避免大额GDPR罚款的一个简单方法是在使用用户的个人数据之前始终获得用户的许可。本文解释了GDPR同意要求，以帮助您遵守。

与普遍的看法相反，欧盟GDPR（一般数据保护条例）并不要求企业在将个人信息用于商业目的之前获得他人的同意。相反，同意只是GDPR第6条概述的六个法律基础之一。企业必须确定其数据处理的法律依据。

同意是最容易满足的，因为它允许你对数据做任何事情-只要你清楚地解释你要做什么并获得数据主体的明确许可。然而，正如谷歌最近通过5000万欧元的罚款得知的那样，你不能偷工减料。法国数据保护部门表示，该公司关于获得同意的说法既不“知情”，也不“明确”和“具体”

本文将重点讨论如何满足GDPR对作为法律基础的同意的要求。

有关GDPR的更多信息，请阅读我们的文章“什么是GDPR？”它提供了法律的概念概述。我们还发布了GDPR的全文。

GDPR要求数据处理有法律依据

GDPR在序言40中解释道：“为了使处理合法，应在相关数据主体的同意或其他合法基础上处理个人数据。”换句话说，同意只是你可以用来证明收集、处理和/或存储个人数据的合法依据之一。第6条提出了其他五个理由。

正如我们在GDPR概述中所解释的，以下是其他法律依据：

• 处理是满足数据主体为一方的合同所必需的。
• 您需要处理数据以遵守法律义务。
• 你需要处理数据来挽救某人的生命。
• 为了公共利益或履行某些官方职能，处理是必要的。
• 您有合法权益处理某人的个人数据。这是最灵活的法律基础，尽管“数据主体的基本权利和自由”总是凌驾于您的利益之上，尤其是如果它是儿童数据。

您只需要为数据处理选择一个法律依据，但一旦选择了，就必须坚持下去。你以后不能改变你的法律依据，尽管你可以确定多个依据。您应在处理个人数据之前进行GDPR数据保护影响评估。

GDPR同意定义

如果您根据某人的同意处理其数据，GDPR将明确说明您必须履行的义务。第4（11）条界定了同意：

• “数据主体的同意”是指数据主体通过声明或明确的平权行动自由给出、具体、知情和明确的意愿表示，表示同意处理与其相关的个人数据。

GDPR进一步澄清了第7条中的同意条件：

• 1.如果处理基于同意，则控制者应能够证明数据主体已同意处理其个人数据。
• 2.如果数据主体的同意是在涉及其他事项的书面声明中作出的，则同意请求应以清晰易懂、易于理解的形式提出，并使用清晰明了的语言。此类声明中构成违反本法规的任何部分均不具有约束力。
• 3.数据主体有权随时撤回其同意。撤回同意不应影响撤回同意前基于同意的处理的合法性。在给予同意之前，应告知数据主体。撤回应与同意一样容易。
• 4.在评估是否自由给予同意时，除其他外，应最大限度地考虑合同的履行，包括提供服务，是否以同意处理个人数据为条件，而这对于履行该合同来说不是必要的。

现在您已经有了定义，让我们来解开其中的一些概念。

同意应该是自由给与的

“自由给予”同意基本上意味着你没有强迫数据主体同意你使用他们的数据。首先，这意味着您不能要求同意将数据处理作为使用服务的条件。他们需要能够说不。根据序言部分42，“如果数据主体没有真正或自由的选择，或者无法在不造成损害的情况下拒绝或撤回同意，则不应将同意视为自由给予。”

唯一的例外是，如果您需要某人提供的数据来为他们提供服务。例如，您可能需要他们的信用卡信息来处理交易，或者需要他们的邮寄地址来发货。

序言43讨论了自由给予的同意。它解释了您必须为每个数据处理操作获得单独的同意。因此，如果你想让他们的电子邮件地址用于营销目的，而他们的IP地址用于网站分析目的，你必须让用户有机会确认或拒绝每次使用。

同意必须是具体的

“提交同意请求的方式应明确区别于其他事项。”应明确您打算开展哪些数据处理活动，使受试者有机会同意每项活动。

在电子邮件地址和IP地址的示例中，您不能将这些用途解释为详细介绍营销团队运营的一个长段落的一部分，而在最后只有一个同意复选框。相反，您必须单独解释每个数据用例，让数据主体有机会单独同意每个活动。

如果您有不止一个理由进行数据处理活动，您必须获得所有这些目的的同意。因此，如果您出于营销和身份验证目的存储电话号码，则必须获得每种目的的同意。

同意必须是知情的

知情同意是指数据主体知道您的身份、您打算进行的数据处理活动、数据处理的目的，并且他们可以随时撤回其同意。

这还意味着，同意请求和对数据处理活动及其目的的解释均以通俗易懂的语言（“以易懂且易于理解的形式，使用清晰易懂的文字”）进行描述。这意味着没有技术术语或法律术语。任何访问您服务的人都应该能够理解您要求他们同意的内容。

谷歌的案例提供了一个有启发性的现实例子。法国当局表示，该公司不符合知情同意的要求：

关于广告个性化处理操作的信息在多个文档中被稀释，并且不能使用户意识到其程度。例如，在“广告个性化”一节中，不可能知道这些处理操作中涉及的多个服务、网站和应用程序……因此也不可能知道处理和组合的数据量。

英国信息专员办公室提供了进一步的背景：“如果同意请求模糊、笼统或难以理解，则该请求将无效。特别是，可能混淆的语言-例如，使用双重否定或不一致的语言-将使同意无效。”

同意必须是明确的

也就是说，对于数据主体是否同意，应该没有任何疑问。根据GDPR陈述32，“因此，沉默、预先打勾的方框或不活动不应构成同意。”。

明确同意“可包括在访问互联网网站时勾选方框，选择信息社会服务的技术设置，或在这种情况下明确表明数据主体接受其个人数据拟议处理的另一声明或行为。”

可以撤销同意

GDPR未指明许可的保质期。理论上，一个人的同意是无限期的，尽管在某些情况下，很明显，同意不再有效或合理，或者违反了某些数据处理原则。

然而，数据主体有权随时撤回同意。此外，你必须让他们很容易做到这一点。一般来说，他们撤回同意应该和你获得同意一样容易。

GDPR同意要求相对容易理解，但可能更难实施。在协调业务需求与GDPR合规性要求时，您可能会遇到技术障碍或问题。填写数据保护影响评估可以有所帮助。与GDPR律师交谈也是如此。

GDPR合规是一个持续的过程。请参阅我们的GDPR检查表，以确保您的组织是光明正大的。

本文：https://cioctocdo.com/what-are-gdpr-consent-requirements