Съгласието за обработване на лични данни - кога и как се изисква то?
адв. Цвета Спартанска,
Пламена Янчева адв. сътрудник
Съгласието е едно от основанията за законосъобразност на обработването на лични данни, уредени в чл. 6 от Общия регламент относно защитата на данните (ОРЗД или GDPR). Съгласно чл. 4, пар. 11 от GDPR „съгласие на субекта на данните“ е всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени.
На какви изисквания трябва да отговаря даденото съгласие?
Често администраторите избират съгласието като “най-лесно” основание за обработване на лични данни. От изключително важност обаче е не само за какъв вид обработване на лични данни се изисква даване на съгласие, но и как точно се изисква то. Съгласно GDPR това трябва да отговаря на точно определени критерии.
- Свободно изразено - необходимо е субектът да има действително свободен избор, тоест да може да даде съгласието си, без да се чувства принуден за това. Той трябва да може да оттегли съгласието си лесно и по всяко време, без това да носи негативи за него - като например отказ от предоставяне на дадена услуга.
В случай че съгласието е включено като част от общи условия и не подлежи на договаряне, се предполага, че то няма да е свободно изразено, тъй като субектът на данните не е в състояние да го оттегли, без това да доведе до негативни последствия за него. Често банките изискват от клиентите си да дадат съгласие за използване на техните лични данни за маркетингови цели, но това не е необходимо за предоставяне на услуги по договора и съответно за банковото обслужване. Ако отказът на клиент да даде съгласието си за такова обработване би довел до невъзможност да получи банкови услуги, закриване на банкови сметки или увеличаване на таксите, не е налице свободно даване на съгласие.
- Конкретно - съгласието трябва да бъде дадено за конкретна и ясно определена цел. Това гарантира висока степен на потребителски контрол и прозрачност. По този начин съгласието може да бъде използвано само и единствено за конкретно предефинирани цели, като респективно всяка употреба на личните данни в друга насока би била неправомерна. Например съгласието за участие в томбола с награди и предоставянето на лични данни (като име, телефон, имейл) за записване в томболата не предполага и дадено съгласие за получаване на имейли с реклами и оферти, въпреки основната цел на подобни инициативи да е именно събиране на повече данни на потребители. Ако администраторът има такова намерение за обработване, то той трябва да го укаже изрично и ясно на потребителя.
- Информирано - лицето, което дава съгласието си, трябва да има възможност да вземе информирано решение. Такава информация е: идентичността на организацията, обработваща данните; вида на данните, които ще бъдат обработени; целите, за които се обработват данните; информация относно използването на данните за автоматизирано вземане на решения и други.
- Недвусмислено указание за волята на субекта на данните - трябва да бъде ясно, че субектът на данни е изразил съгласието си за конкретното обработване. Не е задължително съгласието да бъде дадено в писмена форма. „Ясен потвърждаващ акт“ означава, че е предприето умишлено действие за изразяване на съгласие по отношение на конкретното обработване.
Съгласието при децата
В допълнение на горепосочените изисквания, чл. 8 от GDPR въвежда допълнителни задължения, гарантиращи засилено равнище на защита на данните на деца във връзка с услугите на информационното общество. Съгласно Закона за електронната търговия това са такива услуги, включително предоставяне на търговски съобщения, които обикновено са възмездни и се предоставят от разстояние чрез използването на електронни средства след изрично изявление от страна на получателя на услугата. При деца под 16 години обработването е законосъобразно само ако и доколкото такова съгласие е дадено или разрешено от носещия родителска отговорност за детето. Администраторът на лични данни, който обработва данни за детето, следва да положи разумни усилия, за да удостовери, че съгласието е дадено или разрешено от носещия родителска отговорност за детето.
В кои случаи може да се изисква съгласие?
Най-често съгласие се изисква за обработване на лични данни за маркетинг цели - за изпращане на имейли с оферти, каталози и информационни бюлетини, както и за обаждания с предложения от кол центрове на различни търговци. Други примери са:
- публикуване на снимки и/или видеоматериали;
-
подлагане на психологически тест при кандидатстване за работа;
-
извършване на проучване от потенциален работодател, свързано с осъществяване на контакт с предходни работодатели и колеги;
-
предоставяне на контактни данни на бизнес партньори на администратора - с цел предлагане на техните услуги;
-
достъп до данни от геолокация при използване на мобилно приложение (то е валидно само ако приложението има пряка необходимост от тези данни за предоставяне на конкретната услуга);
-
събиране на данни за функционирането на използван софтуер с цел подобряване на неговата работа;
-
предаване на данни на друго медицинско лице за второ мнение по поставена диагноза;
-
използване на медицински досиета за научни изследвания;
- предаване на данни от работодателя на друг администратор за издаване и ползване на карти и ваучери за отстъпки при ползване на услуги (например при издаване на MultiSport карти).
Как се доказва даването на съгласие?
Задължение на администратора е да докаже, че е изискал и получил съгласието на субекта на данни за предвиденото обработване - чрез изрична писмена декларация, отметка в настройките на уеб сайт, плъзгането на лента на екран, ръкомахане пред интелигентна камера и други. Администраторите трябва да намерят подходящ начин за това, като едновременно съхраняват достатъчно данни, за да докажат, че съгласието е получено (например с инсталиране на бисквитка чрез уеб сайта си), но и без да събират по-голям обем информация (освен данни за ден, час и идентификация на субекта).
Как се оттегля даденото съгласие?
Администраторът има задължението да гарантира, че съгласието може да бъде оттеглено от субекта на данни толкова лесно, колкото е дадено, и то по всяко време (например чрез отметка в настройките на потребителски профил в уеб сайт или приложение). Освен това субектът трябва да може да оттегли съгласието си, без това да доведе до вредни последствия за него. Съответно, администраторът трябва ясно да информира за начина на оттегляне, както и да направи така, че оттеглянето на съгласието да бъде безплатно или да не води до намаляване на качеството на предоставяната услуга. При липсата на друго основание за обработването на данните, администраторът следва да ги заличи след получаване на изявлението за оттегляне.
А в кои случаи не се изисква съгласие?
Непосредствено след 25 май 2018 г. потребителите бяха затрупани с декларации, изискващи съгласието им за обработване на лични данни. В отговор на това “престараване” КЗЛД изготви информационен материал, поясняващ случаите, в които съгласие не трябва да бъде изисквано. Не се изисква съгласие, когато обработването на лични данни се извършва при:
- изпълнение на законови задължения;
-
предоставяне на различни административни услуги от държавни органи или органи на местното самоуправление;
-
трудово правоотношение;
-
сключване на договор - в тези случаи е достатъчна волята на страните да встъпят в договорни или преддоговорни отношения;
-
защита на легитимните интереси на администратора или на трета страна - при видеонаблюдение на работното място, упражняване или защита на правни претенции по съдебен или несъдебен ред и други;
-
предаване на данните от един администратор на друг в резултат на прехвърляне на вземания - законът задължава предишния кредитор да предаде на новия кредитор намиращите се у него документи, които установяват вземането;
-
предаване на данните от администратора на обработващ лични данни;
-
фотографиране и видеозаснемане на лица на публично място;
- обичайна професионална дейност на администратора (при лекари, зъболекари, фармацевти, адвокати, работодатели, публични органи, учебни заведения, банки и други кредитни институции, застрахователи и други).
Ако съгласието е получено в съответствие с всички правни изисквания, то представлява инструмент, чрез който субектът на данни може да контролира това дали и в каква степен неговите лични данни ще бъдат или няма да бъдат обработвани.
---------------------
Автори:
адв. Цвета Спартанска, адвокат в Адвокатско дружество “Георгиева и Джутев”, spartanska@gdlaw.bg
Пламена Янчева, адвокатски сътрудник в Адвокатско дружество “Георгиева и Джутев”, plamena@gdlaw.bg
Важна забележка!
Настоящото изложение не съставлява правно становище, препоръка за действия или бездействия. То отразява единствено мнението на авторите.
Винаги търсете правна помощ и съдействие по конкретни въпроси от своята дейност.
Настоящото изложение има информативен и опознавателен характер. Изразява личното професионално мнение на авторите на сайта и не представлява конкретен съвет или консултация