GDPR (或“条例”)包含处理个人数据的若干依据。 这些基础可以分为两个大组。 这是基于个人数据持有者(所有者)的个人同意而进行的处理,并且是基于其他理由进行的处理。 本文讨论正确执行同意处理个人数据的条件,并且不会由于其他原因而影响处理功能。
本文是对本规章2016/679下的同意
指南(本指南)以及本指南中引用的某些文件的简要介绍和我的解释。
如何安排
同意处理个人数据是一种安全工具,可让您的公司在处理个人数据方面享有自由(尽管有限)。
有必须同意处理个人数据的基本条件。 不遵守其中任何一项都可能导致以下情况:获得的同意完全或部分无效,并且您的公司有被罚款的风险。
GDPR因错误执行同意书而被罚款:最高2,000万欧元或上一财政年度公司全球营业额的4%,以较高者为准(该法规第83条第5款(a)项)。
正确执行同意的四个基本条件:同意
是自由的 ,
明确的 ,
知情的和
明确的 。 第五个条件:在特殊情况下必须
明确表示同意。
我们将更详细地考虑每个条件。
同意是免费的
如果个人数据的拥有者有权选择是否提供许可,以及以什么条件进行选择,则认为同意是免费的。 以下标准用于确定自由度:约束条件,数据所有者(私人)和控制者(处理它们的人)之间机会(或权力)的不平衡; 有可能分裂达成共识的目标; 拒绝同意的负面后果。
约束条件如果同意是合同的一部分,且未经数据所有者的讨论或更改,则同意不是免费的。 处理的数据对于提供服务或订立合同(履行)不是必需的。 未经同意,任何人都无法获得基本服务,缔结或执行协议。 否则,该服务将在较差的条件(例如,功能受限)下以截断的形式提供。
如果协议允许讨论或修改其条款,则在协议文本中放置同意文本以及其他信息仍被视为通知同意请求的错误方式。 有关更多信息,请参阅“知情同意” 。
指南中的示例 :照片编辑服务需要获得同意才能处理有关某人位置的地理位置数据。 该服务通知用户已收集位置数据,以便研究用户行为并宣传商品和服务。 显然,编辑服务本身不需要收集地理位置数据,在这种情况下,给出的同意可能会失效。我认为,在上述情况下允许例外。 如果参考照片的拍摄位置提供了单独的照片编辑服务,则可以在同意书中包含照片处理服务的地理位置数据。 想象一下,用户对服务本身感兴趣,并在照片上指出了拍摄服务的确切名称。 这是实时的(在图片拍摄时自动编辑),或者用户同意该服务会记住拍摄照片的地点,然后提供要编辑的区域的名称。
在所有情况下,如果计划处理的数据清楚且明确地超出了提供服务或订立合同/履行合同所必需的限制,则此类处理应与提供附加服务相关联。 不赞成主要服务正常工作对附加数据的处理只会导致无法使用附加服务,而不能使用主要服务。
机会失衡当局和类似机构总是处在更好的位置。 雇主与雇员之间的关系中存在机会失衡。 《规则》和《准则》考虑的是最初在不平等条件下达成协议的人。 如果您的公司雇用(以任何形式)来自欧盟的私人人士,则必须非常认真地同意他的同意处理个人数据。 对于积极利用员工转移到欧盟国家办事处的公司而言,尤其如此。 这些公司应牢记,来自俄罗斯,乌克兰或其他独联体国家的雇员获得合法身份可以留在欧盟,因此会自动受到GDPR规则的保护。
示例:通常用于程序员(和其他远程雇员)的一种方法,可以通过监视器的常规屏幕截图记录工作时间。 为了消除或至少使强迫雇员同意从其屏幕监视数据的风险,建议在与该雇员或独立执行者(承包商)签订的任何合同中都包括一个通过屏幕数据监视工作时间的条件。 在这种情况下,所获得数据的处理将不再基于同意,而是基于另一个合法的基础-履行已达成协议的必要性(《规则》第6条第1款(b)项)。如果由于某种原因未在合同中包含此条件,则在收到您的雇员的同意后,有必要证明这种做法在雇主中普遍存在:
关于同意的定义的第15/2011号意见/关于同意的定义的第15/2011号意见同意。 有了这一事实的所有证据,就不能保证监管机构在冲突中将不需要任何有关这种做法的书面证据。
根据欧盟法律,意见对适用法律不具有约束力。 同时,它们包含了该法规规则的某些示例和解释。 结论为处理个人数据给个人和欧盟国家的所有参与者提供了应用GDPR标准的统一方法。 (即使结论是在GDPR通过之前发布的,这些结论仍是制定法规的基础,并且可以由监管机构和法院考虑在内)。
我建议始终与员工事先讨论监控问题。 建议确保不要强行使用屏幕截图,并且不会影响按合同执行工作不需要的任何个人数据的随机收集。
示例:员工被迫不仅使用个人计算机为您的公司服务,而且还必须实时监控残疾人或老年家庭成员。 在这种情况下,最好为其提供一台额外的正常工作的计算机。 否则,您可能会意外收集有关第三方的数据。 完全不可能限制员工使用Internet或内部网络以满足个人需求的权利,这种限制需要严肃的理由。(有关在电子通信中处理个人数据的细微差别的更多信息,请参阅工作场所电子通信监视工作文件)。
在机会不平衡的任何关系中,最好避免基于同意的数据处理。 与其征得同意,不如尝试更仔细地考虑您的业务流程,并在您订立的合同中指明处理个人数据的情况。 同意书通常很难安排,而且在用人单位—雇员系统中使用不便。 您的公司在签发同意书时始终必须准备好通过测试,以确保您员工的自由。
不平衡的情况清单是公开的,并不限于雇主或当局。 如果您的公司与欧盟个人之间的机会不平衡,可能会导致您拒绝同意您的条款,从而给该个人带来负面影响。 包括,要增加材料费。
示例:您的公司出售的商品或服务因其独特性甚至与竞争对手相比价格更低而难以替代。 拒绝同意您的条款将不允许欧盟的买家从您那里购买该产品或使用您的服务以获利。 结果,他将不得不为其他供应商支付更高的价格。粉碎目标如果可以分享获得同意的目标,则需要将它们分开。 通常,总是有这样的机会。 一个人应该有一个简单而明确的选择:同意或不同意治疗的特定目的。
示例:用户同意您向他发送有关更新软件产品的信息。 但是我不同意您将其数据传递给您的合作伙伴。 在这种情况下,您无法制定如下查询:
“为了更新产品,我特此同意从/.../接收新版本的通知,包括接收合作伙伴/.../实施的更新/添加的功能的通知,我同意/。 ../可能会将我的个人数据转移给其选择的合作伙伴。”我建议在获得同意(以及通常在以任何其他理由进行处理时)时,请(尽可能详细地)划分(详细说明)收集的数据类型,获取它们的目的以及所有其他必要信息。 这不仅可以帮助您避免在没有指定的情况下避免通过某个数组收集数据,而且还可以帮助您了解收集,使用和存储什么以及为什么要存储,存储多长时间。 收到任何更改或删除数据的请求时,您始终可以快速更改或删除它们,而不会损害其余数据。
如果您已将个人数据包含在单个文档中(合同或某些大表格,调查表等),则要删除或更改,您需要执行许多手续。 从数据所有者本人重新签署(批准)此类文档开始,到重新通过自己公司内部的批准程序。
负面影响他们不应该这样。 一个人可能会拒绝就个人数据明确表示同意,而这显然不是向他提供任何服务或履行合同所必需的。 这不应导致拒绝为他提供服务或拒绝在更恶劣的条件下提供服务。
避免负面影响很容易。 我要重复一遍,可以根据您公司提供的有关任何其他服务或额外特权(福利,折扣等)的同意来处理主要服务正常工作不需要的任何数据。 我会建议您要收集和处理的那些数据,但不确定主服务是否正常工作是否需要它们,请从主要功能中选择一些其他功能(如果在技术上可行)。 并将附加数据的接收绑定到获得高级功能的能力。
同意是特定的
通过以下条件确保具体性:
- 数据处理的目的必须是明确,明确表示和合理的;
- 应当有多个目标的同意(在这里重复压碎的要求,请参见上文); 和
- 收到同意书后提供的信息必须与其他问题的信息明确分开(另请参阅“知情同意书” )。
指南中的示例:有线电视运营商收集用户的个人数据,并根据用户的偏好向他们发送新电影的个人报价。 一段时间后,运营商决定也允许第三方根据用户偏好向其用户显示定向广告。 在此,运营商需要就新的独立目标从用户那里获得新的同意。考虑如何根据规则正确指示和制定数据处理的目标。 有关设定目标的
指南 ,请参见“目的限制意见03/2013”。
不应将处理目的明确地(模糊地)表述或过于笼统。 特别是,在GDPR框架内,“改善用户行为”,“用于营销目的”,“用于信息技术的安全性”或“用于未来研究”通常是不正确的。 同时,结论03/2013建议始终对每一个获得同意的特定案例进行检查。 过多的细节可能导致相反的效果-有关同意目的的信息将因难以理解的术语而过多。 反过来,这将违反该法规的基本要求之一,即使用任何文件的简洁明了的语言来处理个人数据。
结论03/2013的附录3提供了有关如何根据情况制定目标的示例。
示例A:一家本地服装店,将其新藏品目录分发给数量有限的本地居民。 在这种情况下,允许仅指定“营销”作为收集有关客户的姓名,地址和电话号码的数据的目标,因为 商店的顾客圈子有限;所有顾客都清楚这只是关于获取衣服目录的信息。 此外,该目录使您可以购买尚未广泛销售且对其他客户不可用的收藏。 即 我们正在谈论一项额外的服务,放弃了那些买家仍然可以在以后购买相同的衣服。例B:如果我们正在谈论一个收集大量数据并使用复杂的用户及其行为分析进行针对性广告和个人要约的全球交易平台,则有必要详细说明数据处理的每个目标; 包括指定基于用户个人资料进行自动决策的条件。结论03/2013建议使用有关数据处理目标的分层或“分层”通知,即:
示例C:将板放置在建筑物上,以立即通知访问者正在进行视频监视。 标签包含简短的处理信息:网站链接和/或负责该网站的公司名称。 该网站本身具有管理数据处理和个人数据所有者权利的详细政策。 该技术允许以友好和简单的方式迅速通知有关个人数据的处理。如今,越来越多的离线和在线服务使用了一种多层通知方式。 例如,在与银行进行电话交谈期间,会播放自动记录通话记录的通知。 当您访问网站页面时,访问者会看到有关Cookie收集的简短通知,其中包含指向隐私政策或Cookie处理政策的链接。 如果网站访问者的进一步行动涉及其他数据的收集(例如,在填写表单时),则再次请求处理同意,并提供包含详细信息的文档链接。
知情同意
管理层建议数据所有者在同意之前必须获得的最少信息集。 这是有关以下信息:
- 收集数据的人(控制器),使他可以识别;
- 加工目的;
- 处理数据的类型;
- 撤回同意的权利;
- 如何使用数据做出自动决策(如果有);
- 关于在没有足够水平的个人数据保护和未采取保护措施的情况下将数据从欧盟以外的国家转移给人们的潜在风险。
我将谈谈一些并非总是被关注的观点。
首先 ,有关谁收集和/或处理数据的信息。 我建议您可以从同意请求中轻松获取此信息,并足以根据适用于特定公司的相关州的个人法进行识别。
您需要确保在网站上或隐私政策中直接注明您公司的名称,地址和/或标识号。仅列出公司名称是不够的。如果数据将由一组公司处理,则需要列出该组中的所有公司。私法应理解为规范法人或其他人身分的州法律,并确定姓名,注册程序等要求。
其次,告知的方式(方法)。同意请求应包含足够的信息,并使用普通人可以理解的简洁语言。将同意隐藏在文本中是不可接受的,包括通过“我意识到...”之类的构造和类似的构造。如果在获得同意时没有以简单易懂的形式提供基本信息,则发送至多页个人数据处理政策和类似文档也是不可接受的。建议以适当的标题突出显示同意文本。
: , , , ., (). , - , . , , ( «») . , , – .
此要求与意识要求密切相关,尤其是通知/请求同意的方法。必须通过声明或明确的肯定行动给予同意。沉默或不作为不能被视为同意。在这种情况下,假设没有给出同意。同意书(根据申请)不仅包括书面声明。它可以是任何内容,包括口头对话的记录。记录对话时,必须告知有关数据收集的信息,并要求您同意。在某些情况下,服务或网站会通过预先标记的复选框在线请求同意,例如“下一步”按钮。默认情况下,使用服务(网站)放置的标记代替手写的同意标记。在这里,同意被认为是无限期表达的,因为为了拒绝在线服务用户的同意,有必要取消预定义的批准。通常,这种预先设置的复选框会“欺骗”预订机票,酒店和其他服务。除了预订机票,他们还确认您购买了航班取消保险,损失,人寿保险和其他服务。我们不在本文讨论范围之内,这种销售其他服务的方法的合法性。重要的是,即使客户(偶然地)同意购买此类保险,也不太可能获得其知情且明确的同意将其数据传输给第三方(保险公司和其他公司)。在特殊情况下,同意必须明确
在某些情况下,GDPR需要明确同意。通常,这些情况是收集特殊类别的数据(例如,有关健康的数据),在没有足够水平的个人数据保护的情况下将其转移到第三国或做出有关数据所有者的自动决策的情况。建议(尽管不需要严格的形式)以数据所有者签名的文件(表格)的形式起草同意书。同意还可以通过其他方式表达:通过发送文档照片,电子邮件等。如果在对话过程中传达了所有必要的信息,则可以通过记录口头协商来确定同意。指南中的示例: - . , , , . « ». , - , .
请记住,撤回同意必须以与给予同意相同的简便方法实施。尽管该法规不要求撤回同意的机制与其确认机制100%一致。指南中的示例:在购买音乐节门票时,通过单击“是”或“否”确认同意处理用于营销目的的数据。但是要撤回同意,您需要在上午8点至下午5点之间致电售票员办公室。根据GDPR,这是不可接受的情况,违反了撤回同意的条件。不要忘记,在获得同意之前,必须先向他提供有关一个人撤回其同意权的信息。同时,必须传达如何行使这项权利。这意味着报告此问题的最简单,最有效的方法仅仅是在请求文本本身,您的个人帐户,移动应用程序或其他服务中提供一种撤回机制。撤销同意的机制对人类必须是直观的。当仅需要经验丰富的UX设计人员时,“撤销同意的机制必须对人类而言是直观的”。
示例:使用电子邮件中的“取消订阅”链接拒绝接收通知是一种简单便捷的方法。它使您可以快速找到任何信件并撤回同意。您可以在用户帐户中添加单独的按钮或链接。带有易于理解的文字,例如“拒绝个人数据处理”。然后,您可以简单地删除所有用户数据,也可以为他提供要删除和保留哪些数据的选项。
显然,在缺少已删除数据的情况下,任何剩余数据都可能变得无用。您需要提前警告用户所有相关数据将被删除,而不仅仅是选定的数据。一个例子: - . , , . , .
撤回同意后,除非有其他理由可以继续使用,否则贵公司应立即停止处理此类数据。在撤回同意之前处理个人数据的所有操作均被视为合法。但是,前提是同意最初是正确发出的。示例:先前为了获得已订立合同的条件而必须在事先获得同意的基础上获得的数据,或者必须根据法律的要求对其进行存储:税收,财务或劳工以及任何其他法律(《规章》第6条第1款(b)项)。在这种情况下,最大程度地分割可以收集和处理的数据处理目标以及数据本身的好处就显而易见了。确定了要处理的数据和目的后,您可以轻松地了解应基于什么理由进行处理:基于同意或有其他不依赖于此的原因。重要!您不能随意更改数据处理的基础。
这是《指南》中指出的GDPR的精妙之处之一。在开始处理之前,您的公司必须选择数据处理的依据(并通知数据所有者)。您不能随意更改处理个人数据的基础。指南中的示例:如果发现同意是违反GDPR规则发布的,并且数据是基于无效同意收集的,则您不能以其他原因追溯替换同意;例如-通过广告邮件开展业务存在合法权益(《规则》第6条第1款(f)项)。这里的问题仍然悬而未决,如果突然不正确地征得同意,该怎么办,但是您有义务根据当地法律的要求将数据存储并传输给任何监管机构吗?我认为这可能是不可避免的风险,因为 您将必须选择要违反的内容:当地法律或GDPR规则。禁止任意替换数据处理依据表明,在按照GDPR进行个人数据处理之前,仔细考虑公司的业务流程非常重要。请记住,如果撤回同意,如果您的公司继续在不同的基础上处理数据并且处理目标已更改,则必须将个人数据通知所有者(《规则》第13条和第14条)。获得同意:如何进一步工作
这里的一切都很简单。
我们需要不断的监视和更新。同意不是静态文档,而是动态数据系统的一部分。与接收新数据或使用现有数据有关的任何更改,但出于其他目的(例如,计划转移给第三方),都需要更新先前获得的同意。如果您设法建立一个用于处理个人数据的逻辑系统,包括数据类别(类型)之间的可理解的关系,数据处理的目标和依据,特定的处理措施,期限和其他要素,那么您迅速申请新的同意就不会困难。理想情况下,此过程应是自动化的。简要结论:
如果遵循程序员中众所周知的DRY,KISS尤其是YAGNI的原则,则可以最佳地征得用户,合作伙伴,客户的同意,以处理其个人数据。如果您用GDPR语言解释这些原则,则:DRY:将系统(即,同意作为单个文件或作为一组确认书)分成最简单的元素。例如,使用每种类型的个人数据对面的复选框,说明处理目的和/或指向“个人数据处理策略”中为您的用户提供其他信息的特定位置的链接。对于每个人来说,这将是一个方便易懂的解决方案。用户总是可以选择他同意什么,不同意什么。如果需要将收集到的数据用于新目标,只需添加此新目标(并为其添加单独的复选框)即可。如果需要澄清,您可以直接链接到说明文字。通过分类,使一个人有机会轻松地找到处理其数据的目标,存储期限,可以向谁传输哪些数据以及在什么条件下可以传输这些数据。大型文档最好使用交叉引用来构建,以避免重复文本。吻明确说明您要征得其所有者同意的处理个人数据的目的。用一种简单易懂的语言编写。避免将数据不必要地概括,将其处理的目的,存储期等分成单个池/文档或多个海量池/文档。不要忘记,规范个人数据处理的普通人对文件的可用性和可理解性是GDPR法规的基本要求之一。亚尼:不要收集比您所需更多的数据。真的很有必要。很多数据,这不仅是您的资产,而且是负债。您获得同意的数据需要定期关注。这是GDPR的另一个基本基本要求:个人数据必须足够,与处理目标相关并且是处理目标所必需的(该法规导言部分第39段)。应定期检查已收集的数据的相关性,是否符合处理目标(可以更改,补充目标),以确保存储的安全性,并在客观上不需要它们时将其删除。您必须承认,仅护照数据或支付卡数据(更不用说特殊类别的数据)的意外泄漏会对人员本身以及对负责处理此数据的公司造成不同的后果。