Georgiev, Todorov & Co  
Georgiev, Todorov & Co.
Съгласието по GDPR: какво трябва да знаем  

Съгласието по GDPR: какво трябва да знаем

19.12.2017

Към настоящия момент едва ли има предприятие или консултант, чието внимание да не е било привлечено към новите правила в областта на защитата на лични данни, които предстои да започнат да се прилагат считано от 25 май 2018 г. Съвсем наскоро пък работната група за защита на лицата, създадена по силата на член 29 от Директива 95/46/ЕО, публикува дългоочакваните Нaсоки за даването на съгласие (Guidelines on Consent under Regulation 2016/679)[1] по смисъла на новия Регламент № 2016/679, известен повече с абревиатурата GDPR.

В поредица от публикации и събития, екипът на адвокатско дружество „Георгиев, Тодоров и Ко.“ по защита на лични данни ще разясни в какво се състоят новите правила, към кого са приложими, как същите се отразяват на конкурентоспособността на Вашият бизнес, както и да предложи практически съвети и решение за правилно прилагане на новите изисквания.

Гореспоменатите Насоки за съгласието са част от поредица документи – насоки, становища и др., разработени от т.нар. Работна група по чл. 29, които дават разяснения и практически указания във връзка с прилагането на Регламент № 2016/679. Въведените промени по отношение на даването на съгласие от субектите на данните (лицата, за които личните данни се отнасят) всъщност са едни от най-значимите и съществените спрямо досега действащия правен режим на защитата на лични данни.

Предлагаме на Вашето внимание кратко изложение на публикуваните Насоки за съгласието и най-важните изводи от тях:

Изисквания към валидно даденото съгласие

§ Свободно дадено: няма да е налице валидно дадено съгласие, ако страните са в неравностойни позиции/ в позиция на зависимост една спрямо друга, или пък ако съгласието е обуславящо за изпълнението на договор между страните. Съгласие следва да се предоставя за всяка отделна операция и цел, при които се обработват лични данни, като субектът на данните следва да може да избира свободно дали да даде съгласието си, без от това за него да могат да произтекат негативни последици;

§ Специфично и конкретно: съгласието трябва да се отнася за конкретна цел на обработване на лични данни;

§ Информирано: при даване на съгласие субектът на данните следва да разполага най-малко със следната информация:

(1) личността на администратора на данните;

(2) целта на всяка форма на обработване на данни;

(3) видът лични данни, които ще се събират и обработват;

(4) наличието на възможност за оттегляне на съгласието;

(5) дали данните ще се използват за вземане на решение на база автоматично обработване / профилиране;

(6) дали данните му ще се предават на лица извън територията на ЕИП и информация за свързаните с това рискове, ако не е налице решение за адекватно ниво на защита;

§ Ясно потвърждаващо действие: съгласието трябва да е дадено чрез недвусмислен акт, който разкрива съгласяването от страна на субекта на данните с обработването на личните му данни; в контекста на онлайн-услугите това може да налага дори прекъсване на предоставяне на услугата, за да се привлече вниманието на субекта на данните към акта на даване на съгласие.

Значение на Изричното съгласие

Насоките съдържат указания във връзка с „изричното“ съгласие по смисъла на Регламента, което се получава за обработката на специални категории данни, предаването на лични данни извън ЕИП или за автоматизирано индивидуално вземане на решения. Съгласно Насоките, за да бъде "изрично" съгласието, субектът на данните трябва да направи изрично изявление за своето изрично съгласие, например чрез нарочна писмена декларация. В дигиталния свят, заинтересованото лице може да даде изрично заявление за съгласие, като попълни електронна форма, изпрати имейл, качи сканиран документ или използва електронен подпис.

Доказване на дадено съгласие

Работната група посочва, че администраторите на лични данни са свободни да разработят методи, за да докажат, че съгласието е валидно получено по начин, който отговаря най-добре на ежедневните им операции, като самият регламент не предписва изрично използването на един или друг метод. Независимо от това, за да се докаже, че съгласието е валидно дадено, администраторът на данни трябва да може да докаже във всеки отделен случай, че дадено лице е дало съгласието си. В допълнение Насоките посочват, че администраторите на данни трябва да съхраняват архиви за съгласие само дотолкова, доколкото е необходимо за спазване на законовите задължения, които са приложими спрямо тях, или за установяване, упражняване или защита при правни искове. Запазената информация не следва да излиза извън минимално необходимото, за да се докаже, че е получено валидно съгласие.

Съгласие на децата

GDPR изисква съгласието на родителите по отношение на обработката на лични данни за деца под 16 г. в контекста на услугите на информационното общество (напр. уеб сайт или услуга за видео стрийминг), предлагани директно на деца. Регламентът обаче отново не уточнява средствата, които трябва да се използват, за да се провери дали даден потребител е дете или да получи съгласието на родителите на детето. Насоките предлагат на администраторите на данни да прилагат пропорционален подход при преценка дали са положени „разумни“ усилия за спазване на Регламента с оглед на степента на риск във всеки отделен случай, засегнатия интерес и наличните технологични решения. Например Работната група разглежда различни хипотези, като в единия случай получаването на родителско съгласие чрез електронна поща може да бъде достатъчно, но при обработване с по-висок риск могат да се използват по-строги методи, като например изискване към родителя да направи £ / $ / € 0.01 плащане на администратора чрез банкова транзакция.

Други особености за съгласието

Насоките дават изричен отговор на един въпрос, който дълго време измъчваше консултантите по защита на личните данни: ако администраторът на данни е получил съгласие от субекта на данните преди влизане в сила на новите правила, необходимо е отново да изиска съгласие. Отговорът - съгласието, получено преди GDPR, ще продължи да бъде валидно съгласно GDPR, при условие че отговаря на условията за съгласие, изисквани от GDPR. В противен случай Работната група препоръчва или да бъде получено ново съгласие, или да се потърси друго легитимно основание по чл. 6 от Регламента за обработване на данните.

Често информацията, предоставена въз основа на съгласие, се обработва продължително време – една от препоръките на Работната група в тази връзка е да се въведе периодично потвърждаване или повторно даване на съгласие.

Следва да се има предвид и че ако се обработват лични данни въз основа на едно от основанията по чл. 6 от Регламента, след неговото отпадане, обработването не може да продължи на някое от другите основания, освен ако това не е било изначално предвидено при събирането на личните данни.

Във връзка с необходимостта от въвеждане на GDPR aдвокатско дружество „Георгиев, Тодоров и Ко.“ заедно със своите експерти -партньори предлага пакетно правно, техническо и софтуерно консултиране и анализ на съществуващите системи и процеси на обработване на лични данни, както и разработване и разписване на фирмени политики и системи, които да осигурят спазване на изискванията на Регламента. При въпроси и запитвания, не се колебайте да се свържете с нас.

[1] Насоките могат да бъдат прегледани на следния адрес: Guidelines on Consent (wp259) and guidelines on Transparency (wp260)