GDPR项下的同意:有效,徳赢中国免费赠送,具体的,知情和主动同意

同意是通用数据处理规则 (徳赢中国GDPR).在GDPR下同意并不容易,徳赢中国尤其是在实践中,当你开始从一个特定的角度来看待它的时候个人数据处理同意是唯一或最合适的活动个人资料合法处理的法律依据.

当同意是合法处理数据的法律依据时,受试者需要清楚地了解他们撤回同意的权利,并且需要在需要时能够轻易地撤回同意。

我们涵盖了允许您在之前收集/处理个人数据的法律依据,但在这里也立即提及,因为GDPR的一个神话仍然存在,只有当相关自然人同意时,徳赢中国A.K.A.数据主题,您可以处理他/她的数据。这是错误的。

同意和明确同意,虽然这条线很细。最后提醒欧盟以外处理欧盟公民个人数据的公司(并且处理过程接近于您可以想象的关于数据主体的个人数据:GDPR和徳赢中国同意规则也适用于您。

在GDPR下的同意是一个棘手的问题,徳赢中国原因有很多。主要原因与GDPR的范围和同意的性质有很大关系。徳赢中国

徳赢中国GDPR同意书-GDPR项下的同意书

gdpr徳赢中国允许数据主体控制他们的个人数据,在GDPR中的同意给予了更大的徳赢中国控制权

gdpr徳赢中国是欧盟隐私和个人数据保护的新法律框架。它赶上了数字现实,适应全球数据世界(为什么重要数据控制器为了数据处理器世界各地),为所有组织创建一个通用框架,并从本质上将对个人数据的控制权放在人的手中。

这意味着组织必须考虑如何处理个人数据,并采取行动将这种想法付诸行动。

然而,鉴于对个人数据的控制权归个人所有,个人隐私权是一项基本权利,也是一系列新的人身权利,同意让人们更能控制他们的数据(出于某种原因,我们用大写字母表示)最重要的是数据主体权利.

如果从组织的角度来看,这意味着,除数据主体拥有的新权利和组织需要实现的新权利外,在同意的情况下,数据主体拥有更多的权利,使用同意的公司有更多的职责和机制来处理它们。

你能用其他的选择然后同意吗?你当然可以。事实上,对于每个数据处理活动,您应该问自己什么是最好的法律依据。是同意吗?是另一个吗?然而,事实上,总是会有个人数据处理活动,对于这些活动,同意是唯一/最好的选择。

同意和同意管理

所以,你需要理解GDPR下的同意。徳赢中国您还需要了解如何管理同意。

同意管理基本上涵盖了从开始到结束的同意生命周期:从数据收集和使数据主体能够更改或撤销同意,到在数据主体同意的数据目的和持续时间结束时删除个人数据。

在GDPR下,徳赢中国同意需要明确的肯定行动,并且必须由控制者证明。

实际上这很难。此外,一旦你开始寻找同意管理的解决方案,有几个平台,但是这些平台也允许你轻松地使人们(数据主题)一旦你在GDPR的“同意制度”下行使他们的权利,徳赢中国比如撤销同意,通常是高端企业解决方案,这些解决方案不容易理解或负担不起中小型企业,甚至大型企业也会面临挑战。仍然,除了许可管理解决方案(有时是非常昂贵的合规性应用程序的一部分)之外,一些方案也适用于中小型组织。我们介绍的两个GDPR同意管理平徳赢中国台示例是单一信任GDPR徳赢中国同意管理平台和证据GDPR徳赢中国同意解决方案。

在开始思考解决方案和工具之前,关键是要有合适的同意机制,这也要求你知道在哪里需要同意。(什么个人数据处理活动),后果和相关职责是什么,以及您将如何满足同意范围内的众多GDPR要求。徳赢中国

所以,这就是我们开始的地方,关于同意的定义的各个方面,以及自由给予的含义和影响,见多识广的,具体的,明确且积极的同意。请注意,同意在效率调节欧盟议会批准的文本(的)劳瑞斯汀报告.

GDPR项下的同意提醒徳赢中国

如上所述(也在其他条款中),同意是合法处理的六个法律依据之一,因此每个数据处理活动都需要至少有这六个理由中的一个。你可以看到下面的六个。

同意可能是最为人所知和最常被提及的,但这并不意味着它总是如前所述最合适的。此外,如前所述,同意作为一项法律依据,对同意处理其数据的数据主体有若干义务和附加权利。

徳赢中国gdpr合法性处理个人数据-6处理gdpr第6条的法律依据
同意是合法处理的六个主要法律依据之一。

第一,《全球发展政策报告》对同意的定义徳赢中国(正如您可以在gdpr第4条的gdpr定义中阅读的那样徳赢中国)。

同意是数据主体意愿的明确表示,表示他/她同意处理与他相关的个人数据。/她(注:在任何给定的个人数据处理活动中)因此,需要以明确定义的方式给予同意,这是进一步探讨的同意定义的要素。

徳赢中国GDPR第7条总结了同意(有效)的基本条件。简而言之:

  • 需要自由地给予同意。
  • 同意需要明确,每个目的。
  • 需要通知同意。
  • 同意必须是明确的指示。
  • 同意是一种行为:它需要通过陈述或明确的行为来给予。
  • 同意需要与其他事项区别开来。
  • 同意请求书应使用清晰明了的语言,易于理解和访问

我们将在下面介绍它们,从深入第一个元素开始,自由同意。

根据GDPR自由同意徳赢中国

当你开始研究自由给予的确切含义时,需要自由给予同意的事实似乎不止如此。

我们有,在其他中,《全球发展政策报告》第43号说明徳赢中国性文件的指导意见,其中提到了不视为自由给予同意的例子。

自由同意与自由意志与权力与条件失衡

第一种方法介绍了功率不平衡的概念,即数据主体和数据控制器之间存在明显的不平衡。(组织决定其处理或想要处理的个人数据的目的和范围)在特定情况下,不太可能自由给予同意。

自由同意意味着真正的选择,当控制器和数据主体之间存在不平衡时,特别困难或不可能,如果同意是有条件的,当多个处理目的捆绑在一起时,需要分开,并为每个目的要求同意,如果有损害

尤其是当数据控制器是公共机构时。(当然,在某些情况下,公共当局需要在没有自由同意或同意的情况下处理个人数据).

关于同意的WP29指导方针提醒说,权力的不平衡也可能发生在就业环境中。(在这种情况下不排除同意)在其他情况下。

一般来说,这就是指导方针所说的权力和同意不平衡:“在有任何强迫因素的情况下,同意是不自由的,压力或不能行使自由意志”。

GDPR第43条中的第二个例子是不可能单徳赢中国独同意不同的数据处理操作,即使在个别情况下同意是适当的,或履行合同或提供服务取决于同意,尽管履行合同或提供服务不需要同意。这介绍了自由同意范围内的第二个概念:条件.

徳赢中国GDPR朗诵会43在第四段中,徳赢中国gdpr第7条非常明确地提到了自由给予的同意,其中说“在评估是否自由给予同意时,应最大限度地考虑除此之外,履行合同,包括提供服务,以同意处理个人资料为条件,而个人资料并非履行该合约所必需的。“尤其”的意思是“在其他情况下”,这基本上意味着:不要让同意成为所有这些情况的条件。(如合同和服务)如果不是严格需要,因为它将被视为不自由给予。这就是条件性的概念。

制约性范围的几个主要问题,关于同意的WP29指南提醒,包括1)确保选择合法处理的正确基础,当然,在合同中,2)不合并几个合法处理的基础;3)审视合同或服务的范围,需要严格解释“履行所必需的”。

我们可以很容易地想象数据主体和数据控制器之间存在明显不平衡的情况。(功率不平衡),在合同或服务范围内要求同意的情况很多(条件)和/或不能单独同意的情况下(当我们遇到另一个概念时;粒度

事实上,许多组织仍然将给予同意的要求与消费者得到某种东西(或不得到)这一事实联系在一起,这显然意味着不能自由地给予同意。举个例子:一个汽车驾驶员协会,它向其成员提供了获得故障援助范围内的替换车辆的可能性,前提是希望获得替换车辆作为其成员的一部分的驾驶员同意跟踪他们的数据并通过远程信息技术监控他们的驾驶行为。在这种情况下,同意不是最好的方法,不允许,因为同意不是自由给予的。

自由同意:粒度,捆绑同意和目的

这些概念是基本要素。尽管文本中没有明确提及,GDPR徳赢中国强调了真正自由同意的重要性。

徳赢中国GDPR第7条进一步确保保护第43条中的一些要点:

尽管没有特别提到“自由给予”,在第二段中,第7条规定:在书面声明的范围内,如果同意也涉及其他事项,同意必须以一种使这些其他事项清晰可辨的方式给出,这是一种非常明确的方式和语言。换言之:如果在需要的地方,它隐藏在声明中和/或不清楚,最重要的是,无法区分。

如果没有更好的法律依据来合法处理人们的个人数据,则同意是相关的。与gdpr相比,如果你寻求高度信任,你可以在处理他们个人数据的方式上提供更多的控制和选择。徳赢中国

如本文所述,基于合法处理的法律依据,同意是为了一个或多个特定的目的而给予的,并且目的的概念是关键的,正如您可以在gdpr第6条中看到的那样。徳赢中国

此外,同意不能“捆绑”在一起,这就是粒度的概念真正发挥:不同意捆绑处理的目的和粒度;相反:将多个目的分开,并同意每个目的。

或者如GDP徳赢中国R第32条所述:“同意应包括为相同目的或目的进行的所有处理活动。当处理有多个目的时,所有这些都应得到同意”。

关于粒度和自由同意的WP29指南的评论:“如果控制者混淆了处理的多个目的,并且没有试图为每个目的寻求单独的同意,缺乏自由。这种粒度与具体的同意需求密切相关……当为了几个目的进行数据处理时,符合有效同意条件的解决方案在于粒度,即将这些目的分开并为每一目的获得同意”。

自由同意:指南和示例

GDPR文本和WP29同意指南中的进一步澄清徳赢中国欧洲数据保护委员会是清楚的。

对个人数据的控制权掌握在数据主体手中,因此当您请求同意时,不要使用任何权力或压力来强迫数据主体(不仅在公共当局和数据主体之间,而且,例如,雇主与雇员或其他关系之间存在明显的不平衡,可能会感到压力),不要把事情隐藏在合同中,确保数据主体有一个真正的选择,在没有任何借口的情况下说“是”或“否”。

自由同意GDPR-权力失衡损害捆绑同意条件徳赢中国粒度

引用第29条数据保护工作组的“2016/679条例下的同意指南”(监管机构经常遵循的准则):“自由”元素意味着对数据主体的真正选择和控制。一般来说,GDPR徳赢中国规定,如果数据主体没有真正的选择,如果他们不同意,他们会被迫同意或承担负面后果,那么同意无效”。

WP29关于同意的指导方针给出了一个例子,使它更具体,并且可以让您想象几个类似的例子。

该示例涉及允许用户编辑照片的移动应用程序。然而,它还希望通过说应用程序需要激活GPS功能来了解用户的本地化情况。为了能够使用应用程序提供的服务和提供行为广告。因为应用程序的运行不需要广告和地理定位。(目的,即,照片编辑,用户的同意不被认为是免费的,因为它不需要提供服务。注意:本示例由WP29在其指南中给出,并在同意范围内作为处理的法律依据!

此外,“如果同意书作为条款和条件中不可转让的一部分捆绑在一起,则推定该同意书不是自由给予的。因此,如果数据主体不能在不损害其同意的情况下拒绝或撤回其同意,同意将不被视为自由。GDPR还考虑了控制器和数据主体之间不平衡的概念。徳赢中国

自由同意和损害

所以,从本质上讲,这些准则和示例中的引用涵盖了自由同意的要素和所提及的概念。在引言的最后一部分,增加了关于自由同意的另一个要素和概念,“损害”的。

首先需要在《全球发展政策报告》第42条的背景下看到损害因素,徳赢中国这不仅说明了控制者有责任证明已经给予了同意。(如果选择同意作为数据处理的法律依据,则为这些附加职责之一)但是,在其他中,最后还指出,“如果数据主体没有真实的或自由的选择,或在没有损害的情况下无法拒绝或撤回同意,则不应视为自由给予同意”。

换言之:根据GDPR第7条第一款关于同意条件的规定,徳赢中国由控制员证明所述数据已经同意,并且,最重要的是,不允许拒绝或撤回同意意味着没有自由给予的同意。

WP29指南还提到了欺骗,恐吓,胁迫或重大的负面后果,例如损害。

有效同意:具体同意,特定目的和目的限制

从自由同意,我们转到有效同意的第二个要素:同意必须是具体的。这一切都与前面提到的个人数据处理目的的关键概念有关。

当给予同意的数据处理活动的目的发生变化时,需要重新确认。当多个操作具有完全相同的目的时,同意应包括为相同目的或目的进行的所有处理活动。

除了合法之外,处理的目的还需要具体化。这当然涉及到我们在自由同意范围内提到的元素。想想粒度的概念和方法,如果处理目的不够具体,如果目的是特定的,数据主体可以同意他或她可能不同意的目的。

徳赢中国gdpr第6条关于处理个人数据的合法性强调处理只能是合法的,如果选择同意作为合法依据,如果同意涉及一个或多个特定目的。

GDPR第5条第一款,徳赢中国关于处理个人事务的原则,同时强调目的限制的概念。

虽然这并不是严格意义上的同意作为合法处理的法律依据,但对于所有的个人数据处理,它当然符合具体需要。本质上,目的限制意味着它所说的:目的需要被限制,并清楚地知道何时,在本文的范围内,请求数据主体的同意。你也不能事后就这样改变它。最后,处理本身必须以与特定目的兼容的方式进行。

这也意味着,当各种数据处理操作具有完全相同的目的时,可以同意这些不同的操作。WP29强调,参考第5条,该条还规定必须为特定目的收集个人数据,明确和合法的目的,且不以与这些目的不符的方式进一步处理,更清楚的是,GDPR说明32:“同意应涵盖为相同目的或目的进行的所有处理活动。徳赢中国当处理有多个目的时,所有这些都应得到同意”。

关于目的限制有两个例外:1)在为除收集个人数据以外的目的进行处理的范围内,不基于数据主体的同意。(徳赢中国gdpr第6条,第4段)在我们的文章中,这并不重要,因为我们涉及的是同意书和2)个人数据处理归档的范围,科学的,历史或统计目的(徳赢中国gdpr第89条).我们在关于处理个人数据的原则的文章中分别介绍了这些内容。

回到同意和具体同意。你可能注意到了“显式”这个词的用法。显式与这里的数据处理操作的目的有关。这与明确同意不同;但是又是一次(在GDPR文本的最初草稿之上)徳赢中国一个标志,表明这条线可以是什么样的。

对于WP29,需要在特定目的的背景下看到具体的同意,选择数据主体对于每个目的都有选择,并且保证数据主体具有控制程度和透明度(另一个重要概念,如我们将看到的)。

具体同意也与知情同意的要素密切相关,接下来呢,如前所述,要求自由同意或自由给予同意和粒度。

  • 知情同意的联系是明确的:如果数据主体没有以明确具体的方式了解具体的目的,那么就没有明确的同意。
  • 自由同意的联系然后也变得清晰了,事实上,对于每个特定的不同目的,都需要特定的同意。

最后,但并非最不重要,由于以上所有原因:如果您出于特定目的获得同意,并且希望处理数据以实现新目的,则需要再次请求同意,因为明确给出的同意不再适用。

关于gdpr同意的6件事-来源gdpr意识联盟徳赢中国
关于GDPR同意的6件事-徳赢中国 资料来源:gd徳赢中国pr意识联盟

知情同意:作为一项义务的信息,以及在透明背景下提供信息清单的权利。

所以,接下来看看知情同意书,如前所述,与自由给予和具体同意有重叠,然而,也被认为是有效同意的一个要素。

知情同意和信息相关原则

徳赢中国GDPR遵从性不等于透明,公平,合法性,完整性和准确性。然而,这些原则被纳入条例,在知情同意的情况下,我们在这些原则的背景下,主要但不仅如此,透明度。

如果需要自由同意,与特定目的有关并符合所有其他同意要素,那么,很容易看出,在完全同意任何事情之前,必须以一种清晰透明的方式通知数据主体。

这不仅适用于使知情同意成为真正选择的信息,它还提供了关于数据主体在我们同意的情况下拥有的权利的信息,以撤销同意为主要依据。

让我们看看GDPR对知情同意的看法,徳赢中国在前面提到的文章和序言之上。

在获得数据主体的同意之前向其提供信息对于使其能够作出知情决定至关重要,了解他们同意什么,例如行使他们撤回同意的权利 (WP29同意指南)

徳赢中国GDPR第42条指出,数据控制员需要证明数据主体已经同意。此外,保障措施必须确保数据主体清楚地知道给予同意的事实以及给予同意的程度。这一点在“关于另一事项的书面声明的上下文”中特别提到,正如GDPR第7条所述。徳赢中国

然而,同意声明应由数据控制员以易于理解和访问的形式预先制定,使用透明和普通语言(不应包含不公平的条款)被认为是控制器的职责。而这也带来了具体的信息需求,至少应该出现并进行沟通。

徳赢中国GDPR第42条陈述:“同意通知,数据主体至少应了解控制者的身份以及个人数据的处理目的”。

徳赢中国gdpr说明78明确提到了个人数据的功能和处理的透明度,这是控制者为了能够履行其证明合规性的职责而需要预见的技术和组织措施之一。(与其他人一起,如化名以及在GDPR的其他地方,如徳赢中国DPIAS坚持一个批准的行为准则等等).

换句话说:如果在功能和处理方面缺乏透明度(包括获得同意)那么就没有遵从性,也无法证明这一点。

数据主体权利范围内的GDPR第12条也提到了透明度。徳赢中国正如我们在关于数据主体权利的文章中所写,知情权就是其中之一。事实上,徳赢中国gdpr第12条首先指出,“控制者应采取适当措施,以简明的方式提供第13条和第14条中提及的任何信息,以及第15条至第22条和第34条中与数据主体处理有关的任何通信,透明的,易于理解和使用的形式,使用清晰明了的语言”。

知情同意:应提供哪些信息?

徳赢中国《全球发展政策报告》第13条深入探讨了从数据主体收集个人数据时需要提供的信息,不考虑合法处理的法律依据。

这些信息必须在获取个人数据时提供,并且应该在其他中,至少提到:

  • 控制器或控制器代表的身份和联系方式。
  • 适用时,联系方式DPO (数据保护官).
  • 加工的法律依据和加工目的。
  • 个人数据的收件人或收件人类型。
  • 个人数据存储的持续时间或如何确定该持续时间。
  • 关于访问权的通知,整改,擦除,加工限制,反对处理和数据可移植性.
  • 如果同意是法律依据,即有权随时撤回同意,包括这样一个事实,即当撤销同意时,这不会影响在此之前处理的合法性。
  • 提出申诉的权利。
  • 更多,你可以在gdpr第13条中查看。徳赢中国
徳赢中国gdpr和同意-6点考虑由gdpr意识联盟同意
徳赢中国GDPR和同意书——6点考虑,以获得 徳赢中国gdpr意识联盟
如果通过电子方式给予同意,请求必须清晰简洁。分层和细化的信息可以是一种适当的方式来处理一方面精确、完整,另一方面可以理解的双重义务。 (WP29同意指南)

这并不能回答我们的问题:当寻求知情同意时,需要提供哪些信息?(以上列表并不详尽)。

上述大多数信息义务明确提及同意,并且当同意是合法依据时有效。此外,在公平交易和透明处理的范围内明确提到了一些。

然而,《WP29同意指南》选择了以下六种需要获得有效信息的信息,知情同意:

  • 身份认同控制器.
  • 以同意为法律依据的每项处理操作的目的。
  • 通过同意收集和使用的数据和数据类型。
  • 有权撤回同意的事实。
  • 有关仅基于自动处理的决策数据使用的信息(包括剖面),这是GDPR第13条中提到的另一个问题。徳赢中国
  • 在某些情况下,向第三国传输数据可能存在风险(第13条也提到)。

虽然这份清单可能比GDPR第13条中的清单更详尽,徳赢中国这并不意味着第13条当然是无效的,但是信息可以在其他地方提供,正如WP29在其透明度指导方针中提到的那样。

一定要检查一下WP29在知情同意书上所说的内容,因为在提到知情同意书范围内的信息类型和基本原则的基础上,对向数据主体提供信息的形式和方式有充分的指导方针。

明确表示同意和明确表示同意的肯定行动的意义

尽管关于同意还有很多话要说(想想孩子,明确同意,我们单独讨论,通过电子渠道同意,上述需要证明同意,撤回同意的权利,科学研究和更多)我们将这篇文章包装在gdpr上,并同意以下定义的最后一部分徳赢中国:(有效)同意:通过声明或明确的肯定行动明确表示同意的需要。

我们已经解决了“明确指示”的维度和行动要素(没有预先勾选的方框,安静或不活动)在引言和自由同意的范围内,本文开头。

然而,让我们看一下WP29的同意准则是怎么说的。首先,需要明确的是,已经同意数据处理活动。根据定义,这几乎与数据主体必须获得自由的说法相同,见多识广的,具体而明确的行动,毫无疑问是可能的。

关于同意的WP29指南是指GDPR的前身。徳赢中国(指令95/46/EC)其中将同意描述为“意愿的表示,数据主体表示同意处理与他有关的个人数据”。不难想象,在一些成员国,这一点并非总是以同样的方式解释,并确实导致了一些混乱和后门,至少可以这么说。

直截了当地说:许多国家监管机构资金已经不足了(从某些拥有《全球发展政策报告》的国家看来,这些国家不会迅速改变这一状况,当然,这会对《全球发展政策报徳赢中国告》的执行产生影响)当你谈论一个愿望的暗示时,你真的不能含糊其辞。

通过显式添加明确指示的元素,提到需要声明或明确的肯定行为,并作出预先勾选的选择框,以及数据主体的沉默或不活动,明确没有选择的积极迹象,这种情况应该随着gdpr而明显改变,徳赢中国至少理论上是这样。

同意:区别于其他事项

同意书还需要区别于GDPR第7条第二部分规定的其他事项。徳赢中国

一个例子让它立即变得切实可行:一家公司组织了一场营销活动,让人们重新认识。它邀请他们参加一个活动,在这个活动中添加了一个复选框以再次确认同意。这不允许作为寻求同意,包括对市场营销的新同意,以这种方式,从数据主体的角度看,无法区分宣传活动的目的,也就是邀请参加一个活动。

你可以想象许多相似的情形,即寻求同意或新的同意可能与另一种情况联系在一起,不可分辨物质。

徳赢中国GDPR第7(2)条:“如果同意书是在书面声明的情况下作出的,该书面声明也涉及其他事项,同意请求必须以与其他事项明显区别的方式提出,以一种易于理解和易于接近的形式,使用清晰明了的语言。如果要求数据主体同意与gdpr要求不一致的内容,徳赢中国该同意将不具有约束力”。

更多信息见第29条数据保护工作组根据第2016/679号条例所作的同意指南(PDF下载)

一些gdp徳赢中国r同意元素简而言之-来源和更多信息
简而言之,徳赢中国一些GDPR同意要素- 信息来源和更多信息

上图:Shutterstock-版权所有:帕沙博.徳赢中国GDPR Recital 43图片:Shutterstock-版权所有:卡洛斯阿马里洛.虽然我们的gdpr内容已经徳赢中国过仔细验证,我们不负责潜在的错误和建议您在准备GDPR时寻求帮助。徳赢中国