# 4 Съгласието като едно от шестте легитимни основания за обработване на данни

Уважаеми клиенти и партньори,

Отново във връзка с GDPR ще обърнем внимание на съгласието като едно от шестте легитимни основания за обработване на данни.

Медийното внимание, на което се радва Регламентът, отчасти заради големите парични санкции, които въвежда, позволи широко отразяване на проблематиките и ключовите понятия, в това число и на съгласието.

Какво знаем за съгласието досега? Известно е, че за да бъде валидно, съгласието трябва е:

  • свободно изразено – субектът на данни трябва да има истински и свободен избор и да е в състояние да откаже или да оттегли съгласието си, без това да доведе до вредни последици за него;
  • конкретно – съгласието трябва да се отнася до ясно определена цел на обработване, срок и лица, които ще имат достъп до данните;
  • информирано – на субекта на данни следва да се предостави информация поне за самоличността на администратора и целите на обработването, за които са предназначени личните данни;
  • недвусмислено – необходимо е съгласието да се даде чрез ясен утвърдителен акт – заявление или поведение, което ясно показва, че субектът на данни е съгласен с предложеното обработване.

Споменавайки мимоходом тези основни аспекти на валидността, настоящата публикация ще обърне по-специално внимание на недотам коментираните особености на съгласието, които налагат завишено внимание при неговото използване.

И така, значението на съгласието като основание за обработване не трябва да се преекспонира и неговото приложение – да се приема като панацея. Причините за това са няколко.

На първо място, съгласието представлява само едно от шестте основания за обработване и неговото приложение е ограничено, когато някое от останалите пет основания намира приложение. Така например, съгласието не следва да се използва тогава, когато обработването се извършва с цел изпълнение на договор. В този случай основаване на съгласието не само не е необходимо, но е и нежелателно. Да не забравяме – съгласието може да бъде оттеглено! Какво би се случило с договорните отношения тогава…

На второ място, Работната група по чл. 29 приема, че по правило обработването за дадена цел може да има едно единствено правно основание. В този смисъл, когато обработваме данни на основание на получено съгласие, не можем да комбинираме или „подсилваме“ съгласието с друго правно основание за всеки случай, ако субектът на данните оттегли своето съгласие. Освен това, ако сме започнали обработване на основание на получено съгласие, то не бихме могли на по-късен етап да променим това основание. Причината е отново фактът, че съгласието може да бъде оттеглено. Хипотеза, която не съществува при никое от останалите основания.

На трето място, съгласието като основание за обработване е зависимо от контекста, в който е получено. GDPR обръща сериозно внимание на  дисбаланса в отношенията между администратора на лични данни и субекта на данните. Примерите за дисбаланс са много. Един от тях е свързан с трудовоправните отношения. Едва ли има предприятие, пред което да не е поставен въпросът за съобразяването на трудовоправните отношения с изискванията на Регламента. Докъде можем да разчитаме на съгласието тук?

Мнението на Работната група по чл. 29 е, че в този контекст съгласието не би следвало да се приема като легитимно основание. Причината се коренѝ в неравнопоставеността между страните и невъзможността служителят-субект на данните да направи свободен избор под страх или дискомфорт от настъпване на неблагоприятни последици за него. А това противоречи на едно от основните изисквания за валидността на съгласието, а именно свободата на избора.

Същият пример би могъл да бъде даден, що се касае до отношения, в които администраторът е публичен орган. Тук отново не би могло да се говори за предоставяне на реалистичен избор на субекта на данните дали да даде своето съгласие или не, тъй като отново говорим за наличие на „по-силна страна“ при договаряне, водещо до съответната неравнопоставеност.

Всеки тип влияние или натиск върху субекта на данните се приема като пречка за вземането на свободно решение и лишава съгласието от валидност, а обработването – от законосъобразност. Администраторът трябва да може във всеки един момент да докаже, че съгласието е дадено без заплаха от настъпване на каквито и да било негативни последици в случай на отказ.

На четвърто място, съгласието следва да бъде давано отделно за всяка отделна цел. Дори целта да е повтаряща се на определен период от време, е желателно то да бъде подновявано, а субектът – отново информиран за обработването. Не може да се приеме, че веднъж полученото съгласие за обработване за определена цел е достатъчно за последващо обработване на данните за други цели.

Накрая, ако в представите ви получаването на съгласие е свързано с изискана терминология и сложен език, можете да си отдъхнете. Информацията, предоставена с оглед получаването на съгласие от субекта на данните, следва да бъде проста и лесно разбираема за средностатистическия гражданин. В този смисъл изтънченият юридическия стил по никакъв начин не е възприет като полезен от GDPR.

В заключение ще изтъкнем една благоприятна възможност за бизнеса, а именно липсата на законодателно изискване съгласието да бъде писмено. То би могло да бъде изрично по много други начини, които ще намерят особено приложение в контекста на новите технологии. Европейският законодател е предоставил възможност на администраторите да имплементират различни начини и способи за получаване на съгласие, вкл. чрез отбелязване с отметка в поле при посещението на уебсайт в интернет, избиране на технически настройки за услуги на информационното общество и др. под.

Екипът на „Димитров, Петров и Ко.“

# 3 „Димитров, Петров и Ко.“ с принос в новата платформа Data Privacy Advisor на „Томсън Ройтерс“

Като реакция на глобалната динамика в уредбата относно защитата на личните данни медийната компания „Томсън Ройтерс“ стартира нова онлайн платформа – Data Privacy Advisor. Целта е на едно място да бъде обединено първокласно съдържание, свързано със защитата на личните данни. Освен че своевременно информира за новостите и тенденциите в областта и отговаря на точно формулирани запитвания, платформата съдържа и подробна информация за приложимите правила за различни държави.

Материалите в посветената на България секция са подготвени от адв. Десислава Кръстева, ръководител на Отдела по защита на личните данни в „Димитров, Петров и Ко.“, CIPP/E, и адв. Гавраил Потеров, също част от екипа на Дружеството. Сътрудничеството с „Томсън Ройтерс“ по този проект не е еднократно. Експертите от „Димитров, Петров и Ко.“ ще имат грижата по актуализиране на информацията в Data Privacy Advisor, която се отнася до България.

Представяне и бърз преглед на интерфейса на услугата Data Privacy Advisor може да намерите тук: Data Privacy Advisor Overview

# 2 Как да избегнете санкции от 20 млн. евро или 4% от годишния Ви оборот – МЕРИТАС представя ръководство с препоръки към компаниите с оглед спазването на GDPR

Във връзка с регламентa за защита на личните данни – Регламент (ЕС) 2016/679 („GDPR“), който ще започне да се прилага от 25.05.2018 г., реномираната мрежа за международно правно сътрудничество МЕРИТАС предлага кратко информационно видео, в което схематично представя препоръчителни за компаниите стъпки с оглед спазването на изискванията на GDPR.

 

В процеса по подготовка се разграничават три основни етапа:

  • Одит на процесите по обработване на лични данни в организацията;
  • Анализ на установените пропуски (т.нар. Gap analysis)
  • Разработване и прилагане на вътрешни правила и процедури, съобразени с изискванията на GDPR.

Като мрежа за международно правно сътрудничество МЕРИТАС има формиранa Група по „Защита на личните данни“, която е съставена от водещи експерти в областта, излъчени от членуващите в мрежата адвокатски кантори от ЕС. Съвместната им работа позволява разрешаване на проблемите на клиентите, свързани със защитата на личните данни, както в национален, така и в международен план.

Адвокатско дружество „Димитров, Петров и Ко.“ е ексклузивен член на МЕРИТАС за България от 2005 г. и понастоящем също развива активна дейност по подготовка на клиентите си за постигане на съответствие с изискванията на GDPR.

Въведение

Уважаеми клиенти и партньори,

От 25 май 2018 г. ще започне да се прилага новият европейски регламент за защита на личните данни – Регламент 2016/679 (“GDPR“). GDPR въвежда завишени изисквания към бизнеса за защита на личните данни и безпрецедентни санкции. Размерите на предвидените санкции могат да достигат до 20 млн. евро или 4 % от общия световен годишен оборот на предприятието за предходната финансова година, която от двете суми е по-висока.

Какво са лични данни? Обработваме ли такива?
Засягат ли ни новите правила на GDPR?
Готов ли е бизнесът ни да отговори на това ново предизвикателство?
Как най-добре да се защитим от санкциите? Как да минимизираме рисковете за бизнеса си?
Трябва ли да променим бизнес процесите?

Всеки един от Вас с основание си задава поне част от тези въпроси, а може би и много повече. Като Ваш доверен партньор екипът на „Димитров, Петров и Ко.“ ще Ви помогне да се запознаете със същината на новите изисквания като подготви серия от разяснителни публикации по ключови теми за GDPR.

Представяме на Вашето внимание първата от публикация за GDPR, посветена на длъжностното лице по защита на данните (ДЛЗД). Нека заедно направим първите крачки към GDPR!

Екипът на „Димитров, Петров и Ко.

# 1 Длъжностно лице по защита на данните

Длъжностното лице по защита на данните (ДЛЗД) е нова фигура, която GDPR въвежда на помощ на организациите в процеса по управление на защитата на личните данни. ДЛЗД е призвано да бъде своеобразен „отговорник“ по всички въпроси, свързани със защитата на личните данни в предприятието – от даването на разяснения и съвети на служителите и ръководството, през осъществяването на контрол върху процесите по обработване на данните, до функционирането като единна точка за контакт за надзорните органи и лицата, чиито данни се обработват.

Ако по сега действащия режим предприятията имаха възможност по своя преценка да назначат т.нар. „лице по защита на личните данни“, то с GDPR за първи път назначаването на подобен отговорник по защитата на личните данни става задължение за организациите (администратори и обработващи лични данни). Според GDPR задължение за назначаване на ДЛЗД възниква, ако:

  • обработването се извършва от публичен орган или структура (с някои малки изключения за съдебните функции на съдилищата);
  • основните дейности на организацията се състоят в:
    • операции по обработване, които изискват редовно и систематично мащабно наблюдение на субектите на данни. За „мащабно“ се приема напр. обработването на пациентски данни в болниците; на данни за пътувания на физически лица, използващи системата на обществен транспорт на даден град; на клиентски данни от застрахователни дружества и банки; на лични данни от търсачка с цел поведенческа реклама; на данни (съдържание, трафик, местоположение) от доставчици на телефонни или интернет услуги и др. „Редовно и систематично“ пък е наблюдението, когато се осъществяват дейности като експлоатация на далекосъобщителна мрежа; предоставяне на далекосъобщителни услуги; пренасочване на електронни съобщения, основани на данни маркетингови дейности; профилиране и оценяване за целите на оценка риска (кредитоспособност, изчисляване на застрахователни премии, предотвратяване на измами и пране на пари); проследяване на местоположението чрез мобилни приложения; програми за лоялност; поведенческа реклама; вътрешна система за видеонаблюдение и др. под.[1];
    • мащабно обработване на специални по смисъла на GDPR категории данни (напр. данни за расов или етнически произход; данни за здравословното състояние, сексуалния живот и сексуалната ориентация; генетични данни; биометрични данни като пръстови отпечатъци, лицеви характеристики, очен ирис, ретина и др.) или лични данни, свързани с присъди/ нарушения.

Освен в посочените случаи, държавите членки могат да предвидят и други изисквания за назначаване на ДЛЗД. Според информация, достъпна на сайта на българската Комисия за защита на личните данни, ДЛЗД трябва да се назначи и ако организацията обработва лични данни на над 10 000 физически лица[2]. Дори когато назначаването на ДЛЗД не е задължително, GDPR допуска организациите доброволно да определят такова – назначаването на ДЛЗД може да бъде успешен маркетингов и репутационен ход, а също и ефикасен начин за изпълнение на някои обременяващи задължения. Ако предприятието, дори да няма такова задължение, назначи ДЛЗД, то следва да спазва всички правила на GDPR относно тази позиция, включително осигуряването на независимост.

ДЛЗД трябва да притежава задълбочени експертни познания относно законодателството и практиката на защитата на личните данни. Едно ДЛЗД може да бъде назначено за група предприятия (ако всяко от тях има лесен достъп до ДЛЗД) или за няколко публични органа/ структури, като се отчита организационната им структура и размер. GDPR допуска ДЛЗД да бъде член на персонала на организацията или да бъде външен изпълнител по договор за услуги. Въпрос на преценка за всяка организация с оглед специфичния ѝ начин на функциониране е как най-целесъобразно да се ангажира ДЛЗД. Ако ДЛЗД ще бъде член на персонала, то не може да съвместява други функции, които са в конфликт на интереси с функциите му на ДЛЗД. Така напр. главният изпълнителен директор, мениджърът „Човешки ресурси“, главният финансов директор или ръководителят на ИТ отдела не може да действат като ДЛЗД, защото ще трябва сами да контролират себе си. ДЛЗД трябва да бъде „независимо“ – то е подчинено само на най-висшето ръководство на организацията и не може да бъде освободено от длъжност или санкционирано по причини, свързани с изпълнение на своите задачи (напр. за даване на съвет на администратора да извърши оценка на въздействието, защото ДЛЗД счита дадена операция по обработвана на данни за особено рискова).

Правилата за ДЛЗД трябва да бъдат взети сериозно, защото нарушаването им може да доведе до глоба от 10 милиона евро или 2% от общия световен годишен оборот за предходната финансова година на предприятието, което от двете е по-високо. Ако се използва правилно, фигурата на ДЛЗД може да бъде мощен инструмент за постигане и поддържане на съответствие с новите правила.

[1] Вж. в този смисъл Насоки за длъжностните лица по защита на данните („ДЛЗД“) на Работната група по чл. 29, достъпни на следния интернет адрес: http://ec.europa.eu/newsroom/document.cfm?doc_id=44100

[2] Вж. Десет практически стъпки за прилагане на Общия регламент за защита на данните на КЗЛД, достъпни на следния интернет адрес: https://www.cpdp.bg/?p=element&aid=1109/

Екипът на „Димитров, Петров и Ко.

Настоящият материал е изготвен от екипа на Адвокатско дружество Димитров, Петров & Ко. и е предназначен за клиенти и партньори на дружеството, както и за други читатели с интереси в областта на правото и защитата на личните данни.

Информацията и становищата, съдържащи се в материала, не съставляват изчерпателен и детайлен анализ на разгледаните правни въпроси.

Представените анализи и други информационни материали нямат характера на правен съвет или консултация, и не следва да бъдат възприемани като достатъчни за разрешаването на конкретни правни проблеми, казуси и др. Всички материали, съдържащи се в електронния блог на Димитров, Петров & Ко. са обект на закрила по ЗАПСП. Всяко изменение, публикуване, разпространяване и др. подобни без изричното предварително съгласие на Димитров, Петров & Ко. е забранено.