Question:
Dans le cadre du RGPD, puis-je donner une fois l'autorisation d'autoriser tout le monde à stocker et traiter mes données?
J. Doe
2019-08-28 13:07:54 UTC
view on stackexchange narkive permalink

Si je possède les données, puis-je déclarer, dans le cadre de ma liberté personnelle, que j'accepte fondamentalement que mes données spécifiques puissent être stockées et traitées n'importe où par quiconque, sans me demander à chaque fois?

Proposez-vous que vous «open source» vos données personnelles?
sélectivement dans cette expérience de pensée, oui :-)
Cette question devrait être republiée sur Philosophie SE.
Vous êtes libre de publier vos données. Cela n'a rien à voir avec ce que la loi dit sur les exigences du service dans le cas où vous leur donnez spécifiquement les données pour obtenir un service. Ils pourraient mettre en œuvre le service sans vous demander les données et les extraire de votre site Web où vous le concédez publiquement. Le problème est que la plupart des gens ne le font pas et que cela leur coûte du temps et de l'argent, alors pourquoi dépenseraient-ils de l'argent pour mettre en œuvre ce cas au lieu de simplement uniformiser le processus et gérer vos données avec soin?
La réponse à votre question est clairement «oui». Cela ne veut rien dire. Vous pouvez déclarer ce que vous voulez (bien sûr). Ce qui compte, c'est de savoir si les gens vous entendent et s'ils s'en soucient. Droite?
Quatre réponses:
Trish
2019-08-28 13:28:31 UTC
view on stackexchange narkive permalink

Vous pourriez, mais comment les entreprises qui souhaitent gérer vos données devraient-elles le savoir? S'ils n'ont aucune confirmation de votre part que vous leur permettez de traiter vos données de quelque manière que ce soit, autre que celles auxquelles ils sont déjà autorisés en raison des exceptions, ils doivent - en vertu du RGPD - supposer que vous ne voulez pas qu'ils traitent vos données. , et donc à vous demander.

Le consentement n'est qu'une des bases du traitement; si le sous-traitant utilise l'intérêt légitime (par exemple) comme base du traitement des données de l'individu, il n'est pas nécessaire d'obtenir le consentement préalable.
@Ben: Vous ne vous trompez pas, mais ces cas ne sont pas pertinents pour la question en cours, qui se concentre sur le consentement préventif. Les cas où aucun consentement n'est nécessaire ne font pas partie du domaine problématique.
ItWasLikeThatWhenIGotHere
2019-08-28 15:01:45 UTC
view on stackexchange narkive permalink

2016/679 ("GDPR") définit les responsabilités des sous-traitants et responsables du traitement (sous réserve du champ d'application de la législation). Un individu peut déclarer ce qu'il veut, mais ces sous-traitants et contrôleurs seront toujours liés par la législation.

Dans de nombreux cas, le consentement ne sera pas pertinent - ce n'est qu'une des bases légales du traitement:

(a)

la personne concernée a donné son consentement au traitement de ses données personnelles à une ou plusieurs fins spécifiques;

(b)

le traitement est nécessaire pour l'exécution d'un contrat auquel la personne concernée est partie ou pour prendre des mesures à la demande de la personne concernée avant de conclure un contrat;

(c )

le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;

(d)

le traitement est nécessaire afin de protéger les éléments vitaux intérêts de la personne concernée ou d'une autre personne physique;

(e)

le traitement est nécessaire à l'exécution d'une tâche effectuée dans l'intérêt public ou dans l'exercice de l'autorité officielle dévolue au responsable du traitement;

(f)

le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf lorsque ces intérêts sont outrepassé par les intérêts ou les droits et libertés fondamentaux de la personne concernée qui nécessitent la protection des données personnelles, en particulier lorsque la personne concernée est un enfant.

Une personne physique pourrait déclarer que n'importe qui pourrait utiliser leurs données, ou que personne ne pourrait, et les sous-traitants et responsables du traitement seraient toujours liés par la législation. Il est possible qu'ils puissent utiliser cette déclaration pour démontrer la base légale (a) mais, comme Trish le mentionne, seulement s'ils savaient que la déclaration avait été faite et seulement si le processus les pointant vers la déclaration était conforme au paragraphe 32:

Le consentement doit être donné par un acte affirmatif clair établissant une indication librement donnée, spécifique, éclairée et sans ambiguïté de l'accord de la personne concernée au traitement des données personnelles la concernant, par exemple par une déclaration écrite, y compris par voie électronique signifie, ou une déclaration orale. Cela peut inclure le fait de cocher une case lors de la visite d'un site Internet, le choix des paramètres techniques des services de la société de l'information ou une autre déclaration ou conduite indiquant clairement dans ce contexte l'acceptation par la personne concernée du traitement proposé de ses données personnelles. Le silence, les cases pré-cochées ou l'inactivité ne doivent donc pas constituer un consentement. Le consentement devrait couvrir toutes les activités de traitement effectuées aux mêmes fins ou aux mêmes fins. Lorsque le traitement a plusieurs finalités, le consentement doit être donné pour tous. Si le consentement de la personne concernée doit être donné suite à une demande par voie électronique, la demande doit être claire, concise et ne pas perturber inutilement l'utilisation du service pour lequel elle est fournie.

Il est difficile de voir comment une déclaration générique sans autre contexte pourrait répondre aux parties "spécifique" et "informée" de ce paragraphe.

S'ils se fondaient sur l'une des autres bases légales pour le traitement, la déclaration ne changerait rien.

Pour répondre à la question originale du titre, 2016/679 ne signifie rien pour une personne physique en ce qui concerne ses propres données personnelles, sauf lorsqu'elle exerce ses droits en vertu du chapitre III. Cela devient plus pertinent lors du traitement des données relatives à quelqu'un d'autre.

[Modifier après l'amendement de NotThatGuy à la question du titre, ce qui simplifie la réponse: Pas sous GDPR, car la personne concernée n'aurait pas été "informée "de la nature" spécifique "du" traitement proposé "- voir le paragraphe 32.]

Peteris
2019-08-29 00:50:09 UTC
view on stackexchange narkive permalink

Vous ne pouvez pas faire de déclaration contraignante

Si vous le souhaitez, vous pouvez faire une déclaration publique selon laquelle vous consentez à tout traitement de vos données. Vous devrez probablement être plus détaillé que cela (le consentement doit être éclairé et spécifique) - vous devrez probablement spécifier de manière exhaustive que oui, vous savez que cela inclut également ceci et cet objectif spécifique et des données protégées particulières (par exemple, article 9.1 et 9.2 (a) concernant les catégories spéciales de données), et que la déclaration de consentement devrait démontrer qu'il s'agit d'un consentement éclairé , par exemple que vous êtes conscient des conséquences et des risques potentiels; mais en général, si le responsable du traitement peut démontrer que vous avez consenti au traitement, cela devrait être suffisant conformément à l'article 7.1. Ils devraient cependant vous identifier d'une manière ou d'une autre - si quelqu'un publie sur Internet "Je, John Doe, consens à tout traitement", vous aurez toujours besoin d'une assurance raisonnable que c'est en fait John Doe qui a publié cela au lieu de leur copain farceur.

Cependant, vous ne pouvez pas donner un consentement contraignant et irrévocable - conformément au RGPD (art. 7.3), vous avez le droit de retirer ce consentement à tout moment; et si vous trouvez une faille qui entraînerait une situation qui permettrait effectivement à un sous-traitant de vous empêcher de retirer ce consentement, cela ne compterait généralement pas (sous réserve de l'interprétation par le DPA local) comme donné librement consentez plus - et un consentement qui n'est pas librement donné n'est pas une base légale pour le traitement des données.

Les entreprises doivent donc toujours s'attendre à ce qu'à tout moment vous ayez le droit de changer d'avis, de retirer votre consentement , demandez toutes les données dont ils disposent sur vous, demandez la suppression le cas échéant, etc.

Les points selon lesquels il est contraignant et irrévocable ne sont pas pertinents pour la question. Si vous y réfléchissez, elles s'appliquent également, que le PO donne son consentement au cas par cas ou fasse une déclaration. La question est uniquement de savoir si une déclaration est possible. Le PO ne demande pas s'il peut faire la déclaration de telle manière qu'il ne puisse jamais la révoquer.
@JBentley ceci est pertinent pour la partie question "sans me demander à chaque fois" - cela signifie que quelqu'un qui trouve une telle déclaration publique quelque part ne peut pas supposer que cela n'a pas été révoqué depuis, donc cela met une restriction sur la façon dont une telle déclaration aurait d'être publié (de manière à ce qu'il soit raisonnable de supposer / vérifier que l'émetteur a * toujours * l'intention d'être valide) afin d'être utilisable par n'importe qui. Comme dans les autres points, faire une déclaration est trivial, mais faire une déclaration d'une manière qui satisferait réellement les besoins de conformité de tous les processeurs de données potentiels est délicat.
Je vous suggère de le mentionner dans la réponse. De la façon dont il se lit maintenant, il n'est pas clair que vous faites référence au manque de certitude sur la déclaration originale
Barmar
2019-08-29 03:24:52 UTC
view on stackexchange narkive permalink

Comme d’autres l’ont souligné, le problème est que les détenteurs d’informations doivent savoir que vous avez donné ce consentement universel.

Théoriquement, certaines organisations pourraient gérer une base de données centrale, où quiconque le souhaite faire une telle déclaration est enregistrée, et les détenteurs d'informations peuvent vérifier cela avant de vous demander explicitement le constent. Mais cela nécessiterait alors une sorte d'identifiant universel pour tout le monde, ou du moins pour les personnes qui voudraient profiter de ce service.

Facebook devient si populaire (environ 28% de la population mondiale l'utilise ) qu'il pourrait éventuellement fournir ce type de service (pensez à tous les sites qui vous permettent de vous connecter en vous connectant à votre compte FB). Mais compte tenu de tous les problèmes de confidentialité avec Facebook, voudriez-vous vraiment qu'ils gèrent les données que d'autres organisations utilisent pour gérer la confidentialité?



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...