🏜️ 🤞🏼 📟 GDPR: Persetujuan untuk pemrosesan data pribadi 👩🏿‍🔬 🐺 🐽

Ini adalah terjemahan dari manual persetujuan resmi untuk pemrosesan data pribadi (Pedoman Persetujuan berdasarkan Peraturan 2016/679 wp259rev.01) dari kelompok kerja Komisi Eropa. Dokumen asli diterbitkan dalam 23 bahasa resmi Uni Eropa. Terlepas dari kenyataan bahwa Rusia bukan salah satunya, sangat umum di Eropa. Jika bisnis Anda melayani pelanggan dari UE, Anda berkewajiban untuk mematuhi Peraturan Umum tentang perlindungan data pribadi (Peraturan Perlindungan Data Umum), yang mulai berlaku pada tanggal 25 Mei 2018.

Persetujuan untuk pemrosesan data pribadi adalah hal pertama yang ditemui klien Anda. Terlepas dari kesederhanaan yang tampak, Panduan ini mengambil 30 halaman dan masih menyebabkan kesulitan: kebocoran data pribadi di situs web UE berkisar antara 12% hingga 41% , dan denda dari regulator dari ribuan hingga puluhan juta euro. Perusahaan besar dengan staf pengacara dan insinyur memiliki kemampuan untuk dengan cepat menanggapi perubahan dalam lingkungan bisnis, tetapi pengusaha perorangan dan usaha kecil sering harus hanya mengandalkan diri mereka sendiri, mengambil semua risiko.

Penulis berusaha untuk menyampaikan ketentuan-ketentuan Panduan sedekat mungkin dengan aslinya, melunakkan ulama keras. Terjemahan dibuat dari aslinya dalam dua bahasa, tidak memiliki kekuatan hukum. Penulis tidak memberikan jaminan, dan tidak bertanggung jawab atas klaim, kerugian atau kehilangan laba. Tapi dia akan senang menerima komentar yang masuk akal dan perbaikan kata-kata.

1. Perkenalan

Panduan ini memberikan analisis menyeluruh tentang konsep Persetujuan yang terkandung dalam Peraturan 2016/679 - Peraturan Umum tentang Perlindungan Data Pribadi (GDPR). Sampai saat ini, konsep Persetujuan yang digunakan dalam Petunjuk Perlindungan Data (Petunjuk 95/46 / EC) dan Petunjuk tentang Kerahasiaan dan Komunikasi Elektronik (Petunjuk 2002/58 / EC) telah berkembang. GDPR memberikan klarifikasi lebih lanjut dan klarifikasi tentang persyaratan untuk mendapatkan dan menunjukkan Persetujuan yang mengikat secara hukum. Panduan ini berfokus pada perubahan-perubahan ini, menawarkan panduan praktis tentang cara memastikan kepatuhan dengan GDPR, berdasarkan Kesimpulan 15/2011. Tugas pengendali data pribadi adalah untuk memperkenalkan inovasi dan mencari solusi baru dalam kerangka hukum,yang berkontribusi pada perlindungan data pribadi dan kepentingan subyek data.

Sesuai dengan Pasal 6 GDPR, Persetujuan adalah salah satu dari enam alasan untuk pemrosesan data pribadi yang sah. Saat memulai kegiatan yang terkait dengan pemrosesan data pribadi, pengontrol harus selalu mempertimbangkan dasar hukum untuk pemrosesan yang dimaksud.

Sebagai aturan, Persetujuan dapat menjadi alasan yang sah hanya jika subjek data ditawarkan kontrol dan pilihan bebas mengenai penerimaan atau penolakan kondisi yang diusulkan tanpa konsekuensi yang merugikan. Saat meminta Persetujuan, pengontrol diharuskan mengevaluasi apakah akan mematuhi semua persyaratan yang tersedia. Persetujuan yang diperoleh sepenuhnya sesuai dengan GDPR, itu adalah alat yang memberikan kontrol data subyek apakah data pribadi mereka akan diproses atau tidak. Jika tidak, subjek data tidak akan memiliki kontrol aktual, dan Persetujuan tersebut dianggap sebagai dasar yang melanggar hukum untuk diproses.

Kesimpulan yang ada dari kelompok kerja (WP29) tentang Persetujuan tetap relevan selama mereka konsisten dengan undang-undang baru, karena pedoman dan rekomendasi yang dikodifikasikan oleh GDPR, serta elemen-elemen kunci dari Persetujuan, tetap tidak berubah dalam GDPR. Dengan demikian, dalam dokumen ini WP29 agak memperluas dan melengkapi kesimpulan sebelumnya pada aspek-aspek spesifik dari Persetujuan, yang merujuk pada Perjanjian dalam interpretasi Petunjuk 95/46 / EC, dan tidak menggantikannya.

Sebagaimana dinyatakan dalam Kesimpulan 15/2011 tentang definisi istilah Persetujuan, proposal untuk menerima operasi pemrosesan data harus tunduk pada aturan yang ketat, karena itu berkaitan dengan kebebasan mendasar dari subyek data dan keinginan pengontrol untuk berpartisipasi dalam operasi ini, yang akan ilegal tanpa persetujuan dari subjek data. Peran penting dari Persetujuan ditekankan dalam Pasal 7 dan 8 dari Piagam Hak-Hak Dasar Uni Eropa. Selain itu, Persetujuan yang diperoleh tidak mengecualikan dan sama sekali tidak mengubah tugas pengontrol untuk mematuhi prinsip-prinsip yang diabadikan dalam GDPR, khususnya dalam Pasal 5, berkenaan dengan keadilan, kebutuhan, proporsionalitas, dan kualitas data. Sekalipun pemrosesan data pribadi didasarkan pada persetujuan subjek data, ia tidak mengesahkan pengumpulan data yang tidak diperlukan untuk tujuan pemrosesan yang dinyatakan, sehingga menjadi tidak adil.

Pada saat yang sama, WP29 menyadari revisi Directive 2002/58 / EC. Konsep Persetujuan dalam konsep Directive ini masih konsisten dengan GDPR. Organisasi cenderung meminta Persetujuan untuk melakukannya untuk sebagian besar pesan pemasaran, panggilan, dan metode pelacakan Internet, termasuk penggunaan cookie, aplikasi, atau perangkat lunak lain. Mengenai Persetujuan, WP29 telah menyerahkan proposal dan arahannya kepada legislator Eropa.

Mengenai versi Directive 2002/58 / EC saat ini, WP29 mencatat bahwa referensi ke Directive 95/46 / EC yang dicabut harus ditafsirkan sebagai referensi ke GDPR. Ini juga berlaku untuk referensi ke Persetujuan dalam Petunjuk 2002/58 / EC, karena akan berakhir pada 25 Mei 2018. Menurut Pasal 95 GDPR, kewajiban dalam konteks penyediaan layanan elektronik yang tersedia untuk umum dalam jaringan komunikasi publik tidak dianggap sebagai "tambahan", melainkan kondisi hukum pendahuluan. Oleh karena itu, persyaratan untuk mendapatkan Persetujuan dalam GDPR juga berlaku dalam situasi dalam kerangka Petunjuk 2002/58 / EC.

2. Persetujuan dalam Pasal 4 (11) GDPR

Pasal 4 (11) dari GDPR mendefinisikan Persetujuan sebagai berikut: "ekspresi kehendak sukarela, spesifik, informasi dan tegas di mana subjek data, melalui pernyataan atau tindakan afirmatif yang jelas, memberikan persetujuan untuk pemrosesan data pribadinya."

Pemahaman tentang dasar Persetujuan tetap sama seperti dalam Petunjuk 95/46 / EC, dan Persetujuan adalah salah satu dasar hukum di mana pemrosesan data pribadi harus didasarkan sesuai dengan Pasal 6 GDPR. Selain definisi yang diubah dalam Pasal 4 (11), GDPR memberikan panduan lebih lanjut dalam Pasal 7 dan dalam paragraf 32, 33, 42 dan 43 tentang bagaimana pengontrol harus bertindak untuk memastikan kepatuhan dengan unsur-unsur Persetujuan.

Akhirnya, penyertaan aturan khusus tentang penarikan Persetujuan mengonfirmasi bahwa Persetujuan harus merupakan keputusan yang dapat dibalikkan dan dikendalikan oleh subjek data.

3. Elemen Persetujuan Hukum

Pasal 4 (11) dari GDPR mendefinisikan Persetujuan Subjek sebagai:

sukarela
spesifik
diinformasikan dan
ekspresi keinginan yang jelas, di mana subjek data, menggunakan pernyataan atau tindakan afirmatif yang jelas, memberikan persetujuan untuk pemrosesan data pribadinya.

Berikut ini menganalisis sejauh mana Pasal 4 (11) dari GDPR mengharuskan pengendali untuk memodifikasi permintaan / formulir mereka untuk persetujuan untuk memastikan kepatuhan dengan GDPR.

3.1. Sukarela

Elemen ini menyiratkan pilihan nyata dan kontrol untuk mata pelajaran data. GDPR menyatakan bahwa jika subjek data tidak memiliki pilihan nyata, merasa terdorong untuk setuju atau menderita kerusakan dengan tidak setuju, maka Persetujuan tersebut dianggap ilegal. Jika Persetujuan dimasukkan dalam ketentuan layanan sebagai bagian yang tidak dapat diubah, maka itu tidak dianggap sukarela. Dengan demikian, Persetujuan tidak dianggap sukarela jika subjek data tidak dapat menolak atau menariknya tanpa konsekuensi yang merugikan bagi dirinya sendiri. Konsep ketidakseimbangan antara pengontrol dan subjek data juga diperhitungkan dalam GDPR.

Ketika mengevaluasi apakah Persetujuan telah diberikan secara sukarela, seseorang juga harus mempertimbangkan situasi khusus yang terkait dengan perjanjian layanan, sebagaimana dijelaskan dalam Pasal 7 (4). Pasal 7 (4) tidak akurat dengan kata-kata “khususnya,” yang berarti bahwa mungkin ada sejumlah situasi yang termasuk dalam ruang lingkup peraturan ini. Secara umum, setiap elemen tekanan atau pengaruh pada subjek data (yang dapat terjadi dalam berbagai cara) yang mencegah subjek data dari melaksanakan kehendak bebasnya, membuat Persetujuan tersebut ilegal.

1

GPS- . , . , . , .

3.1.1.

Paragraf 43 dengan jelas menunjukkan bahwa tidak mungkin lembaga pemerintah dapat mengandalkan Persetujuan, karena ketika negara adalah pengontrol data, seringkali ada ketidakseimbangan yang jelas antara dirinya dan subjek data. Selain itu, dalam banyak kasus jelas bahwa subjek data tidak memiliki alternatif nyata untuk menerima kondisi pengontrol tersebut. WP29 menganggap bahwa ada alasan hukum lain yang, pada prinsipnya, lebih cocok untuk kegiatan badan negara.

Namun, penggunaan Persetujuan sebagai dasar hukum untuk pemrosesan data oleh otoritas pemerintah tidak terkecuali GDPR. Contoh-contoh berikut menunjukkan bahwa Persetujuan mungkin sesuai dalam keadaan tertentu.

2

. , , . , , . , , , , . .

3

, , , , . , . , . , . , , - , . , .

4

. , - , .

Ketidakseimbangan juga muncul dalam konteks pekerjaan. Mengingat hubungan antara majikan dan karyawan, tidak mungkin bahwa subjek data dapat menolak Persetujuannya untuk memproses data pribadi tanpa rasa takut atau risiko konsekuensi negatif sebagai akibat dari penolakan. Tidak mungkin bahwa karyawan dapat secara sukarela menyetujui, misalnya, untuk mengaktifkan sistem pemantauan, seperti kamera pengintai di tempat kerja, atau mengisi formulir evaluasi tanpa mengalami tekanan apa pun. Dengan demikian, WP29 menganggapnya bermasalah bagi pengusaha untuk memproses data pribadi karyawan berdasarkan Persetujuan, karena hampir tidak dapat dianggap sebagai data sukarela. Untuk sebagian besar kasus pemrosesan data dalam produksi, persetujuan pekerja (Pasal 6 (1) (a) GDPR) tidak dapat menjadi alasan yang sah karena sifat hubungan tersebut.

Namun, ini tidak berarti bahwa pengusaha tidak dapat mengandalkan Persetujuan sebagai dasar hukum untuk pemrosesan data pribadi. Situasi dapat muncul di mana majikan dapat menunjukkan bahwa persetujuan tersebut sebenarnya diberikan secara sukarela. Mengingat ketidakseimbangan antara majikan dan karyawannya, karyawan dapat memberikan persetujuan hanya secara sukarela dalam situasi di mana ia tidak akan memiliki konsekuensi negatif, terlepas dari apakah mereka memberikan persetujuan atau tidak.

Contoh 5

Seorang kru film akan mengambil gambar di bagian tertentu dari kantor. Majikan meminta semua karyawan yang bekerja di area ini untuk memberikan persetujuan mereka pada penembakan, karena mereka mungkin muncul di latar belakang video. Mereka yang tidak ingin bertindak dengan cara apa pun tidak dihukum, tetapi sebaliknya menerima pekerjaan yang setara di bagian lain kantor selama durasi pemotretan.

Ketidakseimbangan ini tidak terbatas hanya pada badan negara dan pengusaha, tetapi juga dapat terjadi dalam situasi lain. WP29 menekankan bahwa Persetujuan hanya sah jika subjek data dapat membuat pilihan nyata tanpa risiko penipuan, intimidasi, paksaan atau konsekuensi negatif. Persetujuan tidak akan bersifat sukarela ketika ada unsur paksaan, tekanan atau ketidakmampuan untuk melakukan kehendak bebas.

3.1.2. Pilihan

Pasal 7 (4) GDPR memainkan peran penting dalam menilai apakah suatu Persetujuan bersifat sukarela. Dia menunjukkan, khususnya, bahwa "menghubungkan" Persetujuan untuk menerima persyaratan layanan atau "menghubungkan" ketentuan layanan dengan permintaan Izin untuk memproses data pribadi yang tidak diperlukan untuk pelaksanaan kontrak sangat tidak diinginkan. Persetujuan yang diberikan dalam situasi seperti itu tidak dianggap sukarela (paragraf 43). Pasal 7 (4) bertujuan untuk memastikan bahwa tujuan pemrosesan data pribadi tidak disamarkan atau dikaitkan dengan kontrak yang datanya tidak diperlukan. GDPR mengklaim bahwa pemrosesan data pribadi yang diminta Persetujuan tidak dapat secara langsung atau tidak langsung menjadi tuntutan balik.Dua alasan untuk pemrosesan data pribadi yang sah - Persetujuan dan penyediaan layanan - tidak dapat digabungkan dan dikaburkan.

Paksaan untuk menyetujui penggunaan data pribadi di luar batas yang diperlukan, pilihan subjek data dan menghambat pelaksanaan kehendak bebas. Karena undang-undang berupaya melindungi hak-hak dasar, kontrol data sangat penting. Dikatakan bahwa Persetujuan untuk penggunaan data pribadi yang melebihi yang diperlukan tidak dapat menjadi asumsi wajib sebagai imbalan untuk pelaksanaan kontrak atau penyediaan layanan.

Setiap kali Persetujuan terkait dengan pelaksanaan kontrak, subjek data, yang tidak ingin memberikan data pribadi, berisiko menerima penolakan layanan.

Untuk menilai apakah ada “mengikat” atau “mengikat”, penting untuk menentukan ruang lingkup kontrak dan data yang diperlukan untuk pelaksanaannya. Menurut Kesimpulan 06/2014 WP29, istilah "yang diperlukan untuk pelaksanaan kontrak" harus ditafsirkan secara sempit. Pemrosesan harus diperlukan untuk melaksanakan kontrak dengan setiap subjek data individu. Misalnya, dalam konteks toko online, ini mungkin alamat pengiriman barang atau rincian kartu kredit. Dalam konteks pekerjaan, ini mungkin informasi gaji dan detail rekening bank. Harus ada hubungan langsung dan obyektif antara data dan tujuan penggunaannya dalam kontrak.

Jika pengontrol ingin memproses data pribadi yang sebenarnya diperlukan untuk pelaksanaan kontrak, maka Persetujuan bukanlah dasar wajib.

Pasal 7 (4) hanya berlaku dalam kasus-kasus di mana data yang diminta tidak diperlukan untuk pelaksanaan kontrak, dan eksekusi dibuat tergantung pada penerimaan data ini melalui Persetujuan. Sebaliknya, jika data diperlukan untuk pelaksanaan kontrak, maka pasal 7 (4) tidak berlaku.

Contoh 6

Bank meminta Persetujuan Pelanggan untuk mengizinkan pihak ketiga menggunakan detail mereka untuk pemasaran langsung. Kegiatan ini tidak diperlukan untuk pelaksanaan kontrak dan penyediaan layanan biasa. Jika penolakan klien untuk memberikan Persetujuan mengarah pada penolakan untuk memberikan layanan perbankan, penutupan akun atau peningkatan komisi, maka Persetujuan tersebut tidak dianggap sukarela.

Berfokus pada facultativeness sebagai anggapan kurangnya kebebasan persetujuan, menunjukkan bahwa kondisi untuk terjadinya harus diperiksa dengan hati-hati. Istilah "memberi perhatian paling besar" dalam Pasal 7 (4) berarti bahwa pengontrol harus berhati-hati ketika kontrak berisi permintaan Persetujuan untuk pemrosesan data pribadi.

Karena kata-kata dalam Pasal 7 (4) tidak mutlak, mungkin ada kasus di mana opsionalitas tidak membuat Persetujuan ilegal. Namun, kata "dugaan" dalam paragraf 43 menunjukkan bahwa kasus seperti itu akan sangat jarang.

Dalam kasus apa pun, beban pembuktian yang diatur dalam Pasal 7 (4) ada pada pengontrol. Aturan ini mencerminkan prinsip umum akuntabilitas, yang beroperasi di seluruh GDPR. Namun, ketika menerapkan Pasal 7 (4), akan lebih sulit bagi pengontrol untuk membuktikan bahwa subjek data telah memberikan persetujuannya secara sukarela.

Pengontrol mungkin berpendapat bahwa organisasi menawarkan subyek data pilihan nyata jika mereka dapat memilih antara layanan yang membutuhkan Persetujuan untuk menggunakan data pribadi untuk tujuan tambahan, dan layanan identik yang tidak memerlukan Persetujuan tersebut. Selama dimungkinkan untuk melaksanakan kontrak tanpa memperoleh Persetujuan untuk menggunakan data tambahan, itu tidak dianggap opsional. Dalam hal ini, kedua layanan harus hampir identik.

WP29 menganggap bahwa Persetujuan tidak dianggap sukarela jika pengontrol menyatakan bahwa ada pilihan antara layanan yang mengharuskan Persetujuan untuk menggunakan data pribadi untuk tujuan tambahan dan layanan yang sama dari pengontrol lain yang tidak memerlukan Persetujuan tersebut. Dalam hal ini, kebebasan memilih akan tergantung pada apakah subjek data menemukan layanan yang hampir sama. Selain itu, pengontrol akan diminta untuk memantau pasar untuk memastikan berlakunya berlakunya Persetujuan tersebut, karena pesaing dapat mengubah layanan nanti. Oleh karena itu, argumen seperti itu berarti bahwa Persetujuan tidak memenuhi persyaratan GDPR.

3.1.3. Detail

Suatu layanan dapat mencakup beberapa operasi pemrosesan data untuk lebih dari satu tujuan. Dalam kasus seperti itu, subjek data harus dapat memilih untuk tujuan apa mereka memberikan persetujuan secara terpisah. Sesuai dengan GDPR, beberapa Persetujuan mungkin diminta untuk mulai menyediakan layanan.

Paragraf 43 mengklarifikasi bahwa Persetujuan tidak dianggap sukarela jika proses penerimaan tidak memperbolehkan subyek data untuk menyetujui transaksi tertentu. Klausul 32 berbunyi: “Persetujuan harus mencakup semua metode pemrosesan data pribadi yang dilakukan untuk mencapai tujuan yang sama. Dalam hal pemrosesan data pribadi memiliki beberapa tujuan, perlu untuk mendapatkan persetujuan untuk masing-masing. "

Jika pengontrol menggabungkan beberapa tujuan pemrosesan dan tidak mencoba untuk mendapatkan Persetujuan terpisah untuk masing-masing, ini berarti kurangnya kebebasan. Perincian terkait erat dengan kebutuhan untuk konkretisasi Persetujuan, yang dijelaskan dalam bagian 3.2. di bawah. Ketika pemrosesan data dilakukan untuk beberapa tujuan, syarat Persetujuan hukum adalah pemisahan tujuan-tujuan ini dan memperoleh Persetujuan untuk masing-masing tujuan.

7

, . , . . (. 3.3.1), , , .

3.1.4.

Pengendali berkewajiban untuk menunjukkan kepada subjek data bahwa ia dapat menarik Persetujuan tanpa merugikan dirinya sendiri (paragraf 42). Misalnya, pengontrol perlu membuktikan bahwa mencabut Persetujuan tidak menyebabkan biaya untuk subjek data dan tidak menciptakan ketidaknyamanan yang jelas baginya.

Contoh kerusakan lainnya adalah penipuan, intimidasi, paksaan atau konsekuensi negatif yang signifikan jika subjek data tidak memberikan persetujuannya. Pengontrol diharuskan untuk membuktikan bahwa subjek data memiliki pilihan bebas, apakah akan memberikan Persetujuan, dan bahwa ia dapat menariknya tanpa prasangka pada dirinya sendiri.

Jika pengontrol menunjukkan bahwa layanan mencakup kemampuan untuk mencabut Izin tanpa konsekuensi negatif, misalnya, tanpa mengurangi kualitas, ini dapat berfungsi sebagai bukti Persetujuan sukarela. GDPR tidak termasuk semua insentif, tetapi beban pembuktian kesukarelaan dari Persetujuan ini ada pada pengontrol dalam semua kasus.

8

lifestyle-, . , , . , , . , 42, , ( , ).

9

. , , . , . , .

10

. , . , . , , . , . , , .

3.2.

Pasal 6 (1) (a) menegaskan bahwa Persetujuan harus diberikan sehubungan dengan tujuan "satu atau lebih spesifik" dan bahwa subjek data memiliki pilihan sehubungan dengan masing-masing. Persyaratan bahwa Persetujuan harus spesifik ditujukan untuk memastikan kontrol pengguna dan transparansi untuk subjek data. GDPR belum mengubah persyaratan ini, dan tetap terkait erat dengan persyaratan Persetujuan yang diinformasikan. Pada saat yang sama, itu harus ditafsirkan sesuai dengan persyaratan detail untuk mendapatkan persetujuan sukarela. Secara umum, agar lebih spesifik, controller harus:

menunjukkan tujuan sebagai tindakan perlindungan terhadap ekspansi,
merinci permintaan untuk persetujuan dan,
jelas memisahkan informasi yang terkait dengan mendapatkan Persetujuan dari yang lain.

Tambahan 1. Sesuai dengan Pasal 5 (1) (b) GDPR, penerimaan Persetujuan selalu didahului dengan penentuan tujuan spesifik, eksplisit dan hukum dari pemrosesan data yang dimaksud. Perlunya Persetujuan spesifik, dikombinasikan dengan konsep pembatasan tujuan dalam Pasal 5 (1) (b), berfungsi sebagai perlindungan terhadap ekspansi bertahap dari tujuan pengumpulan data setelah entitas memberikan Persetujuan. Fenomena ini, juga dikenal sebagai creep fungsional, menimbulkan risiko pada subyek data, karena dapat menyebabkan penggunaan data pribadi yang tidak terduga oleh pengontrol atau pihak ketiga, dan hilangnya kontrol.

Jika pengontrol bergantung pada Pasal 6 (1) (a), subjek data harus selalu menyetujui tujuan spesifik pemrosesan. Sesuai dengan konsep pembatasan tujuan, Pasal 5 (1) (b) dan paragraf 32, Persetujuan dapat mencakup berbagai operasi jika melayani tujuan yang sama. Tentu saja, Persetujuan spesifik hanya dapat diperoleh ketika subyek data secara akurat diberitahu tentang tujuan pemrosesan yang dimaksud.

Terlepas dari kemampuan untuk menggabungkan tujuan, Persetujuan harus spesifik untuk masing-masing. Subjek data harus setuju dengan pemahaman bahwa mereka mengendalikan situasi, dan data mereka akan diproses hanya untuk tujuan yang ditentukan. Jika pengontrol secara sah memproses data untuk satu tujuan dan ingin memprosesnya juga untuk tujuan lain, maka pengontrol diharuskan untuk meminta Persetujuan tambahan untuknya, kecuali ada dasar hukum lain yang mencerminkan situasi dengan lebih baik.

11

, , . , ( ) . .

Tambahan 2. Mekanisme persetujuan tidak hanya harus dirinci untuk memenuhi persyaratan "sukarela", tetapi juga untuk memenuhi unsur "kekhususan". Ini berarti bahwa pengontrol yang meminta Persetujuan untuk berbagai tujuan harus memberikan pilihan bagi masing-masing dari mereka untuk memungkinkan pengguna memberikan Persetujuan untuk tujuan pemrosesan tertentu.

Tambahan 3. Akhirnya, pengawas diminta untuk memberikan informasi spesifik dalam setiap permintaan Persetujuan individu untuk setiap tujuan, sehingga subjek data mengetahui dampak dari pilihan yang berbeda. Jadi, subyek data diberi kesempatan untuk memberikan Persetujuan khusus. Poin ini terkait dengan kewajiban untuk memberikan informasi yang jelas dalam pasal 3.3. di bawah.

3.3. Diberitahukan

GDPR mensyaratkan bahwa Persetujuan harus diinformasikan. Berdasarkan Pasal 5 GDPR, persyaratan transparansi adalah salah satu prinsip dasar yang terkait erat dengan prinsip keadilan dan legalitas. Memberikan informasi kepada subyek data sebelum memperoleh Persetujuan mereka adalah penting bagi mereka untuk membuat keputusan berdasarkan informasi, untuk memahami apa sebenarnya yang mereka setujui, dan, katakanlah, dengan memahami hak untuk menarik Persetujuan mereka. Jika pengontrol tidak memberikan informasi yang dapat diakses, subjek data tidak menerima kontrol aktual, dan Persetujuan tersebut dianggap sebagai dasar yang melanggar hukum untuk diproses.

Konsekuensi dari ketidakpatuhan terhadap persyaratan Persetujuan yang diinformasikan adalah ilegalitasnya, dan pengontrol mungkin melanggar Pasal 6 GDPR.

3.3.1. Persyaratan Konten Minimum untuk Mendapatkan Izin Informed

Agar Persetujuan dapat diinformasikan, perlu untuk memberikan subjek data beberapa elemen yang penting baginya untuk membuat keputusan. Oleh karena itu, WP29 berpendapat bahwa setidaknya informasi berikut diperlukan untuk mendapatkan Persetujuan resmi:

nama pengontrol
tujuan pemrosesan yang dimaksudkan untuk data pribadi,
jenis data yang akan dikumpulkan dan digunakan,
hak untuk mencabut Persetujuan,
informasi tentang pemrosesan data otomatis sesuai dengan Pasal 22 (2) (c), jika perlu, dan
informasi tentang kemungkinan risiko pengiriman data karena kurangnya solusi yang memadai dan langkah-langkah perlindungan yang dijelaskan dalam pasal 46.

Mengenai paragraf 1. dan 3., WP29 mencatat bahwa dalam kasus ketika Persetujuan yang diminta harus diperoleh oleh beberapa pengendali (bersama), atau jika data harus dikirim atau diproses oleh pengendali lain yang ingin bergabung dengan Persetujuan tersebut, maka semuanya harus terdaftar. Pemroses data mungkin tidak diindikasikan, meskipun pengontrol diharuskan untuk menyediakan daftar lengkap penerima data atau kategorinya, termasuk pemroses, untuk mematuhi Pasal 13 dan 14 dari GDPR. Sebagai kesimpulan, WP29 mencatat bahwa, tergantung pada keadaan, subjek data mungkin memerlukan informasi tambahan untuk memahami operasi pemrosesan data dengan jelas.

3.3.2. Cara Memberikan Informasi

GDPR tidak menjelaskan bentuk atau jenis bagaimana informasi harus disediakan untuk memenuhi persyaratan Persetujuan yang diinformasikan. Ini berarti bahwa itu dapat direpresentasikan dalam berbagai cara, seperti pernyataan tertulis atau lisan, pesan audio atau video. Namun, dalam GDPR ada beberapa persyaratan untuk Persetujuan yang diberitahukan, terutama dalam Pasal 7 (2) dan ayat 32. Yang meningkatkan kejelasan dan aksesibilitas.

Saat meminta Persetujuan, pengontrol harus selalu menggunakan bahasa yang jelas dan sederhana. Ini berarti bahwa pesan tersebut harus mudah dipahami oleh orang biasa, bukan hanya pengacara. Pengawas tidak boleh menggunakan kebijakan privasi panjang yang sulit dipahami, atau jargon hukum. Persetujuan harus jelas, dapat dibedakan dari masalah lain, dan disediakan dengan cara yang dapat dimengerti dan mudah diakses. Persyaratan ini berarti bahwa informasi yang terkait dengan adopsi keputusan berdasarkan informasi tentang persetujuan atau ketidaksetujuan tidak dapat disembunyikan dalam kondisi umum layanan.

Pengontrol diperlukan untuk memastikan bahwa Persetujuan diperoleh berdasarkan informasi yang memungkinkan subjek data untuk dengan mudah mengenali siapa pengontrol dan apa tepatnya yang mereka setujui. Pengontrol harus menggambarkan dengan jelas tujuan pemrosesan yang diminta Izin.

Pedoman aksesibilitas spesifik lainnya dimasukkan oleh WP29 dalam hal transparansi. Jika Persetujuan diberikan secara elektronik, permintaan untuk itu harus jelas dan singkat. Informasi yang komprehensif dan terperinci lebih cocok untuk kewajiban bilateral - akurat dan lengkap di satu sisi, dan dapat dipahami di sisi lain.

Pengontrol diperlukan untuk mengevaluasi audiens target, yang mengirimkan data pribadi. Misalnya, jika itu termasuk anak di bawah umur, pengontrol harus memastikan bahwa informasi tersebut dapat dimengerti oleh mereka. Setelah penilaian seperti itu, pengontrol diharuskan untuk menentukan informasi apa dan bagaimana harus menyediakan subyek data.

Pasal 7 (2) mempertimbangkan pernyataan persetujuan tertulis yang disiapkan sebelumnya yang berkaitan dengan hal-hal lain. Ketika Persetujuan diminta berdasarkan kontrak (kertas), permintaan semacam itu harus dipisahkan dengan jelas dari masalah lain. Jika kontrak kertas berisi aspek-aspek yang tidak terkait dengan Persetujuan, maka pertanyaannya harus dipertimbangkan sedemikian rupa sehingga jelas menonjol atau diusulkan sebagai dokumen terpisah. Demikian pula, jika Persetujuan diminta secara elektronik, permintaan tersebut harus terpisah dan tidak boleh hanya paragraf dalam persyaratan layanan, sesuai dengan paragraf 32. Ketika ditempatkan pada layar kecil atau dalam ruang terbatas, cara komprehensif untuk memberikan informasi mungkin tepat untuk menghindari interaksi yang berlebihan dengan pelanggaran pengguna atau desain produk.

Pengontrol, yang merujuk pada Persetujuan, juga diharuskan untuk memenuhi persyaratan yang ditentukan dalam Pasal 13 dan 14 untuk mematuhi GDPR. Dalam praktiknya, pendekatan terpadu dapat diambil untuk memenuhi persyaratan ini dan untuk mematuhi persyaratan Persetujuan yang diinformasikan. Akan tetapi, bagian dari Panduan ini ditulis dalam konteks bahwa Persetujuan “terinformasi” yang sah dapat diperoleh bahkan jika tidak semua elemen Pasal 13 dan / atau 14 disebutkan dalam proses penerimaan (poin-poin ini, tentu saja, harus disebutkan di tempat lain, misalnya, dalam rahasia pribadi). WP29 mengeluarkan rekomendasi terpisah mengenai transparansi.

Contoh 12

X , , , . , . X , . , , . , . , , . X . X , , .

13

. , . . , . 6, «» , 13(1)(b) 14(1)(b) GDPR.

3.4.

GDPR menentukan bahwa Persetujuan memerlukan pernyataan atau tindakan afirmatif yang jelas oleh subjek data. Seharusnya jelas bahwa subjek data telah memberikan persetujuannya untuk pemrosesan spesifik.
Pasal 2 (h) dari Directive 95/46 / EC menggambarkan Persetujuan sebagai "ekspresi keinginan yang olehnya subjek data menyatakan Persetujuannya untuk pemrosesan data pribadi yang berkaitan dengannya". Pasal 4 (11) dari GDPR didasarkan pada definisi ini, mengklarifikasi bahwa Persetujuan resmi membutuhkan ekspresi keinginan secara tegas melalui pernyataan atau tindakan afirmatif yang jelas, sesuai dengan arahan WP29 sebelumnya.

“Tindakan afirmatif yang jelas” berarti bahwa subjek secara sadar menyetujui perlakuan tertentu. Bagian 32 memberikan panduan lebih lanjut tentang topik ini. Persetujuan dapat diperoleh dengan pernyataan lisan atau tertulis (dicatat), serta secara elektronik.

Mungkin cara termudah untuk memenuhi persyaratan “pernyataan tertulis” adalah memastikan bahwa subjek data telah menjelaskan kepada pengontrol apa yang dia setujui melalui surat atau email. Seringkali ini tidak layak. Pernyataan tertulis GDPR masing-masing dapat bervariasi.

Tanpa mengurangi hukum kontrak (nasional) yang ada, Persetujuan dapat diperoleh dengan komunikasi lisan yang direkam, setelah sebelumnya memperhitungkan informasi yang tersedia untuk subjek data. Menurut GDPR, penggunaan opsi yang dipilih sebelumnya tidak diperbolehkan. Keheningan, tidak adanya tindakan atau melanjutkan kerja dengan layanan tidak dianggap sebagai tanda pilihan.

Contoh 14

Selama instalasi, aplikasi meminta subjek data untuk Persetujuan untuk menggunakan laporan kerusakan yang dipersonalisasi untuk meningkatkan kualitasnya. Kebijakan privasi komprehensif yang berisi semua informasi yang diperlukan dilampirkan pada permintaan Persetujuan. Dengan secara aktif mencentang bidang opsional dengan tulisan "Saya setuju", pengguna melakukan tindakan afirmatif yang jelas, yang memberikan persetujuannya untuk pemrosesan.

Pengontrol harus memperhitungkan bahwa Persetujuan tidak dapat diperoleh bersamaan dengan kontrak untuk penyediaan layanan. Penerimaan persyaratan layanan tidak dapat dianggap sebagai tindakan afirmatif yang jelas tentang penggunaan data pribadi. GDPR melarang opsi yang dipilih sebelumnya (misalnya, bidang "berhenti berlangganan") atau metode lain yang memerlukan intervensi dari subjek data untuk mencabut Persetujuan.

Ketika Persetujuan diberikan secara elektronik, permintaan tidak seharusnya mengganggu pekerjaan dengan layanan. Tindakan afirmatif yang jelas dengan mana subjek data memberikan Persetujuan mungkin diperlukan jika cara yang tidak terlalu interupsi untuk memperolehnya mengarah pada ambiguitas. Dengan demikian, untuk meminta Persetujuan, mungkin perlu untuk menangguhkan sebagian interaksi dengan pengguna untuk membuat permintaan itu sah.

Sesuai dengan GDPR, pengawas memiliki hak untuk secara independen mengembangkan proses Persetujuan yang paling cocok untuk organisasi. Dalam nada ini, tindakan fisik dapat dikualifikasikan sebagai afirmatif yang jelas.

Pengawas harus merancang mekanisme Persetujuan sedemikian rupa sehingga mereka dipahami oleh subyek data. Pengawas harus menghindari ambiguitas dan memastikan bahwa tindakan dengan mana Persetujuan diberikan dapat dibedakan dari tindakan lain. Dengan demikian, penggunaan terus menerus dari situs web ini bukanlah suatu tindakan yang dapat kita simpulkan bahwa subjek data ingin menyatakan persetujuannya terhadap operasi pemrosesan.

15

, , , , , (, , X Y. ). , , , .

16
- . , « », / , , .

Di dunia digital, banyak layanan memerlukan data pribadi, sehingga subjek data menerima beberapa permintaan Persetujuan, yang perlu dijawab setiap hari dengan mengklik dan menggesekkan layar. Ini dapat menyebabkan beberapa sikap apatis: ketika permintaan terlalu sering dipenuhi, efek peringatan aktualnya berkurang.

Ini mengarah ke situasi di mana permintaan Persetujuan tidak lagi dibaca. Situasi ini berisiko tinggi untuk subjek data, karena Izin biasanya diminta untuk pemrosesan yang ilegal tanpa itu. GDPR menempatkan kewajiban pada pengawas untuk mengembangkan metode untuk menyelesaikan masalah ini.

Contoh terkenal dari situasi seperti ini adalah mendapatkan Persetujuan dari pengguna Internet melalui pengaturan di browser-nya. Pengaturan seperti itu harus dirancang sesuai dengan GDPR. Misalnya, Persetujuan harus dirinci untuk setiap tujuan dan harus memuat nama-nama pengawas.

Dalam kasus apa pun, Persetujuan harus diperoleh sebelum pengendali melanjutkan dengan pemrosesan data pribadi. Dalam rekomendasi sebelumnya, WP29 secara konsisten menyatakan bahwa Persetujuan harus diberikan sebelum kegiatan pemrosesan dimulai. Terlepas dari kenyataan bahwa Pasal 4 (11) GDPR tidak secara harfiah menentukan penerimaan Persetujuan sebelum dimulainya pemrosesan, ini jelas tersirat. Judul Pasal 6 (1) dan kata-kata “diberikan” dalam Pasal 6 (1) (a) mendukung penafsiran tersebut. Dari pasal 6 dan ayat 40 secara logis berikut bahwa sebelum memulai pemrosesan data harus ada dasar hukum. Oleh karena itu, Persetujuan harus diberikan sebelum dimulainya proses pemrosesan data. Pada prinsipnya, cukup untuk meminta persetujuan subjek data sekali. Namun, pengawas diminta untuk mendapatkan Persetujuan baru jika tujuan pemrosesan telah berubah atau muncul tujuan tambahan.

4. Memperoleh Izin Eksplisit

Persetujuan eksplisit diperlukan dalam beberapa situasi di mana ada risiko serius perlindungan data, oleh karena itu, kontrol individu tingkat tinggi atas data pribadi dianggap tepat. Menurut GDPR, Persetujuan eksplisit memainkan peran penting dalam Pasal 9 mengenai pemrosesan kategori data khusus, ketentuan mengenai transfer data ke negara ketiga atau organisasi internasional, jika tidak ada langkah-langkah perlindungan yang diatur dalam Pasal 49 dan 22 tentang pengambilan keputusan otomatis, termasuk pembuatan profil.

GDPR menyatakan bahwa "pernyataan atau tindakan afirmatif yang jelas" adalah prasyarat untuk Persetujuan "sederhana". Karena pentingnya persyaratan Persetujuan "sederhana" dalam GDPR lebih tinggi daripada dalam Petunjuk 95/46 / EC, perlu untuk mengklarifikasi upaya tambahan apa yang harus dilakukan pengontrol untuk mendapatkan persetujuan eksplisit dari subjek data sesuai dengan GDPR.

Istilah eksplisit mengacu pada metode pengungkapan Persetujuan oleh subjek data. Ini berarti bahwa subjek data harus memberikan persetujuan eksplisit. Cara yang jelas untuk memastikan bahwa Persetujuan itu eksplisit adalah dengan memberikan Persetujuan secara tertulis. Dalam kasus seperti itu, pengontrol dapat memastikan bahwa pernyataan tertulis ditandatangani oleh subjek data untuk menghilangkan semua keraguan dan kemungkinan kurangnya bukti di masa depan.

Namun, pernyataan tertulis bukan satu-satunya cara untuk mendapatkan Persetujuan eksplisit, dan tidak dapat dikatakan bahwa GDPR mengharuskan Anda untuk mendapatkan Persetujuan tertulis dalam semua kasus yang membutuhkan Persetujuan eksplisit yang sah. Misalnya, dalam dunia digital, subjek data dapat menyetujui dengan mengisi formulir elektronik, mengirim e-mail, mengunduh dokumen yang dipindai dengan tanda tangan, atau menggunakan tanda tangan elektronik. Secara teoritis, penggunaan pernyataan lisan mungkin juga cukup untuk mendapatkan Persetujuan eksplisit yang sah, tetapi akan lebih sulit bagi pengontrol untuk membuktikan bahwa semua kondisi Persetujuan eksplisit yang sah telah dipenuhi ketika mendaftarkan pernyataan tersebut.

Organisasi juga dapat memperoleh Persetujuan eksplisit melalui telepon dengan ketentuan bahwa informasi pemilihan itu adil, dapat dimengerti dan jelas, dan tindakan spesifik diminta dari subjek data (misalnya, menekan tombol atau memberikan konfirmasi verbal).

Contoh 17

Pengontrol data dapat memperoleh Persetujuan eksplisit dari pengunjung ke situs webnya dengan menawarkan layar Persetujuan, yang berisi bendera Ya dan Tidak, asalkan teks tersebut dengan jelas menunjukkan Persetujuan. Misalnya, "Saya dengan ini menyetujui pemrosesan data saya", dan tidak, katakan, "Jelas bagi saya bahwa data saya akan diproses". Tentu saja, kondisi lain untuk mendapatkan persetujuan hukum harus diperhatikan.

Contoh 18

, . - . , , , .

Verifikasi Persetujuan dua langkah juga dapat menjadi cara untuk mengkonfirmasi bahwa Persetujuan eksplisit itu valid. Sebagai contoh, subjek data menerima email yang memberitahukan pengontrol tentang niatnya untuk memproses data medisnya. Pengontrol menjelaskan bahwa ia meminta Persetujuan untuk menggunakan set data spesifik untuk tujuan tertentu. Jika subjek data menyetujui pemrosesan tersebut, pengontrol meminta untuk membalas melalui email dengan teks "Saya setuju". Setelah mengirim respons, subjek data menerima tautan transfer, atau SMS dengan kode, untuk mengonfirmasi perjanjian.

Pasal 9 (2) tidak mengakui "keharusan pelaksanaan kontrak" sebagai pengecualian terhadap larangan umum untuk memproses kategori data khusus. Oleh karena itu, pengendali dan negara-negara UE yang berurusan dengan situasi ini diharuskan untuk mempelajari pengecualian yang terkandung dalam paragraf (b) sampai (j) Pasal 9 (2). Jika tidak satupun dari mereka yang berlaku, mendapatkan Persetujuan eksplisit sesuai dengan GDPR tetap menjadi satu-satunya pengecualian hukum yang mungkin untuk pemrosesan data tersebut.

Contoh 19

Holiday Airways , , , - , . . Holiday Airways , (, , : , ). Holiday Airways . , , . , . , , 7(4) .

20

, . , . . , . , , , . . . , , . , 9, .

5. Ketentuan Tambahan untuk Mendapatkan Persetujuan Hukum

GDPR memperkenalkan persyaratan bagi penyelia untuk mengambil tindakan tambahan untuk memastikan bahwa mereka menerima, mendukung, dan dapat menunjukkan Persetujuan legal. Pasal 7 GDPR menjelaskan langkah-langkah tambahan ini dengan ketentuan khusus tentang menjaga jurnal Persetujuan dan hak pencabutan Persetujuan yang mudah. Pasal 7 juga berlaku untuk Persetujuan sebagaimana dimaksud dalam pasal-pasal GDPR lainnya, misalnya, dalam Pasal 8 dan 9. Pedoman tentang persyaratan tambahan untuk menunjukkan Persetujuan yang sah dan untuk pencabutannya diberikan di bawah ini.

5.1. Demonstrasi Persetujuan

Bagian 7 (1) dari GDPR mendefinisikan kewajiban eksplisit dari pengontrol untuk menunjukkan persetujuan subjek data. Sesuai dengan Bagian 7 (1), beban pembuktian terletak pada pengontrol.

Paragraf 42 mengatakan: "Jika pemrosesan didasarkan pada persetujuan subjek data, pengontrol harus dapat menunjukkan bahwa subjek data telah menyetujui operasi pemrosesan."

Pengawas dapat mengembangkan metode mereka sendiri untuk memenuhi persyaratan ini sehingga mereka lebih cocok untuk kegiatan mereka. Pada saat yang sama, kewajiban untuk menunjukkan persetujuan hukum yang diperoleh dengan sendirinya seharusnya tidak mengarah pada pemrosesan data tambahan yang berlebihan. Ini berarti bahwa pengontrol harus memiliki data yang cukup untuk menunjukkan koneksi dengan pemrosesan (tunjukkan tanda terima dari Persetujuan), tetapi mereka tidak diharuskan untuk mengumpulkan data di luar yang diperlukan.

Kontroler diperlukan untuk menunjukkan bahwa Persetujuan saat ini telah diperoleh dari subjek data. GDPR tidak menentukan secara pasti bagaimana ini harus dilakukan. Namun, pengontrol harus membuktikan bahwa subjek data telah memberikan persetujuannya. Sementara kegiatan pemrosesan data sedang berlangsung, ada kewajiban untuk menunjukkan Persetujuan. Setelah menyelesaikan pemrosesan, sesuai dengan Pasal 17 (3) (b) dan (e), bukti Persetujuan tidak akan disimpan lebih lama dari yang diperlukan untuk memenuhi kewajiban hukum, presentasi, penegakan atau pembelaan persyaratan hukum.

Misalnya, pengontrol dapat menyimpan protokol pernyataan persetujuan yang diterima untuk menunjukkan bagaimana dan kapan ia diterima, dan informasi apa yang diberikan kepada subjek data pada saat itu. Pengontrol juga diminta untuk menunjukkan bahwa subjek data diinformasikan dan proses penerimaan memenuhi semua kriteria untuk persetujuan hukum. Alasan logis untuk kewajiban GDPR ini adalah bahwa pengawas harus bertanggung jawab untuk mendapatkan persetujuan hukum dari subjek dan mekanisme mereka untuk mendapatkannya. Misalnya, dalam konteks online, pengontrol dapat menyimpan informasi tentang sesi di mana Persetujuan diberikan bersama dengan dokumentasi proses penerimaan dan salinan informasi yang disajikan kepada subjek data pada waktu itu. Tidak cukup hanya merujuk ke konfigurasi situs web yang benar.

21

- « X», . , . . , « X».

GDPR tidak menentukan tanggal kedaluwarsa khusus untuk Persetujuan. Umur simpan tergantung pada konteks, ruang lingkup, dan harapan subjek data. Jika operasi pemrosesan sangat bervariasi, maka Persetujuan asli tidak lagi valid. Dalam hal ini, Anda harus mendapatkan izin baru.

WP29 merekomendasikan memperbarui Persetujuan dari waktu ke waktu. Pemberian kembali informasi membantu memastikan bahwa subjek data mengetahui dengan baik penggunaan dan hak datanya.

5.2. Pencabutan Persetujuan

Pencabutan Persetujuan mengambil tempat penting di GDPR. Norma dan persyaratan GDPR untuk mencabut Persetujuan dapat dianggap sebagai kodifikasi interpretasi yang ada dari masalah ini dalam kesimpulan WP29.

Pasal 7 (3) dari GDPR menetapkan bahwa pengontrol diperlukan untuk memastikan bahwa subjek data dapat setiap saat menarik persetujuan semudah yang diberikan. GDPR tidak mensyaratkan bahwa ketentuan dan pencabutan Persetujuan harus merupakan tindakan yang sama.

Namun, jika Persetujuan diperoleh secara elektronik hanya dengan mengklik mouse, menggesekkan layar atau menekan tombol, subjek data harus dapat menarik Persetujuan ini dengan mudah. Dalam kasus-kasus di mana Persetujuan diperoleh melalui antarmuka pengguna (misalnya, melalui situs web, aplikasi, akun masuk, antarmuka perangkat hal-hal Internet atau melalui email), subjek data harus dapat mencabut Persetujuan melalui antarmuka yang sama, sejak beralih ke antarmuka lain karena satu-satunya alasan pencabutan Persetujuan akan membutuhkan upaya yang tidak dapat dibenarkan. Selain itu, subjek data harus dapat menarik Persetujuannya tanpa mengurangi sendiri. Ini berarti, khususnya, bahwa pengontrol berkewajiban untuk mencabut Persetujuan secara gratis atau tanpa mengurangi kualitas layanan.

22

-. . «» «». , . - 8 5 . 7(3) GDPR. , , -, .

Persyaratan penarikan mudah digambarkan sebagai persyaratan yang diperlukan dari Persetujuan hukum dalam GDPR. Jika hak penarikan tidak memenuhi persyaratan GDPR, maka seluruh proses pemrosesan Persetujuan oleh pengontrol tidak memenuhi persyaratan GDPR. Seperti yang sudah disebutkan di bagian 3.1. tentang persyaratan Persetujuan yang diinformasikan, pengontrol berkewajiban untuk memberi tahu subjek data tentang hak untuk mencabut Persetujuan sebelum penerimaannya yang sebenarnya, sesuai dengan Pasal 7 (3) GDPR. Selain itu, pengontrol diperlukan, dalam rangka memastikan transparansi, untuk menginformasikan subjek data tentang metode pelaksanaan hak ini.

Biasanya, ketika Persetujuan dicabut, setiap operasi pemrosesan data yang dibangun di atasnya dan dilakukan sebelum pencabutan Persetujuan tetap sah, namun sejak saat itu pengontrol diharuskan untuk menghentikan pemrosesan. Jika tidak ada alasan hukum lain untuk memproses data (misalnya, penyimpanan lebih lanjut), mereka harus dihapus.

Seperti disebutkan sebelumnya, sangat penting bahwa pengontrol menentukan tujuan dan dasar hukum untuk pemrosesan data aktual sebelum pengumpulan data dimulai. Seringkali perusahaan membutuhkan data pribadi untuk beberapa tujuan sekaligus, dan pemrosesan didasarkan pada lebih dari satu dasar hukum, misalnya, data pelanggan dapat berupa kontrak dan dalam Persetujuan. Maka penarikan Persetujuan tidak berarti bahwa pengontrol berkewajiban untuk menghapus data yang diproses untuk memenuhi kontrak. Oleh karena itu, pengontrol berkewajiban sejak awal untuk menunjukkan dengan tepat tujuan apa yang terkait dengan setiap elemen data dan atas dasar hukum apa itu didasarkan.

Pengontrol berkewajiban untuk menghapus data yang diproses berdasarkan Persetujuan segera setelah dicabut, asalkan tidak ada alasan lain membenarkan penyimpanan lebih lanjut. Selain situasi yang dijelaskan dalam Pasal 17 (1) (b), subjek data dapat meminta penghapusan data lainnya, yang diproses berdasarkan hukum lain, misalnya, berdasarkan Pasal 6 (1) (b). Pengontrol harus mengevaluasi kelayakan pemrosesan lebih lanjut dari data bahkan tanpa adanya permintaan untuk penghapusan.

Dalam kasus di mana subjek data menarik Persetujuannya, tetapi pengontrol ingin melanjutkan pemrosesan data pribadi berdasarkan hukum lain, ia tidak dapat secara diam-diam pindah dari Persetujuan (yang ditarik) ke dasar hukum lainnya. Setiap perubahan dalam dasar hukum untuk pemrosesan harus diperhatikan oleh subjek data sesuai dengan persyaratan informasi yang diatur dalam Pasal 13 dan 14 dan dengan prinsip transparansi.

6. Interaksi Persetujuan dengan Dasar Hukum Lainnya dalam Pasal 6 GDPR

Pasal 6 menetapkan kondisi untuk pemrosesan data pribadi yang sah dan menjelaskan enam alasan hukum yang dapat diandalkan pengontrol. Penerapan salah satu dari enam alasan ini harus ditetapkan sebelum dimulainya pemrosesan dan relevan dengan tujuan spesifik.

Penting untuk dicatat di sini bahwa jika pengendali memutuskan untuk bergantung pada Persetujuan mengenai bagian mana pun dari pemrosesan, ia harus siap untuk menghentikannya jika orang tersebut menarik Persetujuannya. Pemberitahuan bahwa data diproses berdasarkan Persetujuan, padahal sebenarnya dasar hukum lain diterapkan, pada prinsipnya tidak adil terhadap subjek data.

Dengan kata lain, pengontrol tidak dapat mengganti Persetujuan dengan dasar hukum lain. Sebagai contoh, tidak diperbolehkan untuk secara retrospektif menggunakan kepentingan yang sah sebagai dasar hukum untuk melegalkan pemrosesan jika timbul masalah dengan legalitas Persetujuan. Mempertimbangkan persyaratan untuk mengungkapkan dasar hukum yang menjadi dasar pengontrol pada pengumpulan data pribadi, ia berkewajiban untuk memutuskan terlebih dahulu dasar hukum mana yang berlaku.

7. Ketentuan Khusus GDPR

7.1. Anak-anak (Artikel 8)

Dibandingkan dengan arahan saat ini, GDPR menciptakan tingkat perlindungan tambahan di mana data pribadi individu yang paling rentan, terutama anak-anak, diproses. Pasal 8 memperkenalkan kewajiban tambahan untuk memberikan peningkatan tingkat perlindungan bagi anak-anak ini sehubungan dengan layanan informasi. Alasan untuk peningkatan perlindungan ditunjukkan dalam paragraf 38: "... karena mereka mungkin kurang menyadari risiko, konsekuensi, jaminan dan hak yang terkait dengan pemrosesan data pribadi ..." Paragraf 38 juga menyatakan bahwa "Perlindungan khusus tersebut harus, khususnya, berlaku untuk penggunaan data pribadi anak-anak untuk tujuan pemasaran atau untuk membuat profil pribadi (pengguna) dan untuk mengumpulkan data pribadi yang terkait dengan anak-anak dalam proses menggunakan mereka layanan yang ditujukan khusus untuk anak-anak."Kata-kata" khususnya "menunjukkan bahwa perlindungan tidak terbatas pada pemasaran atau profil, tetapi termasuk" koleksi data pribadi anak-anak yang lebih luas. "

Pasal 8 (1) menentukan bahwa dalam kasus-kasus di mana Persetujuan diterapkan untuk menawarkan layanan informasi langsung kepada anak, pemrosesan data pribadi dianggap sah jika dia berusia setidaknya 16 tahun. Jika anak berusia kurang dari 16 tahun, maka pemrosesan tersebut hanya sah jika dan sepanjang Persetujuan diberikan oleh seseorang yang mewakili kepentingan anak tersebut. Mengenai batas usia Persetujuan, GDPR memungkinkan negara-negara UE untuk menetapkan ambang minimum sendiri, tetapi tidak boleh lebih rendah dari 13 tahun.

Seperti disebutkan dalam bagian 3.1. berkenaan dengan Persetujuan yang diinformasikan, pesan tersebut harus jelas bagi audiens target, di mana pengontrol berbicara, memberikan perhatian khusus pada pendapat anak. Untuk menerima “Persetujuan yang Diinformasikan” dari anak tersebut, pengontrol harus menjelaskan dalam bahasa yang sederhana dan dapat dimengerti untuk anak-anak bagaimana ia berencana untuk memproses data yang dikumpulkan. Jika orang tua memberikan persetujuan, maka set informasi mungkin diperlukan untuk memungkinkan orang dewasa membuat keputusan.

Karena itu dari Pasal 8 berlaku hanya jika kondisi berikut dipenuhi:

pemrosesan terkait dengan penyediaan layanan informasi langsung kepada anak,
pemrosesan didasarkan pada Persetujuan.

7.1.1. Layanan Informasi

Untuk menentukan ruang lingkup istilah "layanan informasi" dalam artikel 4 (25), GDPR merujuk pada Petunjuk 2015/1535.

Menilai ruang lingkup definisi ini, WP29 juga merujuk pada praktik Pengadilan Eropa. Pengadilan memutuskan bahwa layanan informasi mencakup kontrak atau layanan lain yang disimpulkan atau dilakukan secara online. Jika suatu layanan memiliki dua komponen yang independen secara ekonomi, yang pertama online, misalnya, suatu penawaran dan penerimaannya dikaitkan dengan kesimpulan dari suatu kontrak atau informasi tentang produk dan layanan, termasuk pemasaran, maka komponen tersebut dianggap sebagai layanan informasi. Pada gilirannya, komponen kedua, sebagai persediaan fisik atau distribusi barang, tidak termasuk dalam konsep layanan informasi. Ketentuan layanan online sesuai dengan definisi istilah "layanan informasi" yang terkandung dalam Pasal 8 GDPR.

7.1.2. Ditawarkan Langsung ke Anak

Dimasukkannya frasa "yang ditawarkan langsung kepada anak" menunjukkan bahwa Pasal 8 hanya berlaku untuk layanan informasi tertentu. Jika penyedia layanan informasi memperjelas kepada pengguna potensial bahwa ia menawarkan layanan hanya kepada orang di atas 18 tahun, dan ini tidak disangkal oleh bukti lain (misalnya, isi situs web atau rencana pemasaran), maka layanan seperti itu tidak dianggap “ditawarkan langsung kepada anak”, dan Pasal 8 tidak berlaku.

7.1.3. Usia

GDPR menentukan bahwa "Negara-negara UE dapat secara legislatif menetapkan usia yang lebih rendah untuk tujuan ini, dengan ketentuan bahwa usia tersebut tidak lebih rendah dari 13 tahun." Pengontrol harus mengetahui undang-undang setempat dan mempertimbangkan komunitas tempat ia menawarkan layanan. Perlu dicatat secara khusus bahwa pengontrol yang menawarkan layanan lintas-batas mungkin tidak selalu merujuk hanya pada norma-norma dalam yurisdiksinya, tetapi ia mungkin juga harus mematuhi hukum di setiap negara tempat ia menawarkan layanan informasi. Itu tergantung pada apakah negara memutuskan untuk bergantung pada yurisdiksi pengontrol atau pada tempat tinggal subjek data. Pertama-tama, ketika membuat pilihan seperti itu, semua negara UE berkewajiban untuk mempertimbangkan kepentingan anak. Kelompok Kerja menyerukan keputusan yang disepakati tentang masalah ini.

Jika layanan informasi diberikan kepada anak-anak berdasarkan Persetujuan, diharapkan pengawas mengambil langkah-langkah untuk memastikan bahwa pengguna telah mencapai usia minimum Persetujuan digital, dan langkah-langkah ini harus proporsional dengan pemrosesan data dan risiko.

Jika pengguna mengklaim lebih tua dari usia minimum Persetujuan digital, maka pengontrol dapat melakukan peninjauan untuk memverifikasi ini. Meskipun GDPR tidak berkewajiban untuk melakukan pemeriksaan seperti itu, itu secara implisit diperlukan, karena pemrosesan data akan menjadi ilegal jika anak memberikan persetujuan, tidak cukup umur untuk memberikan persetujuan hukum atas namanya.

Jika pengguna mengklaim bahwa ia belum mencapai usia minimum Persetujuan digital, maka pengontrol dapat menerima pernyataan ini tanpa verifikasi, tetapi pengontrol perlu mendapatkan izin orang tua dan memverifikasi bahwa orang yang memberikan Persetujuan memiliki hak orang tua.

Verifikasi usia tidak dapat dikaitkan dengan pemrosesan data yang berlebihan. Metode yang dipilih untuk memverifikasi usia subjek data harus mencakup penilaian risiko dari pengobatan yang diusulkan. Dalam situasi berisiko rendah, mungkin cukup untuk meminta tahun kelahiran atau mengisi formulir di mana ia (bukan) di bawah umur. Jika ragu, penyelia harus mengubah metode pemeriksaan usia dan mempertimbangkan perlunya pemeriksaan alternatif.

7.1.4. Izin Anak dan Hak Orang Tua

GDPR tidak menentukan bagaimana cara mendapatkan Izin Orang Tua atau menentukan siapa yang berhak melakukannya. Oleh karena itu, WP29 merekomendasikan pendekatan proporsional sesuai dengan Pasal 8 (2) dan 5 (1) © GDPR (minimalisasi data). Pendekatan proporsional adalah untuk memperoleh informasi dalam jumlah terbatas, seperti rincian kontak orang tua atau wali.

Apa yang masuk akal untuk memverifikasi bahwa pengguna sudah cukup umur untuk memberikan Persetujuan mereka sendiri, dan bahwa orang yang memberikan Izin anak memiliki hak orang tua, dapat bergantung pada risiko pemrosesan dan teknologi yang tersedia. Dalam situasi berisiko rendah, konfirmasi email mungkin cukup. Sebaliknya, dalam situasi berisiko tinggi, mungkin lebih tepat untuk meminta bukti tambahan sehingga pengontrol dapat memverifikasi dan menyimpannya sesuai dengan Pasal 7 (1) GDPR. Layanan verifikasi pihak ketiga dapat menawarkan solusi yang meminimalkan jumlah data pribadi yang harus diproses sendiri oleh pengontrol.

23

- , . :

1: , 16 ( ). , , :

2: , . .

3: , , .

4: .
, , 8 GDPR.

Contoh menunjukkan bahwa pengontrol dapat menunjukkan bahwa upaya yang wajar telah dilakukan untuk memastikan bahwa ada Persetujuan hukum untuk layanan yang diberikan kepada anak. Pasal 8 (2) mengatakan bahwa "Pengendali, dengan mempertimbangkan kemampuan teknologi yang tersedia, harus melakukan upaya yang wajar untuk memastikan bahwa Persetujuan diberikan oleh seseorang dengan hak orang tua sehubungan dengan anak tersebut, atau diberikan dengan persetujuannya."

Pengontrol berkewajiban untuk menentukan tindakan mana yang sesuai dalam kasus tertentu. Biasanya, pengawas harus menghindari cek yang mengarah pada pengumpulan data pribadi yang berlebihan.

WP29 mengakui bahwa mungkin ada situasi di mana verifikasi menjadi rumit (misalnya, ketika anak-anak yang telah memberikan Persetujuan belum meninggalkan "jejak digital" atau ketika hak orang tua sulit untuk diverifikasi. Kompleksitas dapat diperhitungkan ketika menentukan langkah-langkah yang masuk akal, tetapi pengontrol diharapkan terus memantau proses mereka. dan teknologi yang tersedia.

Mengenai hak subjek untuk menyetujui pemrosesan data pribadi dan untuk memiliki kontrol penuh atas data tersebut, segera setelah subjek data mencapai usia persetujuan digital, persetujuan orang tua atau wali dapat dikonfirmasi, diubah atau dicabut. Dalam praktiknya, ini berarti bahwa jika anak tidak mengambil tindakan apa pun, maka Persetujuan atas pemrosesan yang diberikan oleh orang tua atau wali, yang diberikan sebelum usia Persetujuan digital, akan tetap menjadi dasar hukum untuk pemrosesan tersebut. Setelah mencapai usia Persetujuan digital, anak tersebut dapat mencabut Persetujuan tersebut sesuai dengan Pasal 7 (3). Sesuai dengan prinsip keadilan dan transparansi, pengontrol diharuskan untuk memberi tahu anak tentang kemungkinan ini.

Penting untuk dicatat bahwa, sesuai dengan pasal 38, persetujuan orang tua atau wali tidak diperlukan untuk layanan pencegahan atau konseling yang ditawarkan langsung kepada anak. Misalnya, menyediakan layanan perlindungan anak online tidak memerlukan izin orang tua.

Sebagai kesimpulan, GDPR menentukan bahwa aturan untuk penerbitan surat kuasa dalam kaitannya dengan anak di bawah umur tidak mempengaruhi "hukum kontrak umum negara-negara UE, misalnya, pada kesimpulan atau pelaksanaan perjanjian tentang anak". Dengan demikian, persyaratan untuk Izin hukum untuk menggunakan anak-anak ini adalah bagian dari kerangka hukum, yang harus dipertimbangkan secara terpisah dari hukum kontrak negara. Oleh karena itu, Panduan ini tidak membahas masalah legalitas kontrak online yang dilakukan oleh anak di bawah umur. Kedua rezim hukum dapat diterapkan secara bersamaan, dan ruang lingkup GDPR tidak mencakup harmonisasi hukum kontrak negara.

7.2. Penelitian ilmiah

Definisi tujuan penelitian memiliki dampak signifikan pada seluruh spektrum kegiatan pemrosesan data yang dapat dilakukan oleh pengontrol. Istilah "penelitian ilmiah" tidak didefinisikan dalam GDPR. Paragraf 159 menyatakan: "... Dalam kerangka Peraturan ini, pemrosesan data pribadi untuk tujuan penelitian ilmiah harus ditafsirkan secara luas ...", namun, WP29 percaya bahwa konsep ini tidak dapat lebih luas dari arti umum, oleh karena itu, "penelitian ilmiah" dalam konteks ini berarti proyek penelitian dibuat sesuai dengan standar metodologi dan etika industri serta praktik terbaik.

Ketika Persetujuan adalah dasar hukum untuk melakukan penelitian sesuai dengan GDPR, itu harus dipisahkan dari persyaratan lain dari Persetujuan, yang memenuhi standar etika atau kewajiban prosedural. Contoh dari kewajiban prosedural seperti itu ketika pemrosesan tidak didasarkan pada Persetujuan tetapi pada dasar hukum lain dapat ditemukan dalam Jadwal Uji Coba Klinis. Dalam konteks hak perlindungan data, bentuk Persetujuan terakhir yang disebutkan dapat dianggap sebagai tindakan perlindungan tambahan. Pada saat yang sama, GDPR tidak membatasi penerapan Pasal 6 hanya pada Persetujuan untuk pemrosesan data untuk tujuan penelitian. Selama tindakan protektif ada, seperti persyaratan Pasal 89 (1), dan pemrosesan adil, legal, transparan dan sesuai dengan standar minimalisasi data dan hak-hak individu,alasan hukum lain mungkin tersedia, seperti Pasal 6 (1) (e) atau (f). Ini juga berlaku untuk kategori data khusus sesuai dengan pengecualian Pasal 9 (2) (j).

Paragraf 33 tampaknya membawa fleksibilitas pada tingkat konkretisasi dan penyempurnaan Persetujuan dalam konteks penelitian ilmiah. Dikatakan: “Seringkali mustahil untuk sepenuhnya menentukan tujuan pemrosesan data pribadi yang dimaksudkan untuk penelitian ilmiah pada saat pengumpulan data. Oleh karena itu, subyek data harus diberi kesempatan untuk memberikan persetujuan mereka pada bidang penelitian ilmiah tertentu, berdasarkan kesesuaian tujuan mereka dengan standar etika penelitian ilmiah yang diakui. Subjek data harus dapat memberikan persetujuan mereka hanya dalam kaitannya dengan bidang penelitian tertentu atau bagian dari proyek penelitian sesuai dengan tujuan yang dimaksudkan. "

Pertama, harus dicatat bahwa paragraf 33 tidak membatalkan kewajiban untuk meminta Persetujuan tertentu. Ini berarti bahwa, pada prinsipnya, proyek penelitian dapat memasukkan data pribadi berdasarkan Persetujuan hanya jika mereka memiliki tujuan yang dijelaskan dengan baik. Dalam kasus di mana tujuan pemrosesan data dalam kerangka proyek penelitian tidak dapat ditentukan di awal, paragraf 33 memungkinkan pengecualian bahwa tujuan tersebut dapat dijelaskan dengan cara yang lebih umum.

Mengingat kondisi ketat yang diatur dalam Pasal 9 GDPR mengenai pemrosesan kategori data khusus, WP29 mencatat bahwa dalam kasus di mana kategori data khusus diproses berdasarkan Persetujuan eksplisit, pendekatan yang fleksibel harus ditafsirkan lebih ketat dan memerlukan studi yang lebih cermat.

Mempertimbangkan GDPR secara keseluruhan, itu tidak dapat diartikan sedemikian rupa sehingga memungkinkan pengontrol untuk menghindari prinsip kunci dalam menentukan tujuan yang diminta oleh subjek data. Ketika tujuan penelitian tidak dapat sepenuhnya didefinisikan, penyelia harus mencari cara lain untuk memastikan bahwa esensi dari persyaratan Persetujuan paling cocok, misalnya, memungkinkan subyek data untuk menyetujui tujuan penelitian dalam istilah yang lebih umum dan untuk fase spesifik dari proyek penelitian yang diketahui sejak awal. Saat penelitian berlangsung, Persetujuan untuk langkah selanjutnya dapat diperoleh sebelum dimulai. Namun demikian, Persetujuan tersebut harus tetap konsisten dengan standar etika penelitian ilmiah.

Selain itu, dalam kasus seperti itu, pengontrol dapat mengambil tindakan pencegahan tambahan. Misalnya, Pasal 89 (1) menekankan perlunya perlindungan saat memproses data untuk tujuan ilmiah, historis atau statistik. Tujuan-tujuan ini "termasuk jaminan hak dan kebebasan dari subjek data." Tindakan perlindungan yang mungkin dilakukan termasuk minimalisasi, anonimisasi, dan keamanan data. Anonimisasi lebih disukai jika tujuan penelitian dapat dicapai tanpa memproses data pribadi.

Transparansi adalah perlindungan tambahan ketika keadaan studi tidak memungkinkan Persetujuan khusus. Kurangnya konkretisasi tujuan dapat dikompensasi oleh informasi tentang evolusinya, yang secara teratur disediakan oleh pengawas selama pelaksanaan proyek penelitian, sehingga seiring waktu Persetujuan menjadi sespesifik mungkin. Pada saat yang sama, subjek data setidaknya memiliki pemahaman dasar tentang situasi, yang memungkinkan untuk menilai apakah, katakanlah, hak untuk mencabut Persetujuan harus digunakan sesuai dengan Pasal 7 (3).

Selain itu, memiliki rencana penelitian komprehensif yang tersedia untuk subyek data, sebelum Memberikan Persetujuan, dapat membantu mengimbangi kurangnya detail pada tujuan. Dalam rencana penelitian seperti itu, topik penelitian dan metode kerja harus sejelas mungkin. Rencana penelitian dapat membantu mematuhi Pasal 7 (1), karena pengawas harus menunjukkan informasi apa yang tersedia untuk subjek data pada saat memperoleh Persetujuan agar dapat menunjukkan bahwa itu sah.

Penting untuk diingat bahwa ketika Persetujuan digunakan sebagai dasar hukum untuk diproses, subjek data harus dapat mencabutnya. WP29 mencatat bahwa mencabut Persetujuan dapat mengganggu penelitian yang membutuhkan data dari individu, tetapi GDPR dengan jelas menunjukkan bahwa Persetujuan tersebut dapat dicabut, dan pengawas diharuskan untuk bertindak sesuai dengan ini - tidak ada pengecualian untuk penelitian ilmiah. Jika pengontrol menerima permintaan untuk pencabutan Persetujuan, ia sebenarnya berkewajiban untuk segera menghapus data pribadi jika ia ingin melanjutkan penelitian.

7.3. Hak Subjek Data

Jika pemrosesan data didasarkan pada persetujuan subjek data, ini memengaruhi hak orang tersebut. Subjek data berhak atas portabilitas data mereka (Pasal 20). Pada saat yang sama, hak untuk menolak (Pasal 21) tidak berlaku jika pemrosesan didasarkan pada Persetujuan, bahkan jika hak untuk menarik Persetujuan setiap saat memberikan hasil yang sama.

Artikel 16 hingga 20 dari GDPR menunjukkan bahwa (ketika pemrosesan data berdasarkan Persetujuan), subyek data memiliki hak untuk menghapus data ketika Persetujuan dicabut, serta hak untuk membatasi, menyesuaikan, dan mengaksesnya.

8. Persetujuan diperoleh sesuai dengan Petunjuk 95/46 / EC

Pengawas yang sudah memproses data berdasarkan Persetujuan sesuai dengan undang-undang setempat, mempersiapkan GDPR, tidak diharuskan untuk secara otomatis memperbarui semua hubungan dengan subyek data. Persetujuan yang telah diperoleh tetap legal sejauh memenuhi GDPR.

Penting bahwa pengawas memeriksa secara rinci proses dan catatan saat ini paling lambat 25 Mei 2018, untuk memastikan bahwa Perjanjian yang ada mematuhi GDPR (lihat paragraf 171 dari GDPR). GDPR memperkenalkan standar tertinggi untuk mekanisme Persetujuan dan memperkenalkan banyak persyaratan baru yang mengharuskan pengawas untuk mengubah proses Persetujuan, bukan hanya menulis ulang kebijakan privasi.

Misalnya, karena GDPR mengharuskan pengontrol untuk dapat menunjukkan bahwa Persetujuan resmi telah diperoleh, semua Persetujuan lainnya secara otomatis tidak sesuai dengan GDPR, dan harus diganti. Demikian pula, karena GDPR memerlukan “pernyataan atau tindakan afirmatif yang jelas”, semua Persetujuan lainnya berdasarkan pada tindakan tidak langsung dari subjek data (misalnya, kotak centang yang telah ditetapkan sebelumnya) juga tidak akan cocok dengan GDPR.

Lebih lanjut, untuk menunjukkan bahwa Persetujuan telah diperoleh, atau untuk memperbaiki pilihan subjek data, proses dan sistem mungkin perlu ditinjau. Selain itu, harus mungkin untuk dengan mudah mencabut Persetujuan, dan informasi harus diberikan tentang bagaimana melakukan ini. Jika prosedur manajemen Persetujuan yang ada tidak memenuhi persyaratan GDPR, pengontrol diharuskan untuk mendapatkan Persetujuan baru yang sesuai dengannya.

Di sisi lain, karena kondisi Persetujuan yang diinformasikan tidak selalu mensyaratkan semua elemen yang disebutkan dalam Pasal 13 dan 14, kewajiban GDPR yang diperluas tidak serta-merta bertentangan dengan kontinuitas Persetujuan yang diberikan sebelum berlakunya GDPR. Tidak ada persyaratan dalam Petunjuk 95/46 / EC untuk menginformasikan subjek data tentang alasan pemrosesan.

Jika pengontrol menentukan bahwa Persetujuan yang diperoleh sebelumnya berdasarkan undang-undang lama tidak lagi sesuai dengan GDPR, maka ia wajib mengambil tindakan untuk mematuhinya, misalnya, untuk memperbarui Persetujuan. Sesuai dengan GDPR, penggantian satu dasar hukum dengan yang lain tidak dapat diterima. Jika pengontrol tidak dapat memperbarui Persetujuan, dan tidak dapat melanjutkan untuk mematuhi GDPR, memproses data berdasarkan hukum lain, sambil memastikan bahwa pemrosesan berlanjut dengan cara yang adil dan transparan, maka aktivitas pemrosesan harus dihentikan. Dalam setiap kasus, pengontrol diharuskan untuk mematuhi prinsip-prinsip pemrosesan data yang legal, adil dan transparan.

GDPR: Persetujuan untuk pemrosesan data pribadi