🌃 🔆 🏳️ اللائحة العامة لحماية البيانات: الموافقة على معالجة البيانات الشخصية 🕠 🍨 👶🏿

هذه ترجمة لكتيب الموافقة الرسمي لمعالجة البيانات الشخصية (المبادئ التوجيهية للموافقة بموجب اللائحة 2016/679 wp259rev.01) لمجموعة عمل المفوضية الأوروبية. تم نشر النسخة الأصلية في 23 لغة رسمية في الاتحاد الأوروبي. على الرغم من حقيقة أن روسيا ليست واحدة منهم ، فهي شائعة جدًا في أوروبا. إذا كان عملك يخدم عملاء من الاتحاد الأوروبي ، فأنت ملزم بالامتثال للوائح العامة لحماية البيانات الشخصية (اللائحة العامة لحماية البيانات) ، والتي دخلت حيز التنفيذ في 25 مايو 2018.

الموافقة على معالجة البيانات الشخصية هي أول شيء يواجهه العميل. على الرغم من البساطة الواضحة ، يأخذ الدليل 30 صفحة ولا يزال يسبب صعوبات: يتراوح تسرب البيانات الشخصية على مواقع الاتحاد الأوروبي على الويب من 12٪ إلى 41٪ ، والغرامات من المنظمين من آلاف إلى عشرات الملايين من اليورو. تتمتع الشركات الكبيرة التي يعمل بها طاقم من المحامين والمهندسين بالقدرة على الاستجابة السريعة للتغيرات في بيئة الأعمال ، ولكن غالبًا ما يضطر رجال الأعمال والشركات الصغيرة إلى الاعتماد فقط على أنفسهم ، مع تحمل جميع المخاطر.

حاول المؤلف نقل أحكام الدليل في أقرب وقت ممكن إلى الأصل ، مخففًا بشكل خاص من رجال الدين. تتم الترجمة من النسخ الأصلية بلغتين ، وليس لها قوة قانونية. المؤلف لا يقدم ضمانات ، وليس مسؤولا عن أي مطالبات أو خسائر أو خسارة في الأرباح. لكنه سيكون سعيدًا لتلقي تعليقات معقولة وتحسينات في الصياغة.

1 المقدمة

يقدم هذا الدليل تحليلًا شاملاً لمفهوم الموافقة الوارد في اللائحة 2016/679 - اللائحة العامة لحماية البيانات الشخصية (GDPR). حتى الآن ، تطور مفهوم الموافقة المستخدم في توجيه حماية البيانات (التوجيه 95/46 / EC) والتوجيه بشأن السرية والاتصالات الإلكترونية (التوجيه 2002/58 / EC). توفر اللائحة العامة لحماية البيانات المزيد من الإيضاحات والتوضيحات لمتطلبات الحصول على موافقة ملزمة قانونًا وإثباتها. يركز هذا الدليل على هذه التغييرات ، ويقدم إرشادات عملية حول كيفية ضمان الامتثال للائحة العامة لحماية البيانات ، استنادًا إلى الاستنتاج 15/2011. إن واجب مراقبي البيانات الشخصية هو إدخال الابتكارات والبحث عن حلول جديدة في إطار القانون ،التي تساهم في حماية البيانات الشخصية ومصالح مواضيع البيانات.

وفقًا للمادة 6 من اللائحة العامة لحماية البيانات ، تعد الموافقة أحد الأسباب الستة للمعالجة المشروعة للبيانات الشخصية. عند بدء الأنشطة المتعلقة بمعالجة البيانات الشخصية ، يجب على وحدة التحكم دائمًا أن تأخذ في الاعتبار الأساس القانوني للمعالجة المقصودة.

كقاعدة ، يمكن أن تكون الموافقة سببًا مشروعًا فقط إذا تم عرض موضوع البيانات على التحكم والاختيار الحر فيما يتعلق بقبول أو رفض الشروط المقترحة دون عواقب سلبية. عند طلب الموافقة ، يُطلب من وحدة التحكم تقييم ما إذا كانت ستلتزم بجميع المتطلبات المتاحة. تم الحصول على الموافقة مع الامتثال الكامل للائحة العامة لحماية البيانات ، وهي أداة تتيح لموضعي البيانات التحكم فيما إذا كانت بياناتهم الشخصية ستتم معالجتها أم لا. خلاف ذلك ، لن يخضع موضوع البيانات للتحكم الفعلي ، وتعتبر هذه الموافقة أساسًا غير قانوني للمعالجة.

تظل الاستنتاجات الحالية لمجموعة العمل (WP29) بشأن الموافقة ذات صلة ما دامت متسقة مع التشريع الجديد ، نظرًا لأن المبادئ التوجيهية والتوصيات التي تقننها اللائحة العامة لحماية البيانات ، وكذلك العناصر الرئيسية للموافقة ، تظل كما هي في اللائحة العامة لحماية البيانات. وبالتالي ، فإن WP29 في هذه الوثيقة تمد وتكمل الاستنتاجات السابقة بشأن جوانب محددة من الموافقة ، والتي تشير إلى الاتفاقية في تفسير التوجيه 95/46 / EC ، وليس استبدالها.

كما ورد في الاستنتاج 15/2011 بشأن تعريف مصطلح الموافقة ، يجب أن يخضع اقتراح قبول عملية معالجة البيانات لقواعد صارمة ، لأنه يتعلق بالحريات الأساسية لموضعي البيانات ورغبة وحدة التحكم في المشاركة في هذه العمليات ، والتي ستكون غير قانونية بدون موافقة موضوع البيانات. تم التأكيد على الدور الحاسم للموافقة في المادتين 7 و 8 من ميثاق الحقوق الأساسية للاتحاد الأوروبي. بالإضافة إلى ذلك ، فإن الموافقة التي تم الحصول عليها لا تستبعد ولا يغير بأي حال من الأحوال التزام المراقب بالامتثال للمبادئ المنصوص عليها في اللائحة العامة لحماية البيانات ، وخاصة في المادة 5 ، فيما يتعلق بالعدالة والضرورة والتناسب وجودة البيانات. حتى إذا كانت معالجة البيانات الشخصية تستند إلى موافقة موضوع البيانات ، فإنها لا تقنن جمع البيانات غير المطلوبة للغرض المعلن للمعالجة ، وبالتالي تصبح غير عادلة.

في نفس الوقت ، WP29 على علم بمراجعة التوجيه 2002/58 / EC. لا يزال مفهوم الموافقة في مسودة هذا التوجيه متسقًا مع اللائحة العامة لحماية البيانات. من المرجح أن تطلب المؤسسات الموافقة للقيام بذلك لمعظم الرسائل التسويقية والمكالمات وأساليب تتبع الإنترنت ، بما في ذلك استخدام ملفات تعريف الارتباط أو التطبيقات أو البرامج الأخرى. فيما يتعلق بالموافقة ، قدمت WP29 بالفعل مقترحاتها وتوجيهاتها إلى المشرع الأوروبي.

فيما يتعلق بالنسخة الحالية من التوجيه 2002/58 / EC ، تلاحظ WP29 أنه يجب تفسير الإشارات إلى التوجيه الملغي 95/46 / EC على أنه إشارات إلى اللائحة العامة لحماية البيانات. ينطبق هذا أيضًا على الإشارات إلى الموافقة في التوجيه 2002/58 / EC ، حيث تنتهي صلاحيتها في 25 مايو 2018. وفقًا للمادة 95 من اللائحة العامة لحماية البيانات ، لا تعتبر الالتزامات في سياق توفير الخدمات الإلكترونية المتاحة للجمهور في شبكات الاتصال العامة "إضافية" ، بل هي شروط قانونية أولية. لذلك ، تنطبق متطلبات الحصول على الموافقة في اللائحة العامة لحماية البيانات أيضًا في المواقف ضمن إطار التوجيه 2002/58 / EC.

2. الموافقة في المادة 4 (11) اللائحة العامة لحماية البيانات

تحدد المادة 4 (11) من اللائحة العامة لحماية البيانات الموافقة على النحو التالي: "تعبير طوعي ومحدّد ومستنير لا لبس فيه عن الإرادة يمنح موضوع البيانات ، من خلال بيان أو إجراء إيجابي واضح ، الموافقة على معالجة بياناته الشخصية."

يظل فهم أساس الموافقة كما هو في التوجيه 95/46 / EC ، والموافقة هي أحد الأسباب القانونية التي يجب أن تستند إليها معالجة البيانات الشخصية وفقًا للمادة 6 من اللائحة العامة لحماية البيانات. بالإضافة إلى التعريف المعدل في المادة 4 (11) ، توفر اللائحة العامة لحماية البيانات مزيدًا من التوجيه في المادة 7 والفقرات 32 و 33 و 42 و 43 بشأن الكيفية التي ينبغي أن يعمل بها المراقب المالي لضمان الامتثال لعناصر الموافقة.

أخيرًا ، يؤكد إدراج قواعد محددة بشأن سحب الموافقة على أن الموافقة يجب أن تكون قرارًا قابلاً للعكس ويتم التحكم فيه من قِبل موضوع البيانات.

3. عناصر الموافقة القانونية

تحدد المادة 4 (11) من اللائحة العامة لحماية البيانات موافقة الشخص على أنها:

تطوعي
محدد
علم و
تعبير واضح عن الإرادة ، حيث يخضع موضوع البيانات ، باستخدام بيان أو إجراء إيجابي واضح ، الموافقة على معالجة بياناته الشخصية.

يحلل ما يلي مدى مطالبة المادة 4 (11) من اللائحة العامة لحماية البيانات بتعديل وحدات التحكم / طلباتهم / نماذجهم للموافقة لضمان الامتثال للائحة العامة لحماية البيانات.

3.1. تطوعي

يشير هذا العنصر إلى الاختيار والتحكم الحقيقيين لموضوعات البيانات. تنص اللائحة العامة لحماية البيانات على أنه إذا لم يكن لموضوع البيانات خيار حقيقي ، أو يشعر بأنه مضطر إلى الموافقة أو التلف بسبب عدم الموافقة ، فإن هذه الموافقة تعتبر غير قانونية. إذا تم تضمين الموافقة في شروط الخدمة باعتبارها جزءًا ثابتًا منها ، فلا تعتبر طوعية. وبناءً على ذلك ، لا تُعتبر الموافقة طوعية إذا كان صاحب البيانات لا يمكنه رفضها أو سحبها دون عواقب سلبية على نفسه. يتم أيضًا مراعاة مفهوم عدم التوازن بين وحدة التحكم وموضوع البيانات في اللائحة العامة لحماية البيانات.

عند تقييم ما إذا تم منح الموافقة طواعية ، يجب على المرء أيضًا أن يأخذ في الاعتبار الوضع المحدد الذي يرتبط به باتفاقيات الخدمة ، كما هو موضح في المادة 7 (4). يتم صياغة المادة 7 (4) بشكل غير دقيق بعبارة "على وجه الخصوص" ، مما يعني أنه قد يكون هناك عدد من الحالات التي تقع في نطاق هذه القاعدة. بشكل عام ، أي عنصر ضغط أو تأثير على موضوع البيانات (والذي قد يحدث بطرق مختلفة) يمنع موضوع البيانات من ممارسة إرادته الحرة ، يجعل الموافقة غير قانونية.

1

GPS- . , . , . , .

3.1.1.

تشير الفقرة 43 بوضوح إلى أنه من غير المحتمل أن تعتمد الوكالات الحكومية على الموافقة ، لأنه عندما تكون الدولة هي المتحكم في البيانات ، غالبًا ما يكون هناك اختلال واضح في العلاقة بينه وبين موضوع البيانات. بالإضافة إلى ذلك ، في معظم الحالات ، من الواضح أن موضوع البيانات ليس لديه بدائل حقيقية لقبول شروط وحدة التحكم هذه. تعتبر WP29 أن هناك أسبابًا قانونية أخرى ، من حيث المبدأ ، أكثر ملاءمة لأنشطة هيئات الدولة.

ومع ذلك ، فإن استخدام الموافقة كأساس قانوني لمعالجة البيانات من قبل السلطات الحكومية ليس استثناءً من اللائحة العامة لحماية البيانات. توضح الأمثلة التالية أن الموافقة قد تكون مناسبة في ظروف معينة.

2

. , , . , , . , , , , . .

3

, , , , . , . , . , . , , - , . , .

4

. , - , .

يظهر عدم التوازن أيضًا في سياق العمل. نظرًا للعلاقة بين صاحب العمل والموظف ، فمن غير المحتمل أن يرفض صاحب البيانات موافقته على معالجة البيانات الشخصية دون خوف أو خطر حدوث عواقب سلبية نتيجة للرفض. من غير المحتمل أن يوافق الموظف طوعًا ، على سبيل المثال ، على تنشيط أنظمة المراقبة ، مثل كاميرات المراقبة في مكان العمل ، أو ملء استمارات التقييم دون التعرض لأي ضغط. وبالتالي ، تعتبر WP29 أنه من الصعب على أصحاب العمل معالجة البيانات الشخصية للموظفين على أساس الموافقة ، لأنه لا يمكن اعتبارها بيانات طوعية. بالنسبة لمعظم حالات معالجة البيانات في الإنتاج ، لا يمكن أن تكون موافقة العمال (المادة 6 (1) (أ) اللائحة العامة لحماية البيانات) سببًا شرعيًا بسبب طبيعة العلاقة.

ومع ذلك ، هذا لا يعني أنه لا يمكن لأصحاب العمل الاعتماد على الموافقة كأساس قانوني لمعالجة البيانات الشخصية. قد تنشأ حالات حيث قد يثبت صاحب العمل أن الموافقة تعطى بالفعل طواعية. نظرًا لعدم التوازن بين صاحب العمل وموظفيه ، يمكن للموظفين إعطاء الموافقة طواعية فقط في الظروف التي لن يكون لها أي نتائج سلبية ، بغض النظر عما إذا كانوا يوافقون أم لا.

مثال 5

سيقوم طاقم تصوير بالتصوير في جزء محدد من المكتب. يطلب صاحب العمل من جميع الموظفين الذين يعملون في هذه المنطقة الموافقة على إطلاق النار ، حيث قد يظهرون في خلفية الفيديو. أولئك الذين لا يريدون التصرف بأي شكل من الأشكال لا يعاقبون ، ولكن بدلاً من ذلك يحصلون على وظائف معادلة في جزء آخر من المكتب طوال فترة التصوير.

لا يقتصر الخلل على هيئات الدولة وأرباب العمل فحسب ، بل يمكن أن يحدث أيضًا في حالات أخرى. تؤكد WP29 على أن الموافقة قانونية فقط إذا كان موضوع البيانات قادرًا على اتخاذ خيارات حقيقية دون خطر الاحتيال أو الترهيب أو الإكراه أو العواقب السلبية. لن تكون الموافقة طوعية عندما يكون هناك أي عنصر من الإكراه أو الضغط أو عدم القدرة على ممارسة الإرادة الحرة.

3.1.2. اختياري

تلعب المادة 7 (4) اللائحة العامة لحماية البيانات دورًا مهمًا في تقييم ما إذا كانت الموافقة طوعية. وتشير ، على وجه الخصوص ، إلى أن "ربط" الموافقة على قبول شروط الخدمة أو "ربط" تقديم الخدمة بطلب للحصول على موافقة لمعالجة البيانات الشخصية غير الضرورية لتنفيذ العقد أمر غير مرغوب فيه إلى حد كبير. لا تعتبر الموافقة المقدمة في مثل هذه الحالة طوعية (الفقرة 43). تهدف المادة 7 (4) إلى التأكد من أن الغرض من معالجة البيانات الشخصية لا يتخفى أو يرتبط بعقد لا حاجة لهذه البيانات. تدعي اللائحة العامة لحماية البيانات أن معالجة البيانات الشخصية التي تُطلب الموافقة عليها لا يمكن أن تصبح مطالبة مباشرة أو غير مباشرة.لا يمكن الجمع بين سببين للمعالجة المشروعة للبيانات الشخصية - الموافقة وتقديم الخدمات - وعدم وضوحها.

الإكراه على الموافقة على استخدام البيانات الشخصية بما يتجاوز الحدود الضرورية يحد من اختيار موضوع البيانات ويعيق ممارسة الإرادة الحرة. نظرًا لأن القانون يسعى إلى حماية الحقوق الأساسية ، فإن التحكم في البيانات أمر بالغ الأهمية. يقال أن الموافقة على استخدام البيانات الشخصية الزائدة عن الضرورة لا يمكن أن تكون افتراضًا إلزاميًا في مقابل تنفيذ العقد أو تقديم الخدمات.

عندما يتعلق الأمر بالموافقة على تنفيذ العقد ، فإن موضوع البيانات ، الذي لا يريد تقديم بيانات شخصية ، يخاطر بالحصول على رفض الخدمة.

من أجل تقييم ما إذا كان هناك "ملزم" أو "ملزم" ، من المهم تحديد نطاق العقد والبيانات اللازمة لتنفيذه. وفقًا للاستنتاج 06/2014 WP29 ، يجب تفسير مصطلح "ضروري لتنفيذ العقد" بدقة. يجب أن تكون المعالجة ضرورية لتنفيذ العقد مع كل موضوع بيانات فردي. على سبيل المثال ، في سياق متجر على الإنترنت ، قد يكون هذا عنوان تسليم البضائع أو تفاصيل بطاقة الائتمان. في سياق التوظيف ، قد تكون هذه معلومات الراتب وتفاصيل الحساب المصرفي. يجب أن يكون هناك اتصال مباشر وموضوعي بين البيانات والغرض من استخدامها في العقد.

إذا كانت أداة التحكم ترغب في معالجة البيانات الشخصية الضرورية فعلاً لتنفيذ العقد ، فإن الموافقة ليست أساسًا إلزاميًا.

تنطبق المادة 7 (4) فقط في الحالات التي لا تكون فيها البيانات المطلوبة ضرورية لتنفيذ العقد ، ويتم التنفيذ بناءً على استلام هذه البيانات من خلال الموافقة. وبالعكس ، إذا كانت البيانات ضرورية لأداء العقد ، فإن المادة 7 (4) لا تنطبق.

مثال 6

يطلب البنك من العملاء الموافقة للسماح لأطراف ثالثة باستخدام تفاصيلهم للتسويق المباشر. هذا النشاط غير ضروري لتنفيذ العقد وتقديم الخدمات العادية. إذا أدى رفض العميل لمنح الموافقة إلى رفض تقديم الخدمات المصرفية ، أو إغلاق حساب أو زيادة في العمولة ، فإن هذه الموافقة لا تعتبر طوعية.

إن التركيز على القدرة على الاختيار كافتراض لعدم وجود حرية الموافقة ، يوضح أن شروط حدوثها يجب التحقق منها بعناية. يعني مصطلح "انتبه إلى أقصى درجة" في المادة 7 (4) أنه يجب على المراقب المالي توخي الحذر بشكل خاص عندما يتضمن العقد طلبًا بالموافقة على معالجة البيانات الشخصية.

نظرًا لأن صياغة المادة 7 (4) ليست مطلقة ، فقد تكون هناك حالات حيث لا تجعل الاختيارية الموافقة غير قانونية. ومع ذلك ، تشير كلمة "المزعومة" في الفقرة 43 إلى أن مثل هذه الحالات ستكون نادرة للغاية.

على أي حال ، يقع عبء الإثبات المنصوص عليه في المادة 7 (4) على عاتق المراقب. تعكس هذه القاعدة المبدأ العام للمساءلة ، الذي يعمل طوال إجمالي الناتج المحلي. ومع ذلك ، عند تطبيق المادة 7 (4) ، سيكون من الصعب على المراقب أن يثبت أن موضوع البيانات قد أعطى موافقته طواعية.

قد يجادل المراقب بأن المؤسسة تقدم لموضعي البيانات خيارًا حقيقيًا إذا كان بإمكانهم الاختيار بين خدمة تتطلب موافقة لاستخدام البيانات الشخصية لأغراض إضافية ، وخدمة مماثلة لا تتطلب مثل هذه الموافقة. طالما أنه من الممكن تنفيذ العقد دون الحصول على موافقة لاستخدام بيانات إضافية ، فإنه لا يعتبر اختياريًا. في هذه الحالة ، يجب أن تكون كلتا الخدمتين متطابقتين تقريبًا.

تعتبر WP29 أن الموافقة لا تعتبر طوعية إذا أكد جهاز التحكم أن هناك خيارًا بين خدمة تتطلب موافقة لاستخدام البيانات الشخصية لأغراض إضافية وخدمة مماثلة من وحدة تحكم أخرى لا تتطلب مثل هذه الموافقة. في هذه الحالة ، تعتمد حرية الاختيار على ما إذا كان موضوع البيانات يجد الخدمات متطابقة تقريبًا. بالإضافة إلى ذلك ، سيُطلب من وحدة التحكم مراقبة السوق لضمان استمرار صلاحية هذه الموافقة ، حيث قد يقوم المنافس بتغيير الخدمة لاحقًا. لذلك ، فإن مثل هذه الحجة تعني أن الموافقة لا تمتثل لمتطلبات اللائحة العامة لحماية البيانات.

3.1.3. التفاصيل

قد تتضمن الخدمة العديد من عمليات معالجة البيانات لأكثر من غرض واحد. في مثل هذه الحالات ، يجب أن تكون مواضيع البيانات قادرة على اختيار الغرض الذي تمنح الموافقة عليه بشكل منفصل. وفقًا للائحة العامة لحماية البيانات ، قد يُطلب من العديد من الموافقات البدء في تقديم الخدمة.

توضح الفقرة 43 أن الموافقة لا تعتبر طوعية إذا كانت عملية الاستلام لا تسمح لموضوعات البيانات بالموافقة على معاملات معينة. تنص الفقرة 32 على ما يلي: "يجب أن تغطي الموافقة جميع طرق معالجة البيانات الشخصية التي يتم تنفيذها لتحقيق نفس الهدف. في حالة أن معالجة البيانات الشخصية لها عدة أغراض ، فمن الضروري الحصول على موافقة لكل منها. "

إذا جمعت وحدة التحكم العديد من أهداف المعالجة ولم تحاول الحصول على موافقة منفصلة لكل منها ، فهذا يعني نقص في الحرية. يرتبط التفصيل ارتباطًا وثيقًا بالحاجة إلى تجسيد الموافقة ، والذي تم وصفه في القسم 2.3. أدناه. عندما تتم معالجة البيانات لعدة أغراض ، فإن أحد شروط الموافقة القانونية هو فصل هذه الأهداف والحصول على الموافقة لكل منها.

7

, . , . . (. 3.3.1), , , .

3.1.4.

يلتزم المراقب المالي بأن يثبت لموضوع البيانات أنه يمكنه سحب الموافقة دون الإخلال بنفسه (الفقرة 42). على سبيل المثال ، يحتاج المتحكم أن يثبت أن إلغاء الموافقة لا يؤدي إلى تكاليف موضوع البيانات ولا يسبب إزعاجًا واضحًا له.

من الأمثلة الأخرى للضرر الخداع أو التخويف أو الإكراه أو العواقب السلبية الكبيرة إذا لم يعط موضوع البيانات موافقته. يطلب من المراقب المالي أن يثبت أن موضوع البيانات لديه حرية الاختيار فيما يتعلق بمنح الموافقة ، وأنه يمكنه سحبها دون المساس بنفسه.

إذا أظهرت وحدة التحكم أن الخدمة تتضمن القدرة على إلغاء الموافقة دون عواقب سلبية ، على سبيل المثال ، دون المساومة على الجودة ، يمكن أن يكون هذا بمثابة دليل على الموافقة الطوعية. لا تتضمن اللائحة العامة لحماية البيانات جميع الحوافز ، ولكن عبء إثبات طوعية هذه الموافقة يقع على عاتق المراقب في جميع الحالات.

8

lifestyle-, . , , . , , . , 42, , ( , ).

9

. , , . , . , .

10

. , . , . , , . , . , , .

3.2.

تؤكد المادة 6 (1) (أ) أنه يجب إعطاء الموافقة فيما يتعلق بأهداف "واحدة أو أكثر" ، وأن موضوع البيانات لديه خيار فيما يتعلق بكل منها. يهدف شرط أن تكون الموافقة محددة إلى ضمان تحكم المستخدم وشفافية موضوع البيانات. لم تغير اللائحة العامة لحماية البيانات هذا الشرط ، ولا تزال مرتبطة ارتباطًا وثيقًا بمتطلبات الموافقة المستنيرة. في الوقت نفسه ، يجب تفسيره وفقًا لمتطلبات التفاصيل من أجل الحصول على موافقة طوعية. بشكل عام ، لكي تكون محددًا ، يجب على المراقب المالي:

تشير إلى الهدف كإجراء وقائي ضد توسعه ،
تفصيل طلب الموافقة ، و
فصل بوضوح المعلومات المتعلقة بالحصول على الموافقة من أي دولة أخرى.

ملحق 1. وفقًا للمادة 5 (1) (ب) من اللائحة العامة لحماية البيانات ، يُسبَق استلام الموافقة دائمًا بتحديد الغرض المحدد والصريح والقانوني لمعالجة البيانات المقصودة. الحاجة إلى موافقة محددة ، مقترنة بمفهوم تقييد الهدف في المادة 5 (1) (ب) ، بمثابة حماية ضد التوسع التدريجي لهدف جمع البيانات بعد أن تمنح الجهة الموافقة. هذه الظاهرة ، والمعروفة أيضًا باسم التسلل الوظيفي ، تشكل خطرًا على مواضيع البيانات ، لأنها يمكن أن تؤدي إلى استخدام غير متوقع للبيانات الشخصية من قبل وحدة التحكم أو أطراف ثالثة ، وفقدان السيطرة.

إذا كانت وحدة التحكم تعتمد على المادة 6 (1) (أ) ، فيجب أن يوافق أصحاب البيانات دائمًا على الغرض المحدد للمعالجة. وفقًا لمفهوم تقييد الهدف ، المادة 5 (1) (ب) والفقرة 32 ، يجوز للموافقة أن تغطي عمليات مختلفة إذا كانت تخدم نفس الغرض. بالطبع ، لا يمكن الحصول على موافقة محددة إلا عندما يتم إخبار مواضيع البيانات بدقة بأهداف المعالجة المقصودة.

على الرغم من القدرة على الجمع بين الأهداف ، يجب أن تكون الموافقة محددة لكل منها. يجب أن يوافق الأشخاص الخاضعون للبيانات على فهم أنهم يتحكمون في الوضع ، وستتم معالجة بياناتهم للأغراض المحددة فقط. إذا كان جهاز التحكم يعالج البيانات بشكل شرعي لغرض واحد ويرغب في معالجتها لغرض آخر ، فيجب على وحدة التحكم طلب موافقة إضافية لها ، ما لم يكن هناك أساس قانوني آخر يعكس الوضع بشكل أفضل.

11

, , . , ( ) . .

ملحق 2. لا يجب أن تكون آليات الموافقة مفصلة فقط لتلبية متطلبات "التطوعي" ، ولكن أيضًا للامتثال لعنصر "الخصوصية". هذا يعني أن وحدة التحكم التي تطلب الموافقة لأغراض مختلفة يجب أن توفر خيارًا لكل منها للسماح للمستخدمين بمنح الموافقة لغرض معالجة محدد.

ملحق رقم 3. وأخيرًا ، يُطلب من المشرفين تقديم معلومات محددة في كل طلب موافقة فردي لكل غرض ، بحيث يكون المشاركون في البيانات على دراية بتأثير الخيارات المختلفة. لذلك يتم إعطاء الموضوعات البيانات الفرصة لإعطاء موافقة محددة. تتعلق هذه النقطة بالالتزام بتقديم معلومات واضحة في البند 3.3. أدناه.

3.3. اطلاع

تتطلب اللائحة العامة لحماية البيانات وجوب إبلاغ الموافقة. بناءً على المادة 5 من اللائحة العامة لحماية البيانات ، يعد شرط الشفافية أحد المبادئ الأساسية التي ترتبط ارتباطًا وثيقًا بمبادئ العدالة والشرعية. من المهم بالنسبة لهم توفير المعلومات لموضعي البيانات قبل الحصول على موافقتهم لاتخاذ قرار مستنير ، لفهم ما يتفقون عليه تمامًا ، وفهم الحق في سحب موافقتهم ، على سبيل المثال. إذا لم توفر وحدة التحكم معلومات يمكن الوصول إليها ، فإن موضوع البيانات لا يتلقى التحكم الفعلي ، وتعتبر هذه الموافقة أساسًا غير قانوني للمعالجة.

نتيجة عدم الامتثال لمتطلبات الموافقة المستنيرة هي عدم شرعيتها ، وقد ينتهك المراقب المادة 6 من اللائحة العامة لحماية البيانات.

3.3.1. الحد الأدنى من متطلبات المحتوى للحصول على موافقة مستنيرة

من أجل إبلاغ الموافقة ، من الضروري تزويد موضوع البيانات بعدة عناصر حاسمة بالنسبة له لاتخاذ قرار. لذلك ، يرى WP29 أن المعلومات التالية على الأقل مطلوبة للحصول على موافقة قانونية:

اسم وحدة التحكم
أغراض المعالجة التي يُقصد بها البيانات الشخصية ،
أنواع البيانات التي سيتم جمعها واستخدامها ،
الحق في إلغاء الموافقة ،
معلومات حول المعالجة الآلية للبيانات وفقًا للمادة 22 (2) (ج) ، عند الاقتضاء ، و
معلومات عن المخاطر المحتملة لنقل البيانات بسبب عدم وجود حل مناسب وتدابير الحماية الموصوفة في المادة 46.

فيما يتعلق بالفقرتين 1. و 3. ، تلاحظ WP29 أنه في حالة ضرورة الحصول على الموافقة المطلوبة من قبل عدة وحدات تحكم (مشتركة) ، أو إذا كان يجب إرسال البيانات أو معالجتها من قبل وحدات تحكم أخرى ترغب في الانضمام إلى مثل هذه الموافقة ، فيجب أن تكون جميعها مدرجة. لا يجوز الإشارة إلى معالجات البيانات ، على الرغم من أن وحدات التحكم مطلوبة لتوفير قائمة كاملة بمتلقي البيانات أو فئاتهم ، بما في ذلك المعالجات ، للامتثال للمادتين 13 و 14 من اللائحة العامة لحماية البيانات. في الختام ، تلاحظ WP29 أنه ، تبعاً للظروف ، قد يحتاج موضوع البيانات إلى معلومات إضافية لفهم عمليات معالجة البيانات بوضوح.

3.3.2. كيفية تقديم المعلومات

لا تصف اللائحة العامة لحماية البيانات شكل أو نوع كيفية تقديم المعلومات من أجل الامتثال لمتطلبات الموافقة المستنيرة. هذا يعني أنه يمكن تمثيلها بطرق مختلفة ، مثل البيانات المكتوبة أو الشفوية ، والرسائل الصوتية أو المرئية. ومع ذلك ، في اللائحة العامة لحماية البيانات ، هناك العديد من المتطلبات للحصول على موافقة مستنيرة ، خاصة في المادة 7 (2) والفقرة 32. مما يعزز الوضوح وإمكانية الوصول.

عند طلب الموافقة ، يجب على وحدة التحكم دائمًا استخدام لغة واضحة وبسيطة. هذا يعني أن الرسالة يجب أن يفهمها بسهولة شخص عادي ، وليس مجرد محام. يجب ألا يستخدم المشرفون سياسات خصوصية طويلة يصعب فهمها أو المصطلحات القانونية. يجب أن تكون الموافقة واضحة ويمكن تمييزها عن القضايا الأخرى ، وأن يتم تقديمها بطريقة مفهومة ويسهل الوصول إليها. هذا الشرط يعني أنه لا يمكن إخفاء المعلومات المتعلقة بتبني قرار مستنير بشأن الموافقة أو الخلاف في الشروط العامة للخدمة.

وحدة التحكم مطلوبة لضمان الحصول على الموافقة على أساس المعلومات التي تسمح للبيانات الخاضعة بالتعرف بسهولة على من هو المتحكم وما يتفقون معه بالضبط. يجب أن يصف المتحكم بوضوح الغرض من المعالجة المطلوب الموافقة عليه.

تم تضمين إرشادات الوصول المحددة الأخرى من قبل WP29 من حيث الشفافية. إذا تم منح الموافقة إلكترونيًا ، فيجب أن يكون طلبها واضحًا وموجزًا. تعتبر المعلومات الشاملة والمفصلة مناسبة أكثر للالتزامات الثنائية - دقيقة وكاملة من ناحية ومفهومة من جهة أخرى.

مطلوب وحدة التحكم لتقييم الجمهور المستهدف ، الذي ينقل البيانات الشخصية. على سبيل المثال ، إذا كانت تحتوي على قاصرين ، فيجب على وحدة التحكم التأكد من أن المعلومات مفهومة لهم. بعد هذا التقييم ، يُطلب من المتحكم تحديد المعلومات وكيفية تقديم مواضيع البيانات.

تنظر المادة 7 (2) في بيانات الموافقة المكتوبة التي يتم إعدادها مسبقًا والتي تتعلق بمسائل أخرى. عند طلب الموافقة بموجب عقد (ورقي) ، يجب فصل هذا الطلب بوضوح عن المشكلات الأخرى. إذا كان العقد الورقي يحتوي على جوانب لا تتعلق بالموافقة ، فيجب النظر في مسألة ذلك بطريقة تبرز بوضوح أو تُقترح كوثيقة منفصلة. وبالمثل ، إذا تم طلب الموافقة إلكترونيًا ، فيجب أن يكون الطلب منفصلاً ولا يمكن أن يكون مجرد فقرة في شروط الخدمة ، وفقًا للفقرة 32. عند وضعه على شاشات صغيرة أو في مساحة محدودة ، قد تكون طريقة شاملة لتوفير المعلومات مناسبة لتجنب التفاعل المفرط مع انتهاكات المستخدم أو تصميم المنتج.

والمراقب المالي ، الذي يشير إلى الموافقة ، مطالب أيضًا بالامتثال للمتطلبات المنصوص عليها في المادتين 13 و 14 من أجل الامتثال للائحة العامة لحماية البيانات. من الناحية العملية ، يمكن اتباع نهج متكامل للامتثال لهذه المتطلبات والامتثال لمتطلبات الموافقة المستنيرة. ومع ذلك ، فإن هذا القسم من الدليل مكتوب في سياق أنه يمكن الحصول على الموافقة "المستنيرة" المشروعة حتى لو لم يتم ذكر جميع عناصر المادتين 13 و / أو 14 في عملية الاستلام (هذه النقاط ، بالطبع ، يجب ذكرها في مكان آخر ، على سبيل المثال ، في سياسة الخصوصية). أصدرت فرقة العمل 29 توصيات منفصلة بشأن الشفافية.

مثال 12

X , , , . , . X , . , , . , . , , . X . X , , .

13

. , . . , . 6, «» , 13(1)(b) 14(1)(b) GDPR.

3.4.

تحدد اللائحة العامة لحماية البيانات أن الموافقة تتطلب بيانًا أو إجراءً إيجابيًا واضحًا من جانب موضوع البيانات. يجب أن يكون واضحًا أن موضوع البيانات قد أعطى موافقته على المعالجة المحددة.
تصف المادة 2 (ح) من التوجيه 95/46 / EC الموافقة بأنها "تعبير عن الإرادة التي يعبر بها صاحب البيانات عن موافقته على معالجة البيانات الشخصية المتعلقة به". تستند المادة 4 (11) من اللائحة العامة لحماية البيانات إلى هذا التعريف ، موضحة أن الموافقة القانونية تتطلب التعبير الصريح عن الإرادة عن طريق بيان أو إجراء إيجابي واضح ، وفقًا للتوجيهات السابقة من WP29.

"العمل الإيجابي الواضح" يعني أن الموضوع يوافق بوعي على علاج محدد. يوفر القسم 32 المزيد من الإرشادات حول هذا الموضوع. يمكن الحصول على الموافقة من خلال بيان شفوي مكتوب أو (مسجل) ، وكذلك إلكترونيًا.

ربما تكون أسهل طريقة للوفاء بمتطلبات "البيان المكتوب" هي التأكد من أن موضوع البيانات قد أوضح للتحكم ما يوافق عليه برسالة أو بريد إلكتروني. في كثير من الأحيان هذا غير ممكن. قد تختلف البيانات المكتوبة للائحة العامة لحماية البيانات.

دون المساس بقانون العقد (الوطني) الحالي ، يمكن الحصول على الموافقة عن طريق الاتصال الشفوي المسجل ، بعد أخذ المعلومات المتاحة لموضوع البيانات في الاعتبار سابقًا. وفقًا للائحة العامة لحماية البيانات ، لا يُسمح باستخدام الخيارات المحددة مسبقًا. لا يعتبر الصمت أو التقاعس أو العمل المستمر مع الخدمة علامة اختيار.

مثال 14

أثناء التثبيت ، يطلب التطبيق من موضوع البيانات الموافقة على استخدام تقارير الأعطال المخصصة لتحسين جودتها. يتم إرفاق سياسة خصوصية شاملة تحتوي على جميع المعلومات اللازمة لطلب الموافقة. من خلال وضع علامة نشطة على الحقل الاختياري مع نقش "أوافق" ، يقوم المستخدم بإجراء إيجابي واضح ، مما يمنح موافقته على المعالجة.

يجب على المراقب المالي أن يأخذ في الاعتبار أنه لا يمكن الحصول على الموافقة في وقت واحد مع عقد تقديم الخدمات. لا يمكن اعتبار قبول شروط الخدمة إجراءً إيجابيًا واضحًا بشأن استخدام البيانات الشخصية. يحظر اللائحة العامة لحماية البيانات الخيارات المحددة مسبقًا (على سبيل المثال ، حقل "إلغاء الاشتراك") أو الطرق الأخرى التي تتطلب تدخل البيانات الخاضعة لإلغاء الموافقة.

عندما يتم منح الموافقة إلكترونيًا ، يجب ألا يقطع الطلب العمل بدون داعٍ مع الخدمة. قد يكون من الضروري اتخاذ إجراء إيجابي واضح يوفر فيه موضوع البيانات الموافقة إذا كانت طريقة أقل انقطاعًا للحصول عليها تؤدي إلى الغموض. وبالتالي ، من أجل طلب الموافقة ، قد يكون من الضروري تعليق التفاعل مع المستخدم جزئيًا لجعل الطلب مشروعًا.

وفقًا للائحة العامة لحماية البيانات ، يحق للمشرفين تطوير عملية الموافقة التي تناسب المؤسسة بشكل مستقل. في هذا السياق ، يمكن وصف الإجراءات البدنية بأنها إيجابية واضحة.

يجب على المشرفين تصميم آليات الموافقة بحيث يتم فهمها من قبل مواضيع البيانات. يجب على المشرفين تجنب الغموض والتأكد من تمييز الإجراء الذي يتم من خلاله الموافقة عن الإجراءات الأخرى. وبالتالي ، فإن الاستخدام المتواصل المعتاد للموقع ليس إجراءً يمكننا من خلاله استنتاج أن موضوع البيانات يريد التعبير عن موافقته على عملية المعالجة.

15

, , , , , (, , X Y. ). , , , .

16
- . , « », / , , .

في العالم الرقمي ، تتطلب العديد من الخدمات بيانات شخصية ، لذلك يتلقى موضوع البيانات طلبات موافقة متعددة ، والتي يجب الرد عليها كل يوم عن طريق النقر على الشاشة وسحبها. يمكن أن يؤدي هذا إلى بعض اللامبالاة: عندما يتم تلبية الطلبات كثيرًا ، يتم تقليل تأثير التحذير الفعلي.

يؤدي هذا إلى موقف حيث لم يعد قراءة طلب الموافقة. يمثل هذا الموقف خطرًا كبيرًا بالنسبة لموضوعات البيانات ، حيث يُطلب عادةً الموافقة على المعالجة التي ستكون غير قانونية بدونها. تفرض اللائحة العامة لحماية البيانات التزام المشرفين على تطوير طرق لحل هذه المشكلة.

مثال معروف على نطاق واسع لمثل هذا الموقف هو الحصول على موافقة مستخدم الإنترنت من خلال الإعدادات في متصفحه. يجب تصميم هذه الإعدادات وفقًا للائحة العامة لحماية البيانات. على سبيل المثال ، يجب تفصيل الموافقة لكل هدف ويجب أن تحتوي على أسماء المشرفين.

في أي حال ، يجب الحصول على الموافقة قبل أن تبدأ وحدة التحكم في معالجة البيانات الشخصية. في التوصيات السابقة ، أكدت WP29 باستمرار أنه يجب إعطاء الموافقة قبل بدء أنشطة المعالجة. على الرغم من حقيقة أن المادة 4 (11) من اللائحة العامة لحماية البيانات لا تنص حرفياً على استلام الموافقة قبل بدء المعالجة ، فهذا يعني ضمناً. إن عنوان المادة 6 (1) والصياغة "المعطاة" في المادة 6 (1) (أ) يدعمان هذا التفسير. من المادة 6 والفقرة 40 يستتبع منطقياً أنه قبل البدء في معالجة البيانات يجب أن يكون هناك أساس قانوني. لذلك ، يجب إعطاء الموافقة قبل بدء عملية معالجة البيانات. من حيث المبدأ ، يكفي طلب موافقة موضوع البيانات مرة واحدة. ومع ذلك ، يُطلب من المشرفين الحصول على موافقة جديدة إذا تغيرت أهداف المعالجة أو ظهر غرض إضافي.

4. الحصول على موافقة صريحة

مطلوب موافقة صريحة في بعض الحالات التي يوجد فيها خطر جسيم لحماية البيانات ، وبالتالي ، يعتبر المستوى العالي من التحكم الفردي على البيانات الشخصية مناسبًا. وفقًا للائحة العامة لحماية البيانات ، تلعب الموافقة الصريحة دورًا مهمًا في المادة 9 فيما يتعلق بمعالجة فئات خاصة من البيانات ، والأحكام المتعلقة بنقل البيانات إلى دول ثالثة أو منظمات دولية ، إذا لم تكن هناك تدابير وقائية منصوص عليها في المادتين 49 و 22 بشأن صنع القرار الآلي ، بما في ذلك التنميط.

تنص اللائحة العامة لحماية البيانات على أن "البيان أو الإجراء الإيجابي الواضح" هو شرط أساسي للحصول على موافقة "بسيطة". نظرًا لأن أهمية شرط الموافقة "البسيطة" في اللائحة العامة لحماية البيانات أعلى من التوجيه 95/46 / المفوضية الأوروبية ، فمن الضروري توضيح الجهود الإضافية التي يجب أن يبذلها المراقب من أجل الحصول على موافقة صريحة من موضوع البيانات وفقًا للائحة العامة لحماية البيانات.

يشير مصطلح صريح إلى طريقة للتعبير عن الموافقة من قبل موضوع البيانات. هذا يعني أن موضوع البيانات يجب أن يعطي موافقة صريحة. الطريقة الواضحة للتأكد من أن الموافقة صريحة هي إعطاء الموافقة كتابيًا. في مثل هذه الحالات ، يمكن لوحدة التحكم التأكد من أن البيان المكتوب موقّع من قبل موضوع البيانات من أجل القضاء على جميع الشكوك المحتملة والنقص المحتمل في الأدلة في المستقبل.

ومع ذلك ، فإن البيان المكتوب ليس هو الطريقة الوحيدة للحصول على موافقة صريحة ، ولا يمكن القول بأن اللائحة العامة لحماية البيانات تتطلب منك الحصول على موافقة كتابية في جميع الحالات التي تتطلب موافقة صريحة مشروعة. على سبيل المثال ، في العالم الرقمي ، قد يوافق موضوع البيانات عن طريق ملء نموذج إلكتروني أو إرسال بريد إلكتروني أو تنزيل مستند ممسوح ضوئيًا بتوقيع أو استخدام توقيع إلكتروني. نظريًا ، قد يكون استخدام البيانات الشفوية أيضًا كافيًا للحصول على موافقة صريحة مشروعة ، ولكن سيكون من الصعب على المتحكم أن يثبت أن جميع شروط الموافقة الصريحة المشروعة قد تم الوفاء بها عند تسجيل مثل هذا البيان.

قد تحصل المؤسسة أيضًا على موافقة صريحة عبر الهاتف شريطة أن تكون معلومات الاختيار عادلة ومفهومة وواضحة ، ويُطلب إجراء محدد من موضوع البيانات (على سبيل المثال ، الضغط على زر أو تقديم تأكيد شفهي).

مثال 17

يمكن لوحدة التحكم في البيانات الحصول على موافقة صريحة من زائر لموقعه على الويب من خلال عرض شاشة الموافقة ، التي تحتوي على علامتي نعم ولا ، شريطة أن يشير النص بوضوح إلى الموافقة. على سبيل المثال ، "أوافق بموجب هذا على معالجة بياناتي" ، ولا أقول ، "من الواضح لي أنه سيتم معالجة بياناتي". بالطبع ، يجب مراعاة الشروط الأخرى للحصول على موافقة قانونية.

مثال 18

, . - . , , , .

قد يكون التحقق من الموافقة على خطوتين أيضًا طريقة لتأكيد صحة الموافقة الصريحة. على سبيل المثال ، يتلقى موضوع البيانات بريدًا إلكترونيًا لإخبار المراقب عن نيته معالجة بياناته الطبية. يوضح المراقب أنه يطلب الموافقة على استخدام مجموعة بيانات محددة لغرض معين. إذا وافق موضوع البيانات على هذه المعالجة ، يطلب المراقب المالي الرد عبر البريد الإلكتروني مع النص "أوافق". بعد إرسال الرد ، يتلقى موضوع البيانات رابط نقل أو رسالة قصيرة برمز لتأكيد الاتفاقية.

لا تعترف المادة 9 (2) بضرورة تنفيذ العقد كاستثناء من الحظر العام لمعالجة فئات خاصة من البيانات. لذلك ، يطلب من المراقبين ودول الاتحاد الأوروبي التي تتعامل مع هذا الوضع دراسة الاستثناءات الواردة في الفقرات (ب) إلى (ي) من المادة 9 (2). إذا لم يكن أي منها قابلاً للتطبيق ، فسيظل الحصول على موافقة صريحة وفقًا للائحة العامة لحماية البيانات هو الاستثناء القانوني الوحيد الممكن لمعالجة هذه البيانات.

مثال 19

Holiday Airways , , , - , . . Holiday Airways , (, , : , ). Holiday Airways . , , . , . , , 7(4) .

20

, . , . . , . , , , . . . , , . , 9, .

5. شروط إضافية للحصول على الموافقة القانونية

يقدم اللائحة العامة لحماية البيانات متطلبات المشرفين لاتخاذ تدابير إضافية لضمان تلقيهم ودعمهم وإثبات موافقتهم القانونية. تصف المادة 7 من اللائحة العامة لحماية البيانات هذه التدابير الإضافية مع أحكام محددة بشأن الاحتفاظ بدفتر الموافقة وحق الإلغاء السهل للموافقة. تنطبق المادة 7 أيضًا على الموافقة المشار إليها في مواد أخرى من اللائحة العامة لحماية البيانات ، على سبيل المثال في المادتين 8 و 9. ويتم تقديم إرشادات بشأن المتطلبات الإضافية لإثبات الموافقة القانونية وإلغاءها أدناه.

5.1. مظاهرة الموافقة

يحدد القسم 7 (1) من اللائحة العامة لحماية البيانات الالتزام الصريح لوحدة التحكم بإثبات موافقة موضوع البيانات. وفقًا للمادة 7 (1) ، يقع عبء الإثبات على عاتق وحدة التحكم.

تنص الفقرة 42 على ما يلي: "إذا كانت المعالجة تستند إلى موافقة موضوع البيانات ، فيجب أن يكون المتحكم قادرًا على إثبات أن موضوع البيانات قد وافق على عملية المعالجة".

يمكن للمشرفين تطوير طرقهم الخاصة للامتثال لهذا المطلب بطريقة تجعلهم أكثر ملاءمة لأنشطتهم. وفي الوقت نفسه ، لا ينبغي أن يؤدي الالتزام بإثبات الموافقة القانونية التي تم الحصول عليها بحد ذاته إلى معالجة إضافية للبيانات بشكل مفرط. هذا يعني أنه يجب أن يكون لدى وحدات التحكم بيانات كافية لإثبات الاتصال بالمعالجة (إظهار استلام الموافقة) ، ولكن ليس مطلوبًا منهم جمع البيانات بما يتجاوز ما هو ضروري.

وحدة التحكم مطلوبة لإظهار أنه تم الحصول على الموافقة الحالية من موضوع البيانات. لا تحدد اللائحة العامة لحماية البيانات بالضبط كيفية القيام بذلك. ومع ذلك ، يجب أن يثبت المراقب أن موضوع البيانات قد أعطى موافقته. بينما تستمر أنشطة معالجة البيانات ، هناك التزام لإثبات الموافقة. عند الانتهاء من المعالجة ، وفقًا للمادتين 17 (3) (ب) و (هـ) ، لا يجوز الاحتفاظ بدليل الموافقة لفترة أطول من اللازم تمامًا للوفاء بالالتزامات القانونية أو العرض أو التنفيذ أو الدفاع عن المتطلبات القانونية.

على سبيل المثال ، يجوز لوحدة التحكم تخزين بروتوكول ببيانات الموافقة المستلمة لتوضيح كيف ومتى تم تلقيها ، وما هي المعلومات التي تم توفيرها لموضوع البيانات في تلك اللحظة. يُطلب من وحدة التحكم أيضًا إظهار أن موضوع البيانات تم إبلاغه وأن عملية الاستلام استوفت جميع معايير الموافقة القانونية. السبب المنطقي لهذا الالتزام باللائحة العامة لحماية البيانات هو أن المشرفين يجب أن يتحملوا مسؤولية الحصول على الموافقة القانونية للموضوع وآلياتهم للحصول عليه. على سبيل المثال ، في سياق عبر الإنترنت ، يمكن لوحدة التحكم تخزين المعلومات حول الجلسة التي تم خلالها منح الموافقة جنبًا إلى جنب مع توثيق عملية الاستلام ونسخة من المعلومات التي تم تقديمها لموضوع البيانات في ذلك الوقت. لا يكفي مجرد الإشارة إلى التكوين الصحيح لموقع الويب.

21

- « X», . , . . , « X».

لا تحدد اللائحة العامة لحماية البيانات تاريخًا محددًا لانتهاء صلاحية الموافقة. يعتمد العمر الافتراضي على سياق ونطاق وتوقعات موضوع البيانات. إذا اختلفت عمليات المعالجة بشكل كبير ، فإن الموافقة الأصلية لم تعد صالحة. في هذه الحالة ، يجب عليك الحصول على تصريح جديد.

توصي WP29 بتحديث الموافقة من وقت لآخر. تساعد إعادة توفير المعلومات في التأكد من أن موضوع البيانات على دراية تامة باستخدام البيانات وحقوقه.

5.2. إلغاء الموافقة

يأخذ إلغاء الموافقة مكانًا مهمًا في اللائحة العامة لحماية البيانات. يمكن اعتبار قواعد ومتطلبات إلغاء اللائحة العامة لحماية البيانات بمثابة تدوين للتفسير الحالي لهذه القضية في استنتاجات ورقة العمل 29.

تنص المادة 7 (3) من اللائحة العامة لحماية البيانات على أن وحدة التحكم مطلوبة لضمان أن موضوع البيانات يمكنه إلغاء الموافقة في أي وقت بالسهولة التي مُنحت بها. لا تتطلب اللائحة العامة لحماية البيانات أن يكون تقديم وإلغاء الموافقة هو نفس الإجراء.

ومع ذلك ، إذا تم الحصول على الموافقة إلكترونيًا بمجرد نقرة على الماوس ، أو تمرير الشاشة أو الضغط على مفتاح ، فينبغي أن تكون مواضيع البيانات قادرة على سحب هذه الموافقة بنفس السهولة. في الحالات التي يتم فيها الحصول على الموافقة من خلال واجهة المستخدم (على سبيل المثال ، من خلال موقع ويب أو تطبيق أو حساب تسجيل دخول أو واجهة جهاز إنترنت الأشياء أو عبر البريد الإلكتروني) ، يجب أن يكون موضوع البيانات قادرًا على إلغاء الموافقة من خلال نفس الواجهة ، منذ التبديل إلى واجهة أخرى للسبب الوحيد لإلغاء الموافقة تتطلب جهودًا غير مبررة. بالإضافة إلى ذلك ، يجب أن يكون موضوع البيانات قادرًا على سحب موافقته دون الإخلال بنفسه. وهذا يعني ، على وجه الخصوص ، أن وحدة التحكم ملزمة بإلغاء الموافقة مجانًا أو بدون المساومة على جودة الخدمة.

22

-. . «» «». , . - 8 5 . 7(3) GDPR. , , -, .

يوصف متطلب الاستدعاء السهل بأنه مطلب ضروري للموافقة القانونية في اللائحة العامة لحماية البيانات. إذا كان حق الانسحاب لا يفي بمتطلبات اللائحة العامة لحماية البيانات ، فإن عملية معالجة الموافقة من قبل وحدة التحكم بالكامل لا تتوافق مع متطلبات اللائحة العامة لحماية البيانات. كما سبق ذكره في القسم 3.1. حول متطلبات الموافقة المستنيرة ، يلتزم المراقب بإبلاغ البيانات موضوع الحق في إلغاء الموافقة قبل استلامها الفعلي ، وفقًا للمادة 7 (3) اللائحة العامة لحماية البيانات. بالإضافة إلى ذلك ، يطلب من المراقب المالي ، في إطار ضمان الشفافية ، إبلاغ موضوع البيانات عن طريقة ممارسة هذا الحق.

عادةً ، عندما يتم إلغاء الموافقة ، تظل أي عمليات معالجة بيانات تم إنشاؤها بناءً عليها وتنفيذها قبل إلغاء الموافقة قانونية ، ومع ذلك ، فمنذ تلك اللحظة يُطلب من وحدة التحكم إيقاف المعالجة. إذا لم تكن هناك أسباب قانونية أخرى لمعالجة البيانات (على سبيل المثال ، مزيد من التخزين) ، فيجب حذفها.

كما ذكرنا سابقًا ، من المهم جدًا أن يحدد المراقبون الأهداف والأسباب القانونية للمعالجة الفعلية للبيانات قبل بدء جمع البيانات. غالبًا ما تحتاج الشركات إلى بيانات شخصية لعدة أغراض في وقت واحد ، وتستند المعالجة إلى أكثر من أساس قانوني واحد ، على سبيل المثال ، يمكن أن تكون بيانات العملاء في العقد وفي الموافقة. ثم لا يعني سحب الموافقة أن وحدة التحكم ملزمة بحذف البيانات التي تتم معالجتها من أجل تنفيذ العقد. لذلك ، فإن وحدة التحكم ملزمة منذ البداية بأن تشير بالضبط إلى الغرض الذي يتعلق بكل عنصر بيانات وعلى أي أساس قانوني يقوم عليه.

يلتزم المتحكم بحذف البيانات التي تمت معالجتها على أساس الموافقة بمجرد إبطالها ، بشرط عدم وجود سبب آخر يبرر المزيد من التخزين. بالإضافة إلى هذا الوضع الموضح في المادة 17 (1) (ب) ، يجوز لموضوع البيانات أن يطلب إزالة بياناته الأخرى ، والتي تتم معالجتها على أساس قانوني آخر ، على سبيل المثال ، على أساس المادة 6 (1) (ب). يجب على المراقب المالي تقييم مدى ملاءمة المعالجة الإضافية للبيانات حتى في حالة عدم طلب الحذف.

في الحالات التي يسحب فيها موضوع البيانات موافقته ، ولكن يرغب المراقب في متابعة معالجة البيانات الشخصية على أساس قانوني آخر ، لا يمكنه الانتقال بصمت من الموافقة (التي يتم سحبها) إلى أساس قانوني آخر. يجب أن يلفت نظر موضوع البيانات إلى أي تغيير في الأساس القانوني للمعالجة وفقًا لمتطلبات المعلومات المنصوص عليها في المادتين 13 و 14 ، وبمبدأ الشفافية.

6. تفاعل الموافقة مع الأسباب القانونية الأخرى في المادة 6 من اللائحة العامة لحماية البيانات

تحدد المادة 6 شروط المعالجة المشروعة للبيانات الشخصية وتصف ستة أسباب قانونية يمكن أن يعتمد عليها المراقب. يجب أن يتم تطبيق أحد هذه الأسباب الستة قبل بدء المعالجة وأن يكون ذا صلة بالغرض المحدد.

من المهم أن نلاحظ هنا أنه إذا قررت وحدة التحكم الاعتماد على الموافقة فيما يتعلق بأي جزء من المعالجة ، فيجب أن يكون مستعدًا لإنهائها إذا قام الشخص بسحب موافقته. إن الإخطار بأن البيانات تتم معالجتها على أساس الموافقة ، عند تطبيق أساس قانوني آخر ، يكون غير عادل من حيث المبدأ لموضوع البيانات.

بمعنى آخر ، لا يمكن لوحدة التحكم استبدال الموافقة بأساس قانوني آخر. على سبيل المثال ، لا يُسمح باستخدام المصالح المشروعة بأثر رجعي كأساس قانوني لإضفاء الشرعية على المعالجة إذا نشأت مشاكل مع شرعية الموافقة. مع الأخذ في الاعتبار شرط الكشف عن الأساس القانوني الذي تعتمد عليه وحدة التحكم في جمع البيانات الشخصية ، فإنه ملزم بأن يقرر مسبقًا أي أساس قانوني قابل للتطبيق.

7. أحكام خاصة من اللائحة العامة لحماية البيانات

7.1. الأطفال (المادة 8)

مقارنةً بالتوجيه الحالي ، تخلق اللائحة العامة لحماية البيانات مستوى إضافيًا من الحماية يتم من خلاله معالجة البيانات الشخصية للأفراد الأكثر ضعفًا ، وخاصة الأطفال. وتنص المادة 8 على التزامات إضافية لتوفير مستوى متزايد من الحماية لهؤلاء الأطفال فيما يتعلق بخدمات المعلومات. وترد أسباب الحماية المعززة في الفقرة 38: "... لأنها قد تكون أقل وعيا بالمخاطر والعواقب والضمانات والحقوق المرتبطة بمعالجة البيانات الشخصية ..." تنص الفقرة 38 أيضا على أن "هذه الحماية الخاصة يجب أن تنطبق ، على وجه الخصوص ، على استخدام البيانات الشخصية للأطفال لأغراض تسويقية أو لإنشاء ملفات شخصية (للمستخدم) وجمع البيانات الشخصية المتعلقة بالأطفال في عملية استخدامهم الخدمات الموجهة خصيصًا للأطفال.تشير عبارة "على وجه الخصوص" إلى أن الحماية لا تقتصر على التسويق أو التنميط ، ولكنها تشمل "مجموعة أوسع من البيانات الشخصية للأطفال".

تحدد المادة 8 (1) أنه في الحالات التي يتم فيها تطبيق الموافقة على تقديم خدمات المعلومات للطفل مباشرة ، تعتبر معالجة البيانات الشخصية قانونية إذا كان عمره 16 عامًا على الأقل. إذا كان عمر الطفل أقل من 16 عامًا ، فإن هذه المعالجة قانونية فقط إذا تم منح الموافقة من قبل شخص يمثل مصالح الطفل وإلى الحد الذي يتم فيه ذلك. فيما يتعلق بالحد الأدنى لسن الموافقة ، تسمح اللائحة العامة لحماية البيانات لدول الاتحاد الأوروبي بتعيين حد أدنى بحد ذاتها ، ولكن لا يمكن أن تكون أقل من 13 عامًا.

كما هو مذكور في القسم 3.1. فيما يتعلق بالموافقة المستنيرة ، يجب أن تكون الرسالة واضحة للجمهور المستهدف ، الذي توجه إليه وحدة التحكم ، مع إيلاء اهتمام خاص لرأي الطفل. من أجل الحصول على "الموافقة المستنيرة" للطفل ، يجب على المراقب أن يشرح بلغة بسيطة ومفهومة للأطفال كيف يخطط لمعالجة البيانات التي تم جمعها. إذا أعطى الوالد الموافقة ، فقد تكون هناك حاجة إلى مجموعة من المعلومات للسماح للبالغ باتخاذ قرار مستنير.

يستنتج مما سبق أن المادة 8 لا تنطبق إلا إذا استوفيت الشروط التالية:

تتعلق المعالجة بتوفير خدمات المعلومات للطفل مباشرة ،
تعتمد المعالجة على الموافقة.

7.1.1. خدمات المعلومات

لتحديد نطاق مصطلح "خدمة المعلومات" في المادة 4 (25) ، تشير اللائحة العامة لحماية البيانات إلى التوجيه 2015/1535.

بتقييم نطاق هذا التعريف ، يشير WP29 أيضًا إلى ممارسة المحكمة الأوروبية. وقضت المحكمة بأن خدمات المعلومات تغطي العقود أو الخدمات الأخرى التي يتم إبرامها أو الالتزام بها عبر الإنترنت. إذا كانت الخدمة تحتوي على مكونين مستقلين اقتصاديًا ، أولهما عبر الإنترنت ، على سبيل المثال ، يرتبط العرض وقبوله بإبرام عقد أو معلومات حول المنتجات والخدمات ، بما في ذلك التسويق ، فإن هذا المكون يعتبر خدمة معلومات. في المقابل ، المكون الثاني ، كونه توريدًا ماديًا أو توزيعًا للسلع ، لا يندرج تحت مفهوم خدمة المعلومات. يتم توفير الخدمة عبر الإنترنت وفقًا لتعريف مصطلح "خدمة المعلومات" الوارد في المادة 8 من اللائحة العامة لحماية البيانات.

7.1.2. تقدم مباشرة للطفل

يشير إدراج عبارة "تقدم مباشرة إلى الطفل" إلى أن المادة 8 تنطبق فقط على خدمات معلومات معينة. إذا أوضح مزود خدمة المعلومات للمستخدمين المحتملين أنه يقدم خدمات فقط للأشخاص الذين تزيد أعمارهم عن 18 عامًا ، وهذا لا يدحضه دليل آخر (على سبيل المثال ، محتويات موقع الويب أو خطط التسويق) ، فإن هذه الخدمة لا تعتبر "تقدم مباشرة إلى الطفل" ، و لا تنطبق المادة 8.

7.1.3. عمر

تحدد اللائحة العامة لحماية البيانات أنه "يمكن لدول الاتحاد الأوروبي أن تنص تشريعيًا على سن أقل لهذه الأغراض ، بشرط ألا يقل هذا العمر عن 13 عامًا". يجب أن يكون المتحكم على علم بالقوانين المحلية ويأخذ في الاعتبار المجتمع الذي يقدم له الخدمات. وتجدر الإشارة بشكل خاص إلى أن المراقب الذي يقدم الخدمة عبر الحدود قد لا يشير دائمًا إلى المعايير في ولايته القضائية ، ولكنه قد يحتاج أيضًا إلى الامتثال لقوانين كل بلد يقدم فيها خدمات المعلومات. يعتمد الأمر على ما إذا كانت الدولة تقرر الاعتماد على اختصاص المراقب أو على مكان إقامة موضوع البيانات. بادئ ذي بدء ، عند اتخاذ هذا الخيار ، فإن جميع دول الاتحاد الأوروبي ملزمة بأخذ مصالح الطفل في الاعتبار. ويدعو الفريق العامل إلى قرار متفق عليه بشأن هذه المسألة.

إذا تم توفير خدمات المعلومات للأطفال على أساس الموافقة ، فمن المتوقع أن يتخذ المشرفون تدابير للتأكد من أن المستخدم قد بلغ الحد الأدنى لسن الموافقة الرقمية ، ويجب أن تكون هذه التدابير متناسبة مع معالجة البيانات والمخاطر.

إذا ادعى المستخدمون أنهم أكبر من الحد الأدنى لعمر الموافقة الرقمية ، فيجوز لوحدة التحكم إجراء مراجعة للتحقق من ذلك. على الرغم من أن اللائحة العامة لحماية البيانات لا تلزم بإجراء مثل هذا الفحص ، إلا أنه مطلوب ضمنيًا ، نظرًا لأن معالجة البيانات ستصبح غير قانونية إذا أعطى الطفل الموافقة ، وليس كبيرًا بما يكفي لتقديم الموافقة القانونية نيابة عنه.

إذا ادعى المستخدم أنه لم يبلغ الحد الأدنى لسن الموافقة الرقمية ، فيجوز لوحدة التحكم قبول هذا البيان دون التحقق ، ولكن بعد ذلك سيحتاج المراقب إلى الحصول على إذن الوالدين والتحقق من أن الشخص الذي يقدم الموافقة لديه حقوق الوالدين.

لا يمكن أن يُعزى التحقق من العمر إلى المعالجة المفرطة للبيانات. يجب أن تشتمل الطريقة المختارة للتحقق من عمر موضوع البيانات على تقييم مخاطر العلاج المقترح. في الحالات منخفضة الخطورة ، قد يكون من الكافي طلب سنة الميلاد أو ملء استمارة يكون فيها (ليس) قاصرًا. في حالة الشك ، يجب على المشرف تغيير طرق فحص العمر والنظر في الحاجة إلى فحوصات بديلة.

7.1.4. موافقة الأطفال وحقوق الوالدين

لا تحدد اللائحة العامة لحماية البيانات كيفية الحصول على موافقة الوالدين أو تحديد من له الحق في ذلك. لذلك ، توصي WP29 باتباع نهج نسبي وفقًا للمادتين 8 (2) و 5 (1) © GDPR (تقليل البيانات). النهج النسبي هو الحصول على كمية محدودة من المعلومات ، مثل تفاصيل الاتصال بوالد أو وصي.

ما هو معقول للتحقق من أن المستخدم كبير بما يكفي لتقديم موافقته الخاصة ، وأن الشخص الذي يقدم موافقة الطفل لديه حقوق الوالدين ، قد يعتمد على مخاطر المعالجة والتكنولوجيا المتاحة. في الحالات منخفضة المخاطر ، قد يكون تأكيد البريد الإلكتروني كافياً. وعلى النقيض من ذلك ، في المواقف عالية الخطورة ، قد يكون من المناسب طلب أدلة إضافية حتى يتمكن المتحكم من التحقق منها وتخزينها وفقًا للمادة 7 (1) من اللائحة العامة لحماية البيانات. يمكن أن تقدم خدمات التحقق من جهات خارجية حلولًا تقلل من كمية البيانات الشخصية التي يجب على وحدة التحكم معالجتها بنفسها.

23

- , . :

1: , 16 ( ). , , :

2: , . .

3: , , .

4: .
, , 8 GDPR.

يوضح المثال أن المتحكم يمكن أن يثبت أنه تم بذل جهود معقولة لضمان وجود موافقة قانونية على الخدمات المقدمة للطفل. تنص المادة 8 (2) على أنه "يجب على المتحكم ، مع مراعاة القدرات التكنولوجية المتاحة ، بذل جهود معقولة للتأكد من أن الموافقة قد تم منحها من قبل شخص لديه حقوق الوالدين فيما يتعلق بالطفل ، أو تم منحها بموافقته".

وحدة التحكم ملزمة بتحديد التدابير المناسبة في حالة معينة. عادة ، يجب على المشرفين تجنب عمليات الفحص التي تؤدي إلى جمع مفرط للبيانات الشخصية.

تدرك WP29 أنه قد تكون هناك حالات يكون فيها التحقق معقدًا (على سبيل المثال ، عندما لا يترك الأطفال الذين أعطوا الموافقة "بصمة رقمية" أو عندما يصعب التحقق من حقوق الوالدين. يمكن أن يؤخذ التعقيد في الاعتبار عند تحديد التدابير المعقولة ، ولكن يتوقع من المراقبين مراقبة عملياتهم باستمرار. والتقنيات المتاحة.

فيما يتعلق بحق الشخص في الموافقة على معالجة البيانات الشخصية والتحكم فيها بالكامل ، بمجرد أن يصل موضوع البيانات إلى سن الموافقة الرقمية ، يمكن تأكيد موافقة الوالد أو الوصي أو تغييرها أو إلغاؤها. من الناحية العملية ، هذا يعني أنه إذا لم يتخذ الطفل أي إجراء ، فإن الموافقة على المعالجة التي قدمها الوالد أو الوصي ، والتي تم منحها قبل سن الموافقة الرقمية ، ستظل الأساس القانوني للمعالجة. عند بلوغ سن الموافقة الرقمية ، يجوز للطفل إلغاء الموافقة وفقًا للمادة 7 (3). وفقًا لمبادئ الإنصاف والشفافية ، يجب على وحدة التحكم إبلاغ الطفل بهذه الإمكانية.

من المهم ملاحظة أنه وفقًا للبند 38 ، فإن موافقة الوالد أو الوصي ليست مطلوبة للخدمات الوقائية أو الإرشادية المقدمة مباشرةً إلى الطفل. على سبيل المثال ، لا يتطلب تقديم خدمات حماية الطفل عبر الإنترنت الحصول على إذن الوالدين.

في الختام ، تحدد اللائحة العامة لحماية البيانات أن قواعد إصدار التوكيلات المتعلقة بالقصر لا تؤثر على "قانون العقود العام لبلدان الاتحاد الأوروبي ، على سبيل المثال ، بشأن إبرام أو تنفيذ الاتفاقات المتعلقة بالطفل". وبالتالي ، فإن متطلبات الموافقة القانونية على استخدام هؤلاء الأطفال هي جزء من الإطار القانوني ، الذي يجب النظر فيه بشكل منفصل عن قانون العقود في البلدان. لذلك ، لا يعالج الدليل مسألة قانونية العقود عبر الإنترنت التي أبرمها القاصرون. يمكن تطبيق كلا النظامين القانونيين في وقت واحد ، ولا يشمل نطاق اللائحة العامة لحماية البيانات (GDPR) تنسيق قانون العقود في البلدان.

7.2. بحث علمي

تعريف أهداف البحث له تأثير كبير على كامل نطاق أنشطة معالجة البيانات التي يمكن أن يقوم بها المراقب. لم يتم تعريف مصطلح "البحث العلمي" في اللائحة العامة لحماية البيانات. تنص الفقرة 159 على ما يلي: "... في إطار هذه اللائحة ، ينبغي تفسير معالجة البيانات الشخصية لغرض البحث العلمي على نطاق واسع ..." ، ومع ذلك ، تعتقد فرقة العمل 29 أن هذا المفهوم لا يمكن أن يكون أوسع من معناه العام ، وبالتالي ، يعني "البحث العلمي" في هذا السياق مشروع بحث تم إنشاؤها وفقًا للمعايير المنهجية والأخلاقية للصناعة وأفضل الممارسات.

عندما تكون الموافقة هي الأساس القانوني لإجراء البحث وفقًا للائحة العامة لحماية البيانات ، يجب فصلها عن المتطلبات الأخرى للموافقة ، بما يخدم المعايير الأخلاقية أو الالتزامات الإجرائية. يمكن العثور على مثال على هذا الالتزام الإجرائي عندما لا تعتمد المعالجة على الموافقة ولكن على أساس قانوني آخر في جدول التجارب السريرية. في سياق حقوق حماية البيانات ، يمكن اعتبار الشكل الأخير للموافقة المذكورة كتدبير وقائي إضافي. وفي الوقت نفسه ، لا تقتصر اللائحة العامة لحماية البيانات (GDPR) على تطبيق المادة 6 فقط على الموافقة على معالجة البيانات لأغراض البحث. طالما أن هناك تدابير وقائية ، مثل متطلبات المادة 89 (1) ، والمعالجة عادلة وقانونية وشفافة وتتوافق مع معايير تقليل البيانات والحقوق الفردية ،قد تتوفر أسباب قانونية أخرى ، مثل المادة 6 (1) (هـ) أو (و). ينطبق هذا أيضًا على الفئات الخاصة من البيانات وفقًا لاستثناءات المادة 9 (2) (ي).

يبدو أن الفقرة 33 تجلب بعض المرونة لدرجة التجسيد والتنقيح للموافقة في سياق البحث العلمي. تقول: "غالبًا ما يكون من المستحيل تحديد الغرض بالكامل من معالجة البيانات الشخصية المخصصة للبحث العلمي في وقت جمع البيانات. لذلك ، يجب إعطاء موضوعات البيانات الفرصة لإعطاء موافقتهم على مجالات معينة من البحث العلمي ، بناءً على توافق أهدافهم مع المعايير الأخلاقية المعترف بها للبحث العلمي. يجب أن تكون مواضيع البيانات قادرة على إعطاء موافقتها فقط فيما يتعلق بمجالات معينة من البحث أو جزء من مشاريع البحث وفقًا للغرض المقصود. "

أولاً ، تجدر الإشارة إلى أن الفقرة 33 لا تلغي الالتزام بموافقة محددة. وهذا يعني أنه ، من حيث المبدأ ، يمكن أن تتضمن مشاريع البحث البيانات الشخصية على أساس الموافقة فقط إذا كانت لها غرض محدد جيدًا. في الحالات التي لا يمكن فيها تحديد أهداف معالجة البيانات في إطار مشروع بحثي في البداية ، تسمح الفقرة 33 باستثناء أن الهدف يمكن وصفه بطريقة أكثر عمومية.

بالنظر إلى الشروط الصارمة المنصوص عليها في المادة 9 من اللائحة العامة لحماية البيانات فيما يتعلق بمعالجة فئات البيانات الخاصة ، تلاحظ WP29 أنه في الحالات التي تتم فيها معالجة فئات البيانات الخاصة على أساس الموافقة الصريحة ، يجب تفسير نهج مرن بشكل أكثر صرامة ويتطلب دراسة أكثر دقة.

بالنظر إلى اللائحة العامة لحماية البيانات ككل ، لا يمكن تفسيرها بطريقة تسمح للمتحكم بالتحايل على المبدأ الأساسي لتحديد الأغراض التي تتطلب الموافقة على موضوع البيانات من أجلها. عندما لا يمكن تحديد أهداف البحث بشكل كامل ، يجب على المتحكم أن يبحث عن طرق أخرى للتأكد من أن متطلبات متطلبات الموافقة هي الأنسب ، على سبيل المثال ، للسماح لمواد البيانات بالموافقة على هدف البحث بعبارات أكثر عمومية ولمراحل محددة من مشروع البحث المعروف منذ البداية. مع تقدم البحث ، يمكن الحصول على الموافقة على الخطوة التالية قبل أن تبدأ. ومع ذلك ، يجب أن تظل هذه الموافقة متسقة مع المعايير الأخلاقية للبحث العلمي.

بالإضافة إلى ذلك ، في مثل هذه الحالات ، قد تتخذ وحدة التحكم احتياطات إضافية. على سبيل المثال ، تؤكد المادة 89 (1) على الحاجة إلى ضمانات عند معالجة البيانات لأغراض علمية أو تاريخية أو إحصائية. هذه الأهداف "تتضمن ضمانات لحقوق وحريات موضوع البيانات." تشمل تدابير الحماية الممكنة التقليل ، وإخفاء الهوية ، وأمن البيانات. يفضل إخفاء الهوية إذا كان يمكن تحقيق الغرض من الدراسة دون معالجة البيانات الشخصية.

الشفافية هي ضمانة إضافية عندما لا تسمح ظروف الدراسة بموافقة معينة. يمكن تعويض نقص تجسيد الهدف بمعلومات عن تطوره ، يتم توفيرها بانتظام من قبل المشرفين أثناء تنفيذ مشروع البحث ، بحيث تصبح الموافقة محددة بمرور الوقت قدر الإمكان. وفي الوقت نفسه ، يمتلك موضوع البيانات على الأقل فهمًا أساسيًا للحالة ، مما يجعل من الممكن تقييم ما إذا كان يجب ، على سبيل المثال ، استخدام الحق في إلغاء الموافقة وفقًا للمادة 7 (3).

بالإضافة إلى ذلك ، فإن وجود خطة بحث شاملة متاحة لموضوعات البيانات ، قبل منح الموافقة ، يمكن أن يساعد في تعويض نقص التفاصيل حول الهدف. في مثل هذه الخطة البحثية ، يجب تحديد مواضيع البحث وأساليب العمل بشكل واضح قدر الإمكان. قد تساعد خطة البحث على الامتثال للمادة 7 (1) ، حيث يجب على المشرفين إظهار المعلومات المتاحة لموضوعات البيانات في وقت الحصول على الموافقة من أجل إثبات أنها قانونية.

من المهم أن تتذكر أنه عند استخدام الموافقة كأساس قانوني للمعالجة ، يجب أن يكون موضوع البيانات قادرًا على إلغائها. يشير WP29 إلى أن إلغاء الموافقة قد يتداخل مع البحث الذي يتطلب بيانات من الأفراد ، لكن اللائحة العامة لحماية البيانات تشير بوضوح إلى أنه يمكن إلغاء الموافقة ، ويتعين على المشرفين التصرف وفقًا لذلك - لا يوجد استثناء للبحث العلمي. إذا تلقى المراقب طلبًا لإلغاء الموافقة ، فإنه ملزم فعليًا بحذف البيانات الشخصية على الفور إذا كان يريد مواصلة البحث.

7.3. حقوق موضوع البيانات

إذا كانت معالجة البيانات تستند إلى موافقة موضوع البيانات ، فإن هذا يؤثر على حقوق ذلك الشخص. يحق لموضعي البيانات إمكانية نقل بياناتهم (المادة 20). في الوقت نفسه ، لا يسري حق الاعتراض (المادة 21) إذا كانت المعالجة تستند إلى الموافقة ، حتى إذا كان الحق في سحب الموافقة في أي وقت يعطي نفس النتيجة.

تشير المواد من 16 إلى 20 من اللائحة العامة لحماية البيانات إلى أنه (عندما تعتمد معالجة البيانات على الموافقة) ، يحق لموضوع البيانات حذف البيانات عند إلغاء الموافقة ، وكذلك الحق في تقييدها وتعديلها والوصول إليها.

8. تم الحصول على الموافقة وفقًا للتوجيه 95/46 / EC

لا يلزم المشرفون الذين يعالجون البيانات بالفعل على أساس الموافقة وفقًا للتشريعات المحلية ، استعدادًا للائحة العامة لحماية البيانات ، أن يقوموا تلقائيًا بتحديث جميع العلاقات بموضوعات البيانات تلقائيًا. تظل الموافقة التي تم الحصول عليها بالفعل قانونية إلى حد امتثالها للائحة العامة لحماية البيانات.

من المهم أن يقوم المشرفون بفحص العمليات والسجلات الحالية بالتفصيل بحلول 25 مايو 2018 ، من أجل التأكد من أن الاتفاقات الحالية تتوافق مع اللائحة العامة لحماية البيانات (انظر الفقرة 171 اللائحة العامة لحماية البيانات). يقدم اللائحة العامة لحماية البيانات أعلى مستوى لآليات الموافقة ويقدم العديد من المتطلبات الجديدة التي تتطلب من المشرفين تغيير عمليات الموافقة ، وليس فقط إعادة كتابة سياسات الخصوصية.

على سبيل المثال ، نظرًا لأن اللائحة العامة لحماية البيانات تتطلب أن يكون المتحكم قادرًا على إثبات حصولك على الموافقة القانونية ، فإن جميع الموافقات الأخرى لا تتوافق تلقائيًا مع اللائحة العامة لحماية البيانات ، ويجب استبدالها. وبالمثل ، نظرًا لأن اللائحة العامة لحماية البيانات تتطلب "بيانًا أو إجراءً إيجابيًا واضحًا" ، فإن جميع الموافقات الأخرى القائمة على الإجراءات غير المباشرة لموضوع البيانات (على سبيل المثال ، مربع اختيار محدد مسبقًا) لن تتطابق أيضًا مع اللائحة العامة لحماية البيانات.

علاوة على ذلك ، من أجل إثبات أنه تم الحصول على الموافقة ، أو لتحسين اختيار موضوع البيانات ، قد يلزم مراجعة العمليات والأنظمة. بالإضافة إلى ذلك ، يجب أن يكون من الممكن إلغاء الموافقة بسهولة ، ويجب تقديم معلومات حول كيفية القيام بذلك. إذا كانت إجراءات إدارة الموافقة الحالية لا تفي بمتطلبات اللائحة العامة لحماية البيانات ، فيجب على وحدة التحكم الحصول على موافقة جديدة تتوافق معها.

من ناحية أخرى ، نظرًا لأن حالة الموافقة المستنيرة لا تتطلب دائمًا جميع العناصر المذكورة في المادتين 13 و 14 ، فإن الالتزامات الموسعة للائحة العامة لحماية البيانات لا تتعارض بالضرورة مع استمرارية الموافقة التي تم تقديمها قبل بدء نفاذ اللائحة العامة لحماية البيانات. لم يكن هناك أي شرط في التوجيه 95/46 / EC لإبلاغ مواضيع البيانات حول أسباب المعالجة.

إذا قرر المراقب أن الموافقة التي تم الحصول عليها سابقًا بموجب التشريع القديم لم تعد تمتثل للائحة العامة لحماية البيانات ، فإنه ملزم باتخاذ تدابير للامتثال لها ، على سبيل المثال ، لتحديث الموافقة. وفقًا للائحة العامة لحماية البيانات ، فإن استبدال أساس قانوني بأخر غير مقبول. إذا تعذر على وحدة التحكم تحديث الموافقة ، ولا يمكنها المتابعة للامتثال للائحة العامة لحماية البيانات ، معالجة البيانات على أساس قانوني آخر ، مع ضمان استمرار المعالجة بطريقة عادلة وشفافة ، فيجب إيقاف نشاط المعالجة. في أي حال ، يطلب من المراقب المالي الامتثال لمبادئ معالجة البيانات القانونية والعادلة والشفافة.

اللائحة العامة لحماية البيانات: الموافقة على معالجة البيانات الشخصية