GDPR (3та част) – Изискване за изрично съгласие при обработка на лични данни

В серия от публикации ще разгледаме някои практически аспекти и последици за фирмите след влизането на регулацията в сила през Май 2018 г. и връзката й с Кибер Застраховката. В първата от тези публикации разгледахме Изискванията за уведомление, а във втората  ролята на Служителя по сигурността на даннитеВ настоящата публикация ще изследваме изискването за уведомяване и промените спрямо досега действащата Директива 95/46/ЕС.

Общата Регулация за защита на личните данни изисква изрично съгласие от събекта на данни.

Подобно на изискването в Директива 95/46/ЕС и в Общата регулация за защита на личните данни съгласието от страна на лицето, чиито данни са обект на обработка, е задължително условие. За разлика от Директивата, която дава възможност за бездействено съгласие или съглсие по подразбиране вследствие на предприемане на последващи действия от страна на клиента, в Регулацията съгласието следва да е изрично и да е направено по безспорен начин. В допълнение се уточнява, че съгласието трябва да е предоставено свободно, конкретно, информирано и недвусмислено. На практика предварително отбелязано съгласие, бездействие или мълчаливо съгласие е недопустимо.

Чувствителни лични данни без наличието на съгласието на физическите лица, за които се отнасят те може да бъдат обработвани в определени случаи, например по съображения от обществен интерес в областта на общественото здраве.

Какво означава свободно и информирано даване на съгласие

За да бъде съгласието информирано, субектът на данни следва да знае поне самоличността на администратора и целите на обработването, за които са предназначени личните данни. Що се отнася до това то да бъде дадено свободно е необходимо субектът на данни да има истински и свободен избор и е в състояние да откаже или да оттегли съгласието си, без това да доведе до вредни последици за него. Смята се, че съгласието не е дадено свободно, ако не се предоставя възможност да бъде дадено отделно съгласие за различните операции по обработване на лични данни. Не е доброволно дадено ако изпълнението на даден договор, включително предоставянето на услуга, се поставя в зависимост от даването на съгласие, въпреки че това съгласие не е необходимо за изпълнението.

В допълнение Регулацията вменява три допълнителни изисквания:

  • Първо, член 7(3) казва, че Субектът на данни има правото да оттегли съгласието си по всяко време. Оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне. Преди да даде съгласие, субектът на данни бива информиран за това. Оттеглянето на съгласие трябва да е също толкова лесно, колкото и даването му. След оттеглянето му субектът на данни има правото да поиска неговите данни да бъдат изтрити и да не се използват повече.
  • Второ, Рецитал 43, добавя презумпцията, че съгласието не е дадено свободно, когато е налице очевидна неравнопоставеност между субекта на данните и администратора или по-специално когато администраторът е публичен орган. За да се гарантира, че е дадено свободно, съгласието не следва да представлява валидно правно основание за обработването на лични данни в конкретна ситуация.
  • Трето, Регулацията изисква съгласието да бъде дадено за конкретна обработка на данните. В допълнение, член 7 изисква съгласието да е представено по начин, който ясно да го отличава от другите въпроси в даден документ или декларация, в разбираема и лесно достъпна форма, като се използва ясен и прост език.   

Когато фирмата разчита на дадено съгласие за обработка на лични данни, съгласно Член 7(1), администраторът трябва да бъде в състояние да покаже, че субектът на данни е дал съгласие за обработване на личните му данни.

Глоби при нарушения на Регулацията

Регулацията формулира две нива на административните глоби. Някои нарушения са обект на глоби до 10 млн. евро или до 2% от общия годишен оборот на фирмата. Други нарушения имат двойно по-тежки наказания 20 млн. евро и 4% от общия годишен оборот. Тези нива на глобите застрашават съществуването на много голяма част от българските компании в случай на нарушение или проверка от регулатора и констатирани нарушения на Регулацията.  
 
Освен високите глоби повишените изисквания на Регулацията и чувствителността на потребителите води до повече съдебни претенции при неправомерен достъп до техни данни.

Новите изисквания съгласно Регулацията, не Ви дават гаранция, че няма да станете жертва на злоупотреба с данни на трети лица. В такава ситуация разходите и предявени претенции от трети лица могат да бъдат от значителна тежест и да нарушат необратимо паричния поток на дружеството.

Кибер застраховката може да Ви помогне. За повече информация може да свържете с нас на 0888 894039 или на email: office@broxio.bg

Scroll to top