Преди две седмици ми се наложи да подам заявления за издаването на скица и удостоверение за данъчна оценка на недвижим имот. При подаването на заявленията служителите ме помолиха да подпиша и декларации за даване на съгласие за обработване на личните ми данни с цел предоставяне на заявените от мен административни услуги. Служителите бяха толкова любезни и отзивчиви, че сърце не ми даде да им откажа и с удоволствие подписах въпросните декларации.
Тази случка и силно зачестилото напоследък, след влизането в сила на Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните /ОРЗД/), събиране на съгласия за обработването на лични данни ме мотивираха да напиша настоящата статия.
Съгласно чл. 6 от ОРЗД обработването на лични данни може да става само на някое от следните основания:
a) субектът на данните е дал съгласие за обработване на личните му данни;
б) обработването е необходимо за изпълнението на договор, по който субектът на данните е страна;
в) обработването е необходимо за спазването на законово задължение;
г) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;
д) обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;
е) обработването е необходимо за целите на легитимните интереси на администратора или на трета страна.
Независимо, че съгласието е посочено на първо място сред основанията за събиране и обработване на лични данни, всички основания са равностойни и равнопоставени. Наличието на което и да е от тях прави обработването законосъобразно.
Презастраховането по логиката – „нека да си имаме едно съгласие, … за всеки случай“, може да изиграе лоша шега на администраторите, защото за съгласието за обработване на лични данни следва да се знае, че трябва да бъде дадено свободно и най-важното – даващият има правото да го оттегли по всяко време, съгласно чл. 7, ал. 3 от ОРЗД. Това означава, че след оттеглянето на съгласието администраторът следва да прекрати използването на личните данни. А ако де юре ги обработва на друго основание, това няма как да стане и рискува да изпадне в неловка ситуация, която дори може да му коства глоба или имуществена санкция, тъй като е въвел в заблуждение лицето, дало съгласието – че обработва данните му на основание съгласие и че то по всяко време може да го оттегли.
В случая с издаването на скица и удостоверение за данъчна оценка, ако бях оттеглил съгласието си веднага след подаване на заявленията, администраторът нямаше как да прекрати обработването на личните ми данни, тъй като по закон е длъжен да ги използва с цел упражняването на официалните му правомощия – предоставянето на заявените от мен услуги и най-важното – няма право да откаже да ми предостави въпросните услуги, дори и да оттегля съгласието си. Поради това служителите не следваше да ми искат съгласие, тъй като те обработват личните ми данни на основание упражняването на официалните правомощия на съответната служба.
Ето защо, преди да поискате съгласие за използването на лични данни, следва първо да се запитате дали не е налице някое друго правно основание за тяхното събиране и обработване, като например договор с лицето, чиито данни обработвате или законово задължение, като едни от най-често срещаните основания в частния сектор, както и какви биха били последиците при оттегляне на съгласието от лицето, което ви го е дало.
Така, ако използвате личните данни на служителите си в качеството на работодател, за да внасяте дължимите социални осигуровки, вие го правите на основание изпълнение на ваше законово задължение, защото законът ви задължава като работодател да удържате осигуровките от заплатите на служителите си и да ги внасяте всеки месец по съответните сметки на фиска.
Също така, ако дружеството ви ангажира майстор, който да изработи мебели за офиса ви, не би следвало да искате съгласието на майстора за използване на банковата му сметка с цел да му платите уговореното възнаграждение, защото вие извършвате това на основание изпълнение на сключения с него договор за изработка на мебели.
В частния сектор най-често срещаните случаи, в които следва да поискате съгласие за използването на лични данни, са: директният маркетинг и изпращането на бюлетини.
До скоро, а и все още, сред маркетинговите отдели беше често срещана практика купуването на списъци с мейли с неясен произход, за които не се знае кой и как е събирал и съставял. След влизането в сила на ОРЗД, което стана на 25.05.2018, тази практика категорично следва да бъде преустановена, защото основният принцип при директния маркетинг по отношение на физическите лица, е opt-in, а не opt-out, т.е. вие трябва предварително да получите съгласие от физическото лице, за да му изпратите търговско съобщение, а не да разчитате на това, че то може да се откаже от получаването на вашите съобщения.
По същия начин стои и въпросът с изпращането на бюлетини/newsletter/. Препоръчително е вашият сайт да има опция за получаване на съгласие, за съхраняване на информация за получените съгласия, както и за оттеглените съгласия, с цел поддържането на актуален списък с получатели, дали съгласие за получаването на вашия бюлетин, както и за изпълнение на задължението за отчетност, което е вменено с ОРЗД на всеки администратор.
В заключение бих обобщил – ако е налице някое от останалите основания за обработване на лични данни, изброени в чл. 6 от ОРЗД, не искайте съгласие за това обработване. Съгласието е по-скоро последна опция, ако не е налице някое от другите основания.
Моля, имайте предвид, че статията е актуална към 05.09.2018 и всеки случай е строго индивидуален. Настоящата статия служи само за информация и не представлява конкретен юридически съвет. Поради което, преди да предприемете конкретни действия, както и ако не сме успели да отговорим на всичките ви въпроси, ви препоръчваме да се консултирате с нас , а ние ще се радваме да ви съдействаме. Всяка първа консултация при нас е напълно безплатна!