Съгласни ли сте?

Съгласни ли сте?

В светлината на новия Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните), за краткост тук по – долу Регламент/-а, в сила от 25 май 2018г., понятията „лични данни“ и законосъобразно „обработване“ добиха  огромна  гласност, а GDPR се превърна в едно от най-обсъжданите явления за месец май 2018г., включително стана причина за стрес, обект на хумор, неразбиране. Трябва да се посочи, че в България има действащ Закон за защита на личните данни от 2002г, в който подробно е заложена уредбата на тази чувствителна за правата ни сфера, поради което за България, една част от изискванията на GDPR не са ексклузивни, а принципните положения в никакъв случай не са новост. Считам, че до известна степен се кумулира изкуствено „напрежение“ в публичното пространство, относно това, готов ли е българският бизнес да продължи да функционира безпрепятствено и законосъобразно при действието на Общия регламент относно защитата на данните.

По мое мнение, балансираният подход е изключително важен – спазването на Регламента изисква едновременно спокойно и професионално адаптиране към новите моменти, след консулатации с нужните за целта експерти, включително IT специалисти. Консултантите, на които се доверяваме, е необходимо да притежават задълбочени познания, за да може да има индивидуален подход при изготвянето на документацията по приложението на Регламента. Не трябва да се изпада в крайностите, които вече се чуват в публичното пространство и заради които хората останаха с впечатление, че не бива да казват ЕГН-то и името си, да посочват телефонният си номер, или да показват личната си карта – напомням, че говорим за законосъобразно обработване на личните данни, а не за това да спрем да обработваме лични  данни въобще.

В този смисъл, без да претендира за изчерпателност, настоящото изложение има за цел да обобщи изискванията, които следва да бъдат спазени при използването на един от способите за законосъобразно обработване на лични данни, а именно – Съгласието.

Позоваването на Съгласието при обосноваване законосъобразното опериране с лични данни на пълнолетни лица, е често срещано в практиката, с оглед на което Общият регламент относно защитата на данните съдържа ясни изисквания какво трябва да съдържа и как следва да бъде дадени едно неопорочено и изразено съобразно изискванията на Регламента Съгласие. Съгласно съдържащата се в Общия регламент относно защитата на данните легална дефиниция, „съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени“.

Свободно изразено, съгласието предполага предоставяне на даващия съгласие, наричан още и субект на данни, на възможност за недвусмислено демонстриране на осъзнато взето решение от негова страна, както и упражняването на контрол при обработването на личните му данни. Ако субектът на данните не разполага с възможност за избор, то неговото съгласие няма да бъде свободно изразено и следователно ще бъде невалидно. Както ясно и категорично е посочено в рецитал 43 от Общия регламент относно защитата на данните, „за да се гарантира, че е дадено свободно, съгласието не следва да представлява валидно правно основание за обработването на лични данни в конкретна ситуация, когато е налице очевидна неравнопоставеност между субекта на данните и администратора, по-специално когато администраторът е публичен орган, поради което изглежда малко вероятно съгласието да е дадено свободно при всички обстоятелства на конкретната ситуация.“

Конкретно и информирано, означава, че субектът на данните следва да е запознат с целите, за изпълнението на които, ще се обработват неговите лични данни. Получаването на валидно съгласие от страна на администратора на данните, винаги следва да бъде предшествано от ясното и конкретно посочване на легитимните цели, за които ще се обработват данните на субекта. В допълнение, изискването за конкретност на Съгласието е в тясна зависимост и с това, същото да бъде информирано. Предоставянето на необходимата информация преди получаването на Съгласието на субектите на данни, е от съществено значение, с оглед осигуряването на възможност за взимане на информирано решение, включително и упражняването на осигурената от Общия регламент възможност за оттегляне на вече даденото Съгласие – лишено от логика би било всяко оттегляне на съгласие, което е дадено от субекта на данните, без да знае защо. В случай, че администраторът на данните не осигури достъп на субектите на данните до относимата за получаването на Съгласието информация на достъпен и лесно разбираем език, упражняването на контрол от страна на субектите на данните ще остане илюзорно, а даденото при подобни обстоятелства съгласие – лишено от правно основание.

Недвусмислено указание за волята на субекта на даннитепри обработването на данните следва да се демонстрира ясно и недвусмислено с какво субектът на данните се е съгласил. Това изисква не просто потвърждение на факта, че субектът е прочел общите условия напр. Допълнителни указания в тази връзка се съдържат в рецитал 32 от Общия регламент относно защитата на данните, който рецитал гласи, че: „Съгласие следва да се дава чрез ясно утвърдителен акт, с който да се изразява свободно дадено, конкретно, информирано и недвусмислено заявление за съгласие от страна на субекта на данни за обработване на свързани с него лични данни, например чрез писмена декларация, включително по електронен път, или устна декларация. Това може да включва отбелязване с отметка в поле при посещението на уебсайт в интернет, избиране на технически настройки за услуги на информационното общество или друго заявление или поведение, което ясно показва, че субектът на данни е съгласен с предложеното обработване на неговите лични данни. Поради това мълчанието, предварително отметнатите полета или липсата на действие не следва да представляват съгласие. Съгласието следва да обхваща всички дейности по обработване, извършени за една и съща цел или цели. Когато обработването преследва повече цели, за всички тях следва да бъде дадено съгласие. Ако съгласието на субекта на данни трябва да се даде след искане по електронен път, искането трябва да е ясно, сбито и да не нарушава излишно използването на услугата, за която се предвижда.”

Съгласно установеното в чл. 7, ал. 3 от Регламента, субектът на данните следва, преди да даде своето съгласие за обработването на данните му, да бъде информиран, че има право да оттегли съгласието си по всяко време, както и да бъде информиран за начина, по който може да направи това. Оттеглянето на съгласието следва да става също толкова лесно, колкото и даването му. Оттеглянето на съгласието не опорочава по никакъв начин вече извършеното до момента на оттеглянето на съгласието обработване на данни. След този момент, администраторът трябва да прекрати обработването, което е било основано на вече оттегленото съгласие или, в случай, че продължи да обработва данните, да обоснове наличието на някое от другите предвидени в Регламента основания, за да продължи да обработва същите тези данни. В допълнение, на субектите на данни следва да им бъде гарантирана възможността да оттеглят вече даденото от тях съгласие, без възникването на каквито и да било негативни последици за тях – напр. пораждане на задължение за заплащане на допълнителни такси или понижаване качеството на предоставяната услуга като последица от оттеглянето на съгласието. В противен случай, съгласието няма как да бъде считано за свободно дадено.

/Настоящата статия представлява авторски коментар на екипа на АС“ Ангелови и ко“  по засегнатата тема и няма претенции за изчерпателност. Ако имате въпроси свързани с прилагането на Общия регламент за защита на данните и/или нужда от правен съвет в сферата на защита на личните данни, във всеки конкретен случай, трябва да се обръщате към специалист, който да проучи казуса всестранно/.

14.06.2018г.