GDPR下有效同意的要件
GDPR第7条规定了有效同意的要件,其中某些在DPA中没有具体规定。有效同意的要件之一是,数据控制者必须能够证明,数据主体确实同意处理其个人数据。书面声明不是必须的,但推荐使用,因为证明责任在数据控制者这边。网上作出同意的充分记录(例如,通过在网站上的联系方式)应当作为标准。
【广东昊霖企业管理有限公司】
通用数据保护管理体系认证证书申报 数据相关组织
如果数据主体通过书面声明的方式作出同意,且书面声明涉及其他事项,那么同意应以易于理解且与其他事项显著区别的形式呈现。如果信息的提供不符合本规定,同意将可能无效。
根据DPA,数据主体有权随时撤回其同意。撤回同意应当同给出同意一样容易。GDPR的新规定为,数据主体必须在作出同意前被告知其撤回权。此外,数据主体还必须被告知撤回不影响在撤回前基于同意对其个人数据的处理。这不仅需要隐私政策的修订,也可能需要相关组织内部流程的改变,以确保撤回同意与给出同意同样容易。
儿童的同意
对于向儿童提供信息社会服务(简而言之:所有在线服务,无论是免费的或付费的,包括社交媒体),应当适用特殊的同意规则。原因是,儿童应被给予额外的保护,因其一般都缺乏对风险、保障措施和与处理个人数据相关权利的了解。这种特殊的保护应适用于,当服务被直接提供给儿童时,儿童的个人数据被用于市场营销或创建个性/用户模型,以及收集儿童的个人数据的情况。任何信息和沟通都应当以清晰且简明的语言表达,使得儿童容易理解。
只有在儿童年满16周岁时,基于同意的数据处理才是合法的。如果儿童未满该年龄,则只有在有监护权的父母同意(或授权)的情况下,数据处理才是合法的。欧盟各成员国可以规定更低的年龄门槛,但不得低于13周岁。荷兰将不会规定更低的年龄(据立法者称,没有理由改变目前的情况)。欧盟范围内的相关组织,在取得同意的基础上处理儿童的个人数据时,应了解欧盟各成员国在这方面的立法。
对于缺乏法律行为能力的其他数据主体,《GDPR荷兰实施法案》(“实施法案”)规定,被接管(curatele)或置于保护令(mentorschap)之下的数据主体,也需要其法定代表人的同意(同意也可由法定代表人撤回)。
考虑到现有技术,数据控制者应作出合理的努力,以证明同意实际是由法定代表人作出或授权的。