《GDPR》规定,同意是处理个人数据的首要法律依据。对于哪些情况下同意被视为最合适的处理依据,GDPR 设定了高标准。
ICO 强调了在使用同意作为处理个人数据的法律依据时应遵循以下重要原则:
• 同意必须具体指明,即必须明确指定可能与其共享数据的第三方。仅提供第三方的类 扎洛数据库 别是不可接受的;同意必须细化,即必须针对每项处理活动单独获得同意;
• 同意不能作为先决条件,且不得与条款和条件捆绑在一起;
• 仅当没有其他合法处理依据时才应依赖同意。
简而言之,同意意味着个人拥有选择权,并最终对其个人信息拥有更大的控制权。真正的同意有效地使个人(数据主体)掌控其数据,并应建立对组织(数据控制者)的信任和信心。同意需要主动选择加入。根据 GDPR 法律,默认的预选框或其他同意方式是不可接受的。同意请求必须清晰简洁,并且与其他条款和条件完全独立。GDPR 要求企业为个人提供便捷的同意和撤回同意的途径。此外,同意必须是“细粒度的”,这意味着必须针对每项单独的处理活动分别给予同意。一揽子同意是不可接受的。
GDPR 第 4 条第 11 款将“同意”定义为:数据主体的“同意”是指数据主体以声明或明确的肯定行动,自由给出的、具体的、知情的和明确的意愿表示,表示同意处理与其相关的个人数据;
为了进一步明确,GDPR Recital 32 规定:
同意应以明确的肯定行为表示,该行为应以自由、具体、知情和明确的表示方式表明数据主体同意处理与其相关的个人数据,例如以书面声明(包括电子方式)或口头声明。这可能包括在访问互联网网站时勾选方框、选择信息社会服务的技术设置或另一种明确表明数据主体接受拟议的个人数据处理的声明或行为。因此,沉默、预先勾选的方框或不作为不应构成同意。同意应涵盖为同一目的或多个目的开展的所有处理活动。当处理具有多个目的时,应对所有目的均表示同意。如果数据主体的同意是根据电子请求给予的,则请求必须清晰、简洁,并且不会不必要地干扰所提供的服务的使用。