Согласие должно быть дано свободно
“Добровольно данное” согласие по сути означает, что вы не загнали субъекта данных в угол, чтобы он согласился на использование вами их данных. Во-первых, это означает, что вы не можете требовать согласия на обработку данных в качестве условия использования сервиса. Они должны иметь возможность сказать «нет». Согласно пункту 42, “Согласие не следует рассматривать как добровольно данное, если у субъекта данных нет подлинного или свободного выбора или он не может отказаться или отозвать согласие без ущерба”.
Единственное исключение — если вам нужны какие-то данные от кого-то, чтобы предоставить им свой сервис. Например, вам могут понадобиться данные их кредитной карты для обработки транзакции или их почтовый адрес для отправки товара. Кстати, документы и условия для вступления В СРО доступны на странице https://infras.ru/enter/documenty-vstuplenie специализированного сайта.
В разделе 43 обсуждается свободно данное согласие. В нем объясняется, что вы должны получать отдельное согласие на каждую операцию обработки данных. Итак, если вам нужен их адрес электронной почты для маркетинговых целей и их IP-адрес для целей веб-аналитики, вы должны предоставить пользователю возможность подтвердить или отклонить каждое использование.
Согласие должно быть конкретным
“Запрос на согласие должен быть представлен способом, который четко отличается от других вопросов”. Должно быть ясно, какие действия по обработке данных вы намерены выполнять, предоставляя субъекту возможность дать согласие на каждое действие.
В примере с адресом электронной почты и IP-адресом вы не можете объяснить это использование в рамках одного длинного абзаца, подробно описывающего действия вашей маркетинговой команды, с единственным флажком согласия в конце. Вместо этого вы должны объяснить каждый вариант использования данных отдельно, предоставляя субъектам данных возможность дать согласие на каждое действие в отдельности.
Если у вас есть более одной причины для проведения операций по обработке данных, вы должны получить согласие на все эти цели. Итак, если вы сохраняете телефонные номера как для целей маркетинга, так и для проверки личности, вы должны получить согласие для каждой цели.
Согласие должно быть информированным
Информированное согласие означает, что субъект данных знает вашу личность, какие действия по обработке данных вы намерены предпринять, цель обработки данных и что он может отозвать свое согласие в любое время.
Это также означает, что запрос на согласие и объяснение действий по обработке данных и их цели описаны простым языком (“в понятной и легкодоступной форме, используя ясный и понятный язык”). Это означает отсутствие технического жаргона или юридических терминов. Любой, кто получает доступ к вашим сервисам, должен понимать, с чем вы просите его согласиться.
Пример Google предлагает поучительный пример из реального мира. Французские власти заявили, что компания не соответствовала требованиям информированного согласия:
Офис британского уполномоченного по информации предоставляет дополнительный контекст: “Если запрос на согласие является расплывчатым, размашистым или трудным для понимания, тогда он будет недействительным. В частности, язык, который может привести к путанице — например, использование двойных негативов или непоследовательных формулировок — сделает согласие недействительным ”.
Согласие должно быть недвусмысленным
То есть не должно быть никаких вопросов о том, дал ли согласие субъект данных. “Следовательно, молчание, предварительно отмеченные флажки или бездействие не должны представлять собой согласие”, согласно пункту 32 GDPR.
Недвусмысленное согласие “может включать в себя установку флажка при посещении веб-сайта в Интернете, выбор технических настроек для служб информационного общества или другое заявление или поведение, которые четко указывают в этом контексте на согласие субъекта данных с предлагаемой обработкой его или ее персональных данных”.