Это перевод официального руководства Согласия на обработку персональных данных (Guidelines on Consent under Regulation 2016/679 wp259rev.01) рабочей группы Еврокомиссии. Оригинал опубликован на 23 официальных языках Европейского Союза. Не смотря на то, что русский не входит в их число, он весьма распространен в Европе. Если ваш бизнес обслуживает клиентов из стран ЕС, то вы обязаны соответствовать Общему регламенту защиты персональных данных (General Data Protection Regulation), который вступил в силу 25 мая 2018 года.
Согласие на обработку персональных данных - это первое, с чем встречается ваш клиент. Не смотря на кажущуюся простоту, Руководство занимает 30 страниц и до сих пор вызывает трудности: утечка персональных данных на веб-сайтах ЕС варьируется от 12% до 41%, а штрафы регуляторов - от тысяч до десятков миллионов евро. Крупные компании со штатом юристов и инженеров имеют возможность оперативно реагировать на изменения бизнес-среды, но индивидуальным предпринимателям и малому бизнесу часто приходится полагаться лишь на себя, принимая все риски.
Автор постарался передать положения Руководства как можно ближе к оригиналу, смягчая особенно жесткий канцелярит. Перевод выполнен с оригиналов на двух языках, не имеет юридической силы. Автор не предоставляет гарантий, и не несет ответственности за любые претензии, убытки или упущенную прибыль. Но будет рад получать дельные замечания и улучшения формулировок.
1. Введение
В этом Руководстве содержится тщательный анализ понятия Согласия, содержащегося в Регламенте 2016/679 - Общего регламента защиты персональных данных (GDPR). На сегодняшний день концепция Согласия, используемая в Директиве о защите данных (Директива 95/46/EC) и в Директиве о конфиденциальности и электронных средствах связи (Директива 2002/58/EC), эволюционировала. GDPR содержит дополнительные разъяснения и уточнения требований к получению и демонстрации Согласия, имеющего законную силу. Данное руководство сосредоточено на этих изменениях, предлагая практическое руководство по обеспечению соблюдения требований GDPR, опираясь на Заключение 15/2011 о Согласии. Обязанность контролеров персональных данных заключается во внедрении инноваций и поиска новых решений в рамках закона, которые содействуют защите персональных данных и интересам субъектов данных.
В соответствии со статьей 6 GDPR Согласие является одним из шести оснований законной обработки персональных данных. Начиная деятельность, связанную с обработкой персональных данных, контролер всегда должен учитывать законное основание для предполагаемой обработки.
Как правило, Согласие может быть законным основанием только в том случае, если субъекту данных предлагается контроль и свободный выбор в отношении принятия или отклонения предлагаемых условий без неблагоприятных последствий. Запрашивая Согласие, контролер обязан оценить, будет ли оно соответствовать всем имеющимся требованиям. Согласие, полученное в полном соответствии с GDPR, оно является инструментом, который дает субъектам данных контроль над тем, будут ли обрабатываться их персональные данные или нет. В противном случае у субъекта данных не будет фактического контроля, и такое Согласие считается незаконным основанием для обработки.
Имеющиеся заключения рабочей группы (WP29) о Согласии остаются актуальными до тех пор, пока они согласуются с новым законодательством, поскольку кодифицируемые GDPR указания и рекомендации, а также ключевых элементы Согласия, остаются в GDPR неизменными. Таким образом, в этом документе WP29 скорее расширяет и дополняет предыдущие заключения по конкретным аспектам Согласия, которые ссылаются на Соглашение в толковании Директивы 95/46/EC, а не заменяет их.
Как указано в Заключении 15/2011 об определении термина Согласия, предложение принять операцию обработки данных должно подчиняться строгим правилам, поскольку оно касается основных свобод субъектов данных и желания контролера участвовать в этих операциях, которая без Согласия субъекта данных была бы незаконна. Важнейшая роль Согласия подчеркивается в статьях 7 и 8 Хартии Основных Прав Европейского Союза. Кроме того, полученное Согласия не исключает и никоим образом не меняет обязанности контролера соблюдать принципы, закрепленные в GDPR, особенно в статье 5, в отношении справедливости, необходимости, соразмерности и качества данных. Даже если обработка персональных данных основана на Согласии субъекта данных, оно не легализует сбор данных, который не требуется для заявленной цели обработки, становясь таким образом несправедливой.
В то же время WP29 известно о пересмотре Директивы 2002/58/EC. Понятие Согласия в черновике этой Директивы по-прежнему согласуется с GDPR. Организациям, вероятно, потребуется Согласие в соответствии с ней для большинства маркетинговых сообщений, звонков и методов отслеживания в Интернет, включая использование cookie, приложений или другого программного обеспечения. Касаемо Согласия WP29 уже предоставила Европейскому законодателю свои предложения и указания.
Что касается текущей версии Директивы 2002/58/EC, то WP29 отмечает, что ссылки на отмененную Директиву 95/46/EC должны толковаться как ссылки на GDPR. Это также относится к ссылкам на Согласие в Директиве 2002/58/EC, поскольку она прекращает свое действие 25 мая 2018 года. Согласно статье 95 GDPR, обязательства в контексте предоставления общедоступных электронных услуг в коммуникационных сетях общего пользования не считаются «дополнительными», а скорее предварительными законными условиями. Поэтому имеющиеся в GDPR требования получения Согласия применимы и в ситуациях в рамках Директивы 2002/58/EC.
2. Согласие в Статье 4(11) GDPR
Статья 4(11) GDPR определяет Согласие следующим образом: «добровольное, конкретное, информированное и однозначное волеизъявление, в котором субъект данных с помощью заявления или четкого утвердительного действия дает согласие на обработку своих персональных данных.»
Понимание основания Согласия остается таким же, как и в Директиве 95/46/EC, и Согласие является одним из законных оснований, на которых должна базироваться обработка персональных данных в соответствии со статьей 6 GDPR. Помимо измененного определения в статье 4(11), GDPR дает дополнительные указания в статье 7 и в пунктах 32, 33, 42 и 43 относительно того, как контролер должен действовать для обеспечения соответствия элементам Согласия.
Наконец, включение конкретных норм об отзыве Согласия подтверждает, что Согласие должно быть обратимым и контролируемым со стороны субъекта данных решением.
3. Элементы Законного Согласия
Статья 4 (11) GDPR определяет Согласие субъекта как:
- добровольное,
- конкретное,
- информированное и
- однозначное волеизъявление, в котором субъект данных с помощью заявления или четкого утвердительного действия дает согласие на обработку своих персональных данных.
Ниже анализируется, в какой степени статья 4(11) GDPR требует от контролеров изменять свои запросы/формуляры на получение Согласия, чтобы обеспечить соблюдение GDPR.
3.1. Добровольное
Этот элемент подразумевает реальный выбор и контроль для субъектов данных. GDPR предусматривает, что если субъект данных не имеет реального выбора, чувствует себя быть вынужденным согласиться или понести ущерб не согласившись, то такое Согласие считается незаконным. Если Согласие включено в условия обслуживания как неизменная его часть, то оно не считается данным добровольно. Соответственно, Согласие не считается добровольным, если субъект данных не может отказаться или отозвать его без неблагоприятных последствий для себя. Понятие дисбаланса между контролером и субъектом данных также учитывается в GDPR.
Оценивая, добровольно ли дано Согласие, следует также принимать во внимание конкретную ситуацию связи его с соглашениями о предоставлении услуг, как это описано в статье 7(4). Статья 7(4) сформулирована неточно словами «в частности», что означает, что может существовать целый ряд ситуаций, которые подпадают под действие этой нормы. В общем случае, любой элемент давления или влияния на субъекта данных (который может проявляться различными способами), препятствующий субъекту данных осуществлять свою свободную волю, делает Согласие незаконным.
Пример 1
Мобильное приложение для редактирования фотографий просит своих пользователей активировать GPS-геолокацию для использования его услуг. Приложение также сообщает своим пользователям, что будет использовать собранные данные для поведенческой рекламы. Ни геолокация, ни поведенческая реклама в Интернете не являются необходимыми для редактирования фотографий и выходят за рамки основной услуги. Поскольку пользователи не могут использовать приложение без Согласия, оно не считается данным добровольно.
3.1.1. Дисбаланс
Пункт 43 четко указывает на то, что вряд ли государственные органы могут полагаться на Согласие, поскольку когда контролером данных является государство, часто наблюдается явный дисбаланс в отношениях между ним и субъектом данных. Кроме того, в большинстве случаев ясно, что субъект данных не имеет никаких реальных альтернатив принятию условий такого контролера. WP29 считает, что существуют и другие законные основания, которые в принципе более подходят деятельности государственных органов.
Тем не менее, применение Согласия в качестве законного основания для обработки данных государственными органами не является исключением в GDPR. Следующие примеры показывают, что Согласие может быть уместным при определенных обстоятельствах.
Пример 2
Муниципалитет планирует проведение ремонтных работ на дорогах. Поскольку дорожные работы могут нарушить движение транспорта в течение длительного времени, муниципалитет предлагает жителям возможность подписаться на рассылку электронной почты, чтобы получать обновленную информацию о ходе работ и ожидаемых заторах. Муниципалитет ясно дает понять, что подписка не обязательна, и запрашивает Согласие на использование адресов электронной почты исключительной для этой цели. Жители, которые не дают своего Согласия, не потеряют доступ к другим услугам и не будут ущемлены правах, поэтому имеют возможность добровольно решать, давать или не давать Согласие на такое использование их данных. Вся информация о дорожных работах также будет доступна на сайте муниципалитета.
Пример 3
Физическое лицо, владеющее землей, нуждается в разрешениях как от своего муниципалитета, так и от руководства провинции, которому муниципалитет подчинен. Оба государственных органа требуют одну и ту же информацию для выдачи своего разрешения, но не имеют доступа к базам данных друг друга. Поэтому обе стороны запрашивают одну и ту же информацию, и землевладелец рассылает свои данные обоим органам. Муниципалитет и руководство провинции просят Согласия на объединение дел, чтобы избежать дублирования процедур и переписки. Оба государственных органа следят за тем, чтобы Согласие было факультативным, и чтобы запросы на получение разрешения по-прежнему обрабатывались отдельно, если лицо решит не соглашаться на слияние данных. Землевладелец добровольно может дать Согласие властям на объединение дел, или отказаться.
Пример 4
ВУЗ запрашивает у студентов Согласие на использование их фотографий в студенческом журнале. Согласие считается добровольным, если учащимся не будет отказано в образовании или других услугах без какого-либо ущерба, если они решат не давать его.
Дисбаланс также проявляется в контексте занятости. Учитывая зависимость между работодателем и работником, маловероятно, что субъект данных может отказать своему работодателю в Согласии на обработку персональных данных, не испытывая страха или риска негативных последствий в результате отказа. Маловероятно, что работник может добровольно согласиться, например, активировать системы мониторинга, такие как камеры наблюдения на рабочем месте, или заполнить оценочные формы, не испытывая никакого давления. Таким образом, WP29 считает проблематичным для работодателей обрабатывать персональные данные работников на основе Согласия, поскольку оно вряд ли может считаться добровольно данным. Для большинства случаев обработки данных на производстве Согласие работников (статья 6(1)(а) GDPR) не может быть законным основанием в силу характера отношений.
Однако это не означает, что работодатели не могут полагаться на Согласие в качестве законного основания для обработки персональных данных. Могут возникать ситуации, когда работодатель может продемонстрировать, что Согласие фактически дается добровольно. Учитывая дисбаланс между работодателем и его сотрудниками, работники могут давать Согласие добровольно только в обстоятельствах, когда оно не будет иметь никаких негативных последствий независимо от того, дают они Согласие или нет.
Пример 5
Съемочная группа будет снимать в определенной части офиса. Работодатель просит всех сотрудников, которые работают в этой зоне, дать свое Согласие на съемку, поскольку они могут появиться на заднем плане видео. Те, кто не хочет сниматься, ни в коем случае не наказываются, а вместо этого получают эквивалентные рабочие места в другой части офиса на время съемок.
Дисбаланс не ограничивается лишь государственными органами и работодателями, он может возникать и в других ситуациях. WP29 подчеркивает, что Согласие законно только в том случае, если субъект данных способен осуществлять реальный выбор, без риска обмана, запугивания, принуждения или негативных последствий. Согласие не будет добровольным, когда существует какой-либо элемент принуждения, давления или невозможности осуществлять свободную волю.
3.1.2. Факультативность
Для оценки того, является ли Согласие добровольным, важную роль играет статья 7(4) GDPR. Она указывает, в частности, что «связывание» Согласия с принятием условий обслуживания или «привязка» предоставления услуги к запросу о Согласии на обработку персональных данных, которые не являются необходимыми для исполнения контракта, является крайне нежелательной. Согласие, которое дается в такой ситуации, не считается добровольным (пункт 43). Статья 7(4) направлена на обеспечение того, чтобы цель обработки персональных данных не была замаскирована или связана с контрактом, для которого эти данные не нужны. GDPR утверждает, что обработка персональных данных, на которую запрашивается Согласие, не может прямо или косвенно стать встречным требованием. Два основания для законной обработки персональных данных - Согласие и предоставление услуги - не могут быть объединены и размыты.
Принуждение к Согласию на использование персональных данных сверх необходимого, ограничивает выбор субъекта данных и препятствует осуществлению свободной воли. Поскольку закон направлен на защиту основных прав, контроль над данными имеет важнейшее значение. Утверждается, что Согласие на использование персональных данных сверх необходимого, не может быть обязательным допущением в обмен на исполнение контракта или оказание услуг.
Всякий раз, когда Согласие связано с исполнением контракта, субъект данных, не желающий предоставлять персональные данные, рискует получить отказ в обслуживании.
Чтобы оценить, есть ли «связывание» или «привязка», важно определить, сферу действия контракта и данные, необходимые для его исполнения. Согласно Заключению 06/2014 WP29, термин «необходимый для исполнения контракта» нужно толковать узко. Обработка должна быть необходима для исполнения контракта с каждым отдельным субъектом данных. Например, в контексте Интернет-магазина, это может быть адрес доставки товаров или реквизиты кредитной карты. В контексте занятости, это может быть информация о заработной плате и реквизиты банковских счетов. Должна существовать прямая и объективная связь между данными и целью их использования в контракте.
Если контролер желает обрабатывать персональные данные, которые фактически необходимы для исполнения контракта, тогда Согласие не является обязательным основанием.
Статья 7(4) применяется только в тех случаях, когда запрашиваемые данные не являются необходимыми для исполнения контракта, и исполнение ставится в зависимость от получения этих данных через Согласие. И наоборот, если данные являются необходимыми для исполнения контракта, то статья 7(4) не применяется.
Пример 6
Банк запрашивает у клиентов Согласие разрешить третьим лицам использовать их реквизиты для прямого маркетинга. Эта деятельность не является необходимой для исполнения договора и оказания обычных услуг. Если отказ клиента дать Согласие приведет к отказу в предоставлении банковских услуг, закрытию счета или увеличению комиссии, то такое Согласие не считается добровольным.
Акцентирование внимания на факультативности как на презумпции отсутствия свободы Согласия, демонстрирует, что условия ее возникновения должны быть тщательно проверены. Термин «уделять наибольшее внимание» в статье 7(4) означает, что контролер должен проявлять особую осторожность, когда в договоре содержится запрос о Согласии на обработку персональных данных.
Поскольку формулировка статьи 7(4) не абсолютна, то могут встречаться случаи, когда факультативность не делает Согласие незаконным. Однако слово «предполагаемый» в пункте 43 указывает на то, что такие случаи будут крайне редкими.
В любом случае бремя доказательства, предусмотренное в статье 7(4), лежит на контролере. Это правило отражает общий принцип подотчетности, который действует в рамках всего GDPR. Однако при применении статьи 7(4) контролеру будет труднее доказать, что свое Согласие субъект данных дал добровольно.
Контролер может утверждать, что организация предлагает субъектам данных реальный выбор, если они могут выбирать между услугой, которая требует Согласия на использование персональных данных в дополнительных целях, и идентичной услугой, которая не требует такого Согласия. До тех пор, пока существует возможность исполнения контракта без получения Согласия на использование дополнительных данных, оно не считается факультативным. При этом обе услуги должны быть фактически идентичны.
WP29 считает, что Согласие не считается добровольным, если контролер утверждает, что существует выбор между услугой, которая требует Согласия на использование персональных данных в дополнительных целях, и идентичной услугой другого контролера, которая не требует такого Согласия. В таком случае свобода выбора будет зависеть от того, найдет ли субъект данных услуги фактически идентичными. Кроме того, контролер будет обязан следить за рынком для обеспечения постоянной законности такого Согласия, поскольку конкурент позже может изменить услугу. Следовательно, такой аргумент означает, что Согласие не соответствует требованиям GDPR.
3.1.3. Детализация
Услуга может включать в себя несколько операций обработки данных для более чем одной цели. В таких случаях субъекты данных должны иметь возможность выбора, для какой именно цели они дают Согласие, по отдельности. В соответствии с GDPR, для начала предоставления услуги может быть запрошено несколько Согласий.
В пункте 43 разъясняется, что Согласие не считается добровольным, если процесс получения не позволяет субъектам данных давать Согласие на отдельные операции. Пункт 32 гласит: «Согласие должно охватывать все способы обработки персональных данных, осуществляемые для достижения одной и той же цели. В случае, если обработка персональных данных имеет несколько целей, необходимо получить согласие для каждой из них.»
Если контролер объединил несколько целей обработки и не попытался получить отдельное Согласие для каждой из них, это означает отсутствие свободы. Детализация тесно связана с необходимостью конкретизации Согласия, которая описывается в разделе 3.2. ниже. Когда обработка данных осуществляется в нескольких целях, условием законного Согласия является разделение этих целей и получение Согласия для каждой.
Пример 7
Одним запросом Согласия ритейлер запрашивает у своих клиентов разрешение на использование данных для отправки им маркетинговых сообщений по электронной почте, а также для обмена данными с другими партнерами группы. Такое Согласие не является детализированным, поскольку нет отдельных опций для этих двух целей и поэтому не считается законным. Необходимо получить Согласие на отправку данных партнерам группы. Такое Согласие будет считаться законным для каждого партнера (см. также раздел 3.3.1), перечисленного в Согласии, в той мере, в какой оно соответствует заявленной цели.
3.1.4. Ущерб
Контролер обязан продемонстрировать субъекту данных, что тот может отозвать Согласие без ущерба для себя (пункт 42). Например, контролеру необходимо доказать, что отзыв Согласия не приводит к издержкам для субъекта данных и не создает ему очевидных неудобств.
Другими примерами ущерба являются обман, запугивание, принуждение или значительные негативные последствия, если субъект данных не дает своего Согласия. Контролер обязан доказать, что субъект данных имеет свободный выбор относительно того, следует ли давать Согласие, и что он может отозвать его без ущерба для себя.
Если контролер показывает, что услуга включает в себя возможность отозвать Согласие без негативных последствий, например, без снижения качества, это может служить доказательством добровольного Согласия. GDPR не включает все стимулы, но бремя доказательства добровольности данного Согласия лежит на контролере во всех случаях.
Пример 8
При загрузке мобильного lifestyle-приложения, оно запрашивает доступ к акселерометру телефона. Акселерометр не требуется для работы приложения, но полезно для контролера, который хочет знать больше о перемещениях и активности своих пользователей. Когда пользователь отзывает Согласие, он узнает, что приложение теперь работает только в ограниченном режиме. Это пример ущерба, указанный в пункте 42, означающий, что Согласие не было получено законным образом (и поэтому контролеру необходимо удалить все персональные данные о перемещениях пользователя, собранные таким образом).
Пример 9
Субъект данных подписывается на информационный бюллетень модного ритейлера со скидками. Ритейлер запрашивает Согласие на сбор дополнительных данных о предпочтениях, чтобы адаптировать предложения на основе истории покупок или анкеты, которую клиент добровольно заполняет. Когда субъект данных отзывает свое Согласие, он снова получает не персонализированные скидки. Это не является ущербом, поскольку был потерян лишь допустимый стимул.
Пример 10
Модный журнал предлагает читателям доступ к покупке новых косметических средств до официального релиза. Эти продукты вскоре будут доступны для продажи, но читателям предлагается эксклюзивный предварительный просмотр этих продуктов. Для того чтобы воспользоваться этим преимуществом, они должны предоставить свой почтовый адрес и согласиться на рассылку. Почтовый адрес необходим для доставки, а список рассылки используется для отправки коммерческих предложений на такие товары, как косметика или футболки круглый год. Компания поясняет, что данные из списка рассылки будут использоваться только для отправки товаров и бумажной рекламы самим журналом и не будут переданы сторонней организации. Если читатель не желает раскрывать свой адрес для этой цели, ущерб не возникает, так как продукты будут доступны ему в любом случае.
3.2. Конкретное
Статья 6(1)(а) подтверждает, что Согласие должно быть дано в отношении «одной или нескольких конкретных» целей и что субъект данных имеет выбор в отношении каждой из них. Требование того, что Согласие должно быть конкретным, направлено на обеспечение пользовательского контроля и прозрачности для субъекта данных. GDPR не менял это требование, и оно остается тесно связанным с требованием информированного Согласия. В то же время, оно должно толковаться в соответствии с требованием детализации для получения добровольного Согласия. В целом, чтобы соответствовать конкретности, контролер должен:
- указать цель как защитную меру от ее расширения,
- детализировать запрос Согласия и,
- четко отделить информацию, связанную с получением Согласия, от любой другой.
Дополнение к 1. В соответствии со статьей 5(1)(b) GDPR получению Согласия всегда предшествует определение конкретной, явной и законной цели предполагаемой обработке данных. Необходимость конкретного Согласия в сочетании с концепцией ограничения цели в статье 5(1)(b) служит защитой от постепенного расширения цели сбора данных, после того как субъект дал Согласие. Это явление, также известное как функциональная ползучесть, представляет риск для субъектов данных, поскольку может привести к непредвиденному использованию персональных данных контролером или третьими лицами, и потере контроля.
Если контролер полагается на статью 6(1)(а), субъекты данных всегда должны давать Согласие на конкретную цель обработки. В соответствии с концепцией ограничения цели, статьей 5(1)(b) и пунктом 32, Согласие может охватывать различные операции, если они служат одной цели. Разумеется, конкретное Согласие может быть получено только тогда, когда субъекты данных будут точно проинформированы о предполагаемых целях обработки.
Несмотря на возможность совмещать цели, Согласие должно быть конкретным для каждой. Субъекты данных должны давать Согласие с пониманием того, что они контролируют ситуацию, и их данные будут обрабатываться только в указанных целях. Если контролер законно обрабатывает данные для одной цели и желает обрабатывать их также и для другой, то контролер обязан запрашивать дополнительное Согласие и для нее, если только нет другого законного основания, которое лучше отражает ситуацию.
Пример 11
Сеть кабельного телевидения собирает персональные данные абонентов с их Согласия, чтобы делать персональные предложения по новым фильмам, исходя из их привычек. Через некоторое время телевизионная сеть решает, что она хотела бы позволить третьим лицам отправлять (или показывать) целевую рекламу на основе привычек абонента. Для этой новой цели необходимо новое Согласие.
Дополнение к 2. Механизмы Согласия должны быть не только детализированы, чтобы соответствовать требованию «добровольного», но и соответствовать элементу «конкретности». Это означает, что контролер, который запрашивает Согласие для различных целей, должен предоставить выбор для каждой из них, чтобы позволить пользователям давать Согласие для конкретной цели обработки.
Дополнение к 3. Наконец, контролеры обязаны предоставлять конкретную информацию в каждом отдельном запросе Согласия для каждой цели, чтобы субъекты данных знали о влиянии различных вариантов выбора. Так субъекты данных получают возможность давать конкретное Согласие. Этот момент связан с обязанностью предоставлять ясную информацию в пункте 3.3. ниже.
3.3. Информированное
В GDPR введено требование о том, что Согласие должно быть информированным. Основываясь на статье 5 GDPR, требование прозрачности является одним из основополагающих принципов, тесно связанных с принципами справедливости и законности. Предоставление информации субъектам данных до получения их Согласия имеет важное значение для принятия ими обоснованного решения, для понимания с чем именно они соглашаются, и, скажем, пониманием права отозвать свое Согласие. Если контролер не предоставляет доступную информацию, субъект данных не получает фактического контроля, и такое Согласие считается незаконным основанием для обработки.
Следствием несоблюдения требования об информированном Согласии является его незаконность, и контролер, возможно, нарушает статью 6 GDPR.
3.3.1. Минимальные Требования к Содержанию для Получения «Информированного» Согласия
Чтобы Согласие было информированным, необходимо предоставить субъекту данных несколько элементов, имеющих решающее значение для принятия им решения. Поэтому WP29 придерживается мнения, что для получения законного Согласия требуется по меньшей мере следующая информация:
- наименование контролера,
- цели обработки, для которых предназначаются персональные данные,
- типы данных, которые будут собираться и использоваться,
- наличие права на отзыв Согласия,
- сведения об автоматической обработке данных в соответствии со статьей 22(2)(с), где это уместно, и
- сведения о возможных рисках передачи данных из-за отсутствия адекватного решения и защитных мер, описанных в статье 46.
Касаемо пунктов 1. и 3., WP29 отмечает, что в случае, когда запрашиваемое Согласие должно быть получено несколькими (совместными) контролерами, или если данные должны быть переданы или обработаны другими контролерами, которые желают присоединиться к такому Согласию, то все они должны быть перечислены. Обработчики данных могут не указываться, хотя для соблюдения статей 13 и 14 GDPR контролеры обязаны предоставить полный список получателей данных или их категорий, включая обработчиков. В заключение WP29 отмечает, что в зависимости от обстоятельств, субъекту данных может потребоваться дополнительная информация, позволяющая ясно понять операции обработки данных.
3.3.2. Как Предоставить Информацию
GDPR не описывает форму или вид, как именно должна предоставляться информация для выполнения требования об информированном Согласии. Это означает, что она может быть представлена различными способами, такими как письменные или устные заявления, аудио- или видео-сообщения. Тем не менее, в GDPR существует несколько требований к информированному Согласию, главным образом в статье 7(2) и пункте 32. Что повышает степень ясности и доступности.
Запрашивая Согласие, контролер всегда должен использовать ясный и простой язык. Это означает, что сообщение должно быть легко понятно обычному человеку, а не только юристу. Контролеры не должны использовать длинные политики конфиденциальности, которые трудно понять, или юридический жаргон. Согласие должно быть ясным, отличимым от других вопросов, и предоставляться в понятной и легкодоступной форме. Это требование означает, что сведения, имеющие отношение к принятию обоснованного решения о согласии или несогласии, не могут быть скрыты в общих условиях обслуживания.
Контролер обязан обеспечить получение Согласия на основе информации, позволяющей субъекту данных легко распознать, кто есть контролер и с чем именно они соглашаются. Контролер должен ясно описать цель обработки, для которой запрашивается Согласие.
Другие конкретные указания по обеспечению доступности включены WP29 в условия прозрачности. Если Согласие дается электронно, то запрос на него должен быть ясным и кратким. Всеобъемлющая и детализированная информация более подходит для двусторонних обязательств - точная и полная с одной стороны, и понятная с другой.
Контролер обязан оценить целевую аудитория, которая передает персональные данные. Например, если она включает несовершеннолетних, контролер должен убедиться, что информация понятна и им. После такой оценки контролер обязан определить, какую информацию и каким образом он должен предоставить субъектам данных.
Статья 7(2) рассматривает заранее подготовленные письменные заявления о Согласии, которые касаются и другие вопросов. Когда Согласие запрашивается в рамках (бумажного) договора, такой запрос должен быть четко отделен от других вопросов. Если бумажный договор содержит аспекты, не связанные с Согласием, то вопрос о нем должен рассматриваться так, чтобы он четко выделялся, либо предлагался отдельным документом. Аналогично, если Согласие запрашивается электронно, то запрос должен быть обособлен и не может быть лишь абзацем в условиях обслуживания, в соответствии с пунктом 32. При размещении на небольших экранах или в ограниченном пространстве, всесторонний способ предоставления информации может быть уместен во избежание чрезмерного взаимодействия с пользователем или нарушения дизайна продукта.
Контролер, который ссылается на Согласие, также обязан выполнять требования, изложенные в статьях 13 и 14, чтобы соответствовать GDPR. На практике, для соблюдения этих требований и соблюдения требования об информированном Согласии, можно применить комплексный подход. Однако этот раздел Руководства написан в том контексте, что законное «информированное» Согласие может быть получено, даже если не все элементы статей 13 и/или 14 упоминаются в процессе получения (эти пункты, конечно, должны быть упомянуты в другом месте, например, в политике конфиденциальности). WP29 выпустила отдельные рекомендации, касающиеся прозрачности.
Пример 12
Компания X является контролером, получившим жалобы на то, что субъектам данных неясно, для каких целей запрашивают их Согласие. Компания видит необходимость проверить, является ли ее информация в запросе понятной для субъектов данных. X организует добровольные тестовые панели для нескольких категорий своих клиентов и представляет новые положения о Согласии этим группам, прежде чем передавать ее вовне. Отбор респондентов осуществляется с учетом принципа независимости и на основе стандартов, обеспечивающих репрезентативный, непредвзятый результат. Группа получает анкету и указывает, что респонденты понимают из информации и как они оценивают ее с точки зрения ясности и релевантности. Контролер продолжает тестирование до тех пор, пока панели не покажут, что информация стала ясна. X составляет отчет о тестах и сохраняет его для дальнейшего использования. Этот пример показывает возможный способ для X продемонстрировать, что субъекты данных получали ясную информацию, прежде чем дать Согласие на обработку.
Пример 13
Компания занимается обработкой данных на основании Согласия. Компания использует всестороннее уведомление о конфиденциальности, которое включает в себя запрос Согласия. Компания раскрывает все главные сведения о контролере и методах обработки данных. Однако компания не указывает, как можно связаться с ее сотрудником по защите данных на первом уровне уведомления. Как указано в статье 6, этот контролер получил законное «информированное» Согласие, даже если контактные данные сотрудника не были сообщены в соответствии со статьей 13(1)(b) или 14(1)(b) GDPR.
3.4. Однозначное Волеизъявление
GDPR определяет, что Согласие требует заявления или четкого утвердительного действия субъекта данных. Должно быть очевидно, что субъект данных дал свое Согласие на конкретную обработку.
Статья 2(h) Директивы 95/46/EC описывает Согласие как «волеизъявление, которым субъект данных выражает свое Согласие на обработку персональных данных, к нему относящихся». Статья 4(11) GDPR строится на этом определении, уточняя, что законное Согласие требует однозначного волеизъявления с помощью заявления или четкого утвердительного действия, в соответствии с предыдущим указаниями WP29.
«Четкое утвердительное действие» означает, что субъект осознанно соглашается на конкретную обработку. В разделе 32 излагаются дополнительные указания по этой теме. Согласие может быть получено посредством письменного или (записанного) устного заявления, а также электронно.
Возможно, самый простой способ выполнить требование «письменного заявления» - это убедиться, что субъект данных с помощью письма или электронной почты объяснил контролеру с чем именно он согласен. Зачастую это невыполнимо. Соответствующие GDPR письменные заявления могут быть различными.
Без ущерба для имеющегося (национального) договорного права, Согласие может быть получено посредством записанного устного сообщения, предварительно учитывая информацию, имеющуюся в распоряжении субъекта данных. В соответствии с GDPR, использование заранее выбранных опций недопустимо. Молчание, бездействие или продолжение работы с сервисом не считается признаком выбора.
Пример 14
При установке, приложение запрашивает у субъекта данных Согласие на использование персонализированных отчетов о сбоях для улучшения его качества. К запросу Согласия прилагается всесторонняя политика конфиденциальности, содержащая всю необходимую информацию. Активно ставя галочку в необязательном поле с надписью «Я согласен», пользователь выполняет четкое утвердительное действие, чем дает свое Согласие на обработку.
Контролер должен учесть, что Согласие не может быть получено одновременно с договором на предоставление услуг. Принятие условий обслуживания не может рассматриваться как четкое утвердительное действие на использование персональных данных. GDPR запрещает заранее выбранные опции (например, поле «отписаться») или иные способы, требующие вмешательства субъекта данных для отзыва Согласия.
Когда Согласие дается электронно, запрос не должен излишне прерывать работу с сервисом. Четкое утвердительное действие, с помощью которого субъект данных предоставляет Согласие, может быть необходимым, если менее прерывающий способ его получения ведет к двусмысленности. Таким образом, для запроса Согласия может быть необходимо частично приостановить взаимодействие с пользователем, чтобы сделать запрос легитимным.
В соответствии с GDPR контролеры имеют право самостоятельно разрабатывать процесс Согласия, который лучше подходит организации. В этом ключе физические действия могут быть квалифицированы как четкие утвердительные.
Контролеры должны разрабатывать механизмы Согласия таким образом, чтобы они были понятны субъектам данных. Контролеры должны избегать неясности и обеспечить, чтобы действие, посредством которого дается Согласие, можно было отличить от других действий. Таким образом, обычное продолжение использования веб-сайта не является действием, из которого можно сделать вывод о желании субъекта данных выразить свое Согласие на операцию обработки.
Пример 15
Ведя пальцем по экрану, активируя умную камеру, поворачивая смартфон по часовой стрелке или выполняя восьмиступенчатый жест, можно дать Согласие, если предоставляется четкая информация, что такое движение означает Согласие на конкретный запрос (например, Поводите пальцем влево, если вы соглашаетесь на использование информации X для целей Y. Повторите это движение для подтверждения). Контролер обязан доказать, что Согласие было получено таким образом, и субъекты данных должны иметь возможность отозвать его так же легко, как и дать.
Пример 16
Прокрутка вниз или просмотр веб-сайта не удовлетворяет требованию четкого утвердительного действия. Потому что предупреждение, что «продолжение использования будет представлять собой Согласие», может быть трудно различимо и/или пропущено, когда субъект данных быстро просматривает большие объемы текста, и такое действие не считается достаточно однозначным.
В цифровом мире многие сервисы нуждаются в персональных данных, поэтому субъекты данных получают многократные запросы на Согласие, на которые каждый день нужно отвечать с помощью клика и ведения пальцем по экрану. Это может привести к некоторой апатии: когда запросы встречаются слишком часто, их фактический предупреждающий эффект уменьшается.
Это приводит к ситуации, когда запрос Согласия больше не прочитывается. Такая ситуация представляет собой высокий риск для субъектов данных, поскольку Согласие обычно запрашивается на обработку, которая была бы без него незаконна. GDPR возлагает на контролеров обязанность разрабатывать методы решения этой проблемы.
Широко известный пример такой ситуации - это получение Согласия пользователя Интернета через настройки в его браузере. Такие настройки должны быть разработаны в соответствии с GDPR. Например, Согласие должно быть детализировано для каждой из целей и должно содержать имена контролеров.
В любом случае, Согласие должно быть получено до того, как контролер приступит к обработке персональных данных. В предыдущих рекомендациях WP29 последовательно придерживалась того, что Согласие должно быть дано до начала деятельности по обработке. Не смотря на то, что в статье 4(11) GDPR буквально не предписывается получение Согласия до начала обработки, это явно подразумевается. Заголовок статьи 6(1) и формулировка «дано» в статье 6(1)(а) поддерживают такое толкование. Из статьи 6 и пункта 40 логически следует, что перед началом обработки данных должно иметься законное основание. Поэтому, Согласие должно быть дано до начала процесса обработки данных. В принципе, достаточно один раз запросить Согласие субъекта данных. Однако контролеры обязаны получать новое Согласие, если цели обработки изменились, или появилась дополнительная цель.
4. Получение Явного Согласия
Явное Согласие требуется в некоторых ситуациях, когда возникает серьезный риск защиты данных, следовательно, высокий уровень индивидуального контроля над личными данными считается целесообразным. Согласно GDPR, явное Согласие играет важную роль в статье 9 касательно обработки специальных категорий данных, положений о передаче данных третьим странам или международным организациям, если отсутствуют защитные меры, предусмотренные в статье 49 и 22 об автоматизированном принятии решений, включая профилирование.
GDPR предусматривает, что «заявление или четкое утвердительное действие» является необходимым условием для «простого» Согласия. Поскольку важность требования «простого» Согласия в GDPR выше чем в Директиве 95/46/EC, необходимо уточнить, какие именно дополнительные усилия должен предпринять контролер, чтобы получить явное Согласие субъекта данных в соответствии с GDPR.
Термин явный относится к способу выражения Согласия субъектом данных. Это означает, что субъект данных должен дать явно выраженное Согласие. Очевидным способом убедиться в том, что Согласие является явным, было бы дача Согласия в письменном виде. В таких случаях контролер может удостовериться, что письменное заявление подписано субъектом данных, с тем чтобы устранить все возможные сомнения и потенциальное отсутствие доказательств в будущем.
Однако письменное заявление не является единственным способом получения явного Согласия, и нельзя сказать, что GDPR обязывает получать письменное Согласие во всех случаях, которые требуют законного явного Согласия. Например, в цифровом мире субъект данных может дать Согласие, заполнив электронную форму, отправив е-мейл, загрузив отсканированный документ с подписью или используя электронную подпись. Теоретически, использование устных заявлений также может быть достаточным для получения законного явного Согласия, однако контролеру будет труднее доказать, что все условия законного явного Согласия были соблюдены при регистрации такого заявления.
Организация также может получить явное Согласие по телефону при условии, что информация о выборе является справедливой, понятной и четкой, и у субъекта данных запрашивается конкретное действие (например, нажатие кнопки или предоставление устного подтверждения).
Пример 17
Контролер данных может получить явное Согласие от посетителя своего веб-сайта, предложив экран Согласия, который содержит флажки «Да» и «Нет», при условии, что текст четко указывает на Согласие. Например, «Настоящим я даю согласие на обработку моих данных», а не, скажем, «Мне ясно, что мои данные будут обработаны». Разумеется, должны быть соблюдены и другие условия получения законного Согласия.
Пример 18
Клиника косметической хирургии запрашивает у пациента явное Согласие на передачу его медицинской карты эксперту, который дает второе заключение о состоянии пациента. Медицинская карта - это файл. Учитывая специфический характер информации, клиника запрашивает электронную подпись субъекта данных, чтобы получить законное явное Согласие и иметь возможность доказать, что явное Согласие было получено.
Двухэтапная проверка Согласия также может быть способом подтверждения, что явное Согласие в силе. Например, субъект данных получает е-мейл, сообщающий о намерении контролера обработать его медицинские данные. Контролер разъясняет, что запрашивает Согласие на использование определенного набора данных для определенной цели. Если субъект данных согласен на такую обработку, контролер просит ответить по е-мейлу текстом «Я согласен». После отправки ответа, субъект данных получает ссылку перехода, или SMS с кодом, для подтверждения соглашения.
Статья 9(2) не признает «необходимость исполнения контракта» как исключение из общего запрета на обработку специальных категорий данных. Поэтому контролеры и страны Евросоюза, имеющие дело с такой ситуацией, обязаны изучить исключения, содержащиеся в пунктах с (b) по (j) статьи 9(2). Если ни одно из них не применимо, получение явного Согласия в соответствии GDPR остается единственным возможным законным исключением для обработки таких данных.
Пример 19
Авиакомпания Holiday Airways предлагает пассажирам, которые не могут путешествовать без посторонней помощи, например, из-за инвалидности, дополнительные услуги по организации поездок. Клиент бронирует рейс из Амстердама в Будапешт и просит помощи для посадки в самолет. Holiday Airways требует от него предоставить информацию о состоянии здоровья, чтобы организовать соответствующие услуги (следовательно, существует много возможностей, скажем: инвалидная коляска у выхода на посадку или помощник, сопровождающий из пункта А в пункт Б). Holiday Airways запрашивает явное Согласие на обработку медицинских данных клиента с целью организации запрашиваемой помощи в путешествии. Данные, обрабатываемые на основании Согласия, должны быть необходимы для запрашиваемой услуги. При этом, полеты в Будапешт остаются доступными и без такой услуги. Обратите внимание, что поскольку медицинские данные необходимы для предоставления запрашиваемой услуги, статья 7(4) не применяется.
Пример 20
Успешная компания специализируется на изготовлении лыжных и сноубордных очков на заказ, а также других видов индивидуальных очков для занятий спортом на открытом воздухе. Идея заключается в том, что люди могут их носить без своих собственных очков. Компания получает заказы в центральном бюро и поставляет продукцию по всему ЕС. Для того чтобы иметь возможность предоставлять индивидуальные продукты, контролер запрашивает Согласие на использование информации о состоянии зрения. Клиенты предоставляют необходимые данные, скажем, рецепт, электронным образом при размещении заказы. Без этих данных невозможно изготовить индивидуальные очки. Компания также предлагает серию защитных очков со стандартизированными коррекционными значениями. Клиенты, которые не желают предоставлять медицинские данные, могут выбрать их. Поэтому, требуется явное Согласие в соответствии со статьей 9, и оно будет считаться данным добровольно.
5. Дополнительные Условия Получения Законного Согласия
GDPR вводит требования к контролерам принимать дополнительные меры для обеспечения того, чтобы они получали, поддерживали и могли продемонстрировать законное Согласие. Статья 7 GDPR описывает эти дополнительные меры с конкретными положениями о ведении журнала Согласия и праве легкого отзыва Согласие. Статья 7 также применяется к Согласию, упомянутому в других статьях GDPR, например в статьях 8 и 9. Руководство относительно дополнительных требований к демонстрации законного Согласия и к его отзыву, приводится ниже.
5.1. Демонстрация Согласия
Статья 7(1) GDPR определяет явное обязательство контролера демонстрировать Согласие субъекта данных. В соответствии со статьей 7(1) бремя доказательств лежит на контролере.
В пункте 42 говорится: «Если обработка осуществляется на основании согласия субъекта данных, контролер должен быть в состоянии продемонстрировать, что субъект данных дал согласие на операцию по обработке.»
Контролеры могут разрабатывать собственные методы соблюдения этого требования таким образом, чтобы они лучше соответствовали их деятельности. В то же время, обязанность демонстрировать полученное законное Согласие, сама по себе не должна приводить к чрезмерной дополнительной обработке данных. Это означает, у контролеров должно быть достаточно данных, чтобы продемонстрировать связь с обработкой (показать получение Согласия), но они не обязаны собирать данные сверх необходимого.
Контролер обязан показать, что действующее Согласие было получено от субъекта данных. В GDPR точно не указано, как именно это должно быть сделано. Однако, контролер должен доказать, что субъект данных дал свое Согласие. Пока ведется деятельность по обработке данных, существует обязательство демонстрировать Согласие. После завершения обработки, в соответствии со статьями 17(3)(b) и (e), доказательство Согласия не должно храниться дольше строго необходимого для выполнения юридических обязательств, предъявления, исполнения или защиты юридических требований.
Например, контролер может хранить протокол полученных заявлений о Согласии, чтобы показать, как и когда оно было получено, и какая именно информация была предоставлена субъекту данных в тот момент. Контролер также обязан показать, что субъект данных был проинформирован, и процесс получения соответствовал всем критериям законного Согласия. Логической причиной этой обязанности GDPR является то, что контролеры должны брать ответственность за получение законного Согласия субъекта и свои механизмы его получения. Например, в онлайн-контексте контролер может хранить информацию о сеансе, во время которого было дано Согласие вместе с документацией процесса получения и копией информации, которая была представлена субъекту данных в это время. Недостаточно просто сослаться на правильную конфигурацию веб-сайта.
Пример 21
Больница создает научно-исследовательскую программу под названием «Проект X», для которой необходимы стоматологические карты реальных пациентов. Участники набираются с помощью телефонных звонков пациентам, которые добровольно соглашаются быть в списке кандидатов. Контролер запрашивает явное Согласие субъекта данных на использование его стоматологической карты. Согласие дается во время телефонного разговора путем записи устного заявления субъекта данных, в котором он подтверждает дачу Согласия на использование данных в целях «Проекта X».
GDPR не определяет конкретный срок годности Согласия. Срок годности зависит от контекста, сферы применения и ожидания субъекта данных. Если операции обработки значительно меняются, то первоначальное Согласие перестает действовать. В таком случае необходимо получить новое разрешение.
WP29 рекомендует время от времени обновлять Согласие. Повторное предоставление информации помогает обеспечить хорошую осведомленность субъекта данных об использовании его данных и правах.
5.2. Отзыв Согласия
Отзыв Согласия занимает важное место в GDPR. Нормы GDPR и требования к отзыву Согласия можно рассматривать как кодификацию существующего толкования этого вопроса в заключениях WP29.
Статья 7(3) GDPR предписывает, что контролер обязан обеспечить, чтобы субъект данных в любой момент времени мог отозвать Согласие также легко, как оно было предоставлено. GDPR не требует, чтобы что предоставление и отзыв Согласия должны быть одним и тем же действием.
Однако, если Согласие получено с электронно лишь щелчком мыши, ведением пальца по экрану или нажатием клавиши, субъекты данных должны иметь возможность отозвать это Согласие с такой же легкостью. В тех случаях, когда Согласие получено с помощью пользовательского интерфейса (например, через веб-сайт, приложение, учетную запись входа, интерфейс устройства Интернета вещей или по электронной почте), субъект данных должен иметь возможность отозвать Согласие через тот же интерфейс, поскольку переключение на другой интерфейс лишь по единственной причине отзыва Согласия потребует неоправданных усилий. Кроме того, субъект данных должен иметь возможность отозвать свое Согласие без ущерба для себя. Это означает, в частности, что контролер обязан сделать отзыв Согласия бесплатным или без снижения качества обслуживания.
Пример 22
Музыкальный фестиваль продает билеты через веб-сайт. При каждой продаже билетов требуется Согласие на использование контактных данных в маркетинговых целях. Клиенты могут выбрать «Нет» или «Да». Контролер информирует клиентов о том, что у них есть возможность отозвать свое Согласие. Для этого они могут бесплатно связаться с колл-центром в рабочие дни с 8 утра до 5 вечера. Контролер в данном примере нарушает статью 7(3) GDPR. Потому что отзыв Согласия требует телефонного звонка в рабочее время, что более обременительно по сравнению с щелчком мыши, необходимым для дачи Согласия через веб-сайт, работающий круглосуточно.
Требование о легком отзыве описано в качестве необходимого требования законного Согласия в GDPR. Если право на отзыв не соответствует требованиям GDPR, то и весь процесс обработки Согласия контролером не соответствует требованиям GDPR. Как уже упоминалось в разделе 3.1. о требованиях информированного Согласия, контролер обязан сообщить субъекту данных о праве отозвать Согласие до фактического его получения, в соответствии со статьей 7(3) GDPR. Кроме того, контролер обязан в рамках обеспечения прозрачности информировать субъекта данных о способе реализации этого права.
Обычно, когда Согласие отозвано, любые операции по обработке данных, которые на нем строились и выполнялись до момента отзыва Согласия, остаются законными, однако с этого момента контролер обязан прекратить обработку. Если нет других законных оснований для обработки данных (например, дальнейшее хранение), они должны быть удалены.
Как упоминалось ранее, очень важно, чтобы до начала сбора данных контролеры определяли цели и законные основания фактической обработки данных. Часто компании нуждаются в персональных данных сразу для нескольких целей, и обработка основывается на более чем одном законном основании, например, данные клиента могут быть как в контракте, так и в Согласии. Тогда отзыв Согласия не означает, что контролер обязан удалять данные, которые обрабатываются с целью исполнения контракта. Поэтому контролер обязан с самого начала указать, какая именно цель относится к каждому элементу данных и на какое законное основание она опирается.
Контролер обязан удалить данные, обработанные на основании Согласия, как только оно отозвано, при условии, что нет другой причины, оправдывающей дальнейшее хранение. Помимо этой ситуации, описанной в статье 17(1)(b), субъект данных может потребовать удаления других его данных, которые обрабатываются на другом законном основании, например на основании статьи 6(1)(b). Контролер обязан оценить целесообразность дальнейшей обработки данных даже в отсутствие запроса на удаление.
В случаях, когда субъект данных отзывает свое Согласие, но контролер желает продолжить обработку персональных данных на другом законном основании, он не может молча перейти от Согласия (которое отзывается) к другому законному основанию. Любое изменение законного основания для обработки должно быть доведено до сведения субъекта данных в соответствии с требованиями к информированности, изложенными в статьях 13 и 14, и с принципом прозрачности.
6. Взаимодействие Согласия с Другими Законных Основаниями в Статье 6 GDPR
Статья 6 устанавливает условия законной обработки персональных данных и описывает шесть законных оснований, на которые может опираться контролер. Применение одного из этих шести оснований должно быть установлено до начала обработки и иметь отношение к конкретной цели.
Здесь важно отметить, что если контролер решает опираться на Согласие в отношении какой-либо части обработки, он должен быть готов прекратить ее, если лицо отзывает свое Согласие. Уведомление о том, что данные обрабатываются на основе Согласия, когда на самом деле применяется другое законное основание, является в принципе несправедливым по отношению к субъекту данных.
Иными словами, контролер не может заменить Согласие другим законным основанием. Например, не допускается ретроспективно использовать законные интересы как юридическое основание для легализации обработки, если возникли проблемы с законностью Согласия. Принимая во внимание требование раскрыть юридическое основание, на которое опирается контролер для сбора персональных данных, он обязан заранее решить, какое законное основание является применимым.
7. Специальные Положения GDPR
7.1. Дети (Статья 8)
По сравнению с действующей директивой, GDPR создает дополнительный уровень защиты, на котором обрабатываются персональные данные самых уязвимых физических лиц, особенно детей. Статья 8 вводит дополнительные обязательства по обеспечению повышенного уровня защиты данных детей в отношении информационных услуг. Причины усиленной защиты указаны в пункте 38: "… поскольку они могут быть менее осведомлены о рисках, последствиях, гарантиях и правах, связанных с обработкой персональных данных…" Пункт 38 также указывает, что «Такая особая защита должна, в частности, применяться к использованию персональных данных детей в маркетинговых целях или для создания персональных (пользовательских) профилей и сбора персональных данных, связанных с детьми, в процессе использования ими услуг, ориентированных непосредственно на детей.» Формулировка «в частности» указывает на то, что защита не ограничивается маркетингом или профилированием, а включает более широкий «сбор персональных данных детей».
Статья 8(1) определяет, что в случаях, когда Согласие применяется для предложения информационных услуг непосредственно ребенку, обработка персональных данных считается законной, если ему исполнилось не менее 16 лет. Если ребенку менее 16 лет, то такая обработка является законной только в том случае и в той мере, в какой Согласие дается лицом, представляющим интересы ребенка. Что касается ограничения возраста Согласия, то GDPR позволяет странам Евросоюза самостоятельно устанавливать минимальный порог, но он не может быть ниже 13 лет.
Как упоминается в разделе 3.1. касаемо информированного Согласия, сообщение должно быть понятно целевой аудитории, к которой контролер обращается, уделяя особое внимание мнению ребенка. Чтобы получить «информированное Согласие» ребенка, контролер должен объяснить на простом и понятном для детей языке, как он планирует обрабатывать собираемые данные. Если Согласие дает родитель, то может потребоваться набор информации, позволяющий взрослому принять осознанное решение.
Из вышеизложенного следует, что статья 8 применяется только при соблюдении следующих условий:
- обработка связана с предложением информационных услуг непосредственно ребенку,
- обработка основана на Согласии.
7.1.1. Информационные Услуги
Для определения сферы применения термина «информационная услуга» в статье 4(25) GDPR ссылается на Директиву 2015/1535.
Оценивая сферу применения этого определения, WP29 также ссылается на практику Европейского суда. Суд постановил, что информационные услуги охватывают контракты или другие услуги, которые заключены или преданы онлайн. Если у услуги есть два экономически независимые компоненты, первая из которых онлайн, например, оферта и ее принятие связано с заключением договора или информацией о продуктах и услугах, включая маркетинг, то такая компонента считается информационной услугой. В свою очередь, вторая компонента, являясь физической поставкой или распределением товаров, не подпадает под понятие информационной услуги. Предоставление услуги онлайн соответствует определению термина «информационная услуга», содержащегося в статье 8 GDPR.
7.1.2. Предлагаемая Непосредственно Ребенку
Включение формулировки «предлагаемая непосредственно ребенку» указывает на то, что статья 8 применяется лишь к некоторым информационным услугам. Если поставщик информационных услуг ясно дает понять потенциальным пользователям, что он предлагает услуги только лицам старше 18 лет, и это не опровергается другими доказательствами (например, содержанием веб-сайта или маркетинговыми планами), то такая услуга не считается «предложенной непосредственно ребенку», и Статья 8 не применяется.
7.1.3. Возраст
GDPR определяет, что «страны Евросоюза могут законодательно предусмотреть меньший возраст для указанных целей при условии, что такой возраст не ниже 13 лет.» Контролер обязан быть осведомленным о местных законах и принимать во внимание сообщество, которому он предлагает услуги. Особенно следует отметить, что контролер, предлагающий трансграничную услугу, не всегда может ссылаться лишь на нормы в своей юрисдикции, но ему также может потребоваться соблюдать законы каждой страны, где он предлагает информационные услуги. Это зависит от того, решит ли страна опираться на юрисдикцию контролера или на место жительства субъекта данных. Прежде всего, делая такой выбор, все страны Евросоюза обязаны учитывать интересы ребенка. Рабочая группа призывает принять согласованное решение в этом вопросе.
Если информационные услуги предоставляются детям на основании Согласия, ожидается, что контролеры предпринимают меры, чтобы удостовериться, что пользователь достиг минимального возраста цифрового Согласия, и эти меры должны быть соразмерны обработке данных и рискам.
Если пользователи утверждают, что они старше минимального возраста цифрового Согласия, то контролер может провести проверку, чтобы в этом убедиться. Хотя GDPR не обязывает выполнять такую проверку, она неявно требуется, поскольку обработка данных станет незаконной, если ребенок дает Согласие, будучи недостаточно взрослым для предоставления законного Согласие от своего имени.
Если пользователь заявляет, что он не достиг минимального возраста цифрового Согласия, то контролер может принять это утверждение без проверки, но тогда контролеру необходимо будет получить родительское разрешение и проверить, что предоставляющее Согласие лицо, имеет родительские права.
Проверку возраста нельзя отнести к чрезмерной обработке данных. Способ, выбранный для проверки возраста субъекта данных, должен включать оценку риска предлагаемой обработки. В ситуациях с низким риском может быть достаточно запросить год рождения или заполнить форму, в которой он (не) является несовершеннолетним. В случае сомнений, контролеру следует изменить способы проверки возраста, и рассмотреть необходимость проведения альтернативных проверок.
7.1.4. Согласие Детей и Родительские Права
GDPR не определяет способы получения Согласия родителя или установления того, что кто имеет на это право. Поэтому WP29 рекомендует использовать пропорциональный подход в соответствии со статьями 8(2) и 5(1)© GDPR (минимизация данных). Пропорциональный подход заключается в получении ограниченного объема информации, например контактных данных родителя или опекуна.
Что является разумным для проверки того, что пользователь достаточно взрослый, чтобы предоставить собственное Согласие, и того, что лицо, предоставляющее Согласие ребенка, имеет родительские права, может зависеть от рисков обработки и имеющейся технологии. В ситуациях с низким риском может быть достаточно подтверждения по электронной почте. Напротив, в ситуациях высокого риска может оказаться целесообразным запросить дополнительные доказательства для того, чтобы контролер мог проверить и сохранить их в соответствии со статьей 7(1) GDPR. Сторонние сервисы верификации могут предложить решения, минимизирующие объем персональных данных, которые контролер должен обрабатывать сам.
Пример 23
Игровая онлайн-платформа желает убедиться, что несовершеннолетние клиенты подписываются на ее услуги только с Согласия своих родителей или опекунов. Контролер выполняет следующие действия:
Шаг 1: просит пользователя указать, является ли он моложе или старше 16 лет (или другого возраста цифрового Согласия). Если пользователь утверждает, что он моложе возраста цифрового Согласия, то:
Шаг 2: информирует ребенка о том, что родитель или опекун должен дать Согласие на обработку данных до начала предоставления услуги. Пользователя просят сообщить адрес электронной почты родителя или опекуна.
Шаг 3: связывается с родителем или опекуном и получает Согласие на обработку по электронной почте, и принимает разумные меры для подтверждения того, что лицо обладает родительскими правами.
Шаг 4: в случае жалоб выполняет дополнительные проверки возраста клиента.
Если платформа выполнила требования получения Согласия, то выполняя эти действия, она может соответствовать дополнительным критериям статьи 8 GDPR.
В примере видно, что контролер может продемонстрировать, что были предприняты разумные усилия для обеспечения получения законного Согласия в отношении предоставляемых ребенку услуг. Статья 8(2) говорит, что «Контролер, учитывая доступные технологические возможности, должен принять разумные усилия для того, чтобы удостовериться, что Согласие было дано лицом, обладающим родительскими правами в отношении ребенка, или было дано с его одобрения.»
Контролер обязан определить, какие именно меры уместны в конкретном случае. Обычно контролеры должны избегать проверок, которые приводят к чрезмерному сбору персональных данных.
WP29 признает, что могут быть ситуации, когда проверка усложнена (например, когда дети предоставившие Согласие, еще не оставили «цифровой след» или когда родительские права трудно проверить. Сложность можно учитывать при определении разумных мер, но от контролеров ожидается постоянное слежение за своими процессами и имеющимися технологиями.
Относительно права субъекта давать Согласие на обработку персональных данных и иметь полный контроль над ними, как только субъект данных достигает возраста цифрового Согласия, Согласие родителя или опекуна можно подтвердить, изменить или отозвать. На практике это означает, что если ребенок не предпринимает никаких действий, то Согласие на обработку, данное родителем или опекуном, предоставленное до достижения возраста цифрового Согласия, останется законным основанием для обработки. При достижения возраста цифрового Согласия ребенок может сам отозвать Согласие в соответствии со статьей 7(3). В соответствии с принципами справедливости и прозрачности, контролер обязан сообщить ребенку об этой возможности.
Важно отметить, что в соответствии с пунктом 38 Согласие родителя или опекуна не требуется для профилактических или консультационных услуг, предлагаемых непосредственно ребенку. Например, оказание услуг по защите детей, предлагаемых онлайн, не требует предварительного разрешения родителей.
В заключении, GDPR определяет, что правила выдачи доверенностей в отношении несовершеннолетних, не влияют на «общее договорное право стран ЕС, например, на заключении или исполнении договоров в отношении ребенка». Таким образом, требования о законном Согласии на использование данных детей являются частью правовой базы, которая должна рассматриваться отдельно от договорного права стран. Поэтому в Руководстве не рассматривается вопрос о законности онлайн-контрактов, заключенных несовершеннолетним. Оба правовых режима могут применяться одновременно, и сфера применения GDPR не включает согласование договорного права стран.
7.2. Научные Исследования
Определение целей научных исследований имеет существенные влияние на весь спектр деятельности по обработке данных, которую может осуществлять контролер. Термин «научное исследование» не определен в GDPR. В пункте 159 говорится: "… В рамках настоящего Регламента обработка персональных данных для целей научного исследования должна трактоваться широко …", однако WP29 считает, что это понятие не может быть шире его общего значения, поэтому «научное исследование» в данном контексте означает исследовательский проект, созданный в соответствии отраслевыми методологическими и этическими стандартами и передовой практикой.
Когда Согласие является юридическим основанием для проведения исследований в соответствии с GDPR, его следует отделять от других требований Согласия, служащих этическим стандартам или процессуальным обязательствам. Пример такого процессуального обязательства, когда обработка основана не на Согласии, а на другом законном основании, можно найти в Регламенте клинических испытаний. В контексте прав по защите данных, последняя упомянутая форма Согласия может рассматриваться в качестве дополнительной защитной меры. В то же время GDPR не ограничивает применение статьи 6 только Согласием на обработку данных в исследовательских целях. До тех пор, пока существуют защитные меры, такие как требования статьи 89(1), а обработка является справедливой, законной, прозрачной и соответствует стандартам минимизации данных и индивидуальным правам, могут быть доступны другие законные основания, такие как статья 6(1)(e) или (f). Это также относится к специальным категориям данных в соответствии с исключениями статьи 9(2)(j).
Пункт 33, по-видимому, вносит некоторую гибкость в степень конкретизации и детализации Согласия в контексте научных исследований. В нем говорится: «Зачастую невозможно в полной мере определить цель обработки персональных данных, предназначенных для научных исследований в момент сбора данных. Поэтому субъектам данных должна предоставляться возможность дать своё Согласие для отдельных сфер научных исследований, исходя из соответствия их целей признанным этическим стандартам научных исследований. Субъекты данных должны иметь возможность давать своё Согласие только в отношении отдельных сфер исследований или части научно-исследовательских проектов в соответствии с поставленной целью.»
Во-первых, следует отметить, что пункт 33 не отменяет обязательства требования конкретного Согласии. Это означает, что в принципе научно-исследовательские проекты могут включать персональные данные на основании Согласия только тогда, если они имеют хорошо описанную цель. В случаях, когда цели обработки данных в рамках научно-исследовательского проекта не могут быть определены вначале, пункт 33 допускает исключение, что цель может быть описана в более общем виде.
Учитывая строгие условия, изложенные в статье 9 GDPR в отношении обработки специальных категорий данных, WP29 отмечает, что в тех случаях, когда специальные категории данных обрабатываются на основе явного Согласия, гибкий подход должен толковаться более строго и требовать более тщательного изучения.
Рассматривая GDPR в целом, он не может быть истолкован таким образом, чтобы позволить контролеру обойти ключевой принцип определения целей, для которых запрашивается Согласие субъекта данных. Когда исследовательские цели не могут быть полностью определены, контролер должен искать другие способы обеспечения наилучшего соответствия сути требований о Согласии, например, разрешить субъектам данных давать Согласие на исследовательскую цель в более общих терминах и на конкретные этапы исследовательского проекта, которые известны с самого начала. По мере проведения исследований Согласие на следующий этап может быть получено до его начала. Однако такое Согласие должно по-прежнему соответствовать этическим стандартам научных исследований.
Кроме того, в таких случаях контролер может применять дополнительные меры предосторожности. Например, Статья 89(1) подчеркивает необходимость мер защиты при обработке данных в научных, исторических или статистических целях. К этим целям «относятся гарантии прав и свобод субъекта данных.» В качестве возможных мер защиты упоминается минимизация, анонимизация и безопасность данных. Анонимизация является предпочтительной, если цель исследования может быть достигнута без обработки персональных данных.
Прозрачность является дополнительной защитной мерой, когда обстоятельства исследования не позволяют получить конкретное Согласие. Отсутствие конкретизации цели может быть компенсировано информацией о ее эволюции, регулярно предоставляемой контролерами по ходу выполнения исследовательского проекта, чтобы со временем Согласие стало как можно более конкретным. При этом субъект данных имеет по крайней мере базовое представление о ситуации, позволяющее оценить, следует ли использовать, скажем, право на отзыв Согласия в соответствии со статьей 7(3).
Кроме того, наличие всеобъемлющего плана исследований, доступного для субъектов данных, до дачи Согласия, может помочь компенсировать отсутствие детализации цели. В таком плане исследований должны быть как можно более четко определены тем исследования и предусмотренные методы работы. План исследований может помочь соблюсти статьи 7(1), поскольку контролеры должны показать, какая именно информация была доступна субъектам данных на момент получения Согласия, чтобы иметь возможность продемонстрировать, что оно является законным.
Важно помнить, что когда Согласие используется в качестве законного основания для обработки, субъект данных должен иметь возможность его отозвать. WP29 отмечает, что отзыв Согласия может помешать исследованию, требующее данных отдельных лиц, однако GDPR ясно указывает, что Согласие может быть отозвано, и контролеры обязаны действовать в соответствии с этим - исключения для научных исследований не существует. Если контролер получает запрос на отзыв Согласия, он фактически обязан немедленно удалить персональные данные, если желает продолжать исследования.
7.3. Права Субъекта Данных
Если обработка данных основана на Согласии субъекта данных, это влияет на права этого лица. Субъекты данных имеют право на переносимость их данных (Статья 20). В то же время, право на возражение (Статья 21) не применяется, если обработка основана на Согласии, даже если право отозвать Согласие в любое время дает такой же результат.
В статьях с 16 по 20 GDPR указывается, что (когда обработка данных основана на Согласии) субъекты данных имеют право на удаление данных когда Согласие отозвано, а также право на ограничение, корректировку и доступ к ним.
8. Согласие, Полученное в Соответствии с Директивой 95/46/ЕС
Контролеры, уже обрабатывающие данные на основе Согласия в соответствии с местным законодательством, готовясь к GDPR, не обязаны автоматически полностью обновлять все отношения с субъектами данных. Уже полученное Согласие, остается законным в той мере, в какой оно соответствует GDPR.
Важно, чтобы контролеры детально изучили текущие процессы и записи до 25 мая 2018 года, чтобы убедиться, что имеющиеся Согласия соответствуют GDPR (см. пункт 171 GDPR). GDPR внедряет высочайший стандарт в отношении механизмов Согласия и вводит множество новых требований, которые требуют от контролеров менять процессы Согласия, а не только переписать политику конфиденциальности.
Например, поскольку GDPR требует, чтобы контролер был в состоянии продемонстрировать, что законное Согласие было получено, делает все остальные Согласия автоматически не соответствующими GDPR, и они должны быть заменены. Аналогично, поскольку GDPR требует «заявления или четкого утвердительного действия», все остальные Согласия, основанные на косвенных действия субъекта данных (например, заранее поставленный флажок), также не будут соответствовать GDPR.
Далее, чтобы продемонстрировать, что Согласие было получено, или детализировать выбор субъекта данных, процессы и системы могут нуждаться в пересмотре. Кроме того, должна быть возможность легко отозвать Согласие, и должна быть предоставлена информация как это сделать. Если имеющиеся процедуры управления Согласием не соответствуют требованиям GDPR, контролер обязан получить новое Согласие, им соответствующее.
С другой стороны, так как условию информированного Согласия не всегда нужны все элементы, упомянутые в статьях 13 и 14, расширенные обязательства GDPR не обязательно противоречат непрерывности Согласия, которое было предоставлено до вступления GDPR в силу. В Директиве 95/46/ЕС не было требования информировать субъекты данных об основаниях обработки.
Если контролер констатирует, что Согласие, полученное ранее по старому законодательству, более не соответствует GDPR, то он обязан предпринять меры для его соблюдения, к примеру, обновить Согласие. В соответствии с GDPR, подмена одного законного основанием другим недопустима. Если контролер не может обновить Согласие, и не может перейти к соблюдению GDPR, обрабатывая данные на другой законной основе, при этом обеспечив продолжение обработки справедливым и прозрачным образом, то деятельность по обработке должна быть прекращена. В любом случае, контролер обязан соблюдать принципы законной, справедливой и прозрачной обработки данных.
Автор: Oleg Kunitsyn