圣诞节的魔力......我的意思是同意！

fabiha01

圣诞节早晨，每个孩子醒来时，眼里都会闪着光芒。无论那一抹光芒是出现在12月24 日圣婴造访德国南部时，还是出现在 12 月 25 日圣诞老人为全美所有善良的男孩和女孩留下礼物时。世界各地都能感受到圣诞节的魔力。

就像圣诞节似乎把我们沉闷的冬天变成了充满欢乐和爱的时光一样，数据保护领域的同意似乎带来了一点魔力。但就像圣诞节一样，礼物会被退回，假期过后沉闷的冬季天气仍在继续，在某些情况下，同意可能会被撤回、无效或不适用。

同意——解决所有处理问题的灵丹妙药？
当考虑到 GDPR 带来的所有限制时，控制者有时会眼中闪过一丝光芒，因为他们认为同意将解决处理个人数据所带来的所有问题。有些人认为，获得同意意味着您可以以任何您想要的方式处理您想要的任何个人数据。然而事实并非如此。艺术。 6 段1 升GDPR 规定，如果数据主体同意为一个或多个特定目的处理其个人数据，则处理应该是合法的。为了将本文用作处理的法律依据，我们首先必须了解 GDPR 中对同意的定义。

艺术。 GDPR 第 4 (11) 条将同意定义为“数据主体自愿给出的、具体的、知情的和明确的意愿表明，爱尔兰商业传真列表 通过声明或明确的肯定行动，表示同意处理与其相关的个人数据”。使用此定义和关于同意的其他评论，以下是有效同意的要求，正如我在 GDPR 中看到的。同意必须是：

自愿——同意必须基于个人的自由选择。 （演奏会 32）
具体——同意之前始终要确定预期处理活动的具体、明确和合法目的（关于 2016/679 条例下同意的指南 05/2020）。
知情——必须提前全面地告知数据主体预期数据处理的类型和范围。数据主体必须能够权衡同意或不同意的后果。 （演奏会 42）
可证明性——数据控制者必须证明数据主体已同意处理其个人数据（第 42 条），并且
可撤销——数据主体可以在将来的任何时候撤回他/她的同意。必须事先告知他/她这一点。撤回同意必须与授予同意一样简单（GDPR 第 7 条）。
有时，那些希望以同意作为处理个人数据的法律依据的人并不能完全满足这些要求。这些情况就像小孩子在圣诞袜里没有收到礼物，而是收到了一块煤。

自愿
这种情况的一个例子就是雇佣关系。在这里，我多次听到控制员说，“我们可以要求员工同意处理”。然而，雇员和雇主之间的关系往往使得自愿同意变得不可能。除非有非常明确的选择拒绝同意且不会受到负面影响，否则员工的同意是无效的。在回答“我的雇主可以要求我同意使用我的个人数据吗？”这个问题时欧盟委员会表示：

“雇主与雇员之间的关系通常被认为是一种不平衡的关系，雇主比雇员拥有更大的权力。由于必须获得同意，并且鉴于这种不平衡的关系，你的雇主在大多数情况下不能依赖你的同意来使用你的数据。”

控制者必须始终确保数据主体明白他们可以选择说不。

具体的
特定同意也是一个难以满足的要求，因为在获得同意之后，目的就不能改变或扩大，除非有特殊规定规定此类例外。英国数据保护机构 ICO在其网站上表示，必须以非常详细的方式解释处理的目的，以便数据主体能够同意不同的目的，只要这不会造成混淆。 Daniel J. Solove 撰写了一篇名为《模糊的同意》的文章，他在文中指出，“GDPR 要求针对每个特定的处理目的进行细致而具体的同意，但同时又要求以简单明了的方式获得同意——这就好比鱼与熊掌兼得。”在做出具体同意时，很难在提供所有必需信息和易于理解之间找到平衡。

ICO 还进一步评论了数据在同意书中明确规定以外的用途的进一步使用：

即使你的新目的被认为与你最初的目的‘兼容’，这也不能取代对具体同意的需要。如果你依赖于同意，那么你需要获得新的具体同意，或者为新目的确定新的合法依据。

知情
下一个障碍似乎与上一个障碍非常相似，即向数据主体提供有关具体、明确和合法目的的信息。在我看来，具体和知情是同一难题的两个部分。上述 ICO 和其他机构的评论不仅涉及同意的具体性质，还涉及如何向数据主体提供这些信息。保持简单，就像我的圣诞节清单需要一些魔法一样。我总是试图在清单上列出你要穿的东西、你想要的东西、你读的东西和你需要的东西，最后感觉每个孩子都有一百万份礼物，每一份都属于上述类别，而且非常重要，不能在我们的圣诞节庆祝活动中遗漏。向数据主体提供的信息必须简单，但个人数据的技术和处理却令人困惑，有时甚至非常技术性。向数据主体提供的信息也应该简洁，但当处理数据有多个目的时，必须解释每个目的。

可证明
一旦您向数据主体提供了有关处理的具体目的的信息，并允许他们选择是否同意处理，您就可以进入同意的下一个要素，即可证明性。今天早上，我的家人醒来，我最小的孩子抬头看着架子上的精灵（今天早上坐在客厅的毯子梯子上）说：“他不是真的”，我的第一个想法是“证明它！”。当然，我不会对我 3 岁的孩子说这些，但是如果控制者说“我们获得了处理的同意”，当局就会这么说。获得同意的方式有很多种，有些很容易证明，有些则比较困难。同意管理是真实存在的，不应掉以轻心，如果您无法证明已经提供了同意，那么它就不能作为处理的法律依据。