🔠 🏷️ 👨‍🚒 GDPR：同意处理个人数据 ⚠️ 👩‍👩‍👧 🦈

这是欧盟委员会工作组用于处理个人数据的官方同意手册的翻译（根据法规2016/679 wp259rev.01的同意指南）。原始版本以欧盟的23种官方语言出版。尽管俄语不是其中之一，但在欧洲却很常见。如果您的企业为来自欧盟的客户提供服务，则您必须遵守2018年5月25日生效的《个人数据保护通用规定》（``General Data Protection Regulation''）。

同意处理个人数据 是您的客户遇到的第一件事。尽管表面上看起来很简单，但该指南仍占30页，仍然造成困难：欧盟网站上的个人数据泄漏从12％到41％不等，监管机构的罚款从数千欧元到数千万欧元不等。拥有由律师和工程师组成的大公司有能力对商业环境的变化做出快速反应，但是个体企业家和小企业通常只能依靠自己，承担所有风险。

作者试图传达《指南》的规定，使其与原版尽可能接近，从而使特别坚硬的文书变得软化。翻译是用两种语言的原著制作的，没有法律效力。作者不提供任何担保，也不对任何索赔，损失或利润损失负责。但是他将很高兴收到明智的评论和措辞的改进。

1.简介

本指南对法规2016/679-个人数据保护一般法规（GDPR）中包含的同意概念进行了全面分析。迄今为止，已经在数据保护指令（指令95/46 / EC）和机密性和电子通信指令（指令2002/58 / EC）中使用了同意的概念。 GDPR进一步澄清和澄清了获取和证明具有法律约束力的同意书的要求。本指南重点介绍这些变化，并根据结论15/2011提供有关如何确保遵守GDPR的实用指南。个人数据控制者的职责是在法律框架内引入创新并寻求新的解决方案，这有助于保护个人数据和数据主体的利益。

根据GDPR第6条，同意是合法处理个人数据的六个理由之一。当开始与处理个人数据有关的活动时，控制者必须始终考虑预期处理的法律依据。

通常，只有在为数据主体提供接受或拒绝拟议条件的控制权和自由选择权且没有不利后果的情况下，同意才能成为合理的理由。当请求“同意”时，要求控制器评估其是否符合所有可用要求。该工具完全符合GDPR的要求，是一种工具，可让数据主体控制是否处理其个人数据。否则，数据主体将没有实际控制权，并且此类同意被视为处理的非法依据。

只要工作组（WP29）关于同意书的现有结论与新法规保持一致，就仍然有意义，因为GDPR编纂的指南和建议以及同意书的关键要素在GDPR中保持不变。因此，在本文件中WP29只是扩展和补充了有关同意书特定方面的先前结论，这些结论在解释95/46 / EC指令时指的是协议，而不是替代它们。

如关于同意一词的定义的结论15/2011中所述，接受数据处理操作的提议必须遵守严格的规则，因为它涉及数据主体的基本自由以及控制人参与这些操作的愿望，未经数据主体同意，这将是非法的。《欧洲联盟基本权利宪章》第7条和第8条强调了同意书的关键作用。此外，所获得的同意书不排除且绝不改变控制者的义务，以遵守GDPR所载原则，特别是第5条中关于公平性，必要性，比例性和数据质量的原则。即使基于数据主体的同意对个人数据进行处理，也不会使出于处理目的所必需的数据收集合法化，因此变得不公平。

同时，WP29知道指令2002/58 / EC的修订。该指令草案中的同意概念仍与GDPR保持一致。对于大多数市场营销消息，电话和Internet跟踪方法（包括使用cookie，应用程序或其他软件），组织可能会要求同意。关于同意书，WP29已经向欧洲立法者提交了其提案和指示。

关于指令2002/58 / EC的当前版本，WP29指出，对已废除的指令95/46 / EC的引用应解释为对GDPR的引用。这也适用于对2002/58 / EC指令中的同意的引用，因为该许可于2018年5月25日到期。根据GDPR第95条，在公共通信网络中提供公共电子服务的义务不被视为“附加”，而是初步的法律条件。因此，在2002/58 / EC指令框架内的情况下，适用于GDPR中获得同意的要求。

2.同意GDPR第4条第11款

GDPR第4条第11款对“同意”的定义如下：“自愿，具体，知情和明确的意愿表达，其中数据主体通过声明或明确的平权行动同意处理其个人数据。”

对同意书基础的理解仍然与95/46 / EC指令相同，并且同意书是根据GDPR第6条处理个人数据的法律依据之一。除第4条第11款中的修订定义外，GDPR在第7条以及第32、33、42和43段中还提供了有关指导者应如何采取行动以确保遵守《同意书》要素的进一步指导。

最后，包含有关撤回同意的特定规则，这确认了同意必须是数据主体的可逆且可控制的决定。

3.法律同意的要素

GDPR第4条第11款将主体的同意定义为：

自主性
具体
知情和
明确表达意愿，数据当事人使用陈述或明确的肯定行动表示同意处理其个人数据。

以下内容分析了GDPR第4条第11款要求控制者修改其同意书的要求/表格的程度，以确保遵守GDPR。

3.1。自主性

这个元素意味着对数据主体的真正选择和控制。 GDPR规定，如果数据主体没有真正的选择，被迫同意或因不同意而遭受损害，则该同意被视为非法。如果同意书作为服务条款的一部分包含在服务条款中，则不视为自愿。因此，如果数据主体无法拒绝或撤回同意书而不会给自己造成不利后果，则同意书不是自愿的。 GDPR中也考虑了控制器与数据主体之间的不平衡概念。

在评估是否自愿提供同意书时，还应考虑到与服务协议相关联的具体情况，如第7条第4款所述。第7条第（4）款的措词不正确，特别是“特别”，这意味着可能有许多情况属于本规则的范围。通常，阻止数据主体行使其自由意志的任何对数据主体造成压力或影响的因素（可能以各种方式发生）都会使同意书成为非法。

1

GPS- . , . , . , .

3.1.1.

第43段清楚地表明，政府机构不太可能依靠Consent，因为当国家是数据控制者时，他与数据主体之间通常存在明显的不平衡。此外，在大多数情况下，很明显，数据主体没有接受此类控制器条件的真正替代方案。第29工作组认为，还有其他法律依据，原则上更适合国家机构的活动。

但是，GDPR也不例外地将同意书用作政府机构处理数据的法律依据。以下示例表明，在某些情况下，同意是合适的。

2

. , , . , , . , , , , . .

3

, , , , . , . , . , . , , - , . , .

4

. , - , .

在就业方面也出现不平衡。考虑到雇主与雇员之间的关系，数据主体不太可能会拒绝其同意处理个人数据而不会因拒绝而担心或产生负面后果的风险。员工不太可能自愿同意，例如激活监控系统（例如工作场所中的监控摄像头）或填写评估表而不会承受任何压力。因此，WP29认为雇主很难在同意的基础上处理雇员的个人数据，因为很难将其视为自愿数据。对于大多数在生产中处理数据的情况，由于这种关系的性质，工人的同意（GDPR第6条第1款（a）项）不能成为合法理由。

但是，这并不意味着雇主不能依靠同意书作为处理个人数据的法律依据。在某些情况下，雇主可能会证明同意是自愿的。鉴于用人单位与雇员之间的不平衡，雇员只能在不会产生任何负面后果的情况下自愿同意，无论他们是否同意。

示例5

摄制组将在办公室的特定区域拍摄。雇主要求在该区域工作的所有雇员同意拍摄，因为他们可能出现在视频的背景中。那些不想以任何方式行事的人不会受到惩罚，而是在拍摄期间在办公室的另一部分获得同等的工作。

这种失衡不仅限于国家机构和雇主，还可能在其他情况下发生。WP29强调，只有在数据主体能够做出真正的选择而没有欺诈，恐吓，胁迫或负面后果的风险时，同意书才是合法的。当存在任何胁迫，压力或无力行使自由意志的成分时，同意将不是自愿的。

3.1.2。可选的

GDPR第7条第4款在评估同意书是否为自愿性方面起着重要作用。她特别指出，非常不希望将“同意书”“链接”到接受服务条款，或者将“服务提供”链接到“同意书”处理对于执行合同不必要的个人数据的请求。在这种情况下给予的同意不被视为自愿（第43段）。第7条第（4）款旨在确保不掩饰处理个人数据的目的或与不需要此数据的合同相关联。 GDPR声称处理被征得同意的个人数据不能直接或间接成为反诉。合法处理个人数据的两个原因-同意和提供服务-不能合并和模糊。

强迫使用个人数据超出必要的限制，限制了数据主体的选择，并阻碍了自由意志的行使。由于法律寻求保护基本权利，因此数据控制至关重要。有人认为，同意使用超出必要数量的个人数据不能作为交换合同执行或提供服务的强制性假设。

每当同意书与合同的执行相关时，不愿提供个人数据的数据主体就有可能遭到拒绝服务。

为了评估是否存在“约束力”或“约束力”，确定合同的范围和执行合同所需的数据非常重要。根据结论06/2014 WP29，应严格解释“履行合同所必需的”一词。与每个数据主体签订合同必须进行处理。例如，在在线商店的上下文中，这可以是商品交付地址或信用卡详细信息。在就业方面，这可能是工资信息和银行帐户详细信息。数据与其在合同中使用目的之间必须存在直接和客观的联系。

如果控制者希望处理履行合同实际必需的个人数据，则同意不是强制性依据。

第7条第（4）款仅适用于在合同执行过程中不需要所要求的数据并且执行情况取决于通过同意书接收到这些数据的情况。相反，如果数据是履行合同所必需的，则第7条第4款不适用。

示例6一家

银行要求客户征得同意，以允许第三方将其详细信息用于直接营销。该活动对于执行合同和提供普通服务不是必需的。如果客户拒绝给予同意导致拒绝提供银行服务，关闭帐户或增加佣金，则这种同意并不视为自愿。

将兼职性作为缺乏同意自由的推定的重点，表明必须仔细检查其发生的条件。第7条第（4）款中的“最关注”一词意味着，当合同包含同意处理个人数据的请求时，控制者必须特别谨慎。

由于第7条第（4）款的措辞不是绝对的，因此在某些情况下，选择性不会使同意书成为非法。但是，第43段中的“被指控”一词表明，这种情况极少发生。

无论如何，管制员应承担第7条第4款规定的举证责任。该规则反映了问责制的一般原则，该原则贯穿整个GDPR。但是，在适用第7条第（4）款时，控制人将很难证明数据主体已自愿给予同意。

管制员可能会争辩说，如果组织可以在需要同意的个人服务用于其他目的的服务与不需要同意的相同服务之间进行选择，则组织可以为数据主体提供真正的选择。只要可以在不获得同意使用附加数据的情况下执行合同，就不认为是可选的。在这种情况下，两个服务实际上应该是相同的。

WP29认为，如果控制人断言，在要求同意书将个人数据用于其他目的的服务与不需要该同意书的另一控制人提供的相同服务之间进行选择，则认为同意书不是自愿的。在这种情况下，选择的自由将取决于数据主体是否发现服务实际上是相同的。此外，由于竞争者可能会在以后更改服务，因此要求控制者监视市场以确保此类同意书的持续有效性。因此，这种论点意味着同意书不符合GDPR的要求。

3.1.3。详情

服务可能包含多个数据处理操作，以实现多个目的。在这种情况下，数据主体应该能够分别选择出于何种目的给予同意。根据GDPR，可能需要征得多个同意才能开始提供服务。

第43段阐明，如果收据流程不允许数据主体同意某些交易，则同意书不视为自愿。第32条如下：“同意书应涵盖为实现同一目标而执行的处理个人数据的所有方法。如果处理个人数据有多个目的，则必须针对每个目的达成同意。”

如果控制者合并了多个处理目标，但没有尝试为每个处理目标获得单独的同意书，则意味着缺乏自由。详细说明与同意书具体化的需求密切相关，这在第3.2节中进行了描述。下面。当出于多种目的执行数据处理时，合法同意的条件是分离这些目标并为每个目标获得同意。

7

, . , . . (. 3.3.1), , , .

3.1.4.

管制员有义务向数据当事人证明他可以撤回同意书而不损害自己（第42段）。例如，控制者需要证明撤销同意书不会导致数据主体的成本，并且不会给他带来明显的不便。

如果数据主体不同意，则损坏的其他例子包括欺骗，恐吓，胁迫或重大负面后果。要求控制者证明数据主体可以自由选择是否给予同意，并且可以在不影响自己的前提下撤回同意。

如果控制者表明该服务具有撤销同意书的能力而没有负面影响（例如，不影响质量），则可以作为自愿同意书的证据。 GDPR并未包括所有激励措施，但在所有情况下，证明本自愿行为自愿性的举证责任均由控制者承担。

8

lifestyle-, . , , . , , . , 42, , ( , ).

9

. , , . , . , .

10

. , . , . , , . , . , , .

3.2.

第6条第（1）款（a）项确认，必须就“一个或多个特定”目标给出同意，并且数据主体可以针对每个目标选择。同意书必须具体的要求旨在确保用户对数据主体的控制和透明度。GDPR并未更改此要求，它仍然与知情同意书的要求紧密相关。同时，应根据详细要求进行解释，以获得自愿同意。通常，为了具体起见，控制器应：

表明目标是防止其扩展的保护措施，
详细说明同意请求，并且
明确将与获取同意书相关的信息与其他任何信息分开。

1.的补编根据GDPR第5条第1款（b）项，在收到同意书之前，始终要确定预期数据处理的特定，明确和法律目的。需要特定的同意书，并结合第5条第（1）款（b）所述的目标限制概念，可以防止在实体获得同意书后逐步扩大数据收集目标。这种现象，也称为功能蠕变，对数据主体构成风险，因为它可能导致控制者或第三方无法预料地使用个人数据，并失去控制。

如果控制者依赖第6条第1款（a）项，则数据主体必须始终同意处理的特定目的。根据目标限制的概念，第5条第1款（b）项和第32款，如果同意书的目的相同，则可以涵盖各种行动。当然，只有在数据主体被准确告知预期的处理目标时，才能获得特定的同意书。

尽管可以合并目标，但同意必须针对每个目标。数据主体必须同意他们控制局势的理解，并且仅出于特定目的处理其数据。如果控制者为某一目的合法地处理数据，并希望为另一目的也进行处理，那么除非有其他法律依据能够更好地反映情况，否则控制者需要为此请求额外的同意。

11

, , . , ( ) . .

2.的补充同意机制不仅应详细说明以满足“自愿”要求，而且应符合“特殊性”要素。这意味着出于各种目的请求同意的控制器必须为他们每个人提供一个选择，以允许用户出于特定处理目的而给予同意。

对3的补充。最后，要求主管在每个单独的同意请求中针对每种目的提供特定信息，以便数据主体知道不同选择的影响。因此，数据主体有机会给出具体的同意书。这一点与第3.3节中提供清晰信息的义务有关。下面。

3.3。知情的

GDPR要求必须知情同意书。根据GDPR第5条，透明性要求是与正义和合法性原则密切相关的基本原则之一。在获得数据主体同意之前向数据主体提供信息，对于他们做出明智的决定，了解他们确切同意的内容，例如通过了解撤回其同意权的权利至关重要。如果控制器未提供可访问的信息，则数据主体将无法获得实际控制，因此该同意书被视为非法的处理依据。

不遵守知情同意书要求的后果是其违法，控制者可能违反了GDPR第6条。

3.3.1。获得知情同意的最低内容要求

为了让知情同意，必须为数据主体提供几个对他做出决定至关重要的要素。因此，WP29认为至少需要以下信息才能获得法律许可：

控制器名称
个人数据的处理目的，
将会收集和使用的数据类型，
撤销同意书的权利，
根据第22条第2款（c）项有关自动数据处理的信息，以及
关于由于第46条所述缺乏适当解决方案和保护措施而可能造成数据传输风险的信息。

关于第1和第3款，WP29指出，如果必须由多个（联合）控制人获得请求的同意书，或者如果数据必须由希望加入该同意书的其他控制人进行传输或处理，则必须全部被列为。尽管要求控制者提供数据接收者或其类别的完整列表（包括处理者），以符合GDPR第13条和第14条的规定，但可能未指明数据处理者。最后，WP29指出，根据情况，数据主体可能需要其他信息以清楚地理解数据处理操作。

3.3.2。如何提供信息

GDPR没有描述应如何提供信息以符合知情同意要求的形式或类型。这意味着可以用多种方式表示它，例如书面或口头陈述，音频或视频消息。但是，GDPR在知情同意书中有一些要求，主要在第7条第2款和第32条中。这提高了清晰度和可访问性。

请求“同意”时，控制器应始终使用简洁明了的语言。这意味着该消息应该被普通人而不只是律师轻易理解。主管不应使用难以理解的长期隐私政策或法律术语。同意书必须清晰，可与其他问题区分开，并以易于理解和易于访问的方式提供。该要求意味着与服务的知情决定有关的信息不能隐藏在一般服务条件中。

要求控制器确保在信息允许的基础上获得同意，该信息使数据主体可以轻松识别控制器是谁以及他们完全同意什么。管制员应清楚描述要求同意的处理目的。

在透明度方面，WP29包括了其他特定的可访问性指南。如果以电子方式提供同意书，则其要求必须清晰明了。全面和详细的信息更适合双边义务-一方面准确而完整，另一方面又易于理解。

要求控制器评估目标受众，该目标受众传输个人数据。例如，如果它包含未成年人，则控制器应确保该信息对他们而言是可以理解的。在进行这样的评估之后，要求控制器确定哪些信息以及如何提供数据主体。

第7条第2款审议了事先准备的与其他事项有关的书面同意声明。根据（书面）合同要求获得同意时，此类请求应与其他事项明确分开。如果纸质合同包含与同意书无关的方面，则应以明显突出或建议作为单独文件的方式来考虑它的问题。同样，如果以电子方式请求同意，则请求应分开，并且不能仅是服务条款中的一个段落（根据第32段）。当放置在小屏幕或有限的空间中时，可能需要一种全面的信息提供方式，以避免与以下人员进行过多互动：用户或产品设计违规。

引用同意书的控制者还必须遵守第13条和第14条规定的要求，以符合GDPR。在实践中，可以采用集成方法来满足这些要求并符合知情同意的要求。但是，本指南的这一部分是在这样的背景下编写的，即使在接收过程中未提及第13条和/或第14条的所有要素，也可以获得合法的“知情”同意（这些要点当然应该在其他地方提及，例如，隐私政策）。WP29分别发布了有关透明度的建议。

例子12

X , , , . , . X , . , , . , . , , . X . X , , .

13

. , . . , . 6, «» , 13(1)(b) 14(1)(b) GDPR.

3.4.

GDPR确定同意书要求数据主体发表声明或采取明确的肯定行动。显然，数据主体已同意特定处理。
指令95/46 / EC第2（h）条将同意书描述为“数据主体通过其意愿表达同意处理与他有关的个人数据的意愿”。 GDPR第4条第11款基于该定义，阐明了合法同意书必须按照WP29的先前指示，通过声明或明确的平权行动明确表达意愿。

“明确的肯定行动”是指受试者自觉同意特定的治疗方法。第32节提供了有关该主题的进一步指导。同意可以通过书面或（记录的）口头陈述以及电子形式获得。

满足“书面声明”要求的最简单方法可能是确保数据主体已通过信函或电子邮件向管制员解释了他的同意。通常这是不可行的。相应的GDPR书面声明可能有所不同。

在不影响现有（国家）合同法的前提下，可以通过记录的口头交流获得同意，前提是事先考虑到数据主体可获得的信息。根据GDPR，不允许使用预先选择的选项。沉默，无所作为或继续使用服务不被视为选择的标志。

示例14

在安装过程中，应用程序向数据主体询问“同意”以使用个性化崩溃报告来提高其质量。包含所有必要信息的全面隐私政策附在同意请求上。通过主动在题名“我同意”上打勾可选字段，用户可以执行明确的肯定行动，表示同意处理。

管制员必须考虑到不能与提供服务的合同同时获得同意。接受服务条款不能视为对使用个人数据的明确肯定行动。 GDPR禁止预选的选项（例如，“取消订阅”字段）或其他需要数据主体干预才能撤销同意书的方法。

以电子方式提供同意书时，请求不应不必要地中断服务的工作。如果以较小的干扰性方式获取数据同意书，则数据主体提供同意书的明确肯定行动可能是必要的。因此，为了请求同意，可能有必要部分暂停与用户的交互，以使请求合法。

根据GDPR，控制者有权独立制定最适合组织的同意流程。从这个意义上讲，身体动作可以被视为明确肯定。

主管应该以一种让数据主体理解的方式设计同意机制。主管应避免产生歧义，并确保可以将发出同意书的行为与其他行为区分开。因此，通常继续使用该网站并不是一项可以使我们断定数据主体想要表达其对处理操作的同意的行为。

15

, , , , , (, , X Y. ). , , , .

16
- . , « », / , , .

在数字世界中，许多服务都需要个人数据，因此数据主体会收到多个同意请求，每天都需要通过单击和滑动屏幕来回答这些请求。这可能会引起一些冷漠：当请求过于频繁地被满足时，它们的实际警告效果就会降低。

这导致无法再读取同意请求的情况。这种情况对于数据主体来说是很高的风险，因为通常需要征得同意才能进行处理，如果没有同意，这是非法的。 GDPR要求主管人员开发解决此问题的方法。

这种情况的一个众所周知的示例是通过其浏览器中的设置获得互联网用户的同意。此类设置应根据GDPR设计。例如，对于每个目标都应详细说明同意书，并应包含主管的姓名。

无论如何，在控制器继续处理个人数据之前必须获得同意。在以前的建议中，WP29始终坚持在处理活动开始之前必须征得同意。尽管GDPR第4条第11款并未从字面上规定在处理开始之前就同意书的收据，但这显然是隐含的。第6条第1款的标题和第6条第1款（a）项中的“给予”一词均支持这种解释。从第6条和第40款逻辑上得出结论，在开始处理数据之前必须有法律依据。因此，必须在数据处理过程开始之前给出同意书。原则上，一次请求数据主体的同意就足够了。但是，如果处理目标发生了变化或出现了其他目的，则要求主管获得新的同意书。

4.获得明确同意

在某些情况下，如果存在严重的数据保护风险，则需要明确同意，因此，高度个人控制个人数据被认为是适当的。根据GDPR，如果第49条和第22条中没有关于自动决策（包括配置文件）的第49条和第22条中规定的保护措施，则明确同意书将在第9条中处理特殊类别的数据，将数据转移到第三国或国际组织的规定中发挥重要作用。

GDPR规定，“声明或明确的平权行动”是获得“简单”同意的前提。由于GDPR中“简单”同意的要求的重要性高于95/46 / EC指令，因此有必要阐明，为了根据GDPR获得数据主体的明确同意，控制者必须做出哪些额外努力。

术语“显式”是指一种表达数据主体同意的方法。这意味着数据主体必须明确表示同意。确保同意书明确的一种明显方法是以书面形式给予同意书。在这种情况下，控制者可以确保书面陈述由数据主体签署，以消除将来可能出现的所有疑问和证据不足。

但是，书面声明不是获得明确同意的唯一方式，不能说GDPR要求您在所有需要合法明确同意的情况下都获得书面同意。例如，在数字世界中，数据主体可以通过填写电子表格，发送电子邮件，下载带有签名的扫描文档或使用电子签名来表示同意。从理论上讲，使用口头陈述也可能足以获得合法的明确同意，但对于控制人而言，在注册此类陈述时证明其已满足所有合法明确同意的条件将更加困难。

如果选择信息公平，可理解和清晰，并且要求数据主体采取特定措施（例如，按下按钮或提供口头确认），则组织还可以通过电话获得明确的同意书。

示例17

数据控制器可以通过提供包含“是”和“否”标志的“同意”屏幕来提供从访问者到其网站的显式“同意”，前提是文本清楚地表示“同意”。例如，“我特此同意处理我的数据”，而不是说“我很清楚将处理我的数据”。当然，必须遵守获得法律同意的其他条件。

例子18

, . - . , , , .

两步验证同意也可能是确认明确同意有效的一种方式。例如，数据主体收到一封电子邮件，通知控制器其打算处理其医学数据的意图。管制员解释说，他正在请求同意将特定数据集用于特定目的。如果数据主体同意这种处理，则控制器要求通过电子邮件回复文本为“我同意”。发送响应后，数据主体将收到传输链接或带有代码的SMS，以确认协议。

第9条第2款不承认“合同执行的必要性”是普遍禁止处理特殊类别数据的例外。因此，要求管制者和处理这种情况的欧盟国家研究第9条第2款（b）至（j）项中的例外情况。如果它们都不适用，则根据GDPR获得明确的同意仍然是处理此类数据的唯一合法例外。

实施例19

Holiday Airways , , , - , . . Holiday Airways , (, , : , ). Holiday Airways . , , . , . , , 7(4) .

20

, . , . . , . , , , . . . , , . , 9, .

5.获得法律同意的附加条件

GDPR引入了要求监管者采取额外措施的要求，以确保他们获得，支持并可以证明合法同意。GDPR第7条对这些额外措施进行了说明，其中具体规定了有关保留《同意书》的日志和易于撤销《同意书》的权利。第7条也适用于GDPR其他条款中提及的同意书，例如第8条和第9条。以下是关于证明合法同意书及其撤销的其他要求的指南。

5.1。表示同意

GDPR第7条第（1）款规定了控制者的明确义务，即表明要征得数据主体的同意。根据第7条第（1）款，举证责任由控制器承担。

第42段说：“如果处理是基于数据主体的同意，则控制者应能够证明数据主体已同意处理操作。”

主管可以开发自己的方法来满足此要求，从而使其更适合自己的活动。同时，证明自身获得法律同意的义务不应导致过多的额外数据处理。这意味着控制器必须具有足够的数据来证明与处理之间的联系（显示同意书的接收），但是不需要控制器收集超出必要范围的数据。

要求控制器表明已经从数据主体获得了当前的同意书。 GDPR并未具体说明应如何进行。但是，控制者必须证明数据主体已经同意。在进行数据处理活动的同时，有义务证明同意。根据第17条第（3）款（b）和（e）项的规定，处理完成后，同意书的保存期限不得超过为履行法律义务，陈述，执行或捍卫法律要求所必需的严格时间。

例如，控制器可以存储接收到的同意声明的协议，以显示如何以及何时接收到协议，以及在那一刻向数据主体提供了哪些信息。还要求管制员表明已告知数据当事人，并且收据过程符合法律同意的所有标准。 GDPR承担此义务的合乎逻辑的理由是，监管者应负责获得主题的法律同意及其获取主题的机制。例如，在在线上下文中，控制器可以存储有关会话的信息，在会话过程中给出同意，以及接收过程的文档以及当时提供给数据主体的信息的副本。仅参考正确的网站配置是不够的。

21

- « X», . , . . , « X».

GDPR没有为同意书指定具体的到期日期。保质期取决于数据主体的背景，范围和期望。如果处理操作相差很大，则原始同意书将不再有效。在这种情况下，您必须获得新的许可证。

WP29建议不时更新同意书。重新提供信息有助于确保数据主体充分了解其数据使用和权利。

5.2。撤销同意

撤销同意在GDPR中占有重要地位。 GDPR撤销同意书的规范和要求可以视为WP29结论中对该问题的现有解释的编纂。

GDPR第7条第3款规定，控制者必须确保数据主体可以在任何时候轻易地撤销同意书。 GDPR并不要求提供和撤销同意必须采取相同的行动。

但是，如果仅通过单击鼠标，滑动屏幕或按下键即可以电子方式获得同意书，则数据主体应该能够同样轻松地撤回此同意书。如果通过用户界面（例如，通过网站，应用程序，登录帐户，物联网设备界面或通过电子邮件）获得同意书，则数据主体必须能够通过同一界面撤消同意书，因为切换到另一个仅出于撤消同意的原因的界面将需要不合理的努力。另外，数据主体必须能够在不损害其同意的情况下撤回其同意书。这尤其意味着，控制器有义务免费或在不影响服务质量的情况下撤销同意书。

22

-. . «» «». , . - 8 5 . 7(3) GDPR. , , -, .

容易召回的要求在GDPR中被描述为合法同意的必要要求。如果提款权不符合GDPR的要求，则控制人处理同意书的整个过程均不符合GDPR的要求。如第3.1节所述。关于知情同意书的要求，根据GDPR第7条第（3）款，控制人有义务在实际收到同意书之前告知数据主体撤销权利的权利。另外，要求控制者在确保透明度的框架内，告知数据主体有关行使此权利的方法。

通常，当撤销同意书时，在同意书上建立并在撤销同意书之前执行的任何数据处理操作仍然合法，但是，从那时起，要求控制器停止处理。如果没有其他合法的数据处理依据（例如，进一步存储），则应将其删除。

如前所述，在数据收集开始之前，控制者确定数据实际处理的目标和法律依据非常重要。公司通常出于多种目的同时需要个人数据，并且处理基于多个法律依据，例如，客户数据可以同时存在于合同和同意书中。那么，撤回同意书并不意味着控制器有义务删除为了履行合同而处理的数据。因此，控制器必须从一开始就明确指出与每个数据元素相关的目的以及其基于的法律依据。

如果没有其他理由证明需要进一步存储，则控制器有义务在撤销同意后立即删除根据同意书处理的数据。除了第17条第（1）款（b）项所述的情况外，数据主体还可能要求删除其其他数据，这些数据是在其他法律基础上处理的，例如，根据第6条第（1）款（b）项进行处理。即使在没有删除请求的情况下，控制器也必须评估数据进一步处理的适当性。

如果数据主体撤回其同意书，但控制人希望继续在另一法律依据下处理个人数据，则他不能默默地从同意（撤回）转移到另一法律依据。应根据第13条和第14条规定的信息要求以及透明性的原则，提请数据主体注意处理法律依据的任何变化。

6. GDPR第6条中的同意与其他法律依据的互动

第6条规定了合法处理个人数据的条件，并描述了控制者可以依靠的六个法律依据。必须在处理开始之前确定这六个理由之一的适用范围，并且与特定目的相关。

在此重要的是要注意，如果控制者决定在处理的任何部分上依赖同意书，那么如果该人撤回其同意书，他应该准备终止该同意书。通知实际上是基于另一法律依据，是基于同意书处理数据的原则上对数据主体不公平。

换句话说，控制者不能以其他法律依据代替同意书。例如，如果同意书的合法性出现问题，则不得追溯地将合法利益用作合法化处理合法化的法律依据。考虑到披露控制者依赖于个人数据收集的法律依据的要求，他有义务提前决定适用的法律依据。

7. GDPR的特殊规定

7.1。儿童（第8条）

与当前指令相比，GDPR提供了更高的保护级别，在此级别上，最脆弱的个人（尤其是儿童）的个人数据将得到处理。第8条引入了附加义务，以在信息服务方面为这些儿童提供更多保护。第38段指出了加强保护的原因：“ ...因为他们可能不太了解与处理个人数据有关的风险，后果，保证和权利...”第38段还指出，“这种特殊保护应特别适用于使用为了营销目的而创建儿童的个人数据，或在使用针对儿童的服务的过程中创建个人（用户）个人资料并收集与儿童有关的个人数据。“措词”尤其是“表明保护不仅限于行销或配置文件，还包括更广泛的儿童个人数据收集”。

第8条第（1）款规定，在同意书中直接向儿童提供信息服务的情况下，如果其年满16岁，则认为处理个人数据是合法的。如果孩子不到16岁，则只有在代表孩子利益的人同意的情况下，这种处理才是合法的。关于同意书的年龄限制，GDPR允许欧盟国家自行设置最低门槛，但不能低于13岁。

如第3.1节所述。关于知情同意书，管制员应向目标听众明确传达信息，并特别注意儿童的意见。为了获得儿童的“知情同意”，管制员必须以一种简单易懂的语言为儿童解释他计划如何处理所收集的数据。如果父母同意，则可能需要一组信息以允许成人做出知情的决定。

从前文可以得出，只有在满足以下条件的情况下，第8条才适用：

处理与直接向孩子提供信息服务有关，
处理基于同意书。

7.1.1。资讯服务

为了确定第4条第25款中“信息服务”一词的范围，GDPR引用了指令2015/1535。

在评估此定义的范围时，WP29还参考了欧洲法院的做法。法院裁定，信息服务应涵盖在线订立或承诺的合同或其他服务。如果服务具有两个经济上独立的组件，例如第一个组件是在线的，则要约及其接受与合同的签订或有关产品和服务的信息（包括市场营销）相关联，则该组件被视为信息服务。反过来，第二部分是货物的实物供应或分配，不属于信息服务的概念。在线服务的提供与GDPR第8条所包含的“信息服务”一词的定义一致。

7.1.2。直接提供给孩子

包括“直接提供给儿童”一词表示第8条仅适用于某些信息服务。如果信息服务提供商向潜在用户表明它仅向18岁以上的人提供服务，并且没有被其他证据（例如，网站或营销计划的内容）所驳斥，则该服务不被视为“直接提供给儿童”，并且第8条不适用。

7.1.3。年龄

GDPR确定“欧盟国家可为这些目的在法律上规定较低的年龄，但该年龄不得低于13岁。”管制员必须了解当地法律，并考虑到为其提供服务的社区。需要特别指出的是，提供跨境服务的控制人可能并不总是仅参考其管辖范围内的规范，而是可能还需要遵守提供信息服务的每个国家/地区的法律。这取决于国家是决定依赖控制者的管辖权还是取决于数据主体的居住地。首先，做出这样的选择，所有欧盟国家都有义务考虑儿童的利益。工作组呼吁就这一问题达成一致的决定。

如果根据同意书为儿童提供信息服务，则期望监督者采取措施以确保用户达到数字同意书的最低年龄，并且这些措施必须与处理数据和风险相称。

如果用户声称自己已超过数字同意的最低年龄，则控制器可以进行检查以验证这一点。尽管GDPR并不强制执行此类检查，但隐含了此要求，因为如果孩子同意，且年龄不足以代表其提供法律同意，则数据处理将变得非法。

如果用户声称自己尚未达到数字同意书的最低年龄，则控制人可以接受此声明而无需验证，但是控制人将需要获得父母的许可并确认提供同意书的人具有父母权利。

年龄验证不能归因于过多的数据处理。为验证数据对象年龄而选择的方法应包括对拟议治疗的风险评估。在低风险情况下，索要出生年份或填写他（不是）未成年人的表格可能就足够了。如有疑问，主管应更改检查年龄的方法，并考虑是否需要其他检查。

7.1.4。儿童同意书和父母权利

GDPR不会确定如何获得父母同意或确定谁有权这样做。因此，WP29建议根据GDPR第8条第2款和第5条第1款采用比例方法©DataR（数据最小化）。比例方法是获取有限数量的信息，例如父母或监护人的联系方式。

验证用户年龄足以提供自己的同意书以及提供儿童同意书的人具有父母权利的合理做法可能取决于处理风险和可用的技术。在低风险情况下，电子邮件确认可能就足够了。相反，在高风险情况下，可能需要请求其他证据，以便控制者可以根据GDPR第7条第1款进行验证和存储。第三方验证服务可以提供使控制器必须处理的个人数据量最小化的解决方案。

23

- , . :

1: , 16 ( ). , , :

2: , . .

3: , , .

4: .
, , 8 GDPR.

该示例表明，控制者可以证明已经做出了合理的努力，以确保提供给儿童的服务具有合法的同意书。第8条第2款规定：“控制者应考虑到可用的技术能力，必须做出合理的努力，以确保该同意书是由对孩子具有父母权利的人给予的，或者已经得到他的同意。”

控制器有义务确定在特定情况下哪种措施合适。通常，主管应避免进行导致过多收集个人数据的检查。

WP29认识到，在某些情况下验证可能很复杂（例如，获得同意书的儿童尚未留下“数字足迹”或父母权利难以验证。在确定合理措施时可以考虑复杂性，但希望控制者不断监控他们的过程。和可用技术。

关于对象同意处理个人数据并对其进行完全控制的权利，只要数据对象达到数字同意年龄，就可以确认，更改或撤销父母或监护人的同意。实际上，这意味着如果孩子不采取任何行动，则在数字同意书年龄之前授予父母或监护人同意的处理同意书仍将是处理的法律依据。在达到数字同意书的年龄时，儿童可以根据第7条第3款撤销其同意书。根据公平和透明的原则，要求管制员告知儿童这种可能性。

重要的是要注意，根据第38条，直接向儿童提供的预防或咨询服务不需要父母或监护人的同意。例如，提供在线儿童保护服务不需要父母的许可。

总而言之，GDPR确定有关未成年人的授权书规则不影响“欧盟国家的总合同法，例如有关儿童的协议的签订或执行”。因此，使用这些孩子的合法同意的要求是法律框架的一部分，应与国家的合同法分开考虑。因此，该指南未解决未成年人签订的在线合同的合法性问题。两种法律制度可以同时适用，GDPR的范围不包括国家合同法的统一。

7.2。科学研究

研究目标的定义对控制器可以执行的整个数据处理活动范围具有重大影响。 GDPR中未定义“科学研究”一词。第159段指出：“……在本法规的框架内，应广泛解释为科学研究目的而处理个人数据……”，但是，WP29认为，这一概念的范围不能超出其一般含义，因此，“科学研究”在本文中指一项研究项目。根据行业方法和道德标准以及最佳实践创建。

如果同意书是根据GDPR进行研究的法律依据，则应将其与同意书的其他要求分开，并遵守道德标准或程序义务。当处理不是基于同意书而是基于其他法律依据时，此类程序义务的示例可以在“临床试验时间表”中找到。在数据保护权利的背景下，提到的最后一种同意形式可以被视为一种额外的保护措施。同时，GDPR并不将第6条的适用范围仅限于同意用于研究目的的数据处理。只要存在保护措施，例如第89条第1款的要求，并且处理过程是公平，合法，透明的，并且符合数据最小化标准和个人权利，可能还有其他法律依据，例如第6条第（1）款（e）或（f）项。除第9条第2款（j）项外，这也适用于特殊类别的数据。

在科学研究的背景下，第33段似乎为同意书的具体化和完善程度带来了一定的灵活性。它说：“在收集数据时，通常无法完全确定用于科学研究的个人数据的处理目的。因此，应根据其目标与公认的科研道德标准相一致，使数据主体有机会同意某些科学研究领域。数据主体应仅能够根据预期目的就某些研究领域或部分研究项目给予同意。”

首先，应该指出的是，第33段并未取消要求获得特定同意书的义务。这意味着，原则上，只有在研究项目具有明确的目的的情况下，研究项目才可以基于同意书包含个人数据。如果一开始无法确定研究项目框架内数据处理的目标，则第33段允许例外，即可以以更一般的方式描述目标。

鉴于GDPR第9条规定的处理特殊数据类别的严格条件，WP29指出，在根据明确的同意书处理特殊数据类别的情况下，应该对弹性方法进行更严格的解释，并需要进行更仔细的研究。

考虑到GDPR的整体，不能以允许控制者规避确定要求数据主体同意的目的的关键原则的方式来解释它。当无法完全定义研究目标时，控制者应寻求其他方式来确保最基本地同意同意要求，例如，允许数据主体以更笼统的术语以及从一开始就知道的研究项目的特定阶段同意研究目标。随着研究的进展，可能需要先同意下一步。但是，此类同意书应继续符合科学研究的道德标准。

另外，在这种情况下，控制器可能会采取其他预防措施。例如，第89条第1款强调在出于科学，历史或统计目的处理数据时必须采取保障措施。这些目标“包括对数据主体权利和自由的保证。”可能的保护措施包括最小化，匿名化和数据安全性。如果可以在不处理个人数据的情况下实现研究目的，则首选匿名化。

当研究的情况不允许特定的同意时，透明度是一种额外的保障措施。缺乏具体化的目标可以通过在研究项目实施过程中由主管定期提供的有关其演变的信息来弥补，因此随着时间的推移，同意将变得越具体越好。同时，数据主体至少对情况有基本的了解，这使得可以评估是否应根据第7条第3款使用撤销同意的权利。

此外，在获得同意之前，有一个针对数据主体的全面研究计划可以帮助弥补目标上的细节不足。在这样的研究计划中，应尽可能明确地定义研究主题和工作方法。研究计划可能有助于遵守第7条第（1）款，因为主管人员必须在获得《同意书》时向数据主体表明哪些信息可用，以便能够证明该信息是合法的。

重要的是要记住，当同意书被用作处理的法律依据时，数据主体必须能够撤销它。WP29指出，撤销同意书可能会干扰需要个人数据的研究，但是GDPR明确表明可以撤销同意书，并且主管人员必须按照此采取行动-科学研究也不例外。如果控制者收到撤销同意书的请求，实际上，如果他希望继续研究，他有义务立即删除个人数据。

7.3。数据主体权利

如果数据处理是基于数据主体的同意，则将影响该人的权利。数据主体有权获得其数据的可移植性（第20条）。同时，即使处理是基于同意书进行的，异议权（第21条）也不适用，即使在任何时候撤回同意书的权利产生了相同的结果。

GDPR第16至20条指出（当数据处理基于同意书时），数据主体有权在撤销同意书时删除数据，并有权限制，调整和访问它们。

8.根据指令95/46 / EC获得的同意

不需要监督员已经根据地方法规在同意书的基础上处理数据，为GDPR做准备，不需要自动完全更新与数据主体的所有关系。在符合GDPR的前提下，已经获得的同意仍然是合法的。

监管人员必须在2018年5月25日之前详细检查当前流程和记录，以确保现有协议符合GDPR（请参见GDPR第171段），这一点很重要。 GDPR引入了同意机制的最高标准，并引入了许多新要求，这些要求要求管理者更改同意程序，而不仅仅是重写隐私政策。

例如，由于GDPR要求控制者能够证明已获得合法同意，因此所有其他同意均自动不符合GDPR，因此必须将其替换。同样，由于GDPR需要“声明或明确的肯定行动”，因此基于数据主体的间接行为（例如，预设复选框）的所有其他同意书也将与GDPR不匹配。

此外，为了证明已获得同意或完善数据主体的选择，可能需要检查流程和系统。此外，应该可以轻松地撤销同意书，并应提供有关如何执行此操作的信息。如果现有的同意书管理程序不符合GDPR要求，则要求控制者获得与之相对应的新同意书。

另一方面，由于知情同意的条件并不总是需要第13条和第14条提到的所有要素，因此GDPR的扩展义务不一定与GDPR生效之前提供的同意的连续性相抵触。指令95/46 / EC中没有要求告知数据主体有关处理原因的要求。

如果控制者确定早先根据旧法规获得的同意书不再符合GDPR，则他必须采取措施遵守该条例，例如更新同意书。根据GDPR，用一种法律依据代替另一种法律依据是不可接受的。如果控制者无法更新同意书，并且不能继续遵守GDPR，则要在另一法律基础上处理数据，同时确保以公平和透明的方式继续进行处理，则应停止处理活动。无论如何，要求控制者遵守合法，公平和透明的数据处理原则。

GDPR：同意处理个人数据