Когато ми казват „дайте съгласие за обработка на лични данни", обикновено кликам „Приемам" и продължавам напред. Но знам ли какво всъщност означава това съгласие и кога изобщо е необходимо? Истината е, че съгласието е само едно от шестте основания за законосъобразна обработка на лични данни по GDPR – и при много случаи не е нито задължително, нито дори подходящо. В тази статия ще разгледам всичките шест основания по чл. 6 от GDPR, ще обясня какво е „валидно съгласие" и как правилно да го получа или дам онлайн.
Всяка обработка на лични данни трябва да се основава на поне едно от шестте законови основания, изброени в чл. 6 от Регламент (ЕС) 2016/679. Ако нямам правно основание – обработката е незаконна, независимо дали съм физическо лице или бизнес. Ето кои са тези шест основания:
Лицето, чиито данни обработвам, е дало свободно, конкретно, информирано и недвусмислено съгласие. Съгласието за обработка на лични данни е подходящо за маркетингови имейли, бисквитки за проследяване, фотографии, публикувани на сайт и др.
Обработката е необходима за изпълнението на договор, по който субектът на данни е страна, или за вземане на мерки по негово искане преди сключването на договор. Например: когато поръчвам нещо от онлайн магазин – те трябва да обработят имената, адреса и телефона ми, за да доставят стоката. Не е нужно отделно съгласие.
Обработката е необходима за спазването на правно задължение, което се прилага спрямо администратора. Работодателят ми е длъжен да обработва данните ми (ЕГН, трудово досие и т.н.) по силата на трудовото и осигурителното законодателство – без да пита за съгласие.
Обработката е необходима, за да се защитят жизненоважните интереси на субекта или на друго физическо лице. Типичен пример: лекарят обработва здравни данни на пациент в спешна ситуация, когато пациентът не може да даде съгласие.
Обработката е необходима за изпълнението на задача от обществен интерес или при упражняване на официални правомощия, предоставени на администратора. Прилага се предимно за публични органи – общини, министерства, съдилища.
Обработката е необходима за целите на легитимните интереси на администратора или на трета страна, освен когато пред тях преобладават интересите или основните права и свободи на субекта на данни. Това е гъвкавото основание – мога да използвам данни на клиенти за предотвратяване на измами, за директен маркетинг към съществуващи клиенти или за вътрешни административни цели.
Трябва да знам, че изборът на основание не е произволен – избирам онова, което реално отговаря на ситуацията. Не мога да преминавам от едно основание към друго, ако първото отпадне. Повече за правата ми при обработката на лични данни мога да намеря в статията GDPR и лични данни – какви са правата на потребителите?
Съгласието за обработка на лични данни е подходящо, когато:
Когато обаче имам друго по-подходящо основание (например договор или легитимен интерес), по-добре е да го използвам. Съгласието е „крехко" – може да бъде оттеглено по всяко време, а тогава трябва да спра обработката.
Не всяко „Приемам" е законно съгласие. GDPR поставя четири задължителни условия, за да е валидно съгласието за обработка на лични данни:
Лицето трябва да има реален избор. Ако отказът от съгласие означава невъзможност да ползвам услугата (а тя е необходима), съгласието не е свободно дадено. Съгласието не може да бъде условие за достъп до услугата, когато обработката не е необходима за нея.
Трябва да е ясно за какво точно се иска съгласие. Едно общо съгласие „за всички цели" не отговаря на изискванията. За всяка отделна цел – маркетинг, профилиране, споделяне с трети страни – е необходимо отделно съгласие.
Преди да дам съгласие, трябва да знам: кой иска данните ми, за каква цел, дали ще ги споделят с трети лица и как мога да оттегля съгласието си. Информацията трябва да е достъпна, ясна и разбираема – не скрита в 50 страници правни текстове.
Съгласието трябва да е дадено чрез ясно утвърдително действие – кликване на бутон, поставяне на отметка или подписване. Мълчанието, предварително отметнатите квадратчета или пасивността НЕ представляват валидно съгласие.
Ако управлявам уебсайт или онлайн бизнес, трябва да се съобразявам с конкретни правила при искане на съгласие за обработка на лични данни:
За правилното изготвяне на документите за моя онлайн бизнес мога да разгледам професионалните общи условия и политики от Advokatami.bg, а за цялостното въвеждане на GDPR – да използвам персонализиран GDPR наръчник за бизнеса.
Когато обработвам чувствителни данни – здравословно състояние, расов или етнически произход, политически възгледи, биометрични данни, данни за сексуалния живот – изискванията са още по-строги. По принцип обработката на такива данни е забранена, освен в изрично посочени случаи, включително при изрично съгласие на лицето. Обикновеното съгласие не е достатъчно – нужно е „изрично" (explicit), т.е. лицето трябва активно и недвусмислено да потвърди.
Едно от ключовите права по GDPR е правото ми да оттегля съгласието си по всяко време. Оттеглянето трябва да е толкова лесно, колкото даването на съгласие. Ако съм дал съгласие с едно кликване, трябва да мога да го оттегля също с едно кликване – не след попълване на форма, изпращане на имейл и чакане 30 дни.
Важно: Оттеглянето на съгласие не засяга законосъобразността на обработката, извършена преди оттеглянето. Данните, обработени с мое съгласие преди оттеглянето, не трябва да се изтриват автоматично – но след оттеглянето обработката трябва да спре (освен ако администраторът разполага с друго законово основание).
Ако съм потребител и съм оттеглил съгласието си, но продължавам да получавам маркетингови съобщения – мога да подам жалба до Комисията за защита на личните данни (КЗЛД). Повече за правата ми при защита на личните данни мога да намеря в статията Лични данни – как да си ги защитя?
Основанията за законосъобразност по GDPR включват и т.нар. легитимен интерес – може би най-спорното от шестте. За да е приложимо, трябва да направя т.нар. „тест на балансиране": легитимният интерес на администратора трябва да надделява над интересите и правата на субекта на данни.
Легитимен интерес може да включва:
Не може да ползвам легитимен интерес, ако обработката нарушава разумните очаквания на субекта на данни или ако той не би очаквал данните му да се ползват по този начин.
За да съм наясно с всички задължения като администратор на уебсайт, препоръчвам да прочета и статията Каква отговорност нося като администратор на уеб сайт?
| Ситуация | Подходящо основание |
|---|---|
| Изпращане на маркетингови имейли (нови потребители) | Съгласие |
| Обработка на адрес за доставка при поръчка | Договор |
| Съхраняване на фактури и счетоводни данни | Законово задължение |
| Линкване на профили за предотвратяване на измами | Легитимен интерес |
| Обработка на здравни данни за лечение | Изрично съгласие / жизненоважни интереси |
Правилният избор на основание за законосъобразност е ключов за спазването на GDPR. Ако не съм сигурен кое основание да избера или как да изграда системата за съгласие в сайта си, мога да се консултирам с експерт чрез GDPR услугите на Advokatami.bg. А за пълния набор от документи – политика за лични данни, общи условия и cookie policy – препоръчвам да разгледам изготвянето на общи условия и политики от специалисти.
Повече за новите правила за защита на лични данни мога да намеря в статията Какви са новите правила за защита на лични данни (GDPR)?
Автор и дата на последна актуализация на текста спрямо законодателството:
Станимир
Ненов
