СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № М-263/2015
гр. София, 08.02.2016 г.
ОТНОСНО: Искане с вх.№M-263 от 21.12.2015год. от Адвокатско дружество „П.“, във връзка със законосъобразността на приложено съгласие за обработване на данни.
Комисията за защита на личните данни (КЗЛД) в състав – Членове: Цанко Цолов, Цветелин Софрониев и Веселин Целков, на заседание, проведено на 03.02.2016г., разгледа искане с вх.№М-263/21.12.2015г. от Адвокатско дружество „П.“.
Искането е във връзка със законосъобразността от гледна точка на защитата на личните данни на приложен към искането формуляр на съгласие за обработване на лични данни.
Адв. Я.Н., представител на Адвокатско дружество „П.“, представя следния проект на съгласие:
СЪГЛАСИЕ ЗА ВКЛЮЧВАНЕ В [наименование на база данни]
— УИН
Декларирам своето съгласие [име на администратора на лични данни], [ЕИК на администратора на лични данни], [телефон на администратора на лични данни], [имейл на администратора на лични данни], представляван от [име на администратора на лични данни], и/или негов правоприемник („Администратор"):
• да обработва моите лични данни: три имена, УИН, служебен адрес, телефон, факс, имейл, образование, научно звание, медицински специалности, месторабота, административна структура в местоработата, длъжност („Данни"), за целите на управление на взаимоотношенията с клиенти (CRM), предоставяне на услуги в областта на обработването на лични данни, директен маркетинг, участие в конференции и проучвания („Целите");
• да предоставя Данните на трети лица – свързани лица с Администратора, лица от фармацевтичната, медицинската и/или козметичната индустрия (включително, но не само изброените в Приложение1) или обработващи лични данни от тяхно име („Получатели") за Целите, в държави от или извън Европейския съюз.
Предоставянето на Данните на Администратора е доброволно. При отказ за предоставянето им, същите няма да фигурират в [наименование на база данни] на Администратора.
Информиран/а съм за: правото ми на достъп до обработваните Данни и на информация за тях; правото да възразя срещу обработването на Данните; правото на заличаване, коригиране и блокиране на Данните; правото третите лица, на които са били разкрити Данните, да бъдат информирани за това заличаване, коригиране или блокиране; правото да бъда уведомен/а, преди Данните да бъдат разкрити на трети лица или използвани от тяхно име за целите на директния маркетинг, съгласно Глава V от Закона за защита на личните данни.
Уведомен съм, че предстои предоставяне на мои Данни на Получатели за целите на директния маркетинг, с което предоставяне се съгласявам.
Във връзка с изложеното, адв. Я.Н. моли КЗЛД за становище относно законосъобразността на горното, включително във връзка с разпоредбите на:
1. чл. 4, ал.1, т.2 и чл.36а, ал.7, т.1 във връзка с § 1, т.13 от Допълнителните разпоредби на Закона за защита на личните данни („ЗЗЛД");
2. чл. 34а от ЗЗЛД (за уведомяване на физическото лице, преди личните му данни да бъдат разкрити за пръв път на трети лица или използвани от тяхно име за целите на директния маркетинг), с оглед на последния абзац от предложения образец на съгласие и на обстоятелството, че получателите на личните данни са изрично дефинирани в него;
3. чл. 20, ал.1 във вр. с чл.20, ал.3, т.3 от ЗЗЛД, с оглед на обстоятелството, че образецът съдържа: (а) данните, които идентифицират администратора (е Приложение 7); (б) целите на обработването на личните данни; (в) категориите лични данни, отнасящи се до съответното физическо лице; (г) получателите или категориите получатели, на които могат да бъдат разкрити данните и (д) информация за правото на достъп и правото на коригиране на събраните данни.
Правен анализ:
Със Закона за защита на личните данни е транспонирана Директива95/46/ЕО за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни. В закона е дадена легална дефиниция на понятието „съгласие за обработване“, която напълно съответства на дадената в директивата, а именно: „"Съгласие на физическото лице" е всяко свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява те да бъдат обработвани.“ (§1, т.13 от Допълнителните разпоредби на ЗЗЛД). Съгласието е едно от няколкото правни основания за обработването на лични данни, уредени в чл.4 от ЗЗЛД. То играе важна роля, но това не изключва възможността при определени условия други правни основания да бъдат приемани за по-важни от гледна точка както на администратора на данни, така и на субекта на данни. При правилно използване съгласието е инструмент, чрез който субектът на данни може да контролира обработването на неговите данни. При неправилно използване, контролът от страна на субекта на данни става илюзорен, а съгласието е неподходящо основание за обработване.
Тълкувайки понятието, следва да се направят следните заключения:
– „е всяко… волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява..“
По правило няма ограничения за формата, в която следва да бъде изразено съгласието. Все пак, за да отговаря на изискванията на закона, то следва да включва всяко изявление за волята на субекта на данни, с което той дава израз на своето съгласие.
Съгласието може да се счита за валидно само ако субектът на данни е в състояние да направи действителен избор и не съществува риск от измама, заплашване, принуда или съществени отрицателни последствия, ако той/тя не изрази съгласие. Ако последствията от изразяването на съгласие нарушават свободата на избор на лицата, съгласието не би било свободно.
– „…свободно…“
В Работен документ 131 (WP131) наРаботната група по чл.29 от Директива95/46/ЕО е тълкувано понятието: „свободно съгласие означава доброволно решение, направено от лице, владеещо всичките си способности, взето без каквато и да е принуда, била тя социална, психологическа или друга … Искането на съгласие следа да се ограничи до случаите, когато съответното физическо лице има истински свободен избор и впоследствие може да оттегли съгласието си без вреда.“.
С оглед на горното, съгласието може да се счита за валидно, само ако субектът на данни е в състояние да направи действителен избор и не съществува риск от измама, заплашване, принуда или съществени отрицателни последствия, ако той/тя не изрази съгласие.
– “… конкретно …“
За да бъде валидно, съгласието трябва да бъде конкретно. С други думи, общо съгласие, без да се посочва точната цел на обработването, е неприемливо.
За да бъде конкретно, съгласието трябва да бъде разбираемо: то следва да посочва ясно и точно обхвата и последствията от обработването на данните. То не може да се прилага към група дейности по обработване без фиксирани граници. Това означава с други думи, че контекстът, в който съгласието е приложимо и може да се приеме за валидно, е ограничен.
Съгласието трябва да се изразява във връзка с различни аспекти на обработването, които следва да бъдат предварително ясно определени. То включва по-специално какви данни се обработват и за какви цели. Това разбиране следва да се основава на разумните очаквания на страните. Следователно „конкретното съгласие“ е свързано по същество с факта, че съгласието трябва да бъде информирано. Съществува изискване за детайлност на съгласието по отношение на различните елементи, съставляващи обработването на данни: то не може да се тълкува като обхващащо „всички законни цели“, преследвани от администратора на данни. Съгласието следва да се отнася за обработване на данни, което е разумно и необходимо във връзка с дадената цел.
Като правило за администраторите на данни би следвало да е достатъчно да получат еднократно съгласие за различни операции, когато тези операции са в рамките на разумните очаквания на субекта на данни.
Конкретността на съгласието означава също, че ако в даден момент настъпи промяна в целите, за които се обработват данните, потребителят следва да бъде информиран и трябва да може да изрази съгласие за новото обработване на данните. Предоставената информация трябва да разглежда по-конкретно последствията от евентуален отказ от предлаганите промени.
– “… информирано …“
Член 19 и член 20 от ЗЗЛД предвиждат задължение за предоставяне на информация на субектите на данните. Следователно задължението за информиране е ясно откроено, но в много случаи е явно обвързано със съгласието. За да е възможно изразяването на съгласие, то винаги трябва да бъде предхождано от предоставянето на необходимата пълна и изчерпателна информация.
Това на практика означава, че съгласието на субекта на данни следва да се основава на преценка и разбиране на фактите и последиците от дадено действие. Съответното лице трябва да получи по един ясен и разбираем начин точна и пълна информация по всички свързани с дадения вид обработване въпроси, особено по тези, уточнени в чл.19 и 20 от ЗЗЛД, като например характера на обработване на данните, конкретните цели на обработването, изчерпателно посочване на получателите на възможно предаване на информацията и правата си като лице, от което се събира информация, но също така срок на обработване, обем на данните. Изключително важно е предоставянето на информация и осъзнаването от субекта на данни на последиците от отказ за даване на съгласие да се извърши обработването.
На субекта на данни следва да бъдат изяснени и всичкидетайли, свързани със самото съгласие. Това включва срок на съгласието, възможност за последващо оттегляне на съгласието и последиците от това.
Информираното съгласие е особено важно в контекста на прехвърляне на лични данни към трети страни: „то изисква субектът(ите) на данни да бъде(ат) правилно информиран(и) за конкретния риск от прехвърляне на неговите (техните) данни към страна, в която няма адекватна защита“ (WP12).
– „… недвусмислено…“
За да бъде съгласието недвусмислено, процедурата за искане и изразяване на съгласие не трябва да оставя никакви съмнения относно намерението на субекта на данни да изрази съгласие. С други думи, указанието, с което субектът на данни изразява съгласието си, не трябва да оставя никакво място за съмнения относно намерението на субекта.
Горното е от изключителна важност за администратора на лични данни. В него не следва да има никакво съмнение относно намерението на субекта, тъй като тежестта на доказване на полученото съгласие е именно на администратора. В случай на последващ спор, администраторът на лични данни следва да докаже всички елементи на даденото съгласие, вкл. свободно изразено, информирано, недвусмислено и т.н. От горното следва, че с изискването съгласието да бъде недвусмислено администраторите на данни de facto се насърчават да въведат процедури и механизми, показващи по неоспорим начин, че е налице изразено съгласие, основаващо се на изрично действие, извършено от лицето, или изведено като ясно заключение от действие, извършено от лицето.
Във връзка с даването на съгласие от субекта на данни за прехвърляне на данни на трети лица следва да бъдат изяснени някои особености:
Лицата следва да бъдат информирани за всички детайли относно трансфера на данни. Това включва: обем на прехвърляните данни; пълно и изчерпателно изброяване на лицата, на които ще бъдат предоставени данните; конкретно и пълно посочване на целта на прехвърлянето; информиране на физическото лице за правата му (в това число: право да възрази срещу подобно разкриване; право на достъп и т.н.).
Следва да бъде направено уточнението, че даденото съгласие за трансфер по чл.36а, ал.7, т.1 от ЗЗЛД не е достатъчно условие за извършването на трансфер на лични данни извън Европейския съюз и Европейското икономическо пространство. Необходимо е да бъде проведено административното производство пред Комисията за защита на личните данни по съответния законоустановен ред. В него съгласието ще бъде разгледано в съвкупност с различните правни инструменти, гарантиращи законосъобразното и сигурно обработване на личните данни.
Относно използването на лични данни за целите на директния маркетинг, съществено внимание следва да се обърне на чл.34а, ал.1 т.2 от ЗЗЛД. Субектът на данни следва да бъде запознат с правото си на възражение срещу обработването на личните му данни за целите на директния маркетинг. Това е изрично уредено право на физическото лице, отделно от общото такова по чл.28а от ЗЗЛД. Същото е наложено от спецификите на директния маркетинг. Понятието и всичките му характеристики следва да бъдат напълно изяснени на лицето преди даване на съгласието за обработване.
Във връзка с горното, лицата следва да бъдат запознати и с последиците от даването, респ. недаването на съгласие за обработване на данните им.
Имайки предвид дадените обяснения, и с цел осигуряване на сигурно и законосъобразно, отговарящо на принципите, обработване на данни, всеки администратор следва сам да определи реда за получаване на съгласие за обработване от физическото лице. Същото е в негов интерес да бъде напълно информирано и отговарящо на законовите изисквания, с оглед споменатия по-горе факт за тежестта на доказване, тежаща именно на него.
С оглед на така направеното тълкуване на понятието „съгласие за обработване на лични данни“, някои от предложените в предоставения образец на съгласие формулировки не могат да бъдат подкрепени, а именно:
1. Формулираната цел във втория абзац – „предоставяне на услуги в областта на обработването на лични данни“. Същата следва да бъде конкретизирана и ясно дефинирана.
2. Получателите, описани в трети абзац и по-специално – „(включително, но не само изброените в Приложение 1)“ противоречи на изискването в чл.20, ал.1, т.4 от ЗЗЛД. Физическото лице следва да бъде запознато със списъка на лицата, получатели на неговите лични данни, а ако това е невъзможно – с категориите получатели, на които могат да бъдат разкрити данните му.
С оглед на гореизложеното и на основание чл.10, ал.1, т 4 от ЗЗЛД, Комисията за защита на лични данни изразява следното
СТАНОВИЩЕ:
„Съгласието на физическото лице“ е легално дефинирано в §1, т.13 от Допълнителните разпоредби на Закона за защита на личните данни. За да бъде дадено валидно и съответно обработването на лични данни да е законосъобразно, следва да отговаря на редица изисквания. Един от елементите на съгласието е необходимостта от информираност. Преди физическото лице да се съгласи, администраторът следва да му предостави пълна информация за всеки отделен вид обработване, в това число: обем на данните, цел на обработването, срок на обработване, възможност за предоставяне на трети лица, пълно посочване на конкретните получатели и др. Във връзка с посоченото, и с оглед законосъобразността от гледна точка на защитата на личните данни, в текстовете на приложения към искането формуляр на съгласие за обработване на лични данни, е необходимо да бъдат отразени следните корекции:
1. Формулираната цел във втория абзац – „предоставяне на услуги в областта на обработването на лични данни“ следва да бъде конкретизирана и ясно дефинирана.
2. Получателите, описани в трети абзац и по-специално – „(включително, но не само изброените в Приложение 1)“ противоречи на изискването в чл.20, ал.1, т.4 от ЗЗЛД. Физическите лица следва да бъдат запознати с конкретен и изчерпателен списък на третите лица, получатели на лични данни, а ако това е невъзможно – с категориите получатели, на които могат да бъдат разкрити данните му.
| ЧЛЕНОВЕ: | |
| Цанко Цолов /п/ Цветелин Софрониев /п/ Веселин Целков /п/ |
|
