимо, що ви не маєте дійсної згоди, якщо застосовується будь-яке з наступного:

1. Ви сумніваєтеся, чи хтось погодився;
2. Людина не розуміє, що вона погодилась;
3. У вас немає чітких записів, щоб продемонструвати згоду;
4. Не існувало справжнього вільного вибору;
5. За відмову у згоді особа буде покараною;
6. Є чіткий дисбаланс влади між вами і людиною;
7. Згода була передумовою послуги, але обробка не потрібна для цієї послуги;
8. Згода була поєднана з іншими умовами;
9. Прохання про згоду було неясним;
10. Ви використовуєте попередньо встановлені вікна вибору або інші методи згоди за умовчанням;
11. Ви не розповідали людям про їх право відкликати згоду;
12. Люди не можуть легко відмовитися від згоди;
13. Ваша діяльність розвивалася за межами первинної згоди.