是否要求用戶放棄GDPR合規性是逃避GDPR數據處理要求的合法方法？

Michal

2020-01-06 18:22:01 UTC

view on stackexchange narkive permalink

我最近遇到了一家美國知名公司的應用程序的這一部分：

這是合法的方式嗎？如何處理GDPR引入的一些技術障礙？這是對法律的“靈活”解釋，還是直接違法？

要給出整個圖片，我被問到我住的地方，並據此獲得這份同意書。如果未選中該框，則無法繼續移動-如果要使用該應用程序，必須徵得同意。

同意征服我是可以的，但這是否也意味著我輸了GDPR附帶的我的權利？我有權下載我的數據，被遺忘等嗎？

我對羞辱公司不感興趣，但是我想知道這種方法-”他們可以放棄這些權利，以便我可以做我想做的任何事情。” -這是處理法律的正確方法。我不認為GDPR是“可選的”。如果公司可以將其印在精美的紙上或什至更糟，那麼這樣做就無法實現它的目的-禁止任何人使用其軟件，除非他們在不附加任何條件的情況下將其私人數據提供給他們。此處是一個相關的問題，但是在我的情況下，我無法做任何事情除非我接受條款。

關於他們是否遵守GDPR似乎並沒有說什麼。詢問您是否同意在歐盟以外的地方處理您的數據與它們因服務於歐盟公民而受到GDPR的影響正交。

雖然不能放棄GDPR保護，但正如答案所言，如果用戶不同意用戶對數據的必要使用（只要數據使用和請求是合法的）。該公司有權不向他們選擇的任何人提供服務，只要不是出於非法原因。實際上，除非公司同意您使用數據，否則公司拒絕提供服務是很正常的，實際上是必要的。要求公司明確獲得同意是GDPR所做的事情之一。

-1

複選框是否已自動打勾？因為即使從GDPR的角度來看，這還是有問題的（同意應該是“選擇加入”而不是“選擇退出”）

@DaveMongoose尚未“預先選中”。我在其他地方看到過這種做法，但事實並非如此。

@MSalters我認為您對*自由給予*的含義有偏見。公司不欠您服務。如果法律規定他們必須向您提供服務，那麼可能會有一個論點，那就是沒有自由地給予同意。該公司明確規定，除非您同意使用數據，否則他們將不會開始提供服務，這是典型合同關係的一部分。 GDPR並沒有*給您*權利*以*強迫*他們向您提供服務，這實際上是您所爭論的。

@Makyen我認為您有權提出強制服務，但是反過來又如何？*提供服務的權利*？當然，如果他們不能遵守法律，那麼他們就不應該在給定地區（本例中為歐盟）真正提供服務。沒有？

@Makyen:另請參見Peteris的答案。您的邏輯存在問題，那就是GDPR要求公司承擔自由表達同意的責任。這意味著不滿意的用戶可以對您的公司提起投訴，稱您非法處理了他們的數據，並且您將無法為該主張辯護。

@MSalters: _“您將無法為該主張辯護” _但這正是**為何要徵得同意的理由-排除了用戶從未同意他們現在提出的事件的主張投訴。使用該服務的任何人都必須同意該服務所包含的內容。那是出於設計目的專門針對此類索賠。

@MSalters我們似乎在互相交談。您先前的評論似乎無視我說過的話，即如果潛在客戶“不同意* *使用*他們的數據”，他們可以拒絕提供服務。忽略我對“必填”用途的同意，似乎已導致切線出現這種情況。關於我們是在談論這個特定案例還是一般性，似乎也有些混亂。對於此特定情況，該公司似乎沒有以多種方式遵守GDPR，並且*可能*沒有以其他方式遵守。

@Michal是的，如果他們不能或選擇不遵守GDPR，那麼明智/正確的做法是不在某個地區/任何需要遵守GDPR的地方提供服務。不幸的是，對於人/公司而言，不明智/合理的做法是很普遍的。

-1

@Makyen“只要不是出於非法原因，該公司有權不向他們選擇的任何人提供服務。”您正在進入那裡的複雜區域，並且可能因轄區而異。大多數國家都有反歧視法律。而且在英國（有人告訴您），您可以起訴供應商是否濫用了主導地位，而違反了《 1998年競爭法》第18條（第二章禁止）的規定。

@Makyen參見https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/consent/特別是“如果您同意服務的先決條件，則不可能成為最適當的合法依據”。如果公司*需要*做這些事情來提供服務，那麼他們不需要單獨的同意，並且如果他們不需要這樣做，那麼以同意為條件的服務是無效的。

評論不作進一步討論；此對話已[移至聊天]（https://chat.stackexchange.com/rooms/103050/discussion-on-question-by-michal-is-asking-users-to-waive-gdpr-compliance-a- lega）。

如果該公司是美國公司，那麼歐盟如何執行GPDR？是的，他們可以通過信用卡或銀行轉賬來阻止付款，但是如果該服務免費，該怎麼辦？歐盟是否可以簽發令將首席執行官引渡來接受審判的命令？

必須自由給予GDPR同意

GDPR同意條件將其定義為（第4.11條）“數據主體的“同意”是指任何自由給予，明確，知情且明確的數據指示受試者的意願，他或她通過陳述或明確的平權行動表示同意處理與他或她有關的個人數據。”值得注意的是，所有標準都是強制性的-如果其中一項標準缺失（例如，沒有具體說明或沒有給出免費標準），則根據GDPR表示不同意。

GDPR第7.4條規定：“在評估是否同意時完全免費地考慮到，除其他外，合同的履行，包括提供服務，是否應以處理該合同的履行所不需要的個人數據為條件。”為了澄清這一點，GDPR獨奏會第43條指出：“如果合同的履行（包括提供服務）依賴於同意，則儘管沒有這種同意對於這種履行不是必需的，但也應假定沒有給予同意。。”這顯然是關於這樣的情況的-如果提供服務的條件是“同意”，則應假定同意是免費給予，因此 not 有效同意。

因此，選中此復選框的記錄並不表示公司有法律依據可使用您的數據。 GDPR 7.1特別指出：“在基於同意的基礎上進行處理的情況下，控制人應能夠證明數據主體已同意處理其個人數據。” ，因此他們有責任證明您實際上同意並且您的同意符合所有條件，但看來他們不同意。一種處理方式是“同意”複選框，立即跟進GDPR數據請求（要求他們確認允許他們處理數據的法律依據），以及是否列出“同意”作為法律依據（（可能沒有，還有其他可能的方法），然後與您當地的數據保護機構進行爭議。