Sự đồng ý là gì?

Sự đồng ý là gì?

Công nghệ đã thay đổi đáng kể cách chúng ta giao tiếp và cách chúng ta kinh doanh hàng ngày. Nếu một tổ chức đang xử lý dữ liệu cá nhân về một cá nhân, thì tổ chức đó phải có căn cứ hợp pháp để làm điều đó. Quy định chung về bảo vệ dữ liệu 2016 (GDPR) đưa ra các quyền mới của cá nhân và nghĩa vụ đối với tổ chức khi xử lý bất kỳ dữ liệu cá nhân nào. Điều này bao gồm rằng tất cả quá trình xử lý phải công bằng và hợp pháp. Có sáu cơ sở hợp pháp có sẵn để xử lý và nó sẽ phụ thuộc vào mục đích sử dụng dữ liệu và mối quan hệ với cá nhân (được gọi là chủ thể dữ liệu) khi xem xét cơ sở nào phù hợp nhất. Một trong những cơ sở có thể có để xử lý là dựa trên sự đồng ý.

Chúng ta có nên dựa vào sự đồng ý không?

Khi chúng tôi thường được hỏi “sự đồng ý” nghĩa là gì và khi một tổ chức có thể dựa vào sự đồng ý của một cá nhân (hay đúng hơn là khi không thể dựa vào đó), chúng tôi nghĩ rằng có thể đã đến lúc tóm tắt (hoặc giới thiệu nếu tổ chức của bạn mới xử lý thông tin cá nhân). Tóm lại, để sự đồng ý có hiệu lực, cá nhân phải đồng ý rõ ràng với tổ chức để dữ liệu cá nhân của họ được xử lý cho một mục đích cụ thể. Theo luật trước đây (Đạo luật bảo vệ dữ liệu 1998), sự đồng ý thường được dựa trên cơ sở nhất để xử lý. Tuy nhiên, theo GDPR, đã có một sự thay đổi trong cơ chế đồng ý và có thể sự đồng ý không phải là cơ sở thích hợp nhất để xử lý trong tương lai. Các tổ chức nên luôn xem xét liệu một nền tảng pháp lý khác có phù hợp hơn hay không. Các cơ sở khác bao gồm việc hoàn thành nghĩa vụ theo hợp đồng (ví dụ: giao hàng hóa hoặc dịch vụ do cá nhân đặt hàng), hoặc thay vì dựa vào sự đồng ý để xử lý thông tin liên quan đến việc làm, thì việc thay đổi cơ sở pháp lý để thay vì dựa vào các điều khoản hợp đồng của nhân viên sẽ nhiều hơn có khả năng tuân thủ GDPR. Nếu một tổ chức quyết định rằng sự đồng ý là cơ sở thích hợp nhất để xử lý (ví dụ để gửi thông tin liên lạc tiếp thị) thì quyết định này phải được ghi lại và danh sách kiểm tra sau đây cần được tính đến: thay đổi cơ sở pháp lý thay vì dựa vào các điều khoản hợp đồng của nhân viên có nhiều khả năng tuân thủ GDPR hơn. Nếu một tổ chức quyết định rằng sự đồng ý là cơ sở thích hợp nhất để xử lý (ví dụ để gửi thông tin liên lạc tiếp thị) thì quyết định này phải được ghi lại và danh sách kiểm tra sau đây cần được tính đến: thay đổi cơ sở pháp lý thay vì dựa vào các điều khoản hợp đồng của nhân viên có nhiều khả năng tuân thủ GDPR hơn. Nếu một tổ chức quyết định rằng sự đồng ý là cơ sở thích hợp nhất để xử lý (ví dụ để gửi thông tin liên lạc tiếp thị) thì quyết định này phải được ghi lại và danh sách kiểm tra sau đây cần được tính đến:

Không sử dụng các hộp được đánh dấu trước, hộp chọn không tham gia hoặc một cài đặt mặc định khác khi được sự đồng ý;

Bất cứ khi nào có thể, hãy đưa ra các tùy chọn riêng biệt ('chi tiết') để đồng ý với các mục đích khác nhau và các loại xử lý khác nhau (ví dụ: đồng ý nhận thông tin qua email thay vì tin nhắn SMS);

Đảm bảo rằng yêu cầu đồng ý rõ ràng và rõ ràng;

Giữ cho yêu cầu đồng ý ngắn gọn và dễ hiểu;

Giữ lựa chọn đồng ý tách biệt với các điều khoản và điều kiện khác (nó phải được đưa ra một cách tự do);

Đảm bảo rằng cá nhân đó có thể từ chối sự đồng ý mà không nhận được dịch vụ bị giảm bớt (ví dụ: vẫn truy cập vào một số khu vực của trang web mà không cần đăng nhập);

Lưu hồ sơ để làm bằng chứng cho sự đồng ý - ai đã đồng ý, khi nào, như thế nào và những gì họ đã được nói.

Giúp mọi người dễ dàng rút lại sự đồng ý bất cứ lúc nào họ chọn. Cân nhắc sử dụng các công cụ quản lý ưu tiên.

Chúng ta nên nói gì với các cá nhân?

Khi một tổ chức đang tìm kiếm sự đồng ý để thực hiện một số loại hoạt động xử lý (chẳng hạn như thêm vào cơ sở dữ liệu tiếp thị), cá nhân đó phải được cung cấp thông tin rõ ràng về những gì họ đồng ý. Cụ thể, thông tin sau đây phải được cung cấp tại hoặc trước khi thông tin được thu thập (ví dụ: trong Chính sách quyền riêng tư đã xuất bản hoặc tuyên bố đồng ý):

tên của tổ chức của bạn;

tên của bất kỳ người kiểm soát bên thứ ba nào sẽ dựa vào sự đồng ý;

thông tin nào đang được thu thập

tại sao bạn muốn thông tin;

bạn sẽ làm gì với nó; và

rằng các cá nhân có thể rút lại sự đồng ý bất cứ lúc nào.

Tiếp tục xem xét

Mặc dù GDPR không đặt ra giới hạn thời gian cụ thể cho sự đồng ý, nhưng ICO mô tả sự đồng ý là "có khả năng suy giảm theo thời gian". Nếu bạn đang dựa vào sự đồng ý, bạn nên xem xét các đồng ý và định kỳ xem xét liệu sự đồng ý đó có còn hiệu lực hay không. Điều này sẽ phụ thuộc vào phạm vi của sự đồng ý ban đầu và kỳ vọng của cá nhân tại thời điểm sự đồng ý được đưa ra. Đôi khi, bạn có thể cần phải yêu cầu sự đồng ý mới để có thể biện minh cho việc tiếp tục dựa dẫm. Nếu ai đó rút lại sự đồng ý, bạn cần ngừng xử lý dữ liệu cá nhân nếu bạn đã dựa vào sự đồng ý càng sớm càng tốt trong các trường hợp. Điều này sẽ không ảnh hưởng đến tính hợp pháp của quá trình xử lý của bạn cho đến thời điểm đó. Nếu "cần thiết" để tiếp tục xử lý dữ liệu cá nhân của một cá nhân,

khuyến nghị

Để giúp tuân thủ GDPR và giúp đạt được mức độ tin cậy cao hơn từ khách hàng, chúng tôi đề nghị các tổ chức;

kiểm tra xem sự đồng ý có phải là cơ sở pháp lý thích hợp nhất để xử lý hay không

kiểm tra xem có thể đưa ra sự đồng ý hay không (ví dụ: cá nhân có dễ bị tổn thương hay trẻ em không?)

là sự đồng ý được đưa ra một cách tự do (thay vì ràng buộc với sự đồng ý với các điều khoản và điều kiện rộng hơn)

đảm bảo rằng bạn đã nói rõ ràng với mọi người rằng bạn sẽ làm gì với dữ liệu của họ (và không sử dụng nó cho bất kỳ mục đích nào khác)

đảm bảo rằng Thông báo về quyền riêng tư của bạn và mọi từ ngữ xung quanh sự đồng ý đều rõ ràng về việc xử lý dựa trên sự đồng ý

đảm bảo rằng bạn đã cho phép các cá nhân chọn cách họ muốn được liên hệ (SMS, email, v.v.)

đảm bảo rằng việc hủy đăng ký (hoặc rút lại sự đồng ý) là đơn giản

thường xuyên xem xét quy trình thu thập sự đồng ý (và thời gian bạn dựa vào sự đồng ý của các cá nhân)

giữ hồ sơ.

tìm hiểu thêm tại: https://luatthanhdo.com

https://luatthanhdo.com.vn