Уважаеми клиенти и партньори,
Отново във връзка с GDPR ще обърнем внимание на съгласието като едно от шестте легитимни основания за обработване на данни.
Медийното внимание, на което се радва Регламентът, отчасти заради големите парични санкции, които въвежда, позволи широко отразяване на проблематиките и ключовите понятия, в това число и на съгласието.
Какво знаем за съгласието досега? Известно е, че за да бъде валидно, съгласието трябва е:
- свободно изразено – субектът на данни трябва да има истински и свободен избор и да е в състояние да откаже или да оттегли съгласието си, без това да доведе до вредни последици за него;
- конкретно – съгласието трябва да се отнася до ясно определена цел на обработване, срок и лица, които ще имат достъп до данните;
- информирано – на субекта на данни следва да се предостави информация поне за самоличността на администратора и целите на обработването, за които са предназначени личните данни;
- недвусмислено – необходимо е съгласието да се даде чрез ясен утвърдителен акт – заявление или поведение, което ясно показва, че субектът на данни е съгласен с предложеното обработване.
Споменавайки мимоходом тези основни аспекти на валидността, настоящата публикация ще обърне по-специално внимание на недотам коментираните особености на съгласието, които налагат завишено внимание при неговото използване.
И така, значението на съгласието като основание за обработване не трябва да се преекспонира и неговото приложение – да се приема като панацея. Причините за това са няколко.
На първо място, съгласието представлява само едно от шестте основания за обработване и неговото приложение е ограничено, когато някое от останалите пет основания намира приложение. Така например, съгласието не следва да се използва тогава, когато обработването се извършва с цел изпълнение на договор. В този случай основаване на съгласието не само не е необходимо, но е и нежелателно. Да не забравяме – съгласието може да бъде оттеглено! Какво би се случило с договорните отношения тогава…
На второ място, Работната група по чл. 29 приема, че по правило обработването за дадена цел може да има едно единствено правно основание. В този смисъл, когато обработваме данни на основание на получено съгласие, не можем да комбинираме или „подсилваме“ съгласието с друго правно основание за всеки случай, ако субектът на данните оттегли своето съгласие. Освен това, ако сме започнали обработване на основание на получено съгласие, то не бихме могли на по-късен етап да променим това основание. Причината е отново фактът, че съгласието може да бъде оттеглено. Хипотеза, която не съществува при никое от останалите основания.
На трето място, съгласието като основание за обработване е зависимо от контекста, в който е получено. GDPR обръща сериозно внимание на дисбаланса в отношенията между администратора на лични данни и субекта на данните. Примерите за дисбаланс са много. Един от тях е свързан с трудовоправните отношения. Едва ли има предприятие, пред което да не е поставен въпросът за съобразяването на трудовоправните отношения с изискванията на Регламента. Докъде можем да разчитаме на съгласието тук?
Мнението на Работната група по чл. 29 е, че в този контекст съгласието не би следвало да се приема като легитимно основание. Причината се коренѝ в неравнопоставеността между страните и невъзможността служителят-субект на данните да направи свободен избор под страх или дискомфорт от настъпване на неблагоприятни последици за него. А това противоречи на едно от основните изисквания за валидността на съгласието, а именно свободата на избора.
Същият пример би могъл да бъде даден, що се касае до отношения, в които администраторът е публичен орган. Тук отново не би могло да се говори за предоставяне на реалистичен избор на субекта на данните дали да даде своето съгласие или не, тъй като отново говорим за наличие на „по-силна страна“ при договаряне, водещо до съответната неравнопоставеност.
Всеки тип влияние или натиск върху субекта на данните се приема като пречка за вземането на свободно решение и лишава съгласието от валидност, а обработването – от законосъобразност. Администраторът трябва да може във всеки един момент да докаже, че съгласието е дадено без заплаха от настъпване на каквито и да било негативни последици в случай на отказ.
На четвърто място, съгласието следва да бъде давано отделно за всяка отделна цел. Дори целта да е повтаряща се на определен период от време, е желателно то да бъде подновявано, а субектът – отново информиран за обработването. Не може да се приеме, че веднъж полученото съгласие за обработване за определена цел е достатъчно за последващо обработване на данните за други цели.
Накрая, ако в представите ви получаването на съгласие е свързано с изискана терминология и сложен език, можете да си отдъхнете. Информацията, предоставена с оглед получаването на съгласие от субекта на данните, следва да бъде проста и лесно разбираема за средностатистическия гражданин. В този смисъл изтънченият юридическия стил по никакъв начин не е възприет като полезен от GDPR.
В заключение ще изтъкнем една благоприятна възможност за бизнеса, а именно липсата на законодателно изискване съгласието да бъде писмено. То би могло да бъде изрично по много други начини, които ще намерят особено приложение в контекста на новите технологии. Европейският законодател е предоставил възможност на администраторите да имплементират различни начини и способи за получаване на съгласие, вкл. чрез отбелязване с отметка в поле при посещението на уебсайт в интернет, избиране на технически настройки за услуги на информационното общество и др. под.
Екипът на „Димитров, Петров и Ко.“