Вече всички знаят, че има един нов регламент за защита на личните данни на физическите лица и че този регламент „се казва“ GDPR. Вероятно немалко хора също така знаят, че този регламент влезе в сила още преди 2 години, но бизнесът получи глътка въздух, за да се подготви. Нейните последни атоми кислород ще бъдат изчерпани към 25 май 2018 и най-късно тогава идва моментът, от който ще дишаме съобразно новите правила за закрила на лични данни.
В мрежата вече са достъпни множество публикации по въпроса. Някои само съобщават, че има нови правила, други преразказват регламента и съобщават какво е новото в него, а трети обръщат внимание на негови конкретни проблеми. Препоръчвам ви тази статия на Йовко Ламбрев, публикувана в новата интернет медия toest.bg, даваща от всичко по малко.
Учудващо добре разписани са и достъпните на страницата на Комисията за защита на лични данни FAQ (тук и тук). Те дават отговор на много важни в практиката въпроси, като, примерно, дали физическите лица (или „субектите на данни“, каквото е законовото им наименование) могат да дадат съгласие за обработване на данните им онлайн. Отговорът е положителен – да, могат (прочее, както и досега) с попълване на квадратче за отметка (чекбокс).
Това, което, обаче, нито съществуващите публикации, нито въпросите и отговорите на страницата на КЗЛД не разкриват, е как точно да изглежда съгласието на потребителите, така че да бъде правно обвързващо и оттам гарантиращо някаква сигурност на администраторите (на лични данни).
С оглед на това, в последващите редове ще се огранича тъкмо върху въпроса как да изглежда исканото от физическите лица съгласие за обработването на техните лични данни и/или споделянето им с трети лица.
На първо място, е важно да се каже, че съгласно чл. 6, ал. 1 от регламента администраторите имат право да обработват данни и без наличието на съгласие, когато обработването е необходимо за:
– изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
– спазването на законово задължение, което се прилага спрямо администратора;
– да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;
– изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;
– целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.
Пример: електронният магазин X получава данните на клиента си Y вследствие неговата регистрация и ги използва (т. е. обработва) само, за да изпълни постъпилата от Y поръчка, и най-късно след постъпване на плащането и изтичане на гаранционния срок (ако има такъв), ги заличава. В този случай обработването на данни се налага заради изпълнението на договора (включително за изпълнението на евентуална гаранционна отговорност на администратора към потребителя), поради което съгласие не е необходимо.
Ако обаче администраторът X желае да използва данните на клиентите си Y и Z, за да им праща търговски съобщения или за да анализира и профилира тяхното поведение, или за да ги сподели със застрахователна компания I или с организатора на директен маркетинг D, то тогава X е длъжен да поиска съгласието на Y и Z.
Под „съгласие“ чл. 4, ал. 11 от GDPR разбира
всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
От което следва, че съгласието може да бъде дадено както в писмен вид, така и електронно (например с маркиране в квадратче за отметка върху предварително формулирана декларация за съгласие), но също така и устно и дори конклудентно.
По аргумент от противното, като съгласие не може да се интерпретира мълчанието или бездействието на потребителя, освен ако други обстоятелства не показват ясно съгласие за обработка на данни (например кимане като отговор на въпроса дали субектът на данните се съгласява с тяхното обработване за определена цел).
Последното, обаче, е строго непрепоръчително, защото поставя администратора в невъзможност да изпълни задължението си по чл. 7 от регламента, а именно да докаже, че разполага със съгласието на потребителя.
В допълнение, съгласието е „свободно изразено“, когато физическото лице го е дало без принуда и в условията на свободен избор.
Горното изискване за свободно изразяване няма да е изпълнено, когато даването на съгласие за обработване на лични данни се явява условие, от което зависи сключването и/или изпълнението на даден договор, при положение, че съгласието не е необходимо за изпълнението на въпросния договор (забрана по смисъла на чл. 7, т. 4 от GDPR).
Пример: електронният магазин X няма право да отказва изпълнението на поръчката на потребителя Y, защото последният не е съгласен X да споделя данните на Y с организатора на директен маркетинг D.
Като „свободно изразено“ съгласие не може да се приеме и електронна форма, в която квадратчето „съгласявем се с…“ е предварително маркирано, поради простата причина, че това волеизявление не е дадено от самия субект на данни.
Второто изискване за ефективно дадено съгласие е, че то трябва да е „конкретно“, т. е. да се отнася до конкретно посочени случаи на обработване на данни. От това следва, че субектът на данните трябва да бъде информиран в контекста на декларацията за съгласие кои видове данни ще бъдат обработени за кои конкретни цели.
Съгласно определението в чл. 4, ал. 11 от регламента, за да е ефективно, съгласието трябва също така да бъде „информирано и недвусмислено“, т. е. да бъде дадено от заинтересованото лице „по информиран начин“. От това следва, че ако искането за даване на съгласие е отправено към потребителя писмено, то същото освен, че следва бъде „конкретно“ относно подлежащите на обработване данни, също така трябва да бъде представено в разбираема и лесно достъпна форма и съставено на ясен и разбираем за потребителя език. Ако искането за съгласие е инкорпорирано в общи условия, които уреждат и други хипотези (например, разпоредби относно гаранцията или условията на плащане), съгласието трябва да е ясно „разграничено“ от другите хипотези.
Ако горното изискване за прозрачност бъде нарушено, то съгласието за обработване на данните няма да е ефективно и ще изложи администратора на сериозен риск.
Накрая следва да се посочи, че субектът на данните има право по всяко време да оттегли веднъж даденото си съгласие за обработване на неговите данни. Много е важно тази възможност да бъде посочена на лицето преди то да даде своето съгласие.
Та, с оглед на гореизложеното, как следва да изглежда искането за даване на съгласие за обработването на лични данни, така че то да бъде ефективно, правно обвързващо и предпазващо администратора от понасяне на отговорност?
Моето предложение се намира във вмъкнатия в блогпоста pdf файл.
saglasie chl. 7 GDPR
Същия можете да достъпите и тук.
Надявам се този блогпост да ви е бил от полза, а при въпроси съм на ваше разположение!
Disclaimer: предложението ми не се отнася до даване на съгласие за обработване на специални категории лични данни, както и до даване на съгласие от страна на дете.