Согласие на обработку данных на сайт: Что сделать на сайте, чтобы избежать штрафов за нарушение закона.

Отзыв согласия на обработку персональных данных: как составить, образец

Отзыв согласия на обработку персональных данных позволяет наложить запрет на работу оператора с личными сведениями о человеке. Как запретить обработку индивидуальной информации и в каких случаях запрет невозможен, читатель узнает из этой статьи.

Когда можно отозвать согласие

Порядок работы с личными сведениями установлен законом «О персональных данных» от 27.07.2006 № 152-ФЗ. Из ст. 3 закона следует, что к индивидуальным данным лица относится любая информация о нем, позволяющая его идентифицировать.

В том числе к таким сведениям можно отнести:

• Ф. И. О.;
• адрес проживания;
• паспортные данные;
• сведения о месте рождения;
• прочие данные.

Полного перечня сведений закон не содержит, соответственно, в каждом конкретном случае необходимо анализировать, можно с помощью получаемой от человека информации его идентифицировать или нет. Часто отдельные данные не являются персональными, поскольку понять, кому конкретно они принадлежат, невозможно. Однако если совокупность сведений позволяет узнать, к какому человеку они относятся, то это персональные данные.

Персональные данные без штрафов Время прохождения около 5 мин. Пройти тест

Работа с личной информацией осуществляется на основании письменного согласия гражданина, чьи сведения будут обрабатываться. Установленного бланка нет, каждая организация самостоятельно разрабатывает форму соглашения на обработку личных материалов, которое подписывает гражданин. Только после подписания субъектом такого бланка учреждение имеет право начать работу с информацией о клиенте.

Согласие на обработку может быть получено в электронном виде с применением простой электронной подписи.

Гражданин имеет право отозвать свое согласие на обработку личных сведений в любое время (п.

 2 ст. 9 закона № 152-ФЗ). Причем законодатель не связывает отзыв персональных данных с какими-либо условиями или событиями. Из чего следует, что отказ от обработки персональных данных не требует обоснований.

Каков срок уничтожения персональных данных оператором при достижении цели обработки персональных данных либо при отзыве согласия на их обработку? Ответ на данный вопрос есть в КонсультантПлюс. Изучите материал, получив пробный доступ к системе К+ бесплатно.

Когда отзыв согласия не имеет значения для оператора персональных данных

Между тем оператор может продолжить работу с личными инфоматериалами субъекта даже при отзыве последним своего согласия. Перечень случаев, когда у него есть такое право, прописан в пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 закона № 152-ФЗ. В частности, использовать информацию о человеке могут:

• суды при участии гражданина в судопроизводстве;
• приставы при исполнении судебного акта;
• государственные органы при исполнении своих полномочий;
• стороны гражданско-правовых договоров, заключенных с субъектом персональных данных;
• любые субъекты при необходимости защиты жизни или здоровья носителя персональной информации;
• журналисты, если работа с личной информацией связана с их профессиональной деятельностью;
• субъекты, участвующие в реализации международных договоров;
• органы статистики, если личные данные обезличиваются.

Правомерна ли обработка персональных данных налоговыми органами без согласия субъекта персональных данных, узнайте в КонсультантПлюс. Если у вас нет доступа к системе К+, получите пробный онлайн-доступ бесплатно.

Порядок отзыва индивидуальных данных

Поскольку с выдачей разрешения на работу с личной информацией граждане сталкиваются очень часто, закономерен вопрос, как отозвать согласие на обработку персональных данных.

Поэтапный порядок в законодательстве не прописан. Поскольку разрешение на обработку сведений дается письменно, то и отзывать согласие нужно, подав оператору письменное заявление.

Отказ от согласия на обработку персональных данных готовится в свободной форме. Передать заявление в учреждение можно:

1. Лично в канцелярию или приемную организации. В этом случае необходимо подготовить два экземпляра документа. На одном из них организация при приеме поставит отметку о получении.
2. Почтовой корреспонденцией (заказным письмом с уведомлением). В этом случае подтверждать получение будет уведомление, вернувшееся отправителю.
3. В электронной форме. Например, если отзывается согласие на использование личной информации, которую пользователь передал оператору через интернет (например, на сайте).

ВНМАНИЕ! Если вы разрешили обработку ваших данных на каком-либо сайте, по каждому из них надо писать заявление в ту организацию, который Вы дали согласие на такую обработку. То есть нужно перейти в контакты (они обычно есть на любом сайте) либо через форму обратной связи письменно попросить админа удалить  из базы ваши данные.

Некоторые сайты запрашивают данные через доступ к сведениям учетной записи на сайте «Госуслуги». В этом случае нужно перейти в меню «Профиль» далее «Согласия и доверенности», вы увидите ваши согласия. Нажав на кнопку «Отозвать согласие», вы отзываете согласие на обработку ваших персданных.

Подтвердить дату получения оператором обращения очень важно, так как с этого момента будет отсчитываться период, в течение которого оператор по обработке индивидуальных сведений должен будет прекратить работу с заявленной информацией.

Образец заявления на отзыв

Заявление на отзыв персональных данных составляется следующим образом:

1. В правом верхнем столбце указывается наименование получателя и его адрес, данные отправителя.
2. Ниже посередине — название документа.
3. С красной строки — основной текст.
4. В конце документа — дата и подпись.

Образец отзыва персональных данных из банка может выглядеть так:

Руководителю Центрально-Черноземного банка ПАО «Банк»

Воронеж, ул. 9 Января, 28

от Держаева Виктора Петровича

Воронеж, ул. Комарова, 28, 15

Заявление

Я, Держаев В. П., паспорт серия 0000 № 000 000, выдан РОВД Советского района г. Воронежа __ __ ___, в соответствии со ст. 9 закона № 152-ФЗ отзываю согласие на обработку персональных данных, данное мной при заключении кредитного договора № 377-2010 от __ __ ____.

Держаев В. П. /Держаев/

Дата: __ __ ____

Последствия отзыва

Согласно п.  5 ст. 21 закона № 152-ФЗ, если человек отозвал согласие на работу со своей индивидуальной информацией, оператор обязан прекратить это делать. На это ему дается 30 дней со дня получения обращения. В этот же срок оператор должен уничтожить или обеспечить уничтожение информации.

Однако закон разъясняет, что если дальнейшая работа с индивидуальными сведениями о человеке необходима для достижения целей, предусмотренных законодательством, то хранение информации может быть продолжено.

Например, выполнить требование субъекта персональных данных об отзыве согласия на их обработку не могут банки.

Так, в соответствии с п. 4 ст. 7 закона «О противодействии легализации (отмыванию) доходов…» от 07.08.2001 № 115-ФЗ банковские организации должны сохранять личную информацию о клиентах не менее 5 лет со дня прекращения отношений. Соответственно, если разрешение на работу с индивидуальными сведениями было отозвано, операции с информацией должны быть прекращены, но сами материалы не уничтожаются и могут быть выданы по запросу суда, прокуратуры и иных уполномоченных учреждений (апелляционное определение Московского городского суда от 14. 06.2019 по делу № 33-25479).

Итоги

Таким образом, отозвать свои индивидуальные сведения из обработки тем или иным учреждением несложно. Однако законодательство в некоторых случаях разрешает работу с такими инфоматериалами и без согласия гражданина.

Как по закону публиковать информацию о сотрудниках на карьерном сайте

Вроде бы безобидные фотографии сотрудников на карьерном сайте могут дорого обойтись компании, если они размещены без специального согласия. То же самое касается и других персональных данных — например, фамилий, имен и должностей коллег.

Вместе с директором по правовым вопросам Хантфлоу Ольгой Ефимовой мы разобрались, как правильно составить согласие, выбрать срок его действия и прописать цель распространения персональных данных.

 

Ольга Ефимова, директор по правовым вопросам Хантфлоу

Зачем брать отдельное согласие при размещении информации на карьерном сайте

1 марта 2021 года вступили в силу изменения в Федеральный закон «О персональных данных». В частности, появилась новая категория персональных данных — разрешенные для распространения неопределенному кругу лиц (п. 3 ст. 3 Федерального закона №152-ФЗ). 

Если фотографии или другие персональные данные лежат на публичном карьерном сайте, то доступ к ним может получить кто угодно. Это и есть распространение информации неопределенному кругу лиц, которое возможно только с согласия сотрудника. 

Раньше распространение было просто одним из способов обработки персональных данных. Работодатель мог просто взять с работника общее согласие, где перечислить разные виды обработки: сбор, систематизацию, передачу третьим лицам. 

Теперь же так делать нельзя — данные, распространяемые неопределенному кругу лиц, выделены в отдельную категорию, а на их обработку нужно получать отдельное согласие по специальной форме.

 

Что должно быть в форме согласия

Этот документ называется «Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения». Он состоит из 9 разделов.

 

ФИО субъекта персональных данных

Субъект персональных данных — это сам сотрудник организации. 

 

Контактная информация

Здесь сотрудник вписывает свой номер телефона, а также адрес электронной почты или почтовый адрес.

 

Сведения об операторе

Оператор — это работодатель. В этом разделе указываются: 

• название организации, 
• ИНН, 
• ОГРН, 
• адрес регистрации по ЕГРЮЛ.

 

Сведения об информационных ресурсах оператора

Нельзя просто оформить универсальное согласие на публикацию информации где угодно в интернете. Надо перечислить все ресурсы компании, на которых будут размещены персональные данные сотрудника. 

 

Цель обработки персональных данных

Здесь нужно сформулировать, зачем вы собираетесь распространять информацию. Например, на своем карьерном сайте мы выкладываем фотографии сотрудников. В качестве цели указываем «иллюстративное сопровождение информации о работниках, вакансиях оператора, работе в операторе, размещаемой на сайте оператора».

 

Перечень распространяемых персональных данных

В этом разделе необходимо перечислить все виды персональных данных, которые вы собираетесь размещать. 

Есть три категории: 

1. Обычные персональные данные — например, ФИО, дата рождения, адрес, семейное и социальное положение, образование, профессия, доходы.
2. Специальные — расовая и национальная принадлежность, политические и религиозные убеждения, состояние здоровья, сведения о судимости и об интимной жизни. 
3. Биометрические — физиологические и биологические особенности человека, которые используются для идентификации личности. Например, отпечатки пальцев, голос, радужная оболочка глаз.

Для работы с обычными персональными данными можно запрашивать согласие в электронном виде. Например, скинуть сотруднику на электронную почту специальную форму, которую он заполнит и отправит вам в ответ. Главное, чтобы потом получилось доказать: разрешение получено именно от этого конкретного человека, а не от кого-то еще. 

Если же вы обрабатываете специальные или биометрические персональные данные, то нужно брать согласие с собственноручной или электронно-цифровой подписью сотрудника. 

Когда вы размещаете фотографии сотрудников на сайте не для целей идентификации, а чтобы привлечь кандидатов и проиллюстрировать работу в компании, это не считается обработкой биометрических персональных данных (разъяснение Роскомнадзора от 30.08.2013 года). Поэтому получать согласие «на бумаге» в таком случае не обязательно — можно ограничиться электронной формой.

 

Условия и запреты на обработку персональных данных

Раньше было так: если персональные данные человека выложены на каком-нибудь публичном сайте, то они как бы общедоступные. Любой желающий мог их скопировать и использовать по своему усмотрению.

Теперь все иначе: субъект персональных данных вправе разрешить общий доступ к своим персональным данным, но ограничить другие действия с ними. В форме согласия вы обязаны оставить поля, где сотрудник может установить ограничения и запреты на распространение информации. 

Например, он вправе разрешить размещение своего телефона и электронной почты на карьерном сайте, но запретить передавать их дальше. Если какой-то посетитель вашего сайта «спарсит» данные, то нарушит условия обработки. Но как он узнает, что можно и нельзя делать с информацией, которая выложена в открытый доступ? 

Ответ может удивить: если сотрудник установил ограничения или запреты на обработку персональных данных, вы обязаны опубликовать информацию об этом не позднее 3 рабочих дней с момента получения согласия. 

Как и где про это писать, закон не сообщает. Предположу, что это может выглядеть примерно так — приписка прямо под фотографией сотрудника на карьерном сайте: «Субъектом персональных данных установлен запрет на дальнейшую передачу и обработку этих персональных данных».   

А представьте, что таких фотографий много и под каждой нужно что-то писать. Поэтому запреты и ограничения приносят кучу проблем: необходимо обеспечить их соблюдение и предупредить неограниченный круг лиц, что можно и нельзя делать с персональными данными. 

Но препятствовать их установке запрещено — в форме должны быть соответствующие поля. А вот воспользоваться этими полями или нет, это уже дело сотрудника.

 

Условия передачи персональных данных оператором по сети

Сотрудник вправе определить, как будут передаваться его персональные данные, после того как станут доступны неопределенному кругу лиц. 

Чтобы было понятнее, представьте некий открытый джоб-сайт, где лежит резюме кандидата. Владелец резюме разрешил всем посетителям сайта сохранять и использовать резюме по своему усмотрению — то есть обрабатывать его персональные данные. Но при этом кандидат установил требование к условиям передачи: если вы захотите переслать документ коллеге, то должны сделать это через внутреннюю сеть организации.

В форме согласия нужно предусмотреть 4 варианта условий передачи:

1. «Не указано» — без ограничений.
2. «Только по внутренней сети» — информация передается так, чтобы доступ к ней имели только определенные сотрудники организации, которая обрабатывает данные.
3. «С использованием информационно-телекоммуникационных сетей» — стандартная передача через интернет.
4. «Без передачи по сети» — передавать еще кому-то полученные данные нельзя.

 

Срок действия согласия

Вы можете выбрать конкретную дату или указать, что согласие будет действовать «до достижения цели распространения». Во втором случае внимательно изучите, как сформулирована ваша цель: если она неконкретная и длящаяся, то Роскомнадзору это не понравится.

Например, вы создаете карьерный сайт и планируете, что он проработает в таком виде 3–5 лет. Тогда лучше сразу выбрать именно этот срок действия согласия, а не указывать «до достижения цели».

 

Как проверить, правильно ли вы составили форму

Роскомнадзор не терпит самодеятельности: форму документа нужно согласовать с ведомством. Для этого есть специальный сервис запроса рекомендаций — чтобы им воспользоваться, понадобится регистрация на Госуслугах.

Я запрашивала рекомендации, когда разрабатывала согласие для Хантфлоу. Сначала заполнила поля формы и указала свой адрес электронной почты для ответа:

 

Ответ пришел в течение 5 рабочих дней: Роскомнадзор проверил информацию и сообщил, что все корректно. Если бы были какие-то ошибки или неточности, то ведомство прислало бы рекомендации, что именно нужно исправить.

Что будет, если размещать информацию о сотрудниках без их согласия

Обработка персональных данных без согласия карается штрафом — до 150 000 ₽ на организацию. Наказание за каждое повторное нарушение может достигать 500 000 ₽.

Некоторые работодатели рассуждают так: «А чего опасаться? У нас отличные отношения с сотрудниками, они точно не побегут жаловаться. Так что мы ничем не рискуем и можем обойтись без согласий». Но это ошибка: чтобы получить штраф, не обязательно должна быть жалоба — нарушение может всплыть во время плановой проверки Роскомнадзора.

Пройдите тест и узнайте, насколько хорошо вы разбираетесь в обработке персональных данных.

 

Когда согласие перестает действовать

Сотрудник может в любой момент потребовать прекратить распространение его данных, даже если дал согласие на это. Для этого он подает работодателю требование, которое должно включать:

• ФИО;
• контактную информацию;
• перечень персональных данных, которые нужно перестать обрабатывать.

В течение 3 рабочих дней с момента получения требования вы обязаны прекратить распространять информацию (п. 12-14 ст. 10.1 Федерального закона №152-ФЗ). Например, удалить с карьерного сайта все персональные данные, которые перечислил сотрудник.

Также согласие перестает действовать, когда достигнута цель распространения. Допустим, нанимающий менеджер разрешил вам разместить его фотографию, ФИО и должность в описании вакансии с целью «привлечения кандидатов для закрытия позиции java-разработчика». Если позиция закрыта, то цель достигнута — информацию о нанимающем менеджере нужно удалить.

А вот при увольнении согласие не прекращает свое действие автоматически. Можно и дальше использовать персональные данные бывшего коллеги, если если это не противоречит целям обработки и реальной ситуации. Например, когда он просто упомянут рядом с комментарием о том, как здорово работать в вашей компании.

 

Статьи в интернете не заменяют юриста

В этом материале — опыт Хантфлоу и наше понимание Федерального закона «О персональных данных». Мы делаем так, как рассказали, и уверены, что это правильно. Но это не официальное толкование закона. 

Обработка персональных данных — серьезная и запутанная тема, штрафы за нарушения очень неприятны, а требования постоянно меняются. Мы пишем эту статью в сентябре 2021 года, но уже завтра все может измениться. Например, появятся новые разъяснения, поправки и постановления, требующие корректировки подхода.

Поэтому наша главная рекомендация: прежде чем что-то делать, проконсультируйтесь с юристом.

Кратко про персональные данные, разрешенные для распространения

1. Чтобы размещать информацию о сотруднике на общедоступных ресурсах, необходимо получить отдельное согласие.
2. В согласии нужно перечислить каждый ресурс, где будут опубликованы персональные данные сотрудника.
3. Если вы обрабатываете специальные или биометрические персональные данные, то придется получать согласие с собственноручной подписью. В остальных случаях можно ограничиться электронной формой.
4. В форме согласия нужно предусмотреть поля, в которых сотрудник может указать ограничения и запреты при распространении его персональных данных.
5. Чтобы проверить правильность формы согласия, воспользуйтесь сервисом Роскомнадзора. 
6. За распространение персональных данных без согласия предусмотрен штраф — на первый раз до 150 000 ₽ на организацию.
7. Сотрудник вправе в любой момент отозвать свое согласие. В таком случае работодатель обязан прекратить распространение его персональных данных с в течение 3 рабочих дней с момента получения требования. 
8. Прежде чем что-то делать, проконсультируйтесь с юристом. 

Создайте карьерный сайт в Хантфлоу за 10 минут без помощи разработчиков

Согласие | ICO

Краткий обзор

• GDPR Великобритании устанавливает высокие стандарты согласия. Но часто вам не потребуется согласие. Если дать согласие сложно, ищите другое законное основание.
• Согласие означает предоставление людям реального выбора и контроля. Подлинное согласие должно возлагать ответственность на отдельных лиц, укреплять доверие и участие, а также повышать вашу репутацию.
• Проверьте свои методы получения согласия и существующие согласия. Обновите свое согласие, если оно не соответствует стандарту GDPR Великобритании.
• Согласие требует согласия. Не используйте предварительно отмеченные поля или любой другой метод согласия по умолчанию.
• Явное согласие требует очень четкого и конкретного заявления о согласии.
• Держите свои запросы согласия отдельно от других условий.
• Будьте конкретными и «подробными», чтобы получить отдельное согласие на отдельные вещи. Расплывчатого или общего согласия недостаточно.
• Будьте ясны и лаконичны.
• Назовите любых сторонних контроллеров, которые будут полагаться на согласие.
• Упростите отзыв согласия и расскажите им, как это сделать.
• Храните доказательства согласия — кто, когда, как и что вы сказали людям.
• Следите за согласием и обновляйте его, если что-то изменится.
• Избегайте предоставления согласия на обработку в качестве предварительного условия службы.
• Государственные органы и работодатели должны будут проявлять особую осторожность, чтобы показать, что согласие дается добровольно, и им следует избегать чрезмерной зависимости от согласия.

Контрольные списки

Запрос согласия

☐ Мы проверили, что согласие является наиболее подходящим законным основанием для обработки.

☐ Мы сделали запрос согласия заметным и отдельным от наших условий.

☐ Мы просим людей давать согласие на участие.

☐ Мы не используем предварительно отмеченные галочками поля или любые другие типы согласия по умолчанию.

☐ Мы используем понятный, понятный язык.

☐ Мы указываем, зачем нам нужны данные и что мы собираемся с ними делать.

☐ Мы предоставляем отдельные отдельные («гранулярные») варианты для отдельного согласия на разные цели и типы обработки.

☐ Мы назовем нашу организацию и сторонних контролеров, которые будут полагаться на согласие.

☐ Мы сообщаем людям, что они могут отозвать свое согласие.

☐ Мы гарантируем, что люди могут отказаться дать согласие без ущерба для себя.

☐ Мы избегаем делать согласие обязательным условием предоставления услуги.

☐ Если мы предлагаем онлайн-услуги непосредственно детям, мы запрашиваем согласие только в том случае, если у нас есть меры по проверке возраста (и меры согласия родителей для детей младшего возраста).

Запись согласия

☐ Мы ведем учет того, когда и как мы получили согласие от человека.

☐ Мы ведем учет того, что именно им сказали в то время.

Управление согласием

☐ Мы регулярно просматриваем согласия, чтобы убедиться, что отношения, обработка и цели не изменились.

☐ У нас есть процессы для обновления согласия через соответствующие промежутки времени, включая любые согласия родителей.

☐ Использование панелей конфиденциальности или других инструментов управления предпочтениями является хорошей практикой.

☐ Мы упрощаем отзыв согласия в любое время и сообщаем, как это сделать.

☐ Мы действуем в случае отзыва согласия, как только можем.

☐ Мы не наказываем лиц, желающих отозвать согласие.

Коротко

• Почему важно согласие?
• Когда уместно согласие?
• Что такое действительное согласие?
• Как мы должны получать, регистрировать и управлять согласием?
• Подробно

Почему важно согласие?

GDPR Великобритании устанавливает высокие стандарты согласия, которое должно быть недвусмысленным и предполагать четкие позитивные действия (согласие).

Он специально запрещает предварительно отмеченные галочками поля выбора. Также требуются отдельные («детализированные») варианты согласия для отдельных операций обработки. Согласие должно быть отделено от других условий и, как правило, не должно быть предварительным условием для регистрации в службе.

Вы должны вести четкие записи, чтобы продемонстрировать свое согласие.

GDPR Великобритании дает особое право отозвать согласие. Вам нужно рассказать людям об их праве на отзыв и предложить им простые способы отозвать согласие в любое время.

Государственным органам, работодателям и другим организациям, наделенным властью, может быть сложнее продемонстрировать действительное добровольно данное согласие.

Вам необходимо просмотреть существующие согласия и ваши механизмы согласия, чтобы убедиться, что они соответствуют стандарту GDPR Великобритании. Если они это сделают, нет необходимости получать новое согласие.

Согласие является одним из законных оснований для обработки, и явное согласие также может узаконить использование данных специальной категории. Согласие также может иметь значение, когда лицо воспользовалось своим правом на ограничение, а явное согласие может узаконить автоматизированное принятие решений и передачу данных за границу.

Подлинное согласие должно обеспечить людям контроль, создать доверие и взаимодействие, а также улучшить вашу репутацию.

Использование ненадлежащего или недействительного согласия может разрушить доверие и нанести ущерб вашей репутации, а также может привести к крупным штрафам.

Когда уместно согласие?

Согласие является одним из законных оснований для обработки, но есть альтернативы. Согласие по своей сути не лучше и не важнее этих альтернатив. Если согласие трудно, вам следует рассмотреть возможность использования альтернативы.

Согласие уместно, если вы можете предложить людям реальный выбор и контроль над тем, как вы используете их данные, и хотите завоевать их доверие и участие. Но если вы не можете предложить настоящий выбор, согласие неуместно. Если вы по-прежнему будете обрабатывать персональные данные без согласия, просьба о согласии вводит в заблуждение и по своей сути несправедлива.

Если вы сделаете согласие предварительным условием услуги, вряд ли это будет наиболее подходящим законным основанием.

Государственные органы, работодатели и другие организации, обладающие властью над отдельными лицами, должны избегать полагаться на согласие, если они не уверены, что могут продемонстрировать, что оно дано добровольно.

Что такое действительное согласие?

Согласие должно быть дано добровольно; это означает предоставление людям реального постоянного выбора и контроля над тем, как вы используете их данные.

Согласие должно быть очевидным и требовать положительного действия для согласия. Запросы согласия должны быть заметными, отделенными от других условий, краткими и понятными, а также удобными для пользователя.

Согласие должно конкретно касаться имени контролера, целей обработки и видов деятельности по обработке.

Явное согласие должно быть прямо подтверждено словами, а не какими-либо другими позитивными действиями.

Срок для получения согласия не установлен. Как долго это продлится, будет зависеть от контекста. Вы должны просмотреть и обновить согласие по мере необходимости.

Как мы должны получать, регистрировать и управлять согласием?

Сделайте запрос на согласие заметным, кратким, отдельным от других условий и положений и простым для понимания. Включая:

• название вашей организации;
• имя любых сторонних контролеров, которые будут полагаться на согласие;
• зачем вам данные;
• что вы будете с ним делать; и
• , что физические лица могут отозвать согласие в любое время.

Вы должны просить людей активно участвовать. Не используйте предварительно отмеченные поля, поля отказа или другие настройки по умолчанию. По возможности предоставляйте отдельные («детальные») варианты согласия на разные цели и разные типы обработки.

Ведите записи для подтверждения согласия – кто дал согласие, когда, как и что ему сказали.

Сделайте так, чтобы люди могли легко отозвать согласие в любое время по своему выбору. Рассмотрите возможность использования инструментов управления предпочтениями.

Следите за согласием и обновляйте его, если что-то изменится. Встройте регулярные проверки согласия в свои бизнес-процессы.

Более подробно — руководство ICO

Мы подготовили более подробное руководство по согласию.

Мы разработали интерактивный инструмент для предоставления индивидуальных указаний о том, какие законные основания наиболее подходят для вашей деятельности по обработке данных.

 

Более подробно — Европейский совет по защите данных

Европейский совет по защите данных (EDPB), который заменил Рабочую группу по статье 29 (WP29), включает представителей органов по защите данных каждого государства-члена ЕС. . Он принимает рекомендации по соблюдению требований версии GDPR для ЕС.

WP29 принял Руководство по согласию, одобренное EDPB.

Рекомендации EDPB больше не имеют прямого отношения к режиму Великобритании и не являются обязательными для режима Великобритании. Тем не менее, они могут по-прежнему давать полезные рекомендации по определенным вопросам.

Что такое действительное согласие? | ИКО

Параметры загрузки (открывает панель загрузки)

Варианты загрузки

Страницы

• Все страницы
• Эта страница

Формат

• PDF

Подробно

• Как определяется согласие?
• Что такое «бесплатно»?
• Что такое «конкретный и информированный»?
• Что такое недвусмысленное указание (утверждением или четким утвердительным действием)?
• Что такое явное согласие?
• Как долго действует согласие?
• Может ли третье лицо дать согласие от имени физического лица?
• Каковы правила способности давать согласие?
• Каковы правила согласия детей?
• Каковы правила получения согласия на проведение научных исследований?
• Когда согласие недействительно?

Как определяется согласие?

Согласие определяется в статье 4(11) как:

«любое свободно данное, конкретное, информированное и недвусмысленное указание на пожелания субъекта данных, которым он или она, заявлением или четким утвердительным действием, выражает согласие на обработку персональных данных, касающихся его или ее».

Статья 7 также устанавливает дополнительные «условия» для получения согласия с конкретными положениями о:

• ведении записей для подтверждения согласия;
• заметность и ясность запросов на согласие;
• право отозвать согласие легко и в любое время; и
• свободно предоставленное согласие, если контракт обусловлен согласием.

Дополнительная литература

• Соответствующие положения GDPR Великобритании — см. статьи 4(11) и 7

  Внешняя ссылка

Что такое «бесплатно»?

Согласие означает предоставление людям подлинного выбора и контроля над тем, как вы используете их данные. Если у человека нет реального выбора, согласие не дается свободно, и оно будет недействительным.

Это означает, что люди должны иметь возможность отказаться от согласия без ущерба для себя и должны иметь возможность легко отозвать согласие в любое время. Это также означает, что согласие должно быть отделено от других условий (включая предоставление отдельных вариантов согласия для разных типов обработки), где это возможно.

В Общем регламенте ЕС по защите данных (GDPR) ясно указано, что согласие не должно рассматриваться как условие предоставления услуги, за исключением случаев, когда оно необходимо для данной услуги:

Статья 7(4) гласит:

«При оценке того, добровольно ли дано согласие, необходимо максимально учитывать, зависит ли… выполнение договора, включая предоставление услуги, от согласия на обработку персональных данных, которая не является необходимой для выполнения этого договор.»

И Сольный концерт 43 говорит:

«Предполагается, что согласие не дается добровольно… если выполнение договора, включая предоставление услуги, зависит от согласия, несмотря на то, что такое согласие не является необходимым для такого исполнения».

Пример

Мебельный интернет-магазин требует от покупателей согласия на передачу их данных другим магазинам товаров для дома в процессе оформления заказа. Магазин делает согласие условием продажи, но передача данных другим магазинам не требуется для этой продажи, поэтому согласие не дается добровольно и недействительно. Магазин может попросить покупателей дать согласие на передачу их данных указанным третьим сторонам, но он должен предоставить им возможность свободного выбора.

Магазин также требует от покупателей согласия на передачу их данных стороннему курьеру, который доставит товар. Это необходимо для выполнения заказа, поэтому согласие можно считать предоставленным добровольно, хотя более подходящим законным основанием может быть «исполнение договора».

В некоторых ограниченных обстоятельствах вы можете опровергнуть эту презумпцию о том, что пакетное согласие не дается добровольно, и утверждать, что согласие может быть действительным, даже если оно является предварительным условием, а обработка не является строго обязательной. Вы должны быть в состоянии продемонстрировать очень четкое обоснование этого, исходя из конкретных обстоятельств.

Однако это может быть необычно. Учитывая формулировку статьи 7(4) и пункта 43 декларации, вы всегда будете рисковать тем, что согласие будет считаться недействительным, поскольку оно не было «добровольно предоставленным». В целом, в таких случаях лучше полагаться на «законные интересы» в качестве законного основания в сочетании с четкой и прозрачной информацией о конфиденциальности.

GDPR Великобритании также четко указывает, что люди должны иметь возможность отказаться и отозвать согласие без наказания:

«Согласие не следует рассматривать как добровольно данное, если субъект данных не имеет подлинного или свободного выбора или не может отказаться или отозвать согласие без ущерба».

Мнение ICO состоит в том, что все еще возможно в некоторой степени стимулировать согласие. Как правило, согласие на обработку дает некоторую пользу. Например, если присоединение к программе лояльности ритейлера связано с доступом к ваучерам на скидку, очевидно, что есть какой-то стимул согласиться на маркетинг. Тот факт, что это преимущество недоступно для тех, кто не подписался, не является недостатком для отказа. Однако вы должны быть осторожны, чтобы не перейти черту и не наказать несправедливо тех, кто отказывается дать согласие.

Свободно данное согласие также будет труднее получить в контексте отношений, где существует дисбаланс сил, особенно для государственных органов и работодателей. Сольный концерт 43 говорит:

«Чтобы гарантировать, что согласие дается свободно, согласие не должно служить действительным юридическим основанием для обработки персональных данных в конкретном случае, когда существует явный дисбаланс между субъектом данных и контролером, в частности, когда контролер органом государственной власти, и поэтому маловероятно, что согласие было дано добровольно при всех обстоятельствах этой конкретной ситуации…»

См. раздел о том, когда требуется согласие, для получения дополнительных указаний по дисбалансу власти.

Дополнительная литература

• Соответствующие положения Общего регламента по защите данных Великобритании — см.

  статью 7(4) и преамбулу 42 и 43

  Внешняя ссылка

 

Дополнительная литература – ​​Европейский совет по защите данных

Европейский совет по защите данных (EDPB) состоит из представителей органов по защите данных каждого государства-члена ЕС. Он принимает рекомендации по соблюдению требований GDPR Великобритании. Руководящие принципы EDPB больше не имеют прямого отношения к режиму Великобритании и не будут иметь обязательной силы в соответствии с режимом Великобритании. Тем не менее, они могут по-прежнему давать полезные рекомендации по некоторым вопросам.

EDPB выпустил Руководство по согласию.

 

Что такое «конкретный и информированный»?

Согласие должно быть конкретным и информированным. Это означает, что он должен конкретно охватывать следующее:

• Личность контролера : в пункте 42 говорится, что лицо должно знать личность контролера. Это означает, что вам необходимо идентифицировать себя, а также назвать любых сторонних контролеров, которые будут полагаться на согласие. Если вы покупаете «согласованные» данные, это согласие действительно для вашей обработки только в том случае, если вы были конкретно идентифицированы. Вам не нужно указывать своих обработчиков в запросе на согласие (хотя вам необходимо соблюдать отдельные обязательства по обеспечению прозрачности).

• Цели обработки : в пункте 43 говорится, что для различных операций по обработке потребуется отдельное согласие, где это уместно, поэтому вам необходимо предоставить детализированные варианты отдельного согласия для разных целей, если только это не будет чрезмерно разрушительным или запутанным. И в любом случае запрос согласия должен конкретно охватывать все цели, для которых вы запрашиваете согласие.

• Действия по обработке : опять же, по возможности, вы должны предоставить детализированные варианты согласия для каждого отдельного типа обработки, если только эти действия не являются явно взаимозависимыми, но как минимум вы должны конкретно охватывать все действия по обработке.

• Право отозвать согласие в любое время : мы также советуем вам включить подробную информацию о том, как это сделать.

Эти правила в отношении запросов на согласие отделены от ваших обязательств по обеспечению прозрачности в рамках права на получение информации, которые применяются независимо от того, полагаетесь ли вы на согласие или нет.

Вы должны четко объяснить людям, на что они соглашаются, так, чтобы они могли легко их понять. Запрос на согласие должен быть заметным, кратким, отделенным от других условий и на простом языке.

Если запрос на согласие является расплывчатым, широким или трудным для понимания, то он будет недействителен. В частности, язык, который может сбить с толку, например, использование двойных отрицаний или непоследовательный язык, сделает согласие недействительным.

В преамбуле 32 также четко указано, что электронные запросы на согласие не должны излишне мешать пользователям. Вам нужно подумать о том, как лучше всего адаптировать свои запросы на согласие и методы, чтобы обеспечить четкую и исчерпывающую информацию, не сбивая людей с толку и не нарушая пользовательский интерфейс — например, путем разработки удобной для пользователя многоуровневой информации и своевременных согласий.

Однако важно помнить, что это не исключение, и предотвращение сбоев не отменяет необходимости обеспечения четкости и конкретности запросов на согласие. Некоторый уровень нарушения может быть необходим для получения действительного согласия.

Вам необходимо постоянно проверять свои согласия и обновлять их, если ваши цели или действия выходят за рамки того, что вы указали изначально. Согласие не будет достаточно конкретным, если детали изменятся — такого понятия, как «развивающееся» согласие, не существует.

Даже если ваша новая цель считается «совместимой» с вашей первоначальной целью, это не отменяет необходимости получения конкретного согласия. Поэтому, если вы полагались на согласие, вам необходимо либо получить новое конкретное согласие, либо определить новое законное основание для новой цели.

См. «Как вам следует получать, регистрировать и управлять согласием?», чтобы узнать, что это означает на практике.

Дополнительная литература

• Соответствующие положения GDPR Великобритании — см.

  статью 7(2) и (3) и пункты 32, 42 и 43 пункта преамбулы

  Внешняя ссылка

Дополнительная литература – ​​руководство ICO

Для получения дополнительной информации о ваших отдельных обязательствах по обеспечению прозрачности см. наше руководство по праву на получение информации.

Что такое недвусмысленное указание (утверждением или четким утвердительным действием)?

Должно быть очевидно, что человек дал согласие и на что он согласился. Для этого требуется нечто большее, чем просто подтверждение того, что они прочитали положения и условия — должен быть четкий сигнал о том, что они согласны. Если есть место для сомнения, это недействительное согласие.

В GDPR Великобритании ясно указано, что согласие требует четких позитивных действий, и в Декларации 32 изложены дополнительные указания по этому поводу:

«Согласие должно быть дано четким утвердительным актом… например, письменным заявлением, в том числе электронным способом, или устным заявлением. Это может включать отметку в соответствующем поле при посещении веб-сайта в Интернете, выбор технических настроек для услуг информационного общества или другое заявление или поведение, которое в этом контексте ясно указывает на согласие субъекта данных с предлагаемой обработкой его или ее персональных данных. Таким образом, молчание, предварительно отмеченные галочки или бездействие не должны означать согласия».

Четкое положительное действие означает, что кто-то должен предпринять преднамеренные и конкретные действия, чтобы согласиться на обработку или дать согласие на ее обработку, даже если это не выражено в форме согласия. Например, другие методы положительного согласия могут включать подписание заявления о согласии, устное подтверждение, бинарный выбор, представленный с одинаковой значимостью, или изменение технических настроек по умолчанию.

Ключевым моментом является то, что любое согласие должно быть согласием на отказ, т. е. положительным действием или указанием — такого понятия, как «согласие на отказ», не существует. Отказ от отказа не является согласием, поскольку он не подразумевает четкого положительного действия. Вы не можете полагаться на тишину, бездействие, настройки по умолчанию, заранее отмеченные галочки или ваши общие положения и условия, а также пытаться каким-либо другим образом использовать в своих интересах инерцию, невнимательность или предвзятость по умолчанию. Все эти методы также связаны с двусмысленностью — и для того, чтобы согласие было действительным, оно должно быть одновременно недвусмысленным и утвердительным. Должно быть ясно, что человек намеренно и активно решил дать согласие.

Идея положительного действия все еще оставляет место для подразумеваемых методов согласия в некоторых обстоятельствах, особенно в более неформальных офлайн-ситуациях. Ключевой вопрос заключается в том, что по-прежнему должно быть положительное действие, которое дает понять, что кто-то соглашается на использование его информации для конкретной и очевидной цели. Однако этот тип подразумеваемого метода указания на согласие не выходит за рамки того, что было очевидным и необходимым.

Пример

Человек бросает свою визитную карточку в коробку для розыгрыша призов в кофейне. Это утвердительный акт, который ясно указывает, что они согласны с тем, что их имя и контактный номер будут обработаны для целей розыгрыша призов. Однако это согласие не распространяется на использование этих данных в маркетинговых или любых других целях, и для этого вам потребуется другое законное основание.

Пример

Человек отправляет онлайн-опрос о своих привычках в еде. Отправляя форму, они ясно дают согласие на обработку своих данных для целей самого опроса. Отправка формы, однако, сама по себе не является достаточным подтверждением действительного согласия на любое дальнейшее использование информации.

Однозначное согласие также связано с требованием, чтобы согласие было поддающимся проверке. Статья 7(1) разъясняет, что вы должны быть в состоянии продемонстрировать, что кто-то дал согласие.

См. «Как вам следует получать, регистрировать и управлять согласием?», чтобы узнать, что все это означает на практике.

Дополнительная литература

• Соответствующие положения GDPR Великобритании — см. преамбулу 32

  Внешняя ссылка

Что такое «явное согласие»?

Явное согласие не определено в GDPR Великобритании, но вряд ли оно будет сильно отличаться от обычного высокого стандарта согласия. Любое согласие должно включать конкретное, информированное и недвусмысленное указание на пожелания человека. Ключевое отличие, вероятно, заключается в том, что «явное» согласие должно быть подтверждено четким заявлением (устным или письменным).

Определение согласия гласит, что субъект данных может выразить свое согласие либо заявлением (которое будет считаться явным согласием), либо четким утвердительным действием (что не будет). Согласие, вытекающее из чьих-либо действий, не может быть явным согласием, каким бы очевидным ни было его согласие. Явное согласие должно быть прямо подтверждено на словах.

Физические лица не обязаны писать заявление о согласии своими словами; Вы можете написать это для них. Однако вам необходимо убедиться, что люди могут четко указать, что они согласны с заявлением, например, подписавшись своим именем или поставив галочку рядом с ним.

Если вам требуется прямое согласие, вам следует обратить особое внимание на формулировку. Даже в письменном контексте не все согласия будут явными. Вы всегда должны использовать прямое заявление о согласии.

Пример

Салон красоты выдает своим клиентам по прибытии форму, которая включает в себя следующее:

Тип кожи и сведения о состоянии кожи (необязательно):

Мы будем использовать эту информацию, чтобы рекомендовать подходящие косметические продукты.

Если кто-то вводит данные о состоянии своей кожи, это, скорее всего, будет свободно предоставленным, конкретным, информированным и недвусмысленным утвердительным действием, дающим согласие на использование этих данных для предоставления таких рекомендаций, но, возможно, это все же подразумеваемое согласие, а не явное согласие.

В другом салоне красоты вместо этого используется следующее заявление:

Тип кожи и информация о любых кожных заболеваниях (необязательно):

Я даю согласие на то, чтобы вы использовали эту информацию, чтобы рекомендовать подходящие косметические продукты ☐

Если человек ставит галочку, он дали явное согласие на обработку.

Заявление о явном согласии также должно конкретно указывать на элемент обработки, требующий явного согласия. Например, в заявлении должен быть указан характер данных специальной категории, детали автоматизированного решения и его последствия или детали данных, подлежащих передаче, и риски передачи.

«Явный» элемент любого согласия также должен быть отделен от любых других разрешений, которые вы запрашиваете, в соответствии с указаниями в пункте 43 Декларации о надлежащем детальном контроле.

Вы можете получить явное согласие в устной форме, но вам необходимо сохранить запись сценария.

Дополнительная литература

• Соответствующие положения GDPR Великобритании – см.

  статью 4(11) и преамбулу 43

  Внешняя ссылка

Как долго действует согласие?

GDPR Великобритании не устанавливает конкретных сроков для согласия. Согласие, вероятно, со временем ухудшится, но то, как долго оно продлится, будет зависеть от контекста. Вам необходимо учитывать объем первоначального согласия и ожидания человека.

Пример

Тренажерный зал проводит акцию, которая дает участникам возможность подписаться на получение электронных писем с советами о здоровом питании и о том, как привести себя в форму к летнему отпуску в этом году.

Поскольку в запросе согласия указаны конкретные сроки и конечная точка — их летние каникулы — ожидается, что эти электронные письма прекратятся после окончания лета. Таким образом, срок действия согласия истекает.

Если ваши операции по обработке или цели изменятся, ваши первоначальные согласия могут перестать быть конкретными или недостаточно информированными, и вы не сможете вывести более широкое согласие из простого отказа от возражения. Если это произойдет, вам нужно будет получить новое согласие или указать другое законное основание.

Если кто-то отзывает согласие, вам необходимо как можно скорее прекратить обработку на основе согласия в данных обстоятельствах. Это не повлияет на законность вашей обработки до этого момента.

Срок действия родительского согласия не истекает автоматически, когда ребенок достигает возраста, в котором он может дать согласие для себя, но вы должны помнить, что вам может потребоваться обновлять свое согласие более регулярно.

Вы должны постоянно проверять свои согласия и рассматривать возможность обновления согласия через соответствующие удобные для пользователя интервалы времени. См. раздел о том, как управлять согласием? для дополнительной информации.

Дополнительная литература – ​​руководство ICO

• Законное основание для обработки
• Право на получение информации
• Дети и GDPR
Великобритании

Может ли третье лицо дать согласие от имени физического лица?

GDPR Великобритании не запрещает третьей стороне, действующей от имени физического лица, указывать свое согласие. Однако вы должны быть в состоянии продемонстрировать, что третья сторона имеет на это полномочия.

На практике в большинстве случаев будет сложно проверить, имеет ли третья сторона право давать согласие. Вы также должны быть в состоянии продемонстрировать, что лицо было полностью информировано, и согласие было дано добровольно.

Это, скорее всего, будет уместно в случаях, когда лицо не может дать согласие, а кто-то еще имеет конкретные юридические полномочия принимать решения от его имени.

Каковы правила способности давать согласие?

GDPR Великобритании не содержит конкретных положений о способности давать согласие, но вопросы способности связаны с концепцией «информированного» согласия.

Как правило, вы можете предположить, что взрослые могут дать согласие, если у вас нет оснований полагать обратное. Однако вы должны убедиться, что предоставляемая вами информация позволяет вашей целевой аудитории быть полностью информированной.

Возможно, у вас есть основания полагать, что кто-то не способен понять последствия согласия и поэтому не может дать информированное согласие. Если это так, третье лицо, имеющее законное право принимать решения от их имени (например, на основании доверенности), может дать согласие.

Каковы правила согласия детей?

В GDPR Великобритании нет глобальных правил в отношении согласия детей, но в статье 8 есть конкретное положение о согласии детей на «услуги информационного общества» (услуги, запрашиваемые и предоставляемые через Интернет).

Короче говоря, если вы предлагаете эти виды услуг непосредственно детям (кроме профилактических или консультационных услуг) и хотите полагаться на согласие, а не на другое законное основание для вашей обработки, вы должны получить согласие родителей для детей младше 13 лет (что возраст, установленный Великобританией в Законе о защите данных 2018 г.).

Если вы решите полагаться на согласие детей, вам необходимо будет принять меры по проверке возраста и приложить «разумные усилия» для подтверждения ответственности родителей за лиц, не достигших соответствующего возраста.

Для других типов обработки данных общее правило в Великобритании заключается в том, что вы должны учитывать, обладает ли конкретный ребенок способностью понимать и давать согласие на себя («тест на компетентность по Гиллику»). Однако в Шотландии считается, что лицо в возрасте 12 лет и старше достигло достаточного возраста и зрелости, чтобы иметь такое понимание, если не доказано обратное. На практике вам все же может потребоваться рассмотреть меры по проверке возраста в рамках этой оценки и принять меры для проверки согласия родителей для детей, не имеющих права давать согласие для себя.

Согласие является одним из возможных законных оснований для обработки данных детей, но помните, что это не единственный вариант. Иногда другое законное основание является более подходящим и обеспечивает лучшую защиту ребенка. Например, вы можете счесть целесообразным рассматривать «законные интересы» в качестве потенциального законного основания вместо согласия. Это поможет вам оценить влияние вашей обработки на детей и решить, является ли она справедливой и соразмерной.

Для получения более подробной информации о том, что необходимо учитывать при выборе основания для обработки персональных данных детей, нажмите здесь.

Дополнительная литература

• Соответствующие положения GDPR Великобритании — см. статью 8 и преамбулу 38

  Внешняя ссылка

 

Дополнительная литература – ​​Европейский совет по защите данных

Европейский совет по защите данных (EDPB) состоит из представителей органов по защите данных каждого государства-члена ЕС. Он принимает рекомендации по соблюдению требований GDPR Великобритании. Рекомендации EDPB больше не имеют прямого отношения к режиму Великобритании и не являются обязательными для режима Великобритании. Тем не менее, они могут по-прежнему давать полезные рекомендации по некоторым вопросам.

EDPB выпустил Руководство по согласию.

Каковы правила получения согласия на проведение научных исследований?

Нет правила, согласно которому вы должны полагаться на согласие на обработку персональных данных в целях научных исследований.

Даже если у вас есть отдельное этическое или юридическое обязательство получить согласие от людей, участвующих в вашем исследовании, это не следует путать с согласием GDPR Великобритании.

Пример

Положение о клинических испытаниях применяется к клиническим испытаниям медицинского продукта, предназначенного для использования человеком. Это включает в себя требование о получении «информированного согласия» от лиц на участие в исследовании.

GDPR Великобритании не изменяет это требование. Декларация 161 признает, что она по-прежнему применяется, но это совершенно отдельное требование о согласии на участие в испытании. Его не следует путать с согласием на обработку персональных данных в соответствии с GDPR Великобритании, и оно не отменяет обязательства в соответствии со статьей 6 GDPR Великобритании по определению надлежащего законного основания.

В качестве отдельного упражнения вы также должны убедиться, что у вас есть законное основание для вашей обработки в соответствии с GDPR Великобритании, а также условие для обработки данных специальной категории, где это необходимо (например, клинические испытания, скорее всего, будут включать обработку данных о здоровье). Даже если люди дали согласие на участие в исследовании, вы вполне можете обнаружить, что в данных обстоятельствах более уместно другое законное основание (и другое условие для данных особой категории).

В частности, помните, что согласие в соответствии с GDPR Великобритании может быть отозвано в любое время. Исключения для научных исследований нет. Это означает, что если вы полагаетесь на согласие как на законное основание, а человек отзывает свое согласие, вам необходимо немедленно прекратить обработку его персональных данных или сделать их анонимными.

Если вы не сможете в полной мере отозвать согласие, например, потому что удаление данных помешает проведению исследования, а полная анонимность невозможна, то вам не следует использовать согласие в качестве законного основания (или условия для обработки данных особой категории). ). Согласие действительно только в том случае, если физическое лицо может отозвать его в любое время.

Дополнительную информацию см. в разделе «Как управлять правом на отзыв согласия?».

Если вы хотите полагаться на согласие, GDPR признает, что если вы собираете личные данные для научных исследований, вы не сможете заранее полностью указать свои точные цели.

Если вы запрашиваете согласие на обработку персональных данных для научных исследований, это означает, что вам не нужно указывать такие конкретные данные, как для других целей. Тем не менее, вы должны определить общие области исследований и, по возможности, предоставить людям детальные варианты согласия только на определенные области исследований или части исследовательских проектов.

Дополнительная литература

• Соответствующие положения GDPR Великобритании — см. пункты 33 и 61 пункта преамбулы

  Внешняя ссылка

Дополнительная литература — руководство ICO

Для получения дополнительной помощи по выбору наиболее подходящего законного основания для обработки ваших данных см.