通用数据保护条例（GDPR）合规性

什么是GDPR？

GDPR是欧盟的通用数据保护条例，赋予消费者更多对个人信息的控制权。与其他隐私法一起，为大规模的网站追踪和跟踪Cookie定义了新规则。

大多数在欧盟开展业务的公司都了解 通用数据保护条例（GDPR）， 该条例于__2018年5月25日__生效。发现不合规的组织将面临重罚： €20百万或全球收入/营业额的4% 每次违规。对于大公司来说，这可能意味着数百万甚至数十亿美元的罚款。每个人都受到威胁，不能忽视GDPR。UniConsent有助于从一开始就简化合规流程，并为未来提供支持。

同意法和GDPR合规性

Ch. I, Art. 4(11); Ch. II, Art. 7, §§ 1-4. “同意应通过明确的积极行为来给出， 自由给予，具体、知情和明示的表示数据主体同意处理与其相关的个人数据，例如书面声明（包括电子手段），或口头声明。这可能包括在访问互联网网站时勾选框，选择信息社会服务的技术设置，或其他在这个上下文中清楚表明数据主体同意处理他或她的个人数据的声明或行为。沉默， 预先选中的框 或不活动因此 不应 构成同意。同意应涵盖为相同目的或目的进行的所有处理活动。当处理具有 多个目的 时，应为所有目的都给予同意。如果要求通过电子手段给予数据主体的同意，则请求必须明确、简洁，并且不应对提供服务的使用造成不必要的干扰。”Recital ¶ 32. 支持同意的信息必须“简明扼要，易于访问和理解，以及…使用清晰而平实的语言，并在适当的情况下使用可视化，”当“数据主体难以知道和理解是否以及由谁以及出于什么目的正在收集与他或她有关的个人数据，例如在线广告的情况。”Recital ¶ 58.

"Safeguards should ensure that the data subject is aware of the fact that and the extent to which consent is given. … [A] declaration of consent pre-formulated by the controller should be provided in an intelligible and easily accessible form, using clear and plain language and it should not contain unfair terms. For consent to be informed, the data subject should be aware at least of the identity of the controller and the purposes of the processing for which the personal data are intended. Consent should not be regarded as freely given if the data subject has no genuine or free choice or is unable to refuse or withdraw consent without detriment." Recital ¶ 42. "Consent is presumed not to be freely given if it does not allow separate consent to be given to different personal data processing operations despite it being appropriate in the individual case, or if the performance of a contract, including the provision of a service, is dependent on the consent despite such consent not being necessary for such performance." Recital ¶ 43, Ch. II, Art. 7, § 4.

"Scrolling down or swiping through terms and conditions which include declarations of consent (where a statement comes up on screen to alert the data subject that continuing to scroll will constitute consent) will not satisfy the requirement of a clear and affirmative action". - from the article 29 Working Party.

Consent Law and GDPR Compliance Overview

Consent

Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject's agreement to the processing of personal data relating to him or her.

Acceptable Forms of Consent

Valid and compliant user consent shall be, for example, a written statement, including by electronic means, or an oral statement. This could include ticking a box when visiting an internet website, choosing technical settings for information society services or another statement or conduct which clearly indicates in this context the data subject's acceptance of the proposed processing of his or her personal data.

确保数据主体清楚知晓并了解同意的事实及程度是必要的安全措施。……控制者提供的预先制定的同意声明应以易理解、易获取的形式呈现，使用清晰简明的语言，且不应包含不公平的条款。为了使同意达到知情的程度，数据主体至少应知晓控制者的身份和拟进行个人数据处理的目的。如果数据主体没有真正的自由选择权，或者无法在不受损害的情况下拒绝或撤回同意，同意就不应被视为自由给予的。"陈述第42款。"如果同意不允许在个体案例中对不同的个人数据处理操作给予单独同意，或者合同的履行，包括服务的提供，依赖于同意，尽管对于这样的履行同意并非必要，同意被假定不是自由给予的。"陈述第43款，第II章，第7条，第4款。

"向下滚动或刷过包含同意声明的条款和条件（当有一则通知出现在屏幕上，告知数据主体继续滚动将构成同意时） 不能 满足清晰和积极行动的要求。" - 来自第29工作组的文章。

同意法和 GDPR 合规概览

同意

同意应通过明确的积极行为给予，建立在数据主体自愿、具体、知情和明示同意其个人数据处理的迹象的基础上。

可接受的同意形式

有效和合规的用户同意可以是，例如，书面声明，包括通过电子手段，或口头声明。这可能包括在访问互联网网站时勾选框，选择信息社会服务的技术设置或其他在这一背景下清楚表明数据主体接受其个人数据处理的建议的声明或行为。

不可接受的同意形式

沉默、预先勾选的框或不活跃不应构成同意。同意应涵盖出于相同目的或目的而进行的所有处理活动。当处理涉及多个目的时，应对所有目的给予同意。如果数据主体的同意是通过电子方式在请求后给予的，则请求必须明确、简洁，并且不应对提供的服务的使用造成不必要的干扰。

清晰、简洁且易懂

支持同意的信息必须简洁、易于访问且易于理解。必须使用清晰、简单的语言呈现，并在适当的情况下，应使用可视化，尤其是在用户难以知道和理解关于他或她的个人数据是否被收集以及由谁和出于什么目的收集的情况下，例如在线广告的情况。

适当的保障

保障措施应确保用户意识到同意的事实及程度。由控制者预先制定的同意声明应以可理解且易于访问的形式提供，使用清晰简单的语言，并且不应包含不公平的条款。为了使同意是知情的，用户至少应该意识到控制者的身份和拟进行个人数据处理的目的。如果用户没有真正的自由选择权，或者不能在没有不利后果的情况下拒绝或撤回同意，则不应将同意视为自由给予的。

如果同意不允许对不同的个人数据处理操作给予单独同意，尽管在个别情况下这是合适的，或者如果履行合同，包括提供服务，取决于同意，尽管不需要此类同意来执行合同，那么就假定同意不是自由给予的。

GDPR 合规注意事项

要符合GDPR并不像同意条款和条件那样简单，它涉及比滚动或通过包含同意声明的条款和条件更多的事情（其中在屏幕上弹出一个声明，提醒数据主体继续滚动将构成同意），这种设置将无法满足对同意进行明确和积极行动的要求。

更多与 GDPR 同意相关的文章

IApp 于 2018 年 4 月 10 日发布了有关同意的最终指南，由 IApp 提供

《通用数据保护条例（GDPR）指南》，由 ICO UK 提供

什么是有效同意？，由 ICO UK 提供

为什么同意如此重要？，由 ICO UK 提供

UK GDPR 与 EU GDPR 有何区别

更多与 GDPR 相关的同意文章

IApp 在 2018 年 4 月 10 日发布了关于同意的最终指南，由 IApp 提供

《通用数据保护条例（GDPR）指南》，由 ICO UK 提供

什么是有效的同意？，由 ICO UK 提供

为什么同意如此重要？，由 ICO UK 提供

UK GDPR 与 EU GDPR 有何不同