有效同意的要求 - 为什么选择不应该是可选的

个人资料

杜塞尔多夫克瑞斯该委员会由德国数据保护部门的代表组成,最近发表了关于根据相关德国数据保护条款、《联邦数据保护法》(Bundesdatenschutzgesetz)(“BDSG”)和Telemedia法案(Telemediengesetz)。

杜塞尔多夫克瑞斯经常发布关于数据隐私法的有关的主题的准则,这些权利被广泛地被认为是良好的做法(以及来自监督当局的观点,强制性解释适用法律)。德国数据保护机构发现同意特别相关的话题,指出,虽然公司依靠从客户获取同意,但在许多情况下,这些公司未能实施兼容的数据隐私同意语言进入他们的业务流程。为确保可以根据数据隐私法执行此类数据处理,因此获取有效同意的程序应该是任何公司在处理个人数据方面所激活的公司的重点。

杜塞尔多夫克瑞斯该指南适用于在线和离线数据处理同意,解决了以下问题:

  • 同意的内容:公司必须提供足够的信息,清楚、透明和全面地告知个人同意的性质,以及收集、处理和使用与他或她有关的个人资料。这应包括关于拒绝同意的后果的信息、撤销同意的可能性、关于数据控制器和处理器的信息,以及在适用的情况下,关于将个人数据转移给第三方的信息。
  • 明确同意措辞表示同意的措辞应该明确表明这个人是在主动表示同意并表明意图,而不是只是顺便承认了什么,可以使用这样的措辞:本人特此同意[…]”、“本人特此同意[…]”、“通过签署本文件,您可以同意[...]”。相比之下,声明“我已阅读并同意本公司数据隐私政策中描述的所有数据处理操作”“”在指南下,可能不足以证明主动,明确同意。
  • 有意识的肯定行动:一个人的同意需要一个行动。预选框("选择退出,例如,不构成主动同意,因为个人不需要采取行动。相反,应该要求个人主动选择一个方框("选择在“),以证明个人肯定采取行动,并已经意识到提出宣言。(请注意,德国监督组的这种观点超出了法律所需的内容离开-在线同意书。在其“回报”决定中,德国联邦最高法院(Bundesgerichtshof(BGH)在2008年规定,BDSG对基于书面的同意的要求不需要积极的“选择参加”。根据这项决定,仅以书面形式表达对预先选定的同意框的确认,即构成有效同意。)
  • 自愿同意:同意必须自愿给出。如果个人无法拒绝或撤销同意,同意不应被视为自愿。同意措辞必须说明不同意的选项,并且还必须解释个人可以在未来随时撤销进一步处理的同意。
  • 信息的标题:如在较长的文本中包含同意的措辞,有关同意的部分应以信息性标题标记,以便与其他部分清楚区分。例如,标题可以这样写:关于数据处理的同意宣布“ 或者 ”同意声明数据保护/隐私”。
  • 分离和分配:关于数据处理和同意措辞的信息应容易与其他信息分离,即使这些信息涉及数据隐私,以便明确区分同意语言。
  • 印刷上的重点:如在较长的文字中包含同意字眼,则须在排版上加粗或突出显示,使其与其他文字相抵触,例如使用粗体、较大字体;框架或不同颜色的文本。
  • 声明中的位置:在较长的文本或声明中,即使是涉及数据隐私的声明,也应将同意书的措辞直接置于确认签名字段之前,以说明同意书对于声明的有效性是必要的。如果没有签名字段和/或同意书是在线提供的,同意书语言应该放在显著位置,例如,在较长的声明的顶部。
  • 特别注意特殊类别的数据:处理特殊类别的数据时,如民族背景,宗教信仰或健康数据,同意措辞必须明确说明同意涉及所涉及的数据类型的数据类型。

电子手段同意:在使用电子信息和通信服务时,必须同意,有意识地和明确地给予。此外,个人必须能够随时审查同意措辞,并能够撤销未来处理的此类同意。此外,必须存储同意的授予必须存储在Logfile中,以便网站运营商能够展示同意授予的时间。

根据将于2018年春季生效、直接适用于所有欧盟成员国的《欧盟一般数据保护条例》(“GDPR”),有效同意仍将是处理个人数据的正当理由之一。尽管仍期待对GDPR解释的进一步指导,但GDPR的同意要求在本质上与德国法律所预见并由德国政府处理的要求相似杜塞尔多夫克瑞斯欧盟通用数据保护条例(“GDPR”)生效前两年这些建议杜塞尔多夫克瑞斯为公司提供有益的指导,使他们的同意措词达到标准。

Companies doing business in Germany should seize the opportunity to conduct an analysis of their data-processing activities, determine which activities require the individual’s consent, and review the company’s consent language and processes to ensure compliance with data privacy law, before the increased fines of the GDPR go into effect in 2018.