О чём эта статья

Статья 7 — условия действительного согласия. Расшифровка определения из Art. 4(11). Если согласие не соответствует этим условиям — оно не считается полученным, и обработка незаконна.

7(1) — Бремя доказывания

Контролёр должен быть способен продемонстрировать, что субъект данных дал согласие на обработку.

То есть бремя доказывания лежит на контролёре, а не на субъекте. Если нет записи о согласии — согласия нет.

7(2) — Форма запроса согласия

Если согласие даётся в письменном заявлении, которое касается также других вопросов, запрос на согласие должен быть представлен ясно и отличимо от других вопросов, в понятной и легко доступной форме, ясным и простым языком.

Любая часть такого заявления, нарушающая GDPR, необязательна для субъекта.

То есть: нельзя «спрятать» согласие в общих условиях; нельзя писать его юридическим языком; нельзя требовать согласие как часть пакета с другими вещами.

7(3) — Право отозвать согласие

Субъект данных имеет право отозвать согласие в любое время. Отзыв согласия не должен влиять на законность обработки, основанной на согласии до его отзыва.

Отзыв должен быть так же прост, как и его дача. Если согласие давалось одним кликом — отзыв должен быть тоже одним кликом.

7(4) — Свобода согласия

При оценке свободы согласия должно быть в максимальной степени учтено, не было ли исполнение договора, в том числе оказание услуги, обусловлено согласием на обработку данных, не необходимых для исполнения этого договора.

Это — главное оружие против «согласия в обмен на услугу». Если сайт говорит «либо вы согласны на 40 трекеров, либо не пользуйтесь сайтом» — это не свободное согласие.

Почему это важно для аудита

Подавляющее большинство нарушений согласия касается одной из четырёх ситуаций:

  1. Кнопка «Принять все» большая и яркая, кнопка «Отклонить» отсутствует или спрятана → нарушение 7(1) и 7(4).
  2. Трекеры срабатывают до взаимодействия с баннером → согласие не успело быть дано, нарушение 7(1).
  3. Cookie wall: «согласие или нет доступа» → нарушение 7(4).
  4. Отзыв согласия требует регистрации, заполнения форм → нарушение 7(3).

Каждый из этих случаев — отдельный пункт нарушения.