GDPR解读(6):数据主体的同意

U2      2020-02-03 21:42      254     

1.同意的条件

GDPR第7条规定了数据主体同意的条件:

  1. 当基于同意处理个人数据时,数据控制者应能够证明数据主体已同意处理其个人数据。
  2. 如果数据主体的同意是通过书面声明的形式,且声明中还涉及其他事项时,请求同意的部分必须以清晰易懂的语言与其他事项部分明显区分开。声明中任何违反本条例的部分,不具有约束力。
  3. 数据主体有权撤回同意,但不影响撤回前基于其同意的数据处理的合法性。撤回同意应与获取同意一样简单。
  4. 当评估同意是否自由给出时,应尽可能地考虑到该同意是否为履行合约(包括提供服务)所必需。

我们简单解读一下。

(1).同意可证明

如果证明数据主体曾经给出同意呢?

这就要求我们记录数据主体同意的时间、同意的内容(隐私声明的版本及内容)。

(2).同意清晰易区分

获取同意的部分单独区分(每个同意都用于特定的目的),不能隐藏在冗长的文本中,更不能默认替数据主体同意,确保同意是数据主体自由做出的。

(3).同意可撤回

这是数据主体的8项权利之一:反对权。

(4).同意为履行合约所必需

如果同意的内容对于履行合约是可有可无的,则收集、处理的数据范围就过大了,违反了处理个人数据的基本原则:数据最小化。在面临数据保护监管机构处罚时,可以按最高标准进行处罚,也就是2000万欧元或全球年营业额的4%(取二者其中较大值)。

2.明示同意

以下场景需要获得数据主体的明示同意(默认不能预先勾选同意):

  • 隐私声明
  • 处理特殊种类的个人数据(如生物识别)
  • Cookie中含有分析类Cookie(如Google Analytics等)、广告/营销类Cookie
  • 数字营销(例如电话营销、短信营销、邮件营销等)
  • 在没有合同或法定义务的情况下执行的自动化决策(含画像)
  • 在没有其他合法跨境转移机制的条件下,跨境转移个人数据
明示同意

 

 

本文地址: https://www.janusec.com/articles/privacy/1580737371.html (转载请注明出处)


评论区(共0条评论)
Copyright ©2020 金汤智库(JANUSEC) All rights reserved.