GDPRの枠組み内で個人データの処理に対する同意を常に取得する必要がない理由

欧州連合の顧客とのそれらのための記事。 私はISPsystemの弁護士として働いており、GDPRの複雑さを数か月間理解しています。 この記事では、彼についての私の考えを共有し、個人データを処理する許可をクライアントに求める必要がある理由を説明します。

152-FZでのライフハック

まず、小さいながらも重要な余談。



最近、商社の友人が私にウェブスタジオとの契約を見るように頼みました。 それらはストアのWebサイトを変更しようとしていました。 まず、参照条件を開き、サイトの所有者をRoskomnadzorに個人データのオペレーターとして登録することを計画しているのを見ました。 私は考えました：「彼らは本気ですか？」そして彼自身が答えました：「残念ながら、はい。」



同じアドバイスは、「個人データに関する」法律（152-FZ）の順守に関する10件の記事のうち7件にあります。 アドバイザーは、「まず、登録簿に個人データオペレーターを含めるための申請書を提出してください。」と言います。 そして、これらの推奨事項の多くは次のとおりです。



今注目！ 同じ法律の第22条は、契約の実行にデータ処理が必要な場合、Roskomnadzorに通知すべきではないと決定しています。



製品/サービスをオンラインで販売していますか？ いいね！ データを他の目的に使用しない場合、Roskomnadzorに通知を送信する必要はありません。 これは簡単なレシピです。

さて、今話題に。

GDPRとエラー土壌について

5月25日に、152-- GDPR（一般データ保護規則）の欧州版が発効します。 この文書は、欧州連合で商品やサービスを販売するすべての人に適用されます。 ISPsystemでは、欧州連合を含む世界中で購入されているホスティングおよびデータセンター用のソフトウェアを作成しています 。 したがって、私たちにとってこのトピックは非常に重要です。



GDPRを理解するのは難しく、最高20,000,000ユーロまたは年間世界収益の4％の罰金が違反の恐れがあります。 したがって、彼らは彼について多くのことを話し、152-FZの物語のように、彼らはおそらく普遍的なアドバイスを与えます：「個人データの処理に同意する」。



欧州のインターネットには、こうした文脈があります（文脈から外れています） ：

「収集したいデータについて常に同意を得る必要があります。 「それは、収集する法的根拠の要件を満たすだけでなく、GDPRの下での一般的な要件でもあります。」

完全に自由に翻訳すると、「常に同意を得なければならない」ことが判明します。



そのような記事の後、私は100,500の「同意の印」を作りたいです。 しかし、本当に個人データの処理に常に同意する必要がありますか？ いいえ、必要ありません！ 少なくとも-常にではありません。



「主なことを理解してみてください。 スプーンは存在しません」（（C）映画「マトリックス」）。





私たちは、ユーザーの同意をデータ処理の唯一の可能な基盤として認識することに慣れています。 しかし、これは真実ではありません。 根拠の一つとして、それは別個の法的根拠として認識されるべきです。 同意は緑のようなものです。それは役立ちますが、すべてからではありません。

個人データを扱う理由

個人データの処理は、アートの原則に従って実行された場合にのみ合法です。 5およびアートの6つの法的基盤の1つに基づいています。 6 GDPR。



GDPRのテキストでは「同意」という言葉が72回出現するという事実にもかかわらず、これは処理の根拠の1つにすぎず、それ以上ではありません。



アートの段落7によると。 152-の14、オペレーター（GDPR「コントローラー」の用語では、目標と処理手段を決定する人）は、個人データの処理の法的根拠と目標も決定しなければなりません。 しかし、このためには、多くの規制を研究し、法律の特定の規定を参照する必要があります。 GDPRはより単純です。法律は法的根拠のみを必要とします。



アートの立場から。 6（1）GDPR、これらのベースには以下が含まれます。

• a）1つまたは複数の特定の目的のために個人データを処理するデータ主体の同意。
• b）データ主体が当事者の1人である契約の実行のための処理、および契約の締結に先行するステップに関する処理。
• c）コントローラーが対象とする法的義務を順守するために処理が必要です。
• d）データ主体またはその他の自然人の重大な利益を保護するための処理。
• e）公益または管理者に付与された公的権限の行使における処理。
• f）管理者または第三者の正当な利益を確保するための処理。

データ主体の同意は、他に適切な根拠がない場合にのみ必要です。 どこでも、常にそれを受け取る必要はありません。 さらに、GDPRによると、データ主体は、自分の決定を簡単に変更する機会を持っている必要があります。それは、チェックする方法とチェックを外す方法です。



したがって、「チェックマーク」を使用してフォームのレイアウトを開始する前に、収集するデータと収集する理由を決定し、適切な基準を設定します。 万が一のために収集した情報の収集を拒否します。 その後、処理に対する同意をまったく取得する必要がなくなる可能性があります。 これについて詳しく説明します。

個人データと契約：私たちは処理し、尋ねません

その内容の基礎は、ロシアの法律に似ています（導入部からの話を思い出してください）。



サブによると。 （b）アート。 6（1）GDPR。契約の実行にデータ処理が必要な場合、簡単に、そして最も重要なことには同意なしに、それを作成できます。 契約の締結前であっても、アクションがデータ主体から要求された場合（たとえば、彼はアプリケーションを送信しました）。



ここで、発言する価値があります。データは、契約の実行に必要な範囲でのみ処理する必要があります。 CRMフィールドに入力するために情報が必要な場合、情報はこの基準の外に残ります。



簡単な例 。 同社はインターネットを介して商品を販売しています。 購入時に、クライアントは個人データを提供し、ストアは契約の実行に関連してそれらを処理します。 同意を得る必要がありますか？ いいえ、データが冗長ではなく、他の方法で使用されない場合。



データがまだ処理中であることをユーザーに通知するだけでなく、処理方法、保護対策について話し、GDPRに従って他の情報に精通する必要があります（第5条、第13条、第14条）。



注文フォームでは、ポリシーに慣れているという通知のみをストアに追加する必要があります。 同意に悪名高いチェックマークを付けて、同意の受領を確認するための技術条件を作成する必要はありません（前文の段落42）。 私は、このポリシーに慣れるのに興味があるのはいいことだと思います。



ただし、企業が個人データを使用する場合、たとえば、ターゲットを絞った広告の郵送に使用する場合、これはもはや契約ベースに該当しません。 この場合、処理には2つの目標があり、2番目の目標は、同意に基づいて、または正当な利益に基づいて（以下について）構築する必要があります。

同意なしの法的関心または法的根拠

2番目にプラスチックの基礎は「正当な利益」です。

正当な関心はデータ保護にとって新しいものではありません。 違いは詳細にあります。

GDPRプリアンブルのパラグラフ47は、その根拠の意味を明らかにしています。 完全なコンテンツを提供すると便利だと思います。 本文では、「正当な利益」は基礎そのものとして理解されています。

「（47）コントローラー<...>または第三者の正当な利益は、 データ主体の利益または基本的権利および自由に勝っていない場合、データ主体の合理的な期待を考慮に入れて、処理の法的根拠を作成する場合があります。コントローラー。 たとえば、 データ主体がクライアントまたは従業員である状況で、データ主体とコントローラーの間に適切な関係がある場合、そのような正当な関心が生じる可能性があります 。 いずれにせよ、正当な利益の存在は、データ主体が個人データを処理する際に個人データの処理を合理的に期待 できるかどうかなど、慎重に評価する必要があります<...> 詐欺を防ぐために必要な個人データの処理もそれぞれのデータ管理者の正当な利益。 ダイレクトマーケティングを目的とした個人データの処理は、正当な利益に役立つ処理と見なされる場合があります。」

この基準を適用するための主な基準を選択します。

1. あなたは正当な目的を追求しています。
2. 処理が必要です。つまり、他の方法では目標を達成できません。
3. 処理はバランスが取れており、潜在的な害は重要ではありません。
4. 処理はデータ主体にとって明らかです。

基礎は多面的で難しい。 アプリケーションの考えられる状況：詐欺防止、法的保護、ダイレクトマーケティング。 ダイレクトマーケティングの場合は、アートも参照する必要があります。 21 GDPRおよびeコマース規制、例： 欧州指令 2002/58 / EC



正当な利益の根拠を説明するために、ロシアの司法慣行からの不条理なケースについて説明します。 簡単に言うと、住宅および公共サービス部門の会社が、裁判所への請求書を作成するために、法律事務所に非支払人に関するデータを提出しました。 一方、債務者の1人は、なんとかしてArtの下で会社を管理責任に導いた。 13.11管理コード。データの転送に対する同意が得られなかったため。 不条理！ 実際、152-は、市民売上高の参加者の権利を侵害し、債務者による虐待の可能性をもたらしました。 法律が正当な利益の根拠を使用した場合、これは起こりませんでした。 GDPRでは、このようなデータ転送の完全に正当な根拠を作成します。

実際の正当な利益の基礎

開発会社がライセンスの下でWebサービスへのアクセスを提供するとします。 彼は個人データを使用して契約を締結し、統計を収集します（非個人的ではありません）。 データ処理には、契約の実行と製品の改善、技術的な問題の解決という2つの目標があります。



最初の目的は、契約に基づいており（第6条（1）のサブパラグラフ（b））、同意を必要としません。



2番目の目標は、以下に基づいて実現できます。



a）同意（第6条（1）のサブパラグラフ（b））、

b）正当な利益の根拠（サブセクション（f）第6条（1））。



会社が同意ベースを適用することを決定した場合、事前にマークされていないチェックボックスを注文フォームに追加する必要があります。 統計を収集するためのデータを提供することに同意するユーザーの数は？ ほとんどない。



正当な利益の根拠を適用する場合、会社は積極的な行動を必要とせずに権利についてのみ話します（GDPR第21条（4））。 さらに、データ主体の権利に対する一般的な関心が正当化される場合、会社は拒否に関係なくデータを処理する権利を有します。



会社は正当な利益の根拠を適用するために質問に答えることができますか？ チェック：

使用目的	ライセンシーの利益を満たすために製品の安定性を改善する。
必要性	別の方法で必要なパラメータの集合で統計を取得することは不可能です。
利益のバランス	処理はバランスが取れており、潜在的な害は重要ではありません。
開放性	データ処理はオープンであり、データ主体にとって明白です。

ご覧のとおり、会社には同意を得られないあらゆる理由があります。 ただし、制限事項に留意してください。

• 個人データを収集する前に、処理の目的と正当な利益について被験者に通知する必要があります（GDPR第13条（1）の段落（d）、第14条（2）の段落（b））。 つまり、アプリケーションは公的に動機付けられ、文書化されなければなりません。
• データ主体には、処理に反対する権利（第21条）、削除および制限する権利を付与する必要があります。

一方、統計を収集するときは、別の方法で法律を遵守するだけです。データを匿名化します。 匿名化されたデータの処理は、GDPRによって規制されていません。

結論

1. 急いで個人データの処理に同意しないでください。 まず、次の質問に答えます。誰がどのデータを収集し、どのような目的で、どのような保護手段を使用し、このデータを誰に開示し、どのベースが最も適切か。
2. 冗長データを収集していることに気付いた場合は、収集を拒否してください。 個人データ処理ポリシーに、残りの収集の根拠、保護の手段、および潜在的な送信チャネルを記録します。 さらに、処理と転送は文書化する必要があります。 情報コミッショナーのオフィスはこれを行う方法を説明し、会計フォームを推奨します。
3. サービスの提供と商品の販売についてのみデータを収集する場合、同意を得る必要はありません（ただし、ポリシーを作成し、他の手続きを実行する必要があります）。
4. 分析、不正防止、違法行為のためにデータを収集する場合は、この収集が正当な利益に基づいているかどうかを判断し、そうであれば、ポリシーに記載してください。 データを匿名化するか、より簡単な場合は処理に同意します。
5. 処理に同意する場合、この同意を取り消すことを検討してください。
6. 各決定は、アクティビティの詳細、収集されたデータに基づいて正当化され、詳細に文書化される必要があります。

GDPRは非常に広範なトピックであり、その詳細を1つの記事で説明することはできません。

ここでは、特別なカテゴリのデータの処理、図解されたベースのアプリケーションの複雑さと機能、処理に関係する当事者の権利と義務、国境を越えた送信の問題、GDPRに関連する他の多くの問題については触れませんでした。



GDPRは、個人データはあなたのものではなく、データ主体のものであることを強調しています。 情報の受信から編集、処理または削除を制限する権利まで、それらを完全に制御する必要があること。