Как правильно получить согласие на обработку персональных данных? Полезные и вредные советы

Как известно, 25 мая 2018 года вступает в силу Общий регламент Европейского Союза о защите данных (GDPR / General data protection regulation / Регламент).

Этот документ придет на смену Директиве 95/46/ЕС «О защите физических лиц при обработке персональных данных и о свободном
перемещении таких данных» (далее – Директива), действующей сегодня.

GDPR  несет  целый  ряд  особенностей,  которые  будут  отличать  этот  документ  от  предыдущих нормативных актов, направленных на защиту персональных данных в пределах ЕС. Контролеры и обработчики, наличие которых предполагается условиями GDPR, будут обязаны действовать, как того требует  Регламент,  при  этом  придерживаясь  фундаментальных  требований  по  защите  прав и интересов физических лиц, определенных европейским законодательством.

Одной  из  таких  особенностей  является  необходимость  получения  согласия  от  физических  лиц, персональные данные которых обрабатываются. В отличие от Директивы, GDPR четче описывает процедуру получения согласия от физических лиц на обработку их персональных данных, при этом нужно учитывать вид обрабатываемых персональных данных, а также другие факторы и особенности.

В  частности,  необходимо  разделять  персональные  данные  на  обычные  и  чувствительные персональные данные в контексте их разделения Регламентом.

Для  возможности  понять,  как  и  какие  особенности  относительно  получения  согласия  будут применяться,  необходимо,  прежде  всего,  разъяснить  природу  персональных  данных  в  целом,  в понимании GDPR.

На сегодняшний день в соответствии с Директивой существует определение Персональных данных, которое предусматривает, что персональные данные – это какая-либо информация, относящаяся к идентифицируемому  физическому  лицу  или  тому  лицу,  которое  может  быть  идентифицировано («субъект данных»).

В  свою  очередь,  текст  GDPR  так же  содержит  определение персональных  данных,  однако  оно значительно  расширено  и  дополнено,  учитывая  динамику  развития  технологий  и  общественных интересов. Так, GDPR определяет, что персональные данные – это любая информация, которая относится  к идентифицируемому  физическому  лицу  или  тому  лицу,  которое  может  быть идентифицировано («субъект данных»), при этом идентифицируемое лицо – это лицо, которое может быть идентифицировано прямо или посредственно, в частности, на основании идентификационной информации, такой как имя, идентификационный номер, данные о местоположении, идентификаторе в  Интернете  (онлайн-идентификатор)  или  с  помощью  одного  или  нескольких  показателей, характерных  для  физической,  физиологической,  генетической,  умственной,  экономической, культурной или социальной идентичности физического лица.

Кроме расширенного определения понятия персональных данных, Регламент также предусматривает уточнение и расширение понятия чувствительных данных (sensitive  personal  data). Чувствительные данные определяются по ряду признаков, которые базируются на информации о:

• расовом или этническом происхождении;
• политических мнениях;
• религиозных или философских убеждениях;
• профессиональном членстве;
• здоровье или сексуальной жизни;
• генетических данных;
• биометрических данных.

В разрезе Регламента и учитывая два основных вида персональных данных, следует различать два типа согласия, которое может быть предоставлено контролеру физическим лицом. Так, в частности, это может быть как простое согласие (consent), так и безусловное согласие (explicit consent).

Виды согласий, наличие которых предусматривается GDPR

Простое согласие (consent)

Определение понятия согласия (consent) содержится в параграфе 11 cт. 4 GDPR: «Каким-либо образом свободно предоставленное, конкретное, проинформированное и однозначное указание на желание субъекта данных, по которому он или она, с помощью заявления или четкого положительного действия, выражают согласие на обработку персональных данных, связанных с ним или с ней».

В данном определении речь идет об обычном (простом) согласии, которое может предоставляться в виде однозначного указания, как с помощью заявления, так и с помощью четкого положительного действия.

Следует указать, что предоставлением согласия с помощью заявления будет считаться направление письма или электронного письма контролеру, объясняя, что именно этот субъект данных согласен на обработку своих персональных данных. Однако на практике такой способ сложный и применяется редко.

Что же касается положительного действия, то следует подчеркнуть, что сделав отметку в поле «Я согласен» (I  accept), субъект данных действительно осуществляет четкое положительное действие, удостоверяющее  согласие  на  обработку  его  персональных  данных.  Такая  методология  получения согласия еще называется Opt-in и предусматривает упрощенную процедуру получения согласия от физического лица.

Безусловное согласие (explicit consent)

Вторым видом согласия является безусловное согласие (explicit consent), которое предоставляется при обработке специальных категорий данных (чувствительных данных), при организации перемещения персональных  данных  в  третьи  страны  или  в  международные  организации,  если  отсутствуют надлежащие гарантии по принятию мер защиты в пределах автоматизированного индивидуального принятия решений, включая создание профиля.

Предоставление безусловного согласия предусматривает более тщательный подход к организации его получения.  Так,  например,  если  вы  собираете  общие  персональные  данные  о  субъекте данных,  в частности данные о расовом происхождении, то кроме обычного согласия вы также должны получить отдельное безусловное согласие на обработку чувствительных персональных данных.

Безусловное  согласие  отличается  от  обычного  согласия  тем,  что  его  предоставление  требует предоставления  значительно  большего  объема  информации  физическому  лицу,  которое  описывает особенности  обработки  чувствительных  данных.  Вместе  с  тем  физическое  лицо,  предоставляя безусловное  согласие,  должно  осуществить  дополнительные  действия  для  более  четкого подтверждения  своего  согласия  по  обработке  персональных  данных  о  нем. 
В  таком  случае,  в частности, может быть применен метод Double opt-in.

В целом, положения GDPR не предусматривают четкого технического алгоритма получения согласия, а потому контролер имеет возможность использовать все возможные достижения науки и техники, при этом соблюдая законные требования Регламента.

Полезные советы по получения согласия

Согласие на обработку персональных данных предоставляется физическим лицом в тех случаях, когда не возникает других законных оснований для обработки персональных данных согласно положениям GDPR.

Получая  согласие  от  физического  лица,  следует  учитывать  требования  Регламента,  а  также придерживаться  определенных  особенностей,  предусмотренных  GDPR. 
Так,  в  частности,  получая согласие, необходимо иметь в виду, что:

• Нужно  гарантировать  соблюдение  принципов  защиты  персональных  данных,  предусмотренных GDPR,  Хартией  основных  прав  Европейского  Союза  и  другими  нормативно-правовыми  актами Европейского Союза.

• До момента получения согласия физическому лицу нужно предоставить так называемый запрос на получение  согласия,  в  котором  должна  содержаться  информация  об  особенностях  обработки персональных данных, в частности о цели, сроках, способе обработки, перечень третьих лиц, кому будут передаваться или раскрываться персональные данные.

• Получая  от  физического  лица  согласие,  необходимо  обеспечить  такое  физическое  лицо информацией о его правах, в частности о:
• праве на доступ к персональным данным;
• праве на исправление персональных данных;
• праве на забвение (право на удаление (стирание) персональных данных);
• праве на ограничение обработки персональных данных; (v) право на уведомление относительно исправления или удаления персональных данных или ограничения обработки;
• праве на передачу персональных данных;
• праве на возражение обработки персональных данных;
• праве на отказ от автоматизированного индивидуального принятия решений, включая создание профиля.

• Получение  согласия  от  физического  лица  не  должно  предусматривать  взыскание  средств  за предоставление такого согласия или совершение любых других действий, направленных на получение выгоды.

• Нужно предусмотреть для физического лица возможность отозвать предоставленное им согласие. При этом процесс отзыва согласия должен быть таким же простым и бесплатным, как и при его предоставлении.

• В  случае  если  физическое  лицо  не  достигло  16-летнего  возраста,  согласие  должны  давать  его родители или лица, юридически выполняющие их обязанности.

Вредные «советы» : )

GDPR,  как  документ  общего  использования,  не  содержит  четких  разъяснений  относительно некоторых требований, однако они могут оказаться ловушками для контролеров. В частности, когда речь идет о понятности и лаконичности текста, а также о простоте языка.

Например, под простотой языка в соответствии с разъяснением Article 29 Data Protection Working Party No 17/ЕN WP 260 следует понимать, что информация должна быть предоставлена настолько просто, насколько  это  возможно.  Вместе  с  тем  информация  должна  быть  конкретно  определена,  не  быть абстрактной,  не  содержать  слова  «возможно»,  «некоторый»,  «часто»,  не  должны  использоваться обороты, которые могут запутать физическое лицо.

Поэтому,  получая  согласие  от  физических  лиц  в  рамках  GDPR,  не  следует  применять  обычные формулировки и обычную структуру языка, присущие нашему бизнесу сегодня, поскольку это может привести к применению штрафных санкций по отношению к контролеру.

Определяя  цель  обработки  персональных  данных,  нужно  запомнить, что в  соответствии  с  GDPR невозможно  установить  неограниченное  количество  целей  для  обработки  персональных  данных, которые собирает контролер.

Обрабатывая персональные данные, контролер должен установить максимум две цели обработки по каждой  отдельной  категории  персональных  данных.  В  противном  случае  это  может  толковаться контролирующими органами как введение в заблуждение и злоупотребление.

Следовательно,   собирая   и   обрабатывая   персональные   данные   на основании согласия, контролер должен максимально взвешенно подойти к организации   такого   процесса,   поскольку   GDPR   содержит большое количество  требований,  выдвигаемых  перед  контролером.  Кроме  того, существует  множество  официальных  разъяснений,  не  учитывая  которые, контролер  может  поплатиться  путем  применения  к  нему  штрафных санкций соответствующими органами Европейского Союза.