СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Я – Пользователь сайта: howtoeat.ru (далее — Сайт), оставляя свои данные на Сайте, путем заполнения полей онлайн-заявки,
подтверждаю, что указанные персональные данные принадлежат мне лично;
признаю и подтверждаю, что ознакомился с Политикой обработки персональных данных (далее — Политика) и содержащимися в нем условиями обработки персональных данных;
признаю и подтверждаю, что все положения Политики и условия обработки персональных данных мне понятны;
даю согласие на обработку Сайтом предоставляемых персональных данных в целях регистрации на Сайте и/или оформления заказа;
выражаю согласие с условиями обработки персональных данных без каких-либо оговорок и ограничений.
Настоящим Пользователь Сайта в целях:
регистрации/авторизации Пользователя на Сайте;
обработки заказов Пользователя и выполнения ООО «ХАУ ТУ ИТ» (далее — Администрации сайта) взятых на себя обязательств перед Пользователем;
предоставления Пользователю справочной информации;
продвижения продукции, услуг в виде отправки Пользователем сообщений, в т.
ч. рассылок;
анализа покупательских особенностей Пользователя,
дает свое согласие ООО «ХАУ ТУ ИТ» на обработку персональных данных, как без использования средств автоматизации, так и с их использованием.
Настоящее согласие предоставляется Администрации сайта, а также третьим лицам, действующим на основании договора с Администрацией сайта, для исполнения обязательств перед Пользователем и только в рамках договоров.
Настоящим Пользователь дает согласие на обработку следующих персональных данных:
фамилия, имя, отчество;
дата рождения;
номера контактных телефонов;
адрес электронной почты;
адрес место доставки заказа/ место проживания;
иной информации, размещенной в свободном доступе в аккаунтах социальных сетей.
Пользователь ознакомлен, что в ходе обработки с персональными данными будут или могут быть совершены следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Передача персональных данных третьим лицам осуществляется в соответствии с действующим законодательством Российской Федерации и соглашением между Сторонами.
Согласие на обработку персональных данных может быть отозвано Пользователем путем направления письменного заявления Исполнителю на электронный адрес: [email protected] .
В случае отзыва Пользователем согласия на обработку персональных данных Исполнитель вправе продолжить обработку персональных данных без согласия Пользователя при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ от 27.07.2006 г. «О персональных данных».
Персональные данные обрабатывается до момента ликвидации Исполнителя либо до момента ликвидации сайта Исполнителя, либо до момента положительного рассмотрения заявления Пользователя об отзыве согласия на обработку персональных данных
Мы принимаем к оплате:
Оформление согласия на обработку персональных данных предложено упростить
Письменное согласие на обработку персональных данных предлагают оформить сразу на несколько различных целей, а вместо номера паспорта — указать уникальный идентификатор.
В профильном думском комитете поддержали документ, но настаивают на его доработке. А эксперты предупреждают, что необходимо уточнить формулировки, чтобы людей не стали вынуждать давать «комплексное» согласие на обработку информации о себе, например, при оформлении кредита.
Идентификаторы снова в законе
Госорганы и организации, которые обрабатывают личную информацию граждан, должны заручиться их согласием. В отдельных случаях необходимо письменное разрешение или подписанный электронной подписью документ. Правило распространяется на биометрические данные человека, по которым устанавливают его личность, например, банки. Также письменное согласие требуется, когда обрабатывают информацию о здоровье людей или передают данные за границу. При этом разрешение на обработку действительно, если в нём есть прописанные в законе реквизиты, в том числе ФИО, адрес и паспортные данные.
Как именно будет выглядеть идентификатор, пока не известно, сказал «Парламентской газете» глава Фонда развития цифровой экономики Герман Клименко. «Видимо, хотят ввести некий аналог СНИЛС или ИНН, но для Интернета. В любом случае идентификатор — комплекс информации, который позволяет определить особенности пользователя», — пояснил эксперт. При этом норма касается частного случая — использования идентификатора при оформлении письменного согласия на обработку персональных данных.
Комплексное согласие
Между тем предлагаемое нововведение даёт возможность оформить письменное согласие на обработку персональных данных сразу на несколько целей или нескольким лицам, которые обрабатывают информацию о гражданах по поручению оператора.
Документ проанализировали в Комитете Госдумы по информационной политике, информационным технологиям и связи. «Мы считаем этот законопроект важным и необходимым, но требующим доработок. На заседании комитета мы рекомендовали его к принятию в первом чтении при условии, что он существенным образом будет доработан», — сказал «Парламентской газете» председатель комитета
По сути же, предложение оформлять комплексное разрешение уточняет уже принятый закон, который запрещает операторам передавать персональные данные граждан кому бы то ни было, пояснил Герман Клименко. Этот закон вступит в силу с 1 марта, чтобы защитить людей от навязчивых предложений партнёров оператора, которому человек доверил свои данные.
Читайте также:
• За нарушения при обработке персональных данных собираются наказывать строже • В России могут увеличить штрафы за нарушение правил обработки персональных данных • В согласии на обработку персональных данных предлагают указывать контакты
С другой стороны, нужно чётко прописать условия оформления согласия на несколько целей, чтобы не было злоупотреблений, считает Клименко. Иначе могут возникнуть ситуации, когда банк станет настаивать, чтобы клиент дал разрешение на обработку данных банку, страховым компаниям, рекламному агентству и прочим, а при отсутствии согласия отказывать в кредите.
Новое согласие на обработку персональных данных — 2021
Обработкой личных данных законодатель считает любые действия, которые вы проводите с ними. А персональные данные — это всевозможные сведения о гражданах.
Таким образом, даже если вы, например, всего лишь получаете паспортные реквизиты своих клиентов или создаете базу их телефонных номеров, вы обрабатываете личную информацию и признаетесь их оператором. Это значит, что вы обязаны под риском ответственности соблюдать требования, которые предъявляются к обработке личной информации. Так, вы должны определить цель обработки и строго ей следовать, при необходимости получать согласие на обработку и уведомлять о ней Роскомнадзор, а также принимать меры по защите информации.
По общему правилу обрабатывать персональные данные гражданина можно лишь с его согласия (п. 1 ч. 1 ст. 6 закона о персональных данных). Причем субъект данных имеет право в любой момент такое согласие отозвать (тогда продолжать обрабатывать данные можно лишь в строго установленных законом случаях).
Самыми распространенными ситуациями, когда потребуется согласие на обработку персданных, это сбор данных (заявок) клиентов и прием новых сотрудников на работу (это включает в себя даже этап рассмотрения резюме, ведь там содержатся персональные данные).
Не требуется согласие на обработку персональных данных физического лица в случаях, приведенных в пп. 2—11 ч. 1 ст. 6 закона о персональных данных. Так, согласие не потребуется, если обработка необходима:
1) для заключения договора по инициативе гражданина или договора, по которому он будет выгодоприобретателем или поручителем. Например, если физическое лицо арендует у вас помещение или квартиру;
2) для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является гражданин.
Так, не требуется дополнительное согласие, если гражданин заказал доставку на дом, а его адрес необходимо уточнить;
3) для осуществления и выполнения функций, полномочий и обязанностей, которые возложены на вас законодательством. Например, если магазин уточняет у клиента адрес его электронной почты, чтобы направить ему электронный кассовый чек согласно закону № 54-ФЗ;
4) для осуществления прав и законных интересов либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы гражданина. Например, охранник может записывать данные посетителей бизнес-центра, не получая от них дополнительное письменное согласие.
Во всех остальных случаях согласие обязательно. Обработка персданных без согласия субъекта грозит внушительными штрафами, о которых мы расскажем ниже.
Как собирать согласие на обработку персональных данных
Как собирать согласие на обработку персональных данных
Рассказываем про важный элемент в форме сбора контактов: зачем он нужен и как добавить
Автор: Артём
Обновлено более недели назад
Персональные данные — это любая личная информация, которой с вами делится посетитель сайта.
Согласно закону о персональных данных (152-ФЗ), для хранения и работы с такой информацией необходимо разрешение от владельца (иначе возможны штрафы). Поэтому в формы сбора контактов добавляют поле согласия на обработку данных — подписчик должен поставить галочку, чтобы подтвердить: он согласен, что теперь информацию о нём будут использовать в работе.
По умолчанию в сервисе нет поля для согласия на обработку данных, поэтому его надо сначала создать, а потом добавить в форму.
Как создать поле
Зайдите в меню аккаунта и выберите пункт Настройки системы.
На открывшейся странице откройте раздел Профиль подписчика и в блоке Дополнительные данные нажмите кнопку «Добавить поле».
Заполните название, в типе поля поставьте «Выбор вариантов». В графе «Вариант» напишите текст, например: «Даю согласие на обработку персональных данных» (при добавлении в форму его можно будет отредактировать). Код можно не трогать, других вариантов создавать не нужно.
Нажмите «Добавить».
Как добавить поле в форму сбора контактов
Зайдите в раздел Формы и выберите форму, в которую вы хотите добавить поле согласия на обработку данных.
В редакторе форм найдите поле согласия в общем списке полей и добавьте его в форму. Если нужно, отредактируйте название поля.
Нажмите на добавленное поле — слева откроется раздел «Настройки элемента». Поставьте галочку «Обязательное», чтобы этот пункт нельзя было пропустить.
Важно: не делайте поле заполненным по умолчанию — это нельзя трактовать как согласие, что в свою очередь может привести к штрафу.
Как добавить ссылку на пользовательское соглашение
Если у вас есть полный текст пользовательского соглашения, лучше дать на него ссылку прямо под полем:
Перетащите элемент «Текст» на форму под поле согласия на обработку данных.
Отредактируйте текст, после чего во всплывающем блоке настроек текста добавьте ссылку на страницу с соглашением.
Согласие на обработку персональных данных
На основании Федерального закона Российской Федерации от 27 июля 2006 г N 152-ФЗ «О персональных данных» даю свое согласие на обработку моих персональных данных (фамилия, имя, отчество, контактный номер телефона, адрес электронной почты, а также иные сведения, которые я сообщу) ПАО «Северсталь» (далее — Общество), юридический адрес: 162608, Вологодская обл, Череповец г., Мира ул, дом 30. Подтверждаю, что даю согласие по своей воле и в своем интересе.
Согласие дается с целью получения от Общества и (или) предоставления Обществу информации по интересующему меня вопросу.
На основании ч.1 ст.8 Федерального закона Российской Федерации от 27 июля
2006 г N 152-ФЗ «О персональных данных» даю свое согласие на включение
предоставленных мной персональных данных в общедоступные источники персональных
данных Общества.
Согласие дается на осуществление автоматизированной, а также без использования средств автоматизации обработки моих персональных данных, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение) в документарной и электронной форме.
Настоящим согласием я подтверждаю, что согласен на передачу информации в электронной форме (в том числе персональных данных) по открытым каналам связи сети Интернет.
Настоящим согласием я безусловно соглашаюсь, что Общество вправе предоставить мне информацию по интересующему меня вопросу в устной, письменной или электронной форме, используя мои персональные данные.
Согласие дается на передачу моих персональных данных для их обработки
третьим лицам (в том числе партнерам Общества) для их обработки способами,
указанными выше, а также для достижения указанных выше целей.
Срок, в течение которого действует настоящее Согласие, составляет 3 (три) года. Условием прекращения обработки персональных данных является окончание указанного срока или получение Обществом моего письменного отзыва настоящего согласия. Общество прекращает обработку моих персональных данных и уничтожает их в срок, не превышающий 30 дней с даты поступления отзыва настоящего согласия. Общество вправе после получения отзыва настоящего согласия, а равно после истечения срока действия настоящего согласия, продолжать обработку моих персональных данных в той части, в которой для ее осуществления согласие не требуется или не будет требоваться в силу действующего законодательства.
Дополнительная информация: ПАО «Северсталь» является управляемым обществом АО «Северсталь Менеджмент».
Скачать «Политику в области обработки и защиты персональных данных»
Согласие на обработку персональных данных
Пользователь, используя форму обратной связи и почтовую рассылку сайта www.
transparency.org.ru, обязуется принять настоящее Согласие на обработку персональных данных (далее — Согласие). Принятием (акцептом) оферты Согласия является предоставление персональных данных при подписке на почтовую рассылку, при обращении через форму обратной связи, размещенную на сайте. Пользователь дает свое согласие Автономной некоммерческой организации «Центр антикоррупционных исследований и инициатив «Трансперенси Интернешнл-Р», которой принадлежит сайт www.transparency.org.ru, и которая расположена по адресу: 105005, г. Москва, ул. Радио, д. 24, к. 2, помещ. 1, (далее — Организация) на обработку своих персональных данных со следующими условиями:
1. Данное Согласие дается на обработку персональных данных как без, так и с использованием средств автоматизации.
2. Согласие на обработку персональных данных Пользователя дается только и исключительно с целью использования для информирования о новостях Организации, выходе новых антикоррупционных расследований и различных событиях в Организации, для ответов на обращения Пользователя через форму обратной связи на сайте, для отправки уведомлений об изменении положений, условий и политик Организации.
3. Основанием для обработки персональных данных являются: Ст. 24 Конституции Российской Федерации; ст. 6 Федерального закона №152-ФЗ «О персональных данных».
4. В ходе обработки с персональными данными будут совершены следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение — все упомянутые варианты только в целях, указанных в п. 2 настоящего Согласия.
5. Передача персональных данных третьим лицам осуществляется на основании законодательства Российской Федерации, договора с участием субъекта персональных данных или с его согласия.
6. Персональные данные обрабатываются до завершения всех необходимых процедур. Также обработка может быть прекращена по запросу субъекта персональных данных.
7. Согласие может быть отозвано субъектом персональных данных или его представителем путем направления письменного заявления в Организацию.
8. В случае отзыва субъектом персональных данных или его представителем Согласия на обработку персональных данных, Организация вправе продолжить обработку без разрешения субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных» от 26.06.2006 г.
9. Настоящее Согласие действует все время до момента прекращения обработки персональных данных по причинам, указанным в п. 7 данного документа.
© Автономная некоммерческая организация «Центр антикоррупционных исследований и инициатив «Трансперенси Интернешнл-Р»
Согласие на обработку персональных данных
Политика конфиденциальности персональных данных ООО «ТерраЛинк»
1. Общие положения.
1.1. Настоящая Политика конфиденциальности персональных данных (далее — Политика) действует в отношении всех персональных данных, которую компания ООО «ТерраЛинк», ОГРН 1027700516117, ИНН 7729139042 (далее – Компания), может получить от пользователя (лица, заполнившего форму обратной связи, использующего другие сервисы официальных сайтов
www.
terralink.ru,
www.terraid.ru,
www.idcards.ru,
www.idcards.kz,
www.terraportal.pro,
террапортал.рф,
one-q.ru,
www.purchase2pay.ru,
www.projectbi.ru,
xde.terralink.ru,
2fa.terralink.ru,
ecm.terralink.ru,
www.mediastards.ru,
www.revolabs.ru,
www.rightfax.pro,
shop.terralink.ru,
suprema.terralink.ru
suprema.kz
(далее – Сайт и/или Сайты)), в частности в ходе: отправки отзывов или вопросов, заказа услуг, участия в рекламных и/или маркетинговых кампаниях или акциях и/или ином взаимодействии (далее – Услуги).
1.2. Заполняя форму обратной связи и нажимая кнопку «Согласен/на», расположенную на странице Сайта, на которой размещена форма обратной связи, а равно указывая свои персональные данные при использовании других сервисов Сайта, пользователь выражает согласие с настоящей Политикой и указанными в ней условиями обработки и передачи его персональных данных. Согласие Пользователя на предоставление, обработку и передачу его Персональных данных Компании в соответствии с Политикой является полным и безусловным.
1.3. Посетителям Сайта следует воздержаться от заполнения формы и/или от использования других сервисов Сайта в случае несогласия (полного или частичного) с Политикой, а равно несогласия предоставить персональные данные.
1.4. Согласие, даваемое пользователем, включает в себя согласие на сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, занесение в базы данных (в том числе электронные) Компании, передачу внутри Компании другим отделам и подразделениям или поставщику услуг, обязующегося выполнять условия договора о защите персональных данных, в целях рассылки информационных материалов и/или в рекламных целях (в том числе рассылку приглашений на мероприятия, проводимые/организованные Компанией), трансграничную передачу, блокирование, обезличивание, уничтожение персональных данных.
1.5. Согласие, даваемое пользователем, распространяется на следующие персональные данные: фамилия, имя, отчество, адрес электронной почты, должность, наименование организации, в которой работает пользователь, контактный телефон.
1.6. Срок действия согласия пользователя является неограниченным, однако, пользователь вправе в любой момент отозвать настоящее согласие путём направления письменного уведомления на адрес электронной почты: [email protected], с пометкой «отзыв согласия на обработку персональных данных».
2. Персональные данные пользователей, которые получает и обрабатывает Компания.
2.1. В рамках настоящей Политики под персональными данными пользователя понимаются персональные данные, которые пользователь предоставляет о себе самостоятельно при заполнении формы обратной связи на Сайте, при использовании других сервисов Сайта, при регистрации (создании учётной записи) на Сайте или в процессе использования услуг, предоставляемых Компанией. Соответствующая информация явно обозначена, к ней, в частности отнесены: фамилия, имя, отчество, адрес электронной почты, должность, наименование организации, в которой работает пользователь, контактный телефон.
Иная информация предоставляется пользователем на его усмотрение.
2.2. Компания исходит из того, что пользователь представляет достоверные персональные данные, а также, что пользователь имеет право предоставить персональные данные.
3. 1С Битрикс
3.1. Компания использует средство 1С Битрикс для сбора сведений об использовании Сайта, таких как частота посещения Сайта пользователями, посещенные страницы и сайты, на которых были пользователи до перехода на данный Сайт. 1С Битрикс собирает только IP-адреса, назначенные пользователю в день посещения данного Сайта, но не имя или другие идентификационные сведения.
3.2. 1С Битрикс размещает постоянный cookie-файл в веб-браузере пользователя для идентификации в качестве уникального пользователя при следующем посещении данного Сайта. Этот cookie-файл не может использоваться никем, кроме 1С Битрикс. Сведения, собранные с помощью cookie-файла, будут храниться на серверах, находящихся в Российской Федерации.
3.3. Компания использует сведения, полученные через 1С Битрикс, только для обработки и хранения персональных данных.
4. Цели обработки персональной информации пользователей.
4.1. Компания обрабатывает только те персональные данные, которые необходимы для оказания услуг.
4.2. Персональную информацию пользователя Компании может использовать в следующих целях:
4.2.1. Идентификация стороны в рамках оказания услуги.
4.2.2. Рассылка рекламных и/или маркетинговых материалов Компании, рассылка приглашений на мероприятия, конференции, выставки, проводимые и/или организуемые Компанией, проведение телемаркетинговых компаний.
4.2.3. Проведение статистических и иных исследований, на основе обезличенных данных.
5. Передача персональных данных пользователя третьим лицам.
5.1. В отношении персональных данных пользователя сохраняется ее конфиденциальность, кроме случаев обработки персональных данных, доступ неограниченного круга лиц к которым предоставлен пользователем либо по его просьбе.
5.2. Компания вправе передать персональную информацию пользователя третьим лицам в следующих случаях:
5.2.1. Пользователь предоставил свое согласие на такие действия.
5.2.2. Передача персональных данных организациям, которые оказывают услуги Компании по рассылке рекламных и/или маркетинговых материалов, организации и проведению мероприятий, конференций, выставок, телемаркетингу, обзвону потенциальных клиентов Компании.
5.2.2. Передача необходима для достижения целей, осуществления и выполнения функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Компанию.
6. Меры, применяемые для защиты персональных данных пользователей.
Компания принимает необходимые и достаточные организационные и технические меры для защиты персональных данных пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с персональными данными третьих лиц.
7. Права и обязанности пользователя.
7.1. Компания предпринимает разумные меры для поддержания точности и актуальности, имеющихся у Компании персональных данных, а также удаления устаревших и других недостоверных или излишних персональных данных, тем не менее, Пользователь несет ответственность за предоставление достоверных сведений, а также за обновление предоставленных данных в случае каких-либо изменений.
7.2. Пользователь может в любой момент изменить (обновить, дополнить, блокировать, уничтожить) предоставленную им персональную информацию или её часть, а также параметры её конфиденциальности путем обращения в Компанию.
7.3. Пользователь вправе в любой момент отозвать согласие на обработку Компанией персональных данных путём направления письменного уведомления на электронный адрес: [email protected] с пометкой «отзыв согласия на обработку персональных данных», при этом отзыв пользователем согласия на обработку персональных данных влечёт за собой удаление учётной записи пользователя с Сайта и баз данных Компании, а также уничтожение записей, содержащих персональные данные, в системах обработки персональных данных Компании
7.
4. Пользователь имеет право на получение информации, касающейся обработки его персональных данных Компанией.
Что такое действительное согласие? | ICO
Подробно
Как определяется согласие?
Согласие определяется в статье 4 (11) как:
«любое свободно данное, конкретное, информированное и недвусмысленное указание на пожелания субъекта данных, посредством которого он или она посредством заявления или четкого позитивного действия означает согласие на обработку личных данных, относящихся к нему или ей».
Статья 7 также устанавливает дополнительные «условия» для согласия с конкретными положениями относительно:
- ведение записей для демонстрации согласия;
- заметность и ясность запросов о согласии;
- право отозвать согласие легко и в любое время; и
- добровольно предоставленное согласие, если договор обусловлен согласием.
Дополнительная литература
Что «дарят даром»?
Согласие означает предоставление людям реального выбора и контроля над тем, как вы используете их данные. Если у человека нет реального выбора, согласие не дается добровольно и будет недействительным.
Это означает, что люди должны иметь возможность отказаться от согласия без ущерба и иметь возможность легко отозвать согласие в любое время. Это также означает, что согласие должно быть отделено от других условий (включая предоставление отдельных вариантов детального согласия для различных типов обработки), где это возможно.
GDPR Великобритании четко указывает на то, что согласие не должно рассматриваться как условие предоставления услуги, за исключением случаев, когда это необходимо для этой услуги:
В статье 7 (4) сказано:
«При оценке того, было ли дано согласие свободно, необходимо в максимальной степени учитывать, обусловлено ли… выполнение контракта, включая предоставление услуги, согласием на обработку персональных данных, которые не являются необходимыми для выполнения этого договор.
»И Счет 43 говорит:
«Согласие не может быть дано свободно… если выполнение контракта, включая предоставление услуги, зависит от согласия, несмотря на то, что такое согласие не является необходимым для такого исполнения.”
Пример
Интернет-магазин мебели требует от покупателей согласия на передачу их данных другим магазинам товаров для дома в процессе оформления заказа. Магазин делает согласие условием продажи, но обмен данными с другими магазинами не является необходимым для этой продажи, поэтому согласие не дается свободно и недействительно. Магазин может попросить клиентов дать согласие на передачу их данных указанным третьим сторонам, но он должен предоставить им свободный выбор — соглашаться или отказываться.
Магазин также требует от покупателей согласия на передачу их данных стороннему курьеру, который доставит товар. Это необходимо для выполнения заказа, поэтому согласие можно считать предоставленным свободно, хотя «выполнение контракта», вероятно, будет более подходящим законным основанием.
В некоторых ограниченных обстоятельствах вы можете опровергнуть это предположение о том, что пакетное согласие не предоставляется свободно, и заявить, что согласие может быть действительным, даже если оно является предварительным условием и обработка не является строго необходимой.Вы должны иметь возможность продемонстрировать очень четкое обоснование этого, исходя из конкретных обстоятельств.
Однако, скорее всего, это будет необычно. Учитывая формулировку статьи 7 (4) и изложения 43, вы всегда будете рисковать, что согласие будет признано недействительным как не «добровольно данное». В целом, в таких случаях было бы лучше полагаться на «законные интересы» в качестве законной основы в сочетании с четкой и прозрачной информацией о конфиденциальности.
GDPR Великобритании также четко определяет, что люди должны иметь возможность отказываться и отозвать согласие без наказания:
«Согласие не следует рассматривать как предоставленное свободно, если субъект данных не имеет подлинного или свободного выбора или не может отказать или отозвать согласие без ущерба.
”Мнение ICO состоит в том, что до некоторой степени все еще возможно стимулировать согласие. Согласие на обработку обычно дает некоторую пользу. Например, если присоединение к схеме лояльности розничного продавца предполагает доступ к купонам на получение скидки, очевидно, что существует определенный стимул для согласия на маркетинг. Тот факт, что эта льгота недоступна для тех, кто не регистрируется, не является ущербом для отказа. Однако вы должны быть осторожны, чтобы не переступить черту и несправедливо наказать тех, кто отказывается дать согласие.
Свободно данное согласие также будет труднее получить в контексте отношений, где существует дисбаланс сил, особенно для государственных органов и работодателей. Счет 43 говорит:
«Чтобы гарантировать, что согласие дано свободно, согласие не должно предоставлять действительное правовое основание для обработки персональных данных в конкретном случае, когда существует явный дисбаланс между субъектом данных и контролером, в частности, когда контролер государственный орган, и поэтому маловероятно, что согласие было дано свободно во всех обстоятельствах данной конкретной ситуации….
. »См. Раздел о том, когда уместно согласие, для получения дополнительных указаний по дисбалансу мощности.
Дополнительная литература
Дополнительная литература — Европейский совет по защите данных
Европейский совет по защите данных (EDPB) состоит из представителей органов по защите данных каждого государства-члена ЕС. Он принимает руководящие принципы для соблюдения требований GDPR Великобритании.Руководящие принципы EDPB больше не имеют прямого отношения к режиму Великобритании и не будут иметь обязательной силы в рамках режима Великобритании. Однако они могут по-прежнему давать полезные советы по определенным вопросам.
EDPB выпустила Руководство по согласию.
Что такое «конкретное и информированное»?
Согласие должно быть конкретным и информированным. Это означает, что он должен конкретно охватывать следующее:
- Идентификационные данные контролера : описание 42 говорит, что индивидуум должен знать личность контролера. Это означает, что вам необходимо идентифицировать себя, а также указать имена сторонних контроллеров, которые будут полагаться на согласие. Если вы покупаете «согласованные» данные, это согласие действительно для вашей обработки только в том случае, если вы были специально идентифицированы. Вам не нужно называть обработчиков в запросе согласия (хотя вам необходимо соблюдать отдельные обязательства по обеспечению прозрачности).
Это означает, что вам необходимо идентифицировать себя, а также указать имена сторонних контроллеров, которые будут полагаться на согласие. Если вы покупаете «согласованные» данные, это согласие действительно для вашей обработки только в том случае, если вы были специально идентифицированы. Вам не нужно называть обработчиков в запросе согласия (хотя вам необходимо соблюдать отдельные обязательства по обеспечению прозрачности).- Цели обработки : подробное описание 43 говорит, что отдельное согласие будет необходимо для различных операций обработки, где это уместно, поэтому вам необходимо предоставить отдельные варианты согласия отдельно для отдельных целей, если это не будет чрезмерно разрушительным или запутанным.И в любом случае запрос согласия должен конкретно охватывать все цели, для которых вы запрашиваете согласие.
- Операции обработки : опять же, где возможно, вам следует предоставить подробные варианты согласия для каждого отдельного типа обработки, если только эти действия явно не взаимозависимы, но как минимум вы должны конкретно охватить все операции обработки.
- Право отозвать согласие в любое время : мы также советуем вам указать подробную информацию о том, как это сделать.
Эти правила, касающиеся запросов на согласие, отделены от ваших обязательств по обеспечению прозрачности в соответствии с правом на получение информации, которые применяются независимо от того, полагаетесь вы на согласие или нет.
Вы должны четко объяснять людям, на что они соглашаются, в понятной для них форме. Запрос на согласие должен быть заметным, кратким, отдельным от других условий и понятным языком.
Если запрос о согласии является расплывчатым, обширным или трудным для понимания, он будет недействителен.В частности, формулировка, которая может ввести в заблуждение — например, использование двойного отрицания или противоречивой формулировки — сделает согласие недействительным.
Recital 32 также разъясняет, что запросы электронного согласия не должны излишне мешать работе пользователей.
Вам нужно подумать о том, как лучше всего адаптировать запросы на согласие и методы, чтобы обеспечить четкую и исчерпывающую информацию, не вводя людей в заблуждение и не нарушая взаимодействия с пользователем — например, путем разработки удобной для пользователя многоуровневой информации и своевременных согласований.
Однако важно помнить, что это не исключение, и предотвращение сбоев не отменяет необходимости обеспечивать четкость и конкретность запросов на согласие. Для получения действительного согласия может потребоваться некоторое вмешательство.
Вам необходимо постоянно проверять свое согласие и обновлять его, если ваши цели или действия выходят за рамки того, что вы изначально указали. Согласие не будет достаточно конкретным, если детали изменятся — такого понятия, как «развивающееся» согласие не существует.
Даже если ваша новая цель считается «совместимой» с вашей первоначальной целью, это не отменяет необходимости конкретного согласия. Следовательно, если вы полагались на согласие, вам необходимо либо получить новое конкретное согласие, либо определить новое законное основание для новой цели.
См. Раздел «Как следует получать, записывать и обрабатывать согласие?», Чтобы узнать, что это означает на практике.
Дополнительная литература
Что такое недвусмысленное указание (заявление или четкое положительное действие)?
Должно быть очевидно, что человек согласился и на что он согласился.Для этого требуется больше, чем просто подтверждение того, что они прочитали условия — должен быть четкий сигнал о том, что они согласны. Если есть какие-то сомнения, это недействительное согласие.
GDPR Великобритании четко определяет, что согласие требует четких позитивных действий, и в Рекитале 32 излагаются дополнительные указания по этому поводу:
«Согласие должно быть выражено в виде четкого утвердительного акта… например, путем письменного заявления, в том числе с помощью электронных средств, или устного заявления. Это может включать в себя установку флажка при посещении веб-сайта, выбор технических настроек для услуг информационного общества или другое заявление или поведение, которые четко указывают в этом контексте на согласие субъекта данных с предлагаемой обработкой его или ее личных данных.
Поэтому молчание, предварительно отмеченные флажки или бездействие не должны означать согласие ».Четкое позитивное действие означает, что кто-то должен предпринять преднамеренные и конкретные действия, чтобы согласиться на обработку, даже если это не выражено в виде поля согласия. Например, другие методы подтверждения могут включать подписание заявления о согласии, устное подтверждение, бинарный выбор, представленный с равной значимостью, или изменение технических настроек по сравнению с настройками по умолчанию.
Ключевым моментом является то, что все согласие должно быть согласием на подписку, то есть положительным действием или указанием — не существует такой вещи, как «согласие на отказ».Отказ от отказа не является согласием, так как он не предполагает четкого позитивного действия. Вы не можете полагаться на молчание, бездействие, настройки по умолчанию, предварительно отмеченные флажки или свои общие положения и условия, а также пытаться воспользоваться инерцией, невнимательностью или предвзятостью по умолчанию каким-либо иным образом.
Все эти методы также подразумевают двусмысленность — и для того, чтобы согласие было действительным, оно должно быть как недвусмысленным, так и утвердительным. Должно быть ясно, что человек сознательно и активно согласился.
Идея позитивного действия все еще оставляет место для подразумеваемых методов согласия в некоторых обстоятельствах, особенно в более неформальных оффлайновых ситуациях.Ключевой вопрос заключается в том, что по-прежнему должны быть предприняты позитивные действия, дающие понять, что кто-то соглашается использовать их информацию для конкретной и очевидной цели. Однако такой подразумеваемый метод выражения согласия не выходил за рамки очевидного и необходимого.
Пример
Человек бросает свою визитку в коробку для розыгрыша призов в кафе. Это утвердительный акт, который ясно указывает на то, что они согласны с тем, что их имя и контактный номер будут обрабатываться для целей розыгрыша призов.Однако это согласие не распространяется на использование этих данных в маркетинговых или иных целях, и для этого вам потребуется иное законное основание.
Пример
Человек отправляет онлайн-опрос о своих предпочтениях в еде. Отправляя форму, они четко выражают согласие на обработку своих данных для целей самого опроса. Однако одной отправки формы будет недостаточно, чтобы продемонстрировать действительное согласие на дальнейшее использование информации.
Однозначное согласие также связано с требованием, чтобы согласие было проверяемым. В статье 7 (1) четко указано, что вы должны иметь возможность продемонстрировать, что кто-то дал согласие.
См. Раздел «Как следует получать, записывать и обрабатывать согласие?», Чтобы узнать, что все это означает на практике.
Дополнительная литература
Что такое «явное согласие»?
Явное согласие не определено в GDPR Великобритании, но вряд ли будет сильно отличаться от обычного высокого стандарта согласия.Любое согласие должно включать конкретное, информированное и недвусмысленное указание желаний человека.
Ключевое различие, вероятно, будет заключаться в том, что «явное» согласие должно быть подтверждено в четком заявлении (устном или письменном).
В определении согласия говорится, что субъект данных может означать согласие либо заявлением (которое будет считаться явным согласием), либо четким позитивным действием (которое не будет). Согласие, вытекающее из чьих-либо действий, не может быть явным согласием, каким бы очевидным ни было его согласие.Явное согласие должно быть прямо подтверждено словами.
Физические лица не обязаны писать заявление о согласии своими словами; вы можете написать это для них. Однако вам необходимо убедиться, что люди могут четко указать, что они согласны с заявлением, например, подписав свое имя или отметив поле рядом с ним.
Если вам нужно явное согласие, вам следует уделить особое внимание формулировке. Даже в письменном контексте не все согласие будет явным. Вы всегда должны использовать явное заявление о согласии.
Пример
Спа-салон красоты предоставляет своим клиентам форму по прибытии, которая включает в себя следующее:
Тип кожи и данные о любых состояниях кожи (по желанию):
Мы будем использовать эту информацию, чтобы порекомендовать подходящие косметические продукты.
Если кто-то вводит данные о своем кожном заболевании, скорее всего, это будет свободно данное, конкретное, осознанное и недвусмысленное согласие на использование этих данных для вынесения таких рекомендаций, но, возможно, это все же подразумеваемое согласие, а не явное согласие.
В другом спа-салоне красоты вместо этого используется следующее выражение:
Тип кожи и данные о любых состояниях кожи (по желанию):
Я разрешаю вам использовать эту информацию, чтобы рекомендовать подходящие косметические товары
Если лицо отметило поле, значит, оно явным образом согласилось на обработку.
В явном заявлении о согласии также необходимо указать элемент обработки, требующий явного согласия. Например, в заявлении следует указать характер данных специальной категории, детали автоматизированного решения и его последствия или детали данных, которые должны быть переданы, и риски, связанные с передачей.
«Явный» элемент любого согласия также должен быть отделен от любых других согласий, которые вы запрашиваете, в соответствии с указаниями в Рекитале 43 по надлежащему детальному контролю.
Вы можете получить явное согласие устно, но вам нужно обязательно вести запись сценария.
Дополнительная литература
Как долго длится согласие?
GDPR Великобритании не устанавливает конкретных сроков для получения согласия. Согласие, вероятно, со временем ухудшится, но его продолжительность будет зависеть от контекста.Вам необходимо принять во внимание объем исходного согласия и ожидания человека.
Пример
В тренажерном зале проводится акция, которая дает участникам возможность подписаться на рассылку электронных писем с советами о здоровом питании и о том, как привести себя в форму к летним каникулам в этом году.
Поскольку в запросе согласия указывается конкретный временной масштаб и конечная точка — их летние каникулы — ожидается, что эти электронные письма прекратят свое существование после того, как лето закончится.Таким образом, согласие истекает.
Если ваши операции или цели обработки меняются, ваше первоначальное согласие может больше не быть конкретным или достаточно информированным — и вы не можете вывести более широкое согласие из простого отказа в возражении.
Если это произойдет, вам нужно будет запросить новое согласие или указать другое законное основание.
Если кто-то отозвал согласие, вам необходимо как можно скорее в сложившихся обстоятельствах прекратить обработку на основании согласия. Это не повлияет на законность вашей обработки до этого момента.
Родительское согласие не истекает автоматически, когда ребенок достигает возраста, в котором он может дать свое согласие, но вы должны помнить, что вам, возможно, придется обновлять согласие более регулярно.
Вам следует постоянно проверять свое согласие и рассматривать возможность его обновления через соответствующие удобные для пользователя интервалы. См. Раздел о том, как управлять согласием? для дополнительной информации.
Может ли третье лицо дать согласие от имени физического лица?
GDPR Великобритании не запрещает третьей стороне, действующей от имени физического лица, выражать свое согласие.Однако вам необходимо продемонстрировать, что третья сторона имеет на это полномочия.
На практике в большинстве случаев бывает сложно проверить, имеет ли третья сторона полномочия предоставить согласие. Вы также должны быть в состоянии продемонстрировать, что человек был полностью информирован и согласие было дано свободно.
Это, скорее всего, уместно в тех случаях, когда у человека нет возможности дать согласие, а кто-то другой имеет определенные юридические полномочия принимать решения от его имени.
Каковы правила дееспособности?
GDPR Великобритании не содержит конкретных положений о правоспособности давать согласие, но вопросы правоспособности связаны с концепцией «осознанного» согласия.
Как правило, вы можете предположить, что взрослые могут дать согласие, если у вас нет оснований полагать обратное. Однако вы должны убедиться, что предоставляемая вами информация позволяет полностью информировать вашу предполагаемую аудиторию.
Возможно, у вас есть основания полагать, что кто-то не способен понять последствия согласия и поэтому не может дать осознанное согласие.
В таком случае согласие может дать третье лицо, имеющее законное право принимать решения от их имени (например, по доверенности).
Каковы правила получения согласия детей?
В соответствии с GDPR Великобритании глобальных правил о согласии детей нет, но в статье 8 есть конкретное положение о согласии детей на «услуги информационного общества» (услуги, запрашиваемые и предоставляемые через Интернет).
Короче говоря, если вы предлагаете эти виды услуг непосредственно детям (кроме профилактических или консультационных услуг) и хотите полагаться на согласие, а не на другое законное основание для обработки ваших данных, вы должны получить согласие родителей для детей младше 13 лет (что является возраст, установленный Великобританией в Законе о защите данных 2018 г.).
Если вы решите полагаться на согласие детей, вам необходимо будет принять меры по проверке возраста и приложить «разумные усилия» для проверки родительской ответственности за лиц младше соответствующего возраста.
Для других типов обработки общее правило в Великобритании заключается в том, что вы должны учитывать, обладает ли отдельный ребенок компетенцией для понимания и согласия для себя («тест на компетентность Гиллика»). Однако в Шотландии считается, что лицо в возрасте 12 лет и старше имеет достаточный возраст и зрелость для такого понимания, если не указано иное.На практике вам все же может потребоваться рассмотреть меры по проверке возраста в рамках этой оценки и предпринять шаги для проверки согласия родителей в отношении детей, не обладающих компетенцией давать согласие для себя.
Согласие — одно из возможных законных оснований для обработки данных детей, но помните, что это не единственный вариант. Иногда другое законное основание более уместно и обеспечивает лучшую защиту ребенка. Например, вам может быть полезно рассматривать «законные интересы» в качестве потенциального законного основания вместо согласия.Это поможет вам оценить влияние вашей обработки на детей и подумать о том, является ли она справедливой и соразмерной.
Чтобы получить более подробные инструкции о том, что следует учитывать при выборе основы для обработки личных данных детей, нажмите здесь.
Дополнительная литература
Дополнительная литература — Европейский совет по защите данных
Европейский совет по защите данных (EDPB) состоит из представителей органов по защите данных каждого государства-члена ЕС.Он принимает руководящие принципы для соблюдения требований GDPR Великобритании. Руководящие принципы EDPB больше не имеют прямого отношения к режиму Великобритании и не являются обязательными для режима Великобритании. Однако они могут по-прежнему давать полезные советы по определенным вопросам.
EDPB выпустила Руководство по согласию.
Каковы правила получения согласия на научные исследования?
Нет правила, согласно которому вы должны полагаться на согласие на обработку персональных данных в целях научных исследований.
Даже если у вас есть отдельное этическое или юридическое обязательство получить согласие людей, участвующих в вашем исследовании, его не следует путать с согласием GDPR Великобритании.
Пример
Правила клинических испытаний применяются к клиническим испытаниям медицинского продукта, предназначенного для использования человеком. Сюда входит требование о получении «осознанного согласия» от людей на участие в исследовании.
GDPR Великобритании не изменяет это требование. В Recital 161 признается, что он по-прежнему применяется, но это совершенно отдельное требование о согласии на участие в исследовании.Его не следует путать с согласием на обработку персональных данных в соответствии с GDPR Великобритании, и он не отменяет обязательство в соответствии со статьей 6 GDPR Великобритании определять соответствующую законную основу.
В качестве отдельного упражнения вы также должны убедиться, что у вас есть законное основание для вашей обработки в соответствии с GDPR Великобритании, а также условие для обработки данных специальной категории, где это необходимо (например, клинические испытания с большой вероятностью будут включать обработку данные о здоровье).
Даже если люди дали согласие на участие в исследовании, вы вполне можете обнаружить, что другое законное основание (и другое условие данных специальной категории) более уместно в данных обстоятельствах.
В частности, помните, что согласие в соответствии с GDPR Великобритании может быть отозвано в любое время. Для научных исследований нет исключения. Это означает, что если вы полагаетесь на согласие в качестве законного основания, а физическое лицо отзывает свое согласие, вам необходимо немедленно прекратить обработку его личных данных или анонимизировать их.
Если вы не сможете в полной мере отозвать согласие — например, потому что удаление данных подорвет исследование и полная анонимность невозможна — тогда вы не должны использовать согласие в качестве законного основания (или условия для обработки данных специальной категории) .Согласие действительно только в том случае, если человек может отозвать его в любое время.
Дополнительную информацию см. В разделе «Как следует управлять правом на отзыв согласия?».
Если вы действительно хотите полагаться на согласие, GDPR Великобритании признает, что, если вы собираете личные данные для научных исследований, вы не сможете заранее полностью указать свои точные цели.
Если вы запрашиваете согласие на обработку персональных данных для научных исследований, это означает, что вам не нужно быть таким конкретным, как для других целей.Тем не менее, вы должны определить общие области исследования и, по возможности, предоставить людям подробные варианты согласия только на определенные области исследования или части исследовательских проектов.
Дополнительная литература
Дополнительная литература — Европейский совет по защите данных
Европейский совет по защите данных (EDPB) состоит из представителей органов по защите данных каждого государства-члена ЕС.Он принимает рекомендации по соблюдению требований GDPR. Руководящие принципы EDPB больше не имеют прямого отношения к режиму Великобритании и не являются обязательными для режима Великобритании.
Однако они могут по-прежнему давать полезные советы по определенным вопросам.
EDPB выпустила Руководство по согласию.
Когда согласие недействительно?
Таким образом, у вас нет действующего согласия, если применимо одно из следующих условий:
- Вы сомневаетесь в том, что кто-то дал согласие;
- человек не осознает, что дал согласие;
- у вас нет четких записей, подтверждающих их согласие;
- не было по-настоящему свободного выбора, следует ли соглашаться;
- человек будет оштрафован за отказ в согласии;
- существует явный дисбаланс сил между вами и человеком; Согласие
- было предварительным условием предоставления услуги, но обработка не требуется для этой услуги;
- согласие было объединено с другими условиями;
- запрос согласия был расплывчатым или неясным;
- вы используете предварительно отмеченные поля согласия или другие методы согласия по умолчанию;
- ваша организация конкретно не называлась;
- Вы не рассказывали людям об их праве отозвать согласие;
- человек не могут легко отозвать согласие; или
- ваши цели или действия вышли за рамки первоначального согласия.
Примеры согласия GDPR — Политика конфиденциальности
В последнее время началась активная деятельность по получению согласия. Веб-сайты представляли «баннеры cookie». Компании рассылают электронные письма с вопросом, хотят ли пользователи по-прежнему подписываться на списки рассылки. Этот список можно продолжить.
Это все из-за Общего регламента ЕС по защите данных (GDPR) , закона о конфиденциальности, который устанавливает более высокий стандарт согласия, чем привыкли многие компании.Согласно GDPR, согласие на самом деле означает согласие . Некоторые методы, которые ранее использовались для получения согласия, больше не действуют.
Давайте посмотрим, как ваша компания может убедиться, что она получает согласие правильным и правильным образом.
Что такое GDPR?
GDPR — почти наверняка самый строгий закон о конфиденциальности в мире.
Но в строгих законах ЕС о конфиденциальности и защите данных нет ничего нового. Директива о защите данных , более старый закон о конфиденциальности, который заменяет GDPR, и директива ePrivacy , иногда известная как «закон о файлах cookie», уже обеспечивали жителей ЕС высоким уровнем защиты конфиденциальности.
GDPR оказал особенно значительное влияние, отчасти потому, что он также распространяется на компаний, не входящих в ЕС. .
Кому нужно соблюдать GDPR?
GDPR применяется к вашей компании вне зависимости от того, находитесь вы в ЕС или нет, если вы:
- Предложение товаров и услуг жителям ЕС. Это независимо от того, преследуете ли вы прибыль.
- Мониторинг поведения людей в ЕС. Это может включать « профилирующих » людей — попытку предсказать, как они могут действовать, основываясь на наблюдениях за их прошлым поведением.На самом деле это очень распространено, так как это то, что делают многие рекламные файлы cookie.
Что покрывает GDPR?
Всякий раз, когда ваша компания обрабатывает персональные данные , она должна соответствовать GDPR. Обработка персональных данных — это то, чем компании занимаются каждый день.
« Персональные данные » — это информация, которая может использоваться для идентификации личности. Если вам интересно, может ли что-то квалифицироваться как личные данные, вы можете поспорить, что это, вероятно, так.
Например,динамических IP-адресов были признаны высшим судом ЕС персональными данными. Это связано с тем, что динамический IP-адрес теоретически может быть объединен с другой информацией для идентификации человека. Некоторые файлы cookie также подходят.
« Обработка » личных данных означает что-то с ними делать. Опять же, если вам интересно, можно ли что-то квалифицировать как обработку, скорее всего, это так.
Помимо очевидных вещей, таких как получение платежных реквизитов или составление списка рассылки, такие действия, как сохранение чьего-либо IP-адреса в файлах журнала вашего веб-сервера, также могут представлять собой «обработку личных данных».
«
Чем отличается согласие согласно GDPR
В большинстве законов о конфиденциальности существует два типа согласия: подразумеваемое и выраженное .
Они могут иметь разные названия. Например, в австралийском Законе о коммерческой электронной почте Закона о спаме 2003 года подразумеваемое согласие называется «согласие , подразумеваемое, ». А в Соединенных Штатах закон о конфиденциальности CAN-SPAM называет явное согласие « утвердительным согласием ».
В то время как большинство законов о конфиденциальности признают оба типа согласия, подразумеваемое согласие не существует в GDPR .Гораздо сложнее продемонстрировать, что у вас есть согласие клиента в соответствии с GDPR, чем в соответствии с другими законами о конфиденциальности.
Подразумеваемое согласие
По сути, «подразумеваемое согласие» означает, что у вас есть основания полагать, что лицо даст вам свое согласие , если вы его попросите.
Подразумеваемое согласие может существовать в отношениях между клиентом и компанией. Если кто-то регулярно покупает продукты у компании, у этой компании есть основания полагать, что они согласились получать от нее маркетинговые электронные письма.Бизнесу почти всегда придется предлагать клиенту « opt-out » от такого общения через средство отказа от подписки.
Например, в Законе Канады о борьбе со спамом (CASL), канадском законе о конфиденциальности, подразумеваемое согласие автоматически существует при определенных условиях. Правительство Канады объясняет это на своем веб-сайте:
Экспресс-согласие
Прямое согласие — это то, что означает «согласие» в соответствии с GDPR. Вы, , спрашиваете о чьем-то согласии, они понимают вопрос и последствия, и они делают правильный выбор .
Закон Новой Зеландии о незапрашиваемых электронных сообщениях 2007 года о спаме признает как явное, так и подразумеваемое согласие.
Вот как Департамент внутренних дел Новой Зеландии характеризует выраженное согласие на отправку коммерческих писем:
Пять элементов согласия в соответствии с GDPR
Статья 4 GDPR определяет согласие как « любое , предоставленное бесплатно, , , конкретное, , , однозначное, , […] , четкое позитивное действие », посредством которого лицо дает разрешение чтобы их личные данные обрабатывались определенным образом.
Мы можем разбить это на пять элементов:
- Выдается бесплатно — на человека нельзя принуждать давать согласие или причинять какой-либо ущерб в случае отказа.
- Конкретный — необходимо попросить человека дать согласие на отдельные типы обработки данных.
- Информировано — человеку нужно сказать, на что он соглашается.
- Однозначно — язык должен быть ясным и простым.
- Четкие позитивные действия — человек должен прямо дать согласие, делая или говоря что-то.
Если вам не хватает одного из этих пяти элементов, , у вас нет согласия согласно GDPR.
Когда требуется согласие?
Один из распространенных мифов о GDPR заключается в том, что он требует согласия для всех типов обработки данных. Это неправда.
GDPR является лишь одной из шести законных оснований для обработки персональных данных, предусмотренных GDPR. Они резюмированы Офисом комиссара по информации (Управление по защите данных Великобритании):
Вообще говоря, не следует, запрашивать согласие, если:
- Вы выполняете основную услугу (вместо этого используйте контракт).
- Вам требуется для обработки личных данных в соответствии с законом (юридическое обязательство).
- Вы обрабатываете персональные данные для выгоды вашей компании или других лиц таким образом, что ваши пользователи разумно ожидали бы , с минимальным риском и воздействием на людей (законные интересы).
Вы, , должны запросить согласие, если вы действительно предлагаете реальный выбор второстепенной услуги. Типичные примеры включают:
- Использование отслеживания / рекламы cookie
- Отправка маркетинговых сообщений электронных писем или информационных бюллетеней
- Предоставление персональных данных другим компаниям в коммерческих целях
Как получить согласие в соответствии с GDPR
Вы должны реализовать пять элементов согласия каждый раз, когда вы запрашиваете согласие у своих пользователей.
Согласие на использование файлов cookie
С момента внедрения GDPR увеличилось количество баннеров cookie. увеличилось. Многие из них были бы хороши в системе, допускающей «подразумеваемое» согласие, но помните — GDPR признает только явное согласие .
Также есть баннеры cookie, которые почти просят согласия, но все же не оправдывают себя, как этот пример из Southbank Center:
В этом примере даже не запрашивается согласие, а файлы cookie размещаются по умолчанию.
Пользователи будут перенаправлены к дополнительной информации, которая информирует их, как отказаться от файлов cookie.
Но помните о пяти элементах. При таком подходе согласие не предоставляется бесплатно, . Также это не однозначный или , полученный посредством четкого утвердительного акта .
Вот пример гораздо лучшего уведомления о файлах cookie от Европейского центрального банка:
Все пять элементов здесь. Согласие:
- Бесплатно предоставляется — нет акцента ни на «принять», ни на «не принимать».»
- Информировано — пользователю сообщается причина обработки и предлагается узнать больше.
- Однозначно — язык ясный и понятный.
- Особый — пользователю предлагается дать согласие только на один тип обработки данных.
- Получено посредством четкого положительного действия — пользователь должен нажать «Я понимаю и принимаю».
Обратите внимание, что дополнительный флажок «Я согласен» не требуется.Одного клика достаточно для одного запроса согласия.
Это довольно простой случай — веб-сайт Европейского центрального банка использует только самые простые файлы cookie. Вот пример от Experian того, как вы можете запросить конкретное согласие для различных типов файлов cookie:
Вы должны сообщить своим пользователям об использовании файлов cookie в своей Политике конфиденциальности (или Политике использования файлов cookie). Вот как Makermet объясняет, какие типы файлов cookie он использует:
Помните, что согласие зависит не только от того, что вы говорите, но и от того, что вы делаете.Не устанавливайте рекламные файлы cookie, если ваши пользователи не дали на них согласие.
Согласие на отправку маркетинговых материалов
GDPR должен сигнализировать об окончании предварительно отмеченного поля — тактики, используемой в течение многих лет компаниями, надеющимися обмануть подписчиков, чтобы они случайно присоединились к их спискам рассылки.
Может показаться, что есть довольно незначительное различие между просьбой кого-то поставить галочку и просить кого-то снять галочку. Однако « не снимает отметку с поля » не соответствует ни одному из пяти элементов согласия в соответствии с GDPR.Следовательно, это не может использоваться для демонстрации того, что у вас есть согласие человека.
Вы можете легко реализовать пять элементов согласия GDPR, когда просите людей подписаться на ваш список рассылки. Вот пример от Dynastar:
Как это соотносится с пятью элементами?
- Бесплатно предоставляется — у пользователя есть очевидный выбор, предоставлять ли свой адрес электронной почты.
- Информировано — пользователю сообщается причина обработки, однако слово «маркетинг» напечатано мелким шрифтом.Пользователю предлагается ознакомиться с Политикой конфиденциальности Dynastar.
- Однозначно — язык ясный и понятный.
- Конкретный — было бы яснее, что информационный бюллетень — это форма маркетинга, но это второстепенный момент.
- Получено в результате четкого позитивного действия — ввод адреса электронной почты и нажатие кнопки «подписаться на рассылку новостей» является явным позитивным действием.
Это довольно хороший пример механизма подписки на список рассылки.
Вот еще один пример от Cooper Vision. Во-первых, пользователю сообщается, на что он подписывается:
.Затем пользователю предлагается выбрать способ получения информации:
Запрос согласия Cooper Vision легко соответствует требованиям GDPR.
Часто согласие на отправку маркетинговых материалов достигается, когда пользователь подписывается на какую-либо другую услугу или взаимодействует с вашей компанией каким-либо иным образом. Вот пример из Protect Your Gadget.На этом этапе пользователь собирается подписаться, чтобы получить расценку на страхование:
Пока ясно, что это отдельная опция , а ответ по умолчанию — «нет», тогда здесь нет проблем.
Проблема возникает, если пользователь подписывается на маркетинговые материалы, не осознавая, что они это сделали или активно делают.
В этой связи хорошей практикой также является внедрение « double opt-in », при котором пользователей просят подтвердить свою подписку по электронной почте с подтверждением.Вот пример от Textbroker:
Согласие на сторонний маркетинг
Есть два способа привлечь пользователей к маркетингу других компаний. Вы можете отправить сторонние маркетинговые материалы им напрямую , или вы можете поделиться их контактными данными с другими компаниями.
Ни один из этих случаев не запрещен GPDR. Но, как и во всех аспектах обработки данных, вы должны быть четкими и прозрачными . Для этих целей почти всегда нужно запрашивать согласие.
Вы не должны связывать свой запрос согласия на обмен личными данными с другими запросами на согласие. Взгляните на этот запрос согласия от Escapio:
Пользователям сообщают, что они подписываются на «наши советы и предложения [Escapio]».
Но прокрутка страницы вниз показывает больше:
Пользователь будет получать стороннюю маркетинговую информацию, рекомендации отелей, конкурсы — больше, чем просто «советы и предложения» от Escapio. Согласие на все это объединено в один запрос.Это, по-видимому, не соответствует требованию о том, чтобы согласие было « специфическим ».
Вот пример отдельного запроса согласия от Steam Railway:
Это три разные цели, для которых будет использоваться адрес электронной почты пользователей. Поэтому уместно запрашивать согласие в тремя разными способами, с тремя разными флажками.
Примечание. Никогда не устанавливайте заранее какие-либо флажки, которые вы используете при запросе какого-либо согласия.
Вот еще один пример разделенных запросов согласия от Alfa Romeo:
Это отличный пример согласия, которое дано свободно, информировано, конкретное, недвусмысленное и дано посредством четкого позитивного действия .
Шестой элемент согласия — легко отозвать
Существует шестое требование GDPR — согласие должно быть , легко отозвать .
Конечно, вы должны включить в свои маркетинговые электронные письма функцию отказа от подписки .Вот как это делает Гермес:
Другие способы отзыва согласия должны быть четко объяснены в вашей Политике конфиденциальности. Вот как это делает Bauer Publishing:
Файлы cookie часто можно управлять с помощью «диспетчера файлов cookie». Вот пример от Onedox:
Обратите внимание, что многие из этих настроек по умолчанию должны быть отключены.
Согласие на мобильное приложение
Принципы получения согласия в мобильных приложениях такие же, как и в любых других средах.
Вот пример запроса согласия из мобильного приложения Swiftkey:
Swiftkey претендует на получение согласия при установке приложения пользователем. Установка приложения, возможно, не является однозначным или четким утвердительным актом , который обязательно показывает согласие.
Это не обязательно проблема, если приложение не собирает информацию, которая будет использоваться для таргетинга рекламы (для чего требуется конкретное согласие). Беглый взгляд на Заявление о конфиденциальности Swiftkey (управляется Microsoft) показывает, что в идеале следует запрашивать конкретное согласие , поскольку собранная информация используется для таргетинга рекламы.
В мобильных приложениях часто используется такая информация, как сбор данных о местоположении для несущественных услуг. Вы должны дать своим пользователям некоторый контроль над этим. Вот отличный пример информированного согласия от Google:
Резюме — Получение согласия в соответствии с GDPR
Чтобы согласие было значимым в соответствии с GDPR, оно должно быть:
- Бесплатно предоставляется — не пытайтесь «обманом» заставить вас дать согласие. Не отменяйте любые другие услуги, если они не соглашаются.
- Особый — если вы хотите обрабатывать согласие человека для нескольких целей, вы должны попросить его дать согласие на каждый тип обработки.
- Информированный — предоставьте четкую информацию о том, на что пользователя просят дать согласие, и что делать, если он передумает.
- Однозначно — используйте ясный и простой язык и сделайте простой выбор.
- Дано в виде четкого утвердительного действия — никогда не предполагайте, что у вас есть чье-то согласие, пока они не согласятся на что-то активно.
И, наконец, как только у вас есть согласие человека, вы должны упростить ему его отзыв.
Список обязательных документов, требуемых GDPR
Документирование операций по обработке данных является новым юридическим требованием согласно GDPR (Общий регламент по защите данных) ЕС.
Документирование вашей обработки данных также может способствовать правильному управлению данными и помочь вам продемонстрировать соответствие другим аспектам GDPR.
В этом посте мы перечислили всю документацию, политики и процедуры, которые вам необходимы, если вы хотите полностью соответствовать GDPR.
Политика защиты персональных данных (статья 24)
Политика защиты данных — это заявление, в котором излагается, как ваша организация защищает личные данные.
В нем разъясняются требования GDPR к вашим сотрудникам и демонстрируется приверженность вашей организации их соблюдению.
Если вы не уверены, что должна включать ваша политика защиты данных, этот шаблон поможет вам создать ее за считанные минуты.
См. Также: Как написать политику защиты данных GDPR — с примерами шаблонов
Уведомление о конфиденциальности (статьи 12, 13 и 14)
Уведомление о конфиденциальности — это публичное заявление о том, как ваша организация применяет (и соблюдает) принципы обработки данных GDPR.
Являясь неотъемлемой частью соблюдения нормативных требований, он служит двум целям: способствовать прозрачности и предоставлять людям больший контроль над тем, как используются их данные.
Наш настраиваемый шаблон поможет вам создать уведомление о конфиденциальности всего за несколько минут.
См. Также: Как написать уведомление о конфиденциальности данных GDPR — с примером шаблона
Уведомление о конфиденциальности сотрудников (статьи 12, 13 и 14)
Согласно GDPR, вы должны быть более прозрачными и открытыми, чем когда-либо прежде, в отношении обрабатываемых вами данных о сотрудниках.
Это также основной принцип GDPR, позволяющий работодателям обрабатывать данные, связанные с персоналом, справедливо и прозрачно.Уведомление о конфиденциальности сотрудников — важный шаг на пути к соблюдению требований. В нем объясняется, как контролер данных (в данном случае ваша организация) обрабатывает персональные данные сотрудника.
Политика хранения данных (статьи 5, 13, 17 и 30)
Политика хранения данных (или записей) описывает протокол вашей организации для хранения информации.
Важно, чтобы ваша организация хранила данные столько, сколько необходимо.
Это связано с тем, что хранение данных дольше, чем необходимо, может занять ценное пространство для хранения и повлечь за собой ненужные расходы.
При написании политики хранения данных следует учитывать два ключевых фактора:
1) Как вы собираетесь организовать информацию, чтобы к ней можно было получить доступ позже; и
2) Как вы будете распоряжаться информацией, которая больше не нужна.
См. Также: Лучшие советы по хранению данных в соответствии с GDPR
График хранения данных (статья 30)
График хранения данных (или хранения записей) — это политика, которая определяет, как долго должны храниться элементы данных.
В нем также приведены инструкции по удалению элементов данных.
Вы можете создать график хранения и удаления в соответствии с GDPR за считанные минуты с помощью наших простых в использовании и настраиваемых шаблонов, разработанных нашими экспертами-практиками GDPR.
Форма согласия субъекта данных (статьи 6, 7 и 9)
Согласие является одним из законных оснований для обработки персональных данных, а явное согласие также может узаконить использование данных особой категории.
Если ваша организация обрабатывает персональные данные для определенной цели, вы должны получить разрешение от соответствующих субъектов данных с формой согласия.
Согласие в соответствии с GDPR часто неправильно понимается и используется неправильно.
Ниже мы изложили рекомендации по написанию формы согласия GDPR.
Не знаете, какие процедуры согласия должны включать в себя?
Наши простые в использовании и настраиваемые шаблоны помогут вам создать процедуру согласия в соответствии с GDPR за считанные минуты.
Соглашение об обработке данных с поставщиком (статьи 28, 32 и 82)
Если вы пользуетесь услугами другой организации (т.
Это называется соглашением об обработке данных с поставщиком.
Регистр DPIA (статья 35)
Реестр DPIA используется для документирования анализа воздействия на защиту данных вашей организации (DPIA).
Чтобы узнать больше о проведении DPIA, см. Нашу информационную страницу: Оценка воздействия на защиту данных в соответствии с GDPR.
Процедура реагирования и уведомления о нарушении данных (статьи 4, 33 и 34)Вы должны создать процедуру, которая будет применяться в случае нарушения личных данных в соответствии со статьей 33 — «Уведомление о нарушении личных данных в надзорный орган» — и статьей 34 GDPR — «Сообщение данных о нарушении личных данных. предмет».
Ниже приведен пример того, как может выглядеть уведомление об утечке данных, доступный в ведущем на рынке Инструментарии документации GDPR в ЕС:
Чтобы узнать, как написать процедуру уведомления о нарушении данных, см .
: Как написать процедуру уведомления о нарушении GDPR — с примером шаблона.
Регистр утечки данных (статья 33)
Вы должны вести внутреннюю запись обо всех нарушениях личных данных в Реестре утечек данных.
Реестр утечки данных должен содержать подробную информацию о фактах, связанных с нарушением, последствиях нарушения и любых предпринятых мерах по исправлению положения.
Форма уведомления о нарушении данных в надзорный орган (статья 33)
Если вы столкнулись с утечкой личных данных, о которой необходимо сообщить в ICO, вам необходимо заполнить соответствующую форму уведомления о нарушении данных.
Для получения дополнительной информации о сообщениях об утечке данных посетите веб-сайт ICO.
Форма уведомления о нарушении данных для субъектов данных (статья 34)
Вам необходимо будет заполнить форму уведомления о нарушении данных для Субъектов данных, если вы столкнулись с утечкой личных данных, которая может привести к «высокому риску для прав и свобод» человека.
Некоторые документы GDPR применимы только при определенных условиях, в том числе:
Должностная инструкция сотрудника по защите данных (статьи 37, 38 и 39)
Вам необходимо назначить DPO, если:
- Вы являетесь государственным органом или органом, за исключением судов, действующих в их судебной компетенции;
- Ваша основная деятельность состоит из операций обработки, которые требуют регулярного и систематического мониторинга субъектов данных в больших масштабах; или
- Ваша основная деятельность обрабатывает крупномасштабные специальные категории данных и личные данные, относящиеся к уголовным обвинениям и правонарушениям.
Инвентаризация перерабатывающей деятельности (статья 30)
Этот документ является обязательным, если:
- В вашей организации более 250 сотрудников; или
- Обработка, которую вы выполняете, может привести к риску для прав и свобод субъектов данных; или
- Обработка не является случайной; или
- Обработка включает особые категории данных; или
- Обработка включает персональные данные, относящиеся к уголовным обвинениям и правонарушениям.
Стандартные договорные положения о передаче персональных данных контролерам (статья 46)
Этот документ является обязательным, если вы передаете личные данные в страну, не являющуюся членом ЕС, и полагаетесь на типовые положения в качестве законных оснований для трансграничной передачи данных.
Стандартные договорные положения о передаче персональных данных обработчикам (статья 46)
Этот документ является обязательным, если вы передаете личные данные процессору за пределами Европейской экономической зоны (ЕЭЗ) и полагаетесь на типовые положения в качестве законных оснований для трансграничной передачи данных.
Документация GDPR: упрощенная
Быстро выполняйте требования и избегайте дорогостоящих услуг консультантов с помощью ведущего на рынке набора инструментов GDPR.
Написанный юристами и экспертами-практиками, это наиболее полный набор инструментов на рынке, содержащий все политики и процедуры GDPR, необходимые для демонстрации соблюдения требований при значительном сокращении затрат на внедрение.
Более 3000 организаций по всему миру уже используют инструментарий GDPR для упрощения и ускорения своего проекта.Если вам нужна помощь в достижении соответствия GDPR, этот инструментарий для вас.
Версия этого блога была первоначально опубликована 14 сентября 2017 года.
Заявление о конфиденциальности SAP
Если SAP подчиняется определенным требованиям конфиденциальности в США, также применяются следующие положения:
Конфиденциальность детей в США. SAP сознательно не собирает Персональные данные детей в возрасте до 13 лет. Если вы являетесь родителем или опекуном и считаете, что SAP собирала информацию о ребенке, обратитесь в SAP, как описано в этом Заявлении о конфиденциальности.SAP примет меры, чтобы удалить информацию как можно скорее. Учитывая, что веб-сайты и онлайн-сервисы SAP не предназначены для пользователей младше 16 лет и в соответствии с требованиями раскрытия информации CCPA, SAP не продает Персональные данные несовершеннолетних младше 16 лет.
Если SAP подчиняется определенным требованиям конфиденциальности в США в штате Калифорния, также применяется следующее:
Не отслеживать. Ваш браузер может позволить вам установить предпочтение «Не отслеживать». Если не указано иное, наши сайты не принимают запросы «Не отслеживать». Тем не менее, вы можете отказаться от приема файлов cookie, изменив соответствующие настройки в своем веб-браузере или, если это возможно, обратившись к нашему Положению о файлах cookie. Файлы cookie — это небольшие текстовые файлы, которые размещаются на вашем компьютере при посещении определенных сайтов в Интернете и используются для идентификации вашего компьютера. Если вы не принимаете файлы cookie, возможно, вы не сможете использовать определенные функции и возможности нашего сайта.Этот сайт не позволяет третьим лицам собирать информацию о вас с течением времени и на разных сайтах.
Вы имеете право:
- запрашивать у SAP доступ к вашим Персональным данным, которые SAP собирает, использует или раскрывает о вас;
- , чтобы запросить у SAP удаление Персональных данных о вас;
- на недискриминационное отношение к осуществлению любого из ваших прав на защиту данных;
- в случае запроса от SAP на доступ к вашим Персональным данным, чтобы такая информация была переносимой, если это возможно, в удобном для использования формате, который позволяет вам беспрепятственно передавать эту информацию другому получателю
В соответствии с раскрытием Согласно требованиям Закона Калифорнии о конфиденциальности потребителей («CCPA») SAP не продает и не будет продавать ваши Персональные данные.
В соответствии с процессом проверки, изложенным в CCPA, SAP потребует более строгий процесс проверки для запросов на удаление или для Персональных данных, которые считаются конфиденциальными или ценными, чтобы свести к минимуму вред, который может быть нанесен вам в результате несанкционированного доступа или удаления. ваших личных данных. Если SAP необходимо запросить у вас дополнительную информацию, помимо информации, которая уже поддерживается SAP, SAP будет использовать ее только для проверки вашей личности, чтобы вы могли воспользоваться своими правами на защиту данных, или в целях безопасности и предотвращения мошенничества.
Помимо обращения в SAP по адресу [email protected], вы также можете воспользоваться своими правами следующим образом:
Вы можете позвонить по бесплатному телефону, чтобы отправить запрос, используя номера, указанные здесь. Вы также можете назначить уполномоченного агента для отправки запросов на реализацию ваших прав на защиту данных в SAP.
Такой уполномоченный агент должен быть зарегистрирован у государственного секретаря штата Калифорния и предоставить доказательство того, что вы дали ему разрешение действовать от вашего имени.
Если SAP подчиняется требованиям Общего закона Бразилии о защите данных («LGPD»), также применяется следующее:
SAP назначила сотрудника по защите данных для Бразилии. Письменные запросы, запросы или жалобы нашему сотруднику по защите данных можно направлять по адресу:
Paulo Nittolo Costa
Электронная почта: [email protected]
Адрес: Avenida das Nações Unidas 14171 — Marble Tower — 7th Floor — São Paulo-SP , Бразилия 04794-000
Если SAP подчиняется определенным требованиям конфиденциальности на Филиппинах, также применяется следующее:
Для физических лиц на Филиппинах вы можете осуществлять свои права следующим образом:
Вы можете Чтобы отправить запрос, позвоните или напишите в SAP:
webmaster @ sap.
com
Телефон: + 632-8705-2500
Адрес: SAP Philippines, Inc.
Attn: Сотрудник по защите данных
27F Nac Tower, Taguig City 1632, Филиппины
Следующие положения применяются к резидентам и граждане Филиппин:
- Вы можете потребовать компенсацию, как окончательно присужденную Национальной комиссией по конфиденциальности или судами, если вам был причинен ущерб из-за неточного, неполного, устаревшего, ложного, незаконно полученного или несанкционированного использования личных данных с учетом любого нарушения о ваших правах и свободах как субъекта данных;
- Если вы являетесь объектом нарушения конфиденциальности или личных данных или иным образом лично затронуты нарушением Закона о конфиденциальности данных, вы можете подать жалобу в Национальную комиссию по конфиденциальности;
- Ваши права на передачу.Ваши законные наследники и правопреемники могут ссылаться на ваши права в любое время после вашей смерти или когда вы недееспособны или неспособны осуществлять свои права.
Если SAP подчиняется требованиям Закона Сингапура о защите личных данных (PDPA), также применяется следующее:
SAP назначила сотрудника по защите данных для Сингапура. Письменные запросы, запросы или жалобы нашему сотруднику по защите данных можно направлять по адресу:
Тема: [Attn.] Тина Бхатия, DPO (Сингапур)
Электронная почта: [email protected]
Адрес: Mapletree Business City, 30 Pasir Panjang Rd, Singapore 117440
Контактное лицо: +65 6664 6868
Где находится SAP в соответствии с требованиями Закона о защите личной информации, 2013 г. («POPIA») в Южной Африке, также применяется следующее:
«Персональные данные», используемые в этом Заявлении о конфиденциальности, означают «Персональные данные» в соответствии с определением этого термина. под POPIA.
«Вы» и «Ваш» в контексте настоящего Заявления о конфиденциальности означает физическое или юридическое лицо, как этот термин используется в POPIA.
Systems Applications Products (Африканский регион) Proprietary Limited & Systems Applications Products (Южная Африка) Proprietary Limited с зарегистрированным адресом 1 Woodmead Drive, Woodmead (SAP South Africa) подпадает под действие Закона Южной Африки о защите личной информации от 2013 г. ( Закон 4 от 2013 г.) и ответственное лицо согласно POPIA.
Если вы как физическое или юридическое лицо считаете, что SAP South Africa как ответственная сторона использовала вашу личную информацию вопреки POPIA, вы обязуетесь сначала попытаться решить любые проблемы с SAP South Africa.
Телефон: 011 325 6000
Адрес: 1 Woodmead Drive, Woodmead, Йоханнесбург, Южная Африка 2148
Если вас не устраивает такой процесс, вы имеете право подать жалобу с Регулятором информации, используя контактную информацию, указанную ниже:
JD House, 27 Stiemens Street, Braamfontein, Johannesburg, 2001, P.O. Box 31533, Braamfontein, Johannesburg, 2017
Электронная почта: questions.
[email protected]
Запросы: [email protected]
Вы можете запросить подробности личной информации, которую мы храним о вас в соответствии с Законом о содействии доступу к информации 2 от 2000 года («PAIA»). Для получения дополнительной информации ознакомьтесь с руководством по SAP PAIA
К гражданам Китайской Республики применяются специальные положения для Китая.
Положения, касающиеся Колумбии, применяются к гражданам Республики Колумбия.
Положения, действующие для России, распространяются на граждан Российской Федерации.
Согласие на обработку персональных данных
Настоящим я даю Smartwings, a.s., зарегистрированный офис в Праге 6, K Letišti 1068/30, почтовый индекс 160 08, рег. №: 256 63 135, зарегистрирован в Торговом реестре Городского суда в Праге под файловым кодом B 5332 в качестве администратора персональных данных (далее «Компания Smartwings»),
мое свободное и добровольное согласие для обработки персональных данных в объеме: адрес электронной почты и, если применимо, любая дополнительная информация, которую Smartwings получила обо мне, и будет использовать ее для более точного нацеливания своей маркетинговой деятельности в соответствии с моими потребностями,
для цель : обращение ко мне с предложением продуктов и услуг Smartwings, включая информацию о продуктах, услугах, событиях, конкурсах, новостях и праздничных пожеланиях.
Настоящее согласие предоставляется сроком на 5 лет.
Я также подтверждаю, что могу отозвать это согласие в электронном виде в любое время по адресу. Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра. или письменно по адресу зарегистрированного офиса Smartwings. Я могу отозвать свое согласие даже до истечения срока, на который оно было предоставлено. Отзыв согласия не наносит ущерба законности обработки персональных данных до отзыва согласия.
Более подробная информация об обработке персональных данных представлена в приложении, которое является неотъемлемой частью этого согласия. Общая информация о доступе к защите персональных данных также доступна на веб-сайте Обработка персональных данных.
Информация об обработке персональных данных
С помощью этого документа мы как администратор ваших персональных данных — Smartwings, a.s., зарегистрированный офис по адресу Praha 6, K Letišti 1068/30, почтовый индекс 160 08, рег.
№: 256 63 135, зарегистрированный в Торговом реестре Городского суда в Праге под файловым кодом B 5332 — предоставляет вам информацию об обработке ваших личных данных и ваших правах, связанных с рассматриваемой обработкой.
Обработка данных происходит в рамках этой деятельности:
- Осуществление маркетинговой деятельности
Цель обработки данных: Обращение к вам с предложениями продуктов и услуг Smartwings, включая информацию о продуктах, услугах, событиях , конкурс, новости и поздравления с праздником.
Описание цели обработки данных: Ваша личная информация используется для информирования о продуктах Smartwings, услугах, конкурсах, подписках на новости, рекламе, подаче каталогов или праздничных пожеланиях. Некоторая личная информация также используется для нацеливания вышеупомянутых сообщений.
Разрешение на обработку данных: Мы имеем право на обработку данных с согласия на обработку личной информации, которую вы нам предоставили.
Если вы не дали нам своего согласия, мы не будем обрабатывать ваши личные данные по этой причине.
Категории личной информации, которую мы обрабатываем: идентификационные данные, контактные данные, описательные данные, бизнес-профиль, технические данные продукта, история бизнеса, данные о семье и других лицах, сообщения, взаимодействия и профили, полученные из этих данных, сетевые идентификаторы.
Срок обработки и архивирования данных: 5 лет с момента предоставления согласия.
Категории обработчиков или получателей, которым мы можем предоставлять личную информацию: Маркетинговые агентства, агентства по организации мероприятий, медиа-агентства, члены распределительной сети, операторы серверов, агентства по управлению гостями, информационная линия.
Ваши личные данные могут быть предоставлены по запросу государственным органам, в частности, судам, полиции Чешской Республики и другим правоохранительным органам, если это необходимо и в рамках закона.
Источник персональных данных: Непосредственно от вас.
Передача персональных данных в третьи страны или транснациональным компаниям:
В рамках вышеупомянутой обработки данных ваши персональные данные не будут переданы в третьи страны или другие транснациональные компании.
Автоматическое принятие решений на основе личной информации :
Это не происходит в рамках этой обработки данных. Другая информация о Персональных данных может быть заархивирована в общественных интересах и использована для научных, исторических или статистических исследований.
Каковы ваши права?
У вас есть следующие права в отношении обработки ваших персональных данных:
- Доступ к обрабатываемым персональным данным.
- Отзыв согласия на обработку персональных данных.
- Исправление неточных или неверных данных.
- Удаление личных данных.
- Ограничения на обработку персональных данных.
- Перечисление персональных данных в структурированном и машиночитаемом формате для вас или другого доверенного лица (право на переносимость).
- Подача возражения на личные данные.
- Не является объектом автоматизированного принятия решений.
Как вы можете заявить о своих правах?
Вы можете использовать следующие контакты для связи со Smartwings по вопросам защиты личных данных: Этот адрес электронной почты защищен от спам-ботов.У вас должен быть включен JavaScript для просмотра.
Сотрудник по защите персональных данных
Если у вас есть какие-либо вопросы относительно защиты ваших персональных данных, вы можете связаться с Smartwings, a.s., сотрудником по защите данных, Mgr. Франтишек Кубечка из адвокатского бюро KUBEČKA & PROKOP, advokátní kancelář s.r.o., www.i-poverenec.cz, отправив электронное письмо на Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.
GDPR — нужно ли согласие на обработку персональных данных? | Cooley
Если вы обрабатываете личные данные граждан ЕС, вам потребуется какое-то обоснование для этого.
Согласно новым правилам, основная концепция согласия не изменилась и не изменилась как законное основание для обработки персональных данных: согласие остается возможным вариантом. Однако GDPR добавляет новые формулировки — и требования — к существующему определению согласия, что затрудняет получение действительного согласия.
Что означает согласие?
Согласно GDPR, согласие должно быть действительным, оно должно быть добровольным, конкретным, информированным и отзывным. Новые правила подчеркивают необходимость для отдельных лиц (т.е. вашей аудитории, пользователей вашего веб-сайта и клиентов или потенциальных клиентов) иметь реальный выбор и контроль над своими личными данными и тем, как они используются.
Примечание: GDPR прямо требует явного согласия, если вы обрабатываете какие-либо особые категории данных («конфиденциальные персональные данные» в соответствии с действующим законодательством) или если ваша обработка включает любую трансграничную передачу данных.
Посетите нашу страницу ресурсов для получения дополнительной информации.
Как мне получить согласие?
Ниже приведен контрольный список того, что необходимо включить, чтобы обеспечить соответствие вашего механизма согласия новым требованиям:
- Отметьте поля: для согласия требуется положительное действие согласия, поэтому предварительно отмеченные поля не допускаются; вы должны использовать не отмеченные флажком поля согласия или аналогичные, которые требуют определенных действий со стороны пользователя
- Отсутствие предварительного условия предоставления услуги: согласие не может быть предварительным условием регистрации для получения услуги (кроме случаев, когда это абсолютно необходимо для этой услуги), и оно не может быть объединено вместе с согласием на другие положения и условия
- Конкретно: согласие должно конкретно относиться к тому, для чего вы используете данные.Строго говоря, это означает получение отдельных согласий для каждого типа обработки
- Информативно: физическим лицам необходимо знать, кто является «контролером» их личных данных, а также то, что они имеют право (легко) отозвать согласие в любое время.
Могу ли я делать с личными данными все, что захочу, после получения согласия?
Вы можете обрабатывать данные только для целей, которые вы определили для пользователя и на которые он / она дал согласие. Итак, если вы определили все цели, для которых вы обрабатываете данные, тогда да: вам просто нужно убедиться, что все использования указаны в списке и было получено согласие для каждого из различных типов обработки.
Предупреждение: физические лица увеличили права в соответствии с новыми правилами и должны иметь возможность отозвать согласие в любое время. На практике это означает, что вам нужно не только сообщить людям, что они имеют это право и как это сделать (достаточно просто указать адрес электронной почты / контактные данные), но и уметь действовать в соответствии с этим и реализовывать любые такие запросы.
А как насчет сотрудников?
Согласие часто используется в качестве законного средства для обработки персональных данных в контексте найма: работодатели часто включают условия в трудовой договор, чтобы получить согласие.
Однако GDPR ставит под сомнение, может ли согласие сотрудника когда-либо быть действительным в этом контексте из-за дисбаланса сил в отношениях между работодателем и сотрудником. Подробная информация для работодателей.
Дети
GDPR включает дополнительные правила и, в конечном итоге, защиту детей: предполагается, что ребенок в возрасте до 16 лет не может дать согласие сам. Итак, если вы предлагаете онлайн-услуги ребенку, потребуется согласие лица, несущего «родительскую ответственность».Каждая страна ЕС может установить свой возраст до 16 лет, если он не ниже 13 лет (стоит отметить, что в первоначальном проекте указывалось 13 как установленный возраст для всех, что помогло бы привести ЕС в соответствие с возрастом, установленным в соответствии с COPPA в США, но некоторые страны возражали, поэтому теперь разрешен диапазон 13–16). Поэтому вам нужно будет проверить правила на ваших ключевых рынках, а также любые дополнительные правила и кодексы поведения, которые могут иметь отношение к вам в этом контексте (например, реклама).
Заключение
Хотя согласие может быть очевидным или, возможно, самым простым вариантом для оправдания вашей обработки персональных данных из ЕС, дополнительные требования, которые должны выполняться в соответствии с GDPR, могут означать, что это больше не лучший вариант для вас / вашего бизнеса.Помните, однако, что согласие является лишь одним из законных оснований для обработки персональных данных, существуют альтернативы, поэтому, если действительное согласие трудно получить в вашей бизнес-модели, вы можете рассмотреть другие варианты.
GDPR согласие должно быть активно дано субъектом данных
Что такое согласие GDPR и зачем оно нужно?
Компании должны спрашивать у людей разрешение на обработку их данных. Согласно GDPR это называется «согласием».
Согласие может быть отозвано пользователем в любой момент.Компания должна сделать отзыв согласия простым и доступным.
GDPR Статья 4 определяет согласие как:
«любое свободно данное, конкретное, информированное и недвусмысленное указание на пожелания субъекта данных, посредством которого он или она посредством заявления или четких позитивных действий означает согласие на обработку личных данных, относящихся к нему или ей».
GDPR согласие должно быть дано отдельным лицом
Другими словами, пользователь должен специально предпринять действия, чтобы дать согласие.И информация о том, на что они соглашаются, должна быть предложена четко и легко для понимания. Информация, относящаяся к согласию, должна быть написана таким образом, чтобы обычный человек мог точно понять, на что он дает согласие.
Использование данных не может выходить за рамки того, что указано в данном соглашении о согласии.
Пользователи также должны предпринять определенные действия, чтобы выразить свое согласие. Это может быть установка флажка для веб-сайта или выбор настроек приложения. Согласие путем молчания или пропуска информации не имеет силы по причинам GDPR.
GDPR согласие и законность обработки
Понять, что означает согласие для бизнеса, не всегда сразу очевидно. Это один из наиболее неоднозначных и поэтому спорных элементов GDPR. Прежде чем мы углубимся в подробности, важно понять статью 6 GDPR, которая касается законности обработки.
GDPR Статья 6 касается законности сбора и обработки данных пользователей. Чтобы быть законным в соответствии с GDPR, сбор данных должен соответствовать шести юридическим положениям.Компании должны определить, подпадает ли какой-либо сбор или анализ данных под соответствующие правовые основания, а именно:
- Согласие пользователя.
- Законный интерес.
- Договорная необходимость.
- Жизненный интерес пользователя.
- Юридическое обязательство.
- Общественный интерес.
Если сбор данных не подпадает под одну из этих категорий, это незаконно в соответствии с GDPR и может привести к большим финансовым штрафам.
GDPR согласие — законное определение
Это изложено в Статье 4, как описано выше. Но что именно это означает для пользователя?
Личные / пользовательские данные должны быть:
- Предоставляется свободно — пользователям необходимо предоставить четкий выбор согласия, а не принуждение.
- Конкретный — согласие должно относиться к конкретным действиям, связанным с данными, а не к какой-либо цели, которую хочет бизнес. Например, если данные предназначены для подписки на информационный бюллетень, в них должно быть указано именно это.
- Информированный — пользователь должен полностью понимать, почему собираются данные и для чего они будут использоваться, прежде чем дать согласие.
- Clear — пользователи должны понимать объем сбора данных и то, для чего они будут использоваться.
Требования к согласию в соответствии с GDPR
Это то, что компании должны делать, чтобы соответствовать требованиям GDPR, а не согласию:
- Сделайте согласие — это должно быть позитивное действие. Предварительно отмеченные флажки или поля отказа недостаточно.
- Задокументируйте все согласие — компании должны вести учет согласия всех пользователей, того, как они давали согласие, на что и когда.
- Упростите отзыв согласия — четко определите, как пользователи могут отозвать согласие в любое время.
- Сохраняйте согласие отдельно — не объединяйте согласие в качестве предварительного условия для получения услуги или завершения транзакции. Согласие должно быть свободным от любых других действий.
- Отдельное согласие — пользователи должны иметь возможность давать согласие на все действия компании по обработке данных
Согласие особых категорий GDPR
GDPR Статья 9 гласит, что контроллеры данных, которые обрабатывают пользовательские данные из особых категорий персональных данных, должны сначала получить явное согласие.Но что такое явное согласие?
Явное согласие должно быть получено в форме письменного заявления. Компания должна четко указать, для чего будут использоваться данные.
Компании должны использовать согласие в качестве законной основы для обработки данных, если другие правовые основания не применяются, если они обрабатывают особые категории (конфиденциальные данные), если они хотят предоставить пользователям законный выбор, если они хотят привлечь внимание пользователей , если они отправляют маркетинговые материалы с информационными бюллетенями и предложениями третьих лиц.
Куда следует обращаться с запросом на согласие?
Информация о согласии должна быть легко идентифицирована пользователем. Он должен быть представлен отдельно от любых условий.
Запрос согласия должен быть сделан до сбора и обработки любых пользовательских данных.
Согласие необходимо запрашивать в каждом отдельном пункте сбора данных. Например, если пользователь уже предоставил свой адрес электронной почты для загружаемой электронной книги, он не дал согласия на использование других маркетинговых материалов.
Им должна быть предоставлена отдельная возможность подписаться на другие предложения.
Информация, которая должна быть включена в запрос согласия, включает:
- Кто обрабатывает данные
- Почему они обрабатывают данные
- Что они будут делать с данными
Пользователю также должна быть предоставлена четкая информация об отзыве согласия.
.
