Preskoči na glavno vsebino

Odgovor

Zahteva za privolitev mora biti jasna in jedrnata ter predložena v razumljivem jeziku in na način, ki se jasno razlikuje od drugih informacij, npr. pogojev. V zahtevi je treba določiti, kako se bodo vaši osebni podatki uporabili, in vanjo vključiti kontaktne podatke podjetja, ki obdeluje podatke. Privolitev mora vsebovati prostovoljen, izrecen, informiran in nedvoumen izraz vaših želja. „Informirano“ pomeni, da morate prejeti informacije o obdelavi, ki vključujejo vsaj:

  • identiteto organizacije, ki obdeluje podatke,
  • namene, za katere se podatki obdelujejo,
  • vrsto podatkov, ki se bodo obdelovali,
  • možnost preklica dane privolitve (npr. za preklic privolitve pošljite elektronsko pošto),
  • kadar je primerno, navedbo, da se bodo podatki uporabili izključno za avtomatizirano sprejemanje odločitev, vključno z oblikovanjem profilov,
  • če se privolitev nanaša na mednarodni prenos vaših podatkov, možna tveganja prenosov podatkov v države zunaj EU, če ni sklepa o ustreznosti ali ustreznih zaščitnih ukrepov.

Primeri

Zahteva za privolitev ni dana v skladu z zakonom

Vpisali ste se v glasbeno šolo, da bi se učili igrati klavir. Obrazec za vpis vsebuje dolg dokument, ki je sestavljen v drobnem tisku in vsebuje pravne in zelo strokovne izraze, kar vključuje možnost, da bo šola vaše osebne podatke posredovala prodajalcem glasbil. Šola krši zakonodajo, saj vam privolitev za sprejemanje tržnega materiala (po možnosti od prodajalca glasbil) ni bila predstavljena v skladu zakonom.

Prek spleta odpirate bančni račun in želite potrditi svojo zahtevo. Prikaže se stran s poljema, ki ju je treba označiti, ter navedbama „Sprejemam pogoje poslovanja“ in „Strinjam se, da odločitev o tem, ali sem upravičen do kreditne kartice, temelji izključno na oblikovanju profila brez kakršnega koli človekovega posredovanja“. Obe polji sta že aktivirani (označeni). Če ne želite biti predmet odločanja o tem, ali ste upravičeni do kreditne kartice izključno na podlagi oblikovanja profila, morate polje odznačiti. A tudi če tega ne bi storili, banka ne bi pridobila veljavne privolitve, saj v skladu s splošno uredbo o varstvu podatkov vnaprej označena polja ne veljajo za veljavno privolitev.

Reference

Examples

Consent not requested as per terms of the law

You enrol at a music school to take piano classes. The enrolment form contains a long document drafted in small print using highly legal and technical terms, which includes the possibility that the school may pass on your personal details to retailers selling musical instruments. The school is in breach of the law as your consent to receive marketing material (potentially from instrument retailers) was not requested as stipulated by law. 

You’re opening a bank account online and want to confirm your request. You are shown a page with two tick boxes saying ‘I accept the terms and conditions’ and ‘I agree that the decision whether I am entitled to a credit card is solely based upon profiling without any human intervention’. Both tick boxes are activated (checked) by default. You have to deactivate the tick box if you don’t want to be subject to a decision on whether you are entitled to a credit card based solely on profiling.  Even if you don’t deactivate the tick box, the bank would not have obtained valid consent as pre-ticked boxes are not considered to be valid consent under GDPR.