Съгласието може да служи за различни цели, съгласно GDPR. Все по-трудно и потенциално непродуктивно ще бъде да разчитате на съгласието като основа за обработка.

Съгласието може да предостави законово основание за обработката на личните данни. То може също така да осигури законово основание за обработка на специалните категории данни. Или може да се разчита на частична промяна на ограниченията при износ на данни извън Европейското Икономическо Пространство. Това може да бъде необходимо във връзка с електронна търговия или с поставянето на "бисквитки". Въпреки че съгласието, ако е законно получено, продължава да обслужва тези цели, изискването да се получи обосновано съгласие е твърде силно затегнато (контролирано) в рамките на GDPR.

Сега има множество нови условия, паралелно със съществуващите изисквания, че съгласието винаги трябва да се дава свободно, специфично (конкретно) и осведомено, което трябва да е удовлетворително за индивида, за да се получите валидно съгласие. Тези изисквания ще направят получаването и поддържането ва съгласието много по-трудно, и ще изискват един различен подход спрямо съществуващата пазарна практика.

Какви са изискванията за валидно съгласие според GDPR?

Съгласието трябва да бъде свободно дадено, специфично (конкретно), осведомено и с недвусмислено посочване желанията на индивида. В допълнение, съгласието трябва да отговаря на следните изисквания:

- Искането за съгласие трябва да бъде разбираемо и в лесно достъпна форма, на ясен и прост език.

- Искането за съгласие трябва да бъде ясно разграничено от други въпроси.

- Съгласието трябва да се състои от ясни утвърждаващи действия.

- Ако личните данни ще бъдат обработвани за множество цели, съгласието трябва да се даде отделно за всяка цел.

- Съгласието няма да е валидно, ако лицето няма наистина свободен избор или ако му се причинява вреда, би трябвало то да отказва или да оттегля съгласието си.

- Съгласието може да е невалидно, ако има липса на доверие между администратора и индивида.

- Съгласието ще се счита за невалидно, ако то е условие за изпълнение на договор, въпреки че не е било необходимо за такова изпълнение.

- Съгласието трябва да може да бъде оттеглено по всяко време и това трябва да бъде толкова лесно да се оттегли, колкото и да се даде. Индивидът трябва да бъде информиран за правото си да оттегля съгласието си по време на даването му.

Тъй като съгласието трябва да бъде получено по ясен и утвърдителен начин, администраторите на данни вече не могат да разчитат на загатното съгласие. Пасивното поведение, предварително маркирани полета или приемането му по премълчаване не са достатъчни, но все пак съгласието може да бъде посочено чрез начин на поведение.

GDPR пояснява, че ясните и утвърдителни действия могат да включват:

- отметка в дадено квадратче, за да означите съгласието си, когато посещавате уеб сайт, или

- избирането на ясни технически настройки.

Съгласието може да бъде оттеглено!

Съществуващото ограничение описано в GDPR по отношение на съгласието като основа за обработката е, че ако се разчита на съгласието като единствено основание за обработката, тогава, веднага след като съгласието е оттеглено, администраторът на данни ще трябва да прекрати тази обработка (ако няма друга законова основа за обработката), което би могло да изисква да се предприеме изчистване на съответните данни. Внедряване на системи и процеси за управление на последиците от оттеглянето на съгласието, биха могли да изискват значителни инвестиции.

Няма съгласия "в наследство", получени преди прилагането на GDPR

Когато е дадено съгласие, то ще продължи да бъде валидно, по отноиение на GDPR, само до обхвата на по-строгите изисквания на GDPR. Това може да означава, че съгласието трябва да бъде получено отново, когато тези изискванията не са изпълнени.

Например, тъй като много от пазарните бази данни в миналото може да са разчитали на предварително маркирани полета или друго съгласие по подразбиране и може да са вмъкнали съгласие за обработка на данни заедно с други условия и общи бележки за поверителност, организациите могат да открият, че съхраняваното в съществуващите бази данни вече не може да се използва за някои маркетингови цели.

Както е отбелязано по-горе, съгласието продължава да се изисква, за да се изпрати директно пласиране на потребителите чрез имейл или SMS, освен ако няма вече съществуваща връзка с физическото лице, която ви дава правото да попаднете в така нареченото изключение за "нежелано включване".

Изискванията във връзка с директния маркетинг са определени в Директивата за неприкосновеността на личния живот и електронни комуникации, а не в GDPR (където просто се съдържа правото на възражение срещу директния маркетинг), въпреки че концепциите в GDPR (като например изискванията във връзка с валидността на съгласието), се прилагат, така че по-строгите изискванията според GDPR, ще окажат въздействие върху тези маркетингови дейности. Директивата за неприкосновеността на личния живот и електронните комуникации е в процес и ще бъде заменена от предложените Правила за защита на личните данни - GDPR. по Дейвид Смит, бивш зам. Председател на Офиса на Комисията по Информация на UK, подбрани и обработени от Чавдар Пенков 3/8

Свързани с горните текстове членове и изложения от Регламента:

Член 4(11) Определения

11) „съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

Изложения 32-33 и 42-43 към Член 4, ал. 11:

(32) Съгласие следва да се дава чрез ясно утвърдителен акт, с който да се изразява свободно дадено, конкретно, информирано и недвусмислено заявление за съгласие от страна на субекта на данни за обработване на свързани с него лични данни, например чрез писмена декларация, включително по електронен път, или устна декларация. Това може да включва отбелязване с отметка в поле при посещението на уебсайт в интернет, избиране на технически настройки за услуги на информационното общество или друго заявление или поведение, което ясно показва, че субектът на данни е съгласен с предложеното обработване на неговите лични данни. Поради това мълчанието, предварително отметнатите полета или липсата на действие не следва да представляват съгласие. Съгласието следва да обхваща всички дейности по обработване, извършени за една и съща цел или цели. Когато обработването преследва повече цели, за всички тях следва да бъде дадено съгласие. Ако съгласието на субекта на данни трябва да се даде след искане по електронен път, искането трябва да е ясно, сбито и да не нарушава излишно използването на услугата, за която се предвижда.

(33) Често в момента на събиране на данните целта на обработването на лични данни за научноизследователски цели не може да бъде напълно определена. Поради това на субектите на данни следва да бъде дадена възможност да дадат съгласието си за определени области на научни изследвания, когато те са в съответствие с признатите етични норми, отнасящи се за научните изследвания. Субектите на данни следва да имат възможност да дадат съгласието си само за определени области на научни изследвания или части от научноизследователски проекти, доколкото позволява преследваната цел.

(42) Когато обработването се извършва въз основа на съгласието на субекта на данните, администраторът следва да може да докаже, че субектът на данните е дал съгласието си за операцията по обработване. По-специално, в случай на писмена декларация по друг въпрос, с гаранциите следва да се обезпечи, че субектът на данни е информиран за това, че дава съгласието си, и в каква степен го дава. В съответствие с Директива 93/13/EИО на Съвета (1) следва да бъде осигурена предварително съставена от администратора декларация за съгласие в разбираема и лесно достъпна форма, на ясен и прост език, която не следва да съдържа неравноправни клаузи. За да бъде съгласието информирано, субектът на данни следва да знае поне самоличността на администратора и целите на обработването, за които са предназначени личните данни. Съгласието не следва да се разглежда като свободно дадено, ако субектът на данни няма истински и свободен избор и не е в състояние да откаже или да оттегли съгласието си, без това да доведе до вредни последици за него.

(43) За да се гарантира, че е дадено свободно, съгласието не следва да представлява валидно правно основание за обработването на лични данни в конкретна ситуация, когато е налице очевидна неравнопоставеност между субекта на данните и администратора, по-специално когато администраторът е публичен орган, поради което изглежда малко вероятно съгласието да е дадено по Дейвид Смит, бивш зам. Председател на Офиса на Комисията по Информация на UK, подбрани и обработени от Чавдар Пенков 4/8

 

свободно при всички обстоятелства на конкретната ситуация. Смята се, че съгласието не е дадено свободно, ако не се предоставя възможност да бъде дадено отделно съгласие за различните операции по обработване на лични данни, макар и да е подходящо в конкретния случай, или ако изпълнението на даден договор, включително предоставянето на услуга, се поставя в зависимост от даването на съгласие, въпреки че това съгласие не е необходимо за изпълнението.

Член 6 (1) – Законосъобразност на обработката,

1. Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:

a) субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;

б) обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;

в) обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;

г) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;

д) обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;

е) обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

Буква е) на първа алинея не се прилага за обработването, което се извършва от публични органи при изпълнението на техните задачи.

Изложения 40 и 171 към Член 6 ал. 1

(40) За да бъде обработването законосъобразно, личните данни следва да бъдат обработвани въз основа на съгласието на съответния субект на данни или на друго легитимно основание, установено по законодателен път в настоящия регламент или в друг правен акт на Съюза или на държава членка, както е посочено в настоящия регламент, включващо необходимостта от спазване на правното задължение, наложено на администратора на лични данни, или необходимостта от изпълнение на договор, по който субектът на данни е страна или с оглед предприемане на стъпки по искане на субекта на данни преди встъпване в договорни отношения.

(171) Директива 95/46/ЕО следва да бъде отменена с настоящия регламент. Обработването, което вече е в ход към датата на прилагане на настоящия регламент, следва да се приведе в съответствие с него в срок от две години, след като регламентът влезе в сила. Когато обработването на данни се основава на съгласие по силата на Директива 95/46/ЕО, не е необходимо субектът на данни да дава отново съгласие, ако начинът, по който е заявено съгласието, съответства на условията в настоящия регламент, за да може администраторът да продължи обработването на данни след датата на прилагане на настоящия регламент. Органи въз основа на Директива 95/46/ЕО остават в сила, докато не бъдат изменени, заменени или отменени.

Член 7 – Условия за даване на съгласие,

1. Когато обработването се извършва въз основа на съгласие, администраторът трябва да е в състояние да докаже, че субектът на данни е дал съгласие за обработване на личните му данни.

2. Ако съгласието на субекта на данните е дадено в рамките на писмена декларация, която се отнася и до други въпроси, искането за съгласие се представя по начин, който ясно да го отличава от другите въпроси, в разбираема и лесно достъпна форма, като използва ясен и прост език. Никоя част от такава декларация, която представлява нарушение на настоящия регламент не е обвързваща.

3. Субектът на данни има правото да оттегли съгласието си по всяко време. Оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне. Преди да даде съгласие, субектът на данни бива информиран за това. Оттеглянето на съгласие е също толкова лесно, колкото и даването му.

4. Когато се прави оценка дали съгласието е било свободно изразено, се отчита най-вече дали, inter alia, изпълнението на даден договор, включително предоставянето на дадена услуга, е поставено в зависимост от съгласието за обработване на лични данни, което не е необходимо за изпълнението на този договор.

Изложения 32 и 42-43 към Член 7

(32) Съгласие следва да се дава чрез ясно утвърдителен акт, с който да се изразява свободно дадено, конкретно, информирано и недвусмислено заявление за съгласие от страна на субекта на данни за обработване на свързани с него лични данни, например чрез писмена декларация, включително по електронен път, или устна декларация. Това може да включва отбелязване с отметка в поле при посещението на уебсайт в интернет, избиране на технически настройки за услуги на информационното общество или друго заявление или поведение, което ясно показва, че субектът на данни е съгласен с предложеното обработване на неговите лични данни. Поради това мълчанието, предварително отметнатите полета или липсата на действие не следва да представляват съгласие. Съгласието следва да обхваща всички дейности по обработване, извършени за една и съща цел или цели. Когато обработването преследва повече цели, за всички тях следва да бъде дадено съгласие. Ако съгласието на субекта на данни трябва да се даде след искане по електронен път, искането трябва да е ясно, сбито и да не нарушава излишно използването на услугата, за която се предвижда.

(42) Когато обработването се извършва въз основа на съгласието на субекта на данните, администраторът следва да може да докаже, че субектът на данните е дал съгласието си за операцията по обработване. По-специално, в случай на писмена декларация по друг въпрос, с гаранциите следва да се обезпечи, че субектът на данни е информиран за това, че дава съгласието си, и в каква степен го дава. В съответствие с Директива 93/13/EИО на Съвета (1) следва да бъде осигурена предварително съставена от администратора декларация за съгласие в разбираема и лесно достъпна форма, на ясен и прост език, която не следва да съдържа неравноправни клаузи. За да бъде съгласието информирано, субектът на данни следва да знае поне самоличността на администратора и целите на обработването, за които са предназначени личните данни. Съгласието се разглежда като свободно дадено, ако субектът на данни няма истински и свободен избор и не е в състояние да откаже или да оттегли съгласието си, без това да доведе до вредни последици за него.

(43) За да се гарантира, че е дадено свободно, съгласието не следва да представлява валидно правно основание за обработването на лични данни в конкретна ситуация, когато е налице очевидна неравнопоставеност между субекта на данните и администратора, по-специално когато администраторът е публичен орган, поради което изглежда малко вероятно съгласието да е дадено свободно при всички обстоятелства на конкретната ситуация. Смята се, че съгласието не е дадено свободно, ако не се предоставя възможност да бъде дадено отделно съгласие за различните операции по обработване на лични данни, макар и да е подходящо в конкретния случай, или ако изпълнението на даден договор, включително предоставянето на услуга, се поставя в зависимост от даването на съгласие, въпреки че това съгласие не е необходимо за изпълнението.

Член 8 – Условия, приложими към съгласието на детето, във връзка с услугите на информационното общество,

1. Когато се прилага член 6, параграф 1, буква а), във връзка с прякото предлагане на услуги на информационното общество на деца, обработването на данни на дете е законосъобразно, ако детето е поне на 16 години. Ако детето е под 16 години това обработване е законосъобразно само ако и доколкото такова съгласие е дадено или разрешено от носещия родителска отговорност за детето. Държавите членки могат да предвидят в правото си по-ниска възраст за същите цели при условие че тази по-ниска възраст не е под 13 години.

2. В такива случаи администраторът полага разумни усилия за удостоверяване, че съгласието е дадено или разрешено от носещия родителска отговорност за детето, като взема предвид наличната технология.

3. Параграф 1 не засяга общото договорно право на държавите членки като разпоредбите относно действителността, сключването или последиците от даден договор по отношение на дете.

Изложение 38 към Член 8

(38) На децата се полага специална защита на личните данни, тъй като те не познават достатъчно добре съответните рискове, последици и гаранции, както и своите права, свързани с обработването на лични данни. Тази специална защита следва да се прилага по-специално за използването на лични данни на деца за целите на маркетинга или за създаване на личностни или потребителски профили и събирането на лични данни по отношение на деца при ползване на услуги, предоставяни пряко на деца. Съгласието на носещия родителска отговорност не следва да е необходимо в контекста на пряко предлаганите на деца услуги за превенция и консултиране.

Член 9(2)(а) - Обработка на специални категории лични данни (съгласие),

1. Забранява се обработването на лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.

2. Параграф 1 не се прилага, ако е налице едно от следните условия:

a) субектът на данни е дал своето изрично съгласие за обработването на тези лични данни за една или повече конкретни цели, освен когато в правото на Съюза или правото на държава членка се предвижда, че посочената в параграф 1 забрана не може да бъде отменена от субекта на данни;

Изложение 51 към Член 9 ал. 2, буква а)

(51) На личните данни, които по своето естество са особено чувствителни от гледна точка на основните права и свободи, се полага специална защита, тъй като контекстът на тяхното обработване би могъл да създаде значителни рискове за основните права и свободи. Посочените лични данни следва да включват личните данни, разкриващи расов или етнически произход, като използването на понятието „расов произход“ в настоящия регламент не означава, че Съюзът приема теориите, които се опитват да установят съществуването на отделни човешки раси. Обработването на снимки не следва систематично да се счита за обработване на специални категории лични данни, тъй като снимките се обхващат от определението за биометрични данни единствено когато се обработват чрез специални технически средства, позволяващи уникална идентификация или удостоверяване на автентичността на дадено физическо лице. Тези лични данни не следва да се обработват, освен ако обработването не е разрешено в определени случаи, предвидени в настоящия регламент, като се има предвид, че в правото на държавите членки могат да бъдат определени специфични разпоредби за защита на данните с цел да се адаптира прилагането на съдържащите се в настоящия регламент правила за спазване на правно задължение или за изпълнение на задача от обществен интерес или свързана с упражняването на официални правомощия, предоставени на администратора на лични данни. В допълнение към конкретните изисквания за такова обработване следва да се прилагат общите принципи и другите правила, залегнали в настоящия регламент, по-специално по отношение на условията за законосъобразно обработване. Дерогации от общата забрана за обработване на такива специални категории лични данни следва изрично да бъдат предвидени, inter alia, когато субектът на данните даде изричното си съгласие или във връзка с конкретни нужди, по-специално когато обработването се извършва в хода на законна

Член 49(1)(а) - Дерогации в особени случаи - Прехвърляне към трети страни; Частично ограничение за конкретни ситуации: с изрично съгласие,

1. При липса на решение относно адекватното ниво на защита съгласно член 45, параграф 3 или на подходящи гаранции съгласно член 46, включително задължителни фирмени правила, предаване или съвкупност от предавания на лични данни на трета държава или международна организация се извършва само при едно от следните условия:

a) субектът на данните изрично е дал съгласието си за предлаганото предаване на данни, след като е бил информиран за свързаните с предаването възможни рискове за субекта на данните поради липсата на решение относно адекватното ниво на защита и на подходящи гаранции;

Изложение 111 към Член 49, ал. 1, буква а)

(111) Следва да се предвиди възможността да се предават данни при определени обстоятелства, когато субектът на данните е дал изричното си съгласие, когато предаването засяга отделни случаи и е необходимо във връзка с договор или правна претенция, независимо от това дали е в рамките на съдебна, административна или друга извънсъдебна процедура, включително процедура пред регулаторни органи. Следва да се предвиди и възможността да се предават данни, когато това се налага поради важни съображения от обществен интерес, предвидени в правото на Съюза или правото на държава членка, или когато предаването се извършва от регистър, създаден със закон и предназначен за справки от обществеността или от лица, които имат законен интерес. В този случай предаването не следва да включва всички лични данни или цели категории данни, съдържащи се в регистъра, а когато регистърът е предназначен за справка от лица, които имат законен интерес, предаването следва да се извършва единствено по искане на тези лица или ако те са получателите, като се вземат изцяло под внимание интересите и основните права на субекта на данните.

Въздействие

- Прилагане на процес за установяване на обстоятелствата, в които организацията може да се наложи да разчита на съгласие за обработването на лични данни.

- Когато е необходимо да се разчита на съгласието, въведете организация за поддържане на писмен запис на всички съгласия, които организацията е получила по отношение на всяка обработваща дейност, която организацията предприема, за да демонстрира, че това съгласие е валидно във всеки отделен случай.

- Прилагане на процес за управление на последствията от оттегляне на съгласието, когато се употребява съгласието като основание за обработка на лични данни (т.е. да се предотврати по-нататъшната обработка).

- Прегледайте формите на съгласие, за да сте сигурни, че отговарят на изискванията за валидно съгласие, съгласно GDPR и да се осигури максимална гъвкавост при използването на личните данни за необходимите цели.

- Извършете одит на съществуващите записи от данни, за да установите в какъв обхват е получено валидно съгласие. Установете дали е необходимо да търсите опресняване на съгласието, за да изпълни изискванията на GDPR. Организациите ще трябва да преценят дали е изпълнимо или не получаването на ново съгласие, тъй като може да е трудно да отговарят на новите изисквания и упражнението може бъде затруднително.

- Уверете се, че субектите на данни получават истински избор за това дали да предоставят съгласие, както и че са свободни да оттеглят съгласието си без вреди (напр. съгласието не е условие за изпълнение на договор).

- Уверете се, че съгласието се различава от други въпроси (например не са включени в друг документ като условия и трудов договор).

- Уверете се, че субектът на данните е наясно най-малко със самоличността на администратора на данни и целта на обработката на данни, преди да бъдат помолени да дадат съгласието си, както и да сте уверен, че съгласяващият се е напълно информиран (т.е. с предоставяне на предупреждение за поверителност);

- Уверете се, че съгласието е написано на ясен и разбираем език, така че да е ясно какво се иска от субекта на данните, за да даде той/тя съгласието си; и също, че съгласието е предоставено с недвусмислин акт, като отметка в определено поле; и по отношение на специалните категориите от данни, че съгласието е категорично (напр организацията изрично използва термина "съгласие" във формата докумета за съгласие, която субектът на данните е помолен да осигури).

 Чавдар Пенков