Обработвайте законосъобразно личните данни

Какви са възможните правни основания съгласно ОРЗД?

Администраторите на лични данни могат да обработват лични данни дори само при наличие на едно от  следните обстоятелства:

• със съгласието на засегнатите лица;
• когато има договорно задължение (договор между Вашата организация и физическо лице);
• за изпълнение на законово задължение съгласно законодателството на ЕС или националното законодателство;
• когато обработването е необходимо за изпълнението на задача от обществен интерес съгласно законодателството на ЕС или националното законодателство;
• защита на жизненоважни интереси на субекта на данни;
• за легитимните интереси на Вашата организация (освен ако пред тях преимущество имат интересите или основните права на физическите лица).

Освен това ОРЗД установява допълнителни условия за обработването на чувствителни данни.

Съгласие

Вашата организация може да реши да разчита на съгласие за обработването на лични данни.

Ако администраторът на данни използва съгласието като правно основание за обработването на лични данни, той трябва да гарантира, че това съгласие е свободно дадено, информирано, конкретно и недвусмислено. Това означава, че физическите лица трябва да имат истински свободен избор дали са съгласни или не с обработването на личните им данни; те се нуждаят от достатъчно информация, за да могат да разберат кои данни се обработват, с каква цел и как се прави това; и  трябва да могат свободно да оттеглят съгласието си (без никакви отрицателни последици), ако променят мнението си по-късно.

Ако организацията трябва да обработва данните и не може наистина да даде възможност на физическите лица да оттеглят съгласието си, това е признак, че съгласието не е подходящото правно основание за обработването и е необходимо да се прецени дали може да е приложимо друго правно основание.

Условия за съгласие

Свободно

Съгласието се дава свободно, когато лицата могат да откажат и да го оттеглят без риск от външен натиск или отрицателни последици. Физическите лица трябва също така да имат право да оттеглят съгласието си по всяко време; този процес трябва да е лесен за изпълнение от субектите на данни (толкова лесно, колкото е било да го предоставят). Оттеглянето на съгласието не трябва да засяга обработването на личните данни на физическото лице, извършено преди това оттегляне, когато съгласието все още е било валидно.

Например, по принцип служителите няма да са в състояние свободно да дадат съгласие за обработването, извършвано от техния работодател, тъй като те могат да усетят, че не са в състояние да откажат искането на работодателя си.

Специфично

За да бъде валидно съгласието, то трябва да бъде конкретно и свързано с целите на обработването. Това условие е тясно свързано с изискването за информирано съгласие: физическите лица трябва да бъдат информирани за конкретните цели на ясен и лесен за разбиране език, така че да имат ясна представа за какви цели се обработват техните данни. Това също така означава, че ако целите на операцията по обработване се променят или ако се добавят допълнителни операции по обработване, от физическите лица следва да бъде поискано отново тяхното съгласие. По същия начин, ако дадена операция по обработване има няколко цели, за всяка от тях следва да се даде отделно съгласие.

Например, услуга за стрийминг събира лични данни на клиентите си, за да им предложи персонализирани предложения за гледане. След известно време услугата за стрийминг решава да сподели личните данни на своите клиенти с трети страни, така че те да могат да изпращат целенасочена реклама на клиентите въз основа на техните навици за гледане. Тъй като това е нова цел, услугата ще трябва да поиска съгласието на клиента си.

Информирано

Когато искате съгласие от физическо лице, Вашата организация трябва да гарантира, че това искане се съобщава на физическото лице в разбираема и лесно достъпна форма, като се използва ясен и прост език. Следва да се предоставя информация относно целите, самоличността на администратора, категориите данни, получателите и правото на оттегляне на съгласието.

Недвусмислено

За да бъде съгласието недвусмислено, следва да има ясно утвърдително действие (без предварително отметнати полета и направено отделно от приложимите общи условия).

Препоръчително е съгласието да се обновява на подходящи интервали от време. Освен това трябва да сте в състояние да докажете, че лицето, чиито данни се обработват, е дало съгласието си, например, чрез писмена или подписана декларация, или чрез умишлено действие като поставяне на отметка в клетка.

Изпълнение на договор

Обработването на личните данни на физическо лице за изпълнение на договор е валидно правно основание, напримерОбработването на личните данни на физическо лице за изпълнение на договор е валидно правно основание, например, в следните случаи:

• Вашата организация трябва да обработва личните данни на дадено лице, за да предостави услуга.
• Потенциален клиент или клиент ви е помолил да направите нещо, преди да сключите договор с Вашата организация, например, той може да поиска да получи оферта за услугите, които предоставяте, за които може да се наложи да обработите част от личните им данни.

Обработването трябва да е необходимо за изпълнението на договор. На практика това означава, че Вашата организация не може да продължи с изпълнението на договора или услугата без въпросните лични данни. Препоръчително е вашата организация да документира причините, поради които обработването на данните на дадено лице е необходимо за изпълнението на договор.

Освен това трябва да се опитате да съберете възможно най-малко лични данни, необходими за изпълнение на договорната услуга или за предприемане на съответните преддоговорни стъпки. По-специално, не можете да използвате договора за изкуствено разширяване на категориите лични данни или видове операции по обработване. По-скоро трябва да гарантирате, че е налице истинско взаимно разбиране на договорната цел въз основа на очакванията на средностатистическия човек при сключването на договора.

Това правно основание може да се прилага и за определени действия, свързани с договорна гаранция, както и за определени действия, които могат разумно да бъдат предвидени и необходими в рамките на нормални договорни отношения, като например изпращане на официални напомняния за неизплатени плащания или коригиране на грешки или закъснения при изпълнението на договора.

Това правно основание обаче не се прилага, ако желаете да обработвате личните данни на дадено лице за маркетингови цели, предотвратяване на измами, целенасочена реклама или други цели, свързани с бизнес модела на Вашата организация. В такива случаи може да има и други правни основания, като например съгласие или законен интерес, при условие че са изпълнени съответните критерии.

Законодателството може също така да налага обработването на лични данни, дори и след прекратяване на договора (например за пазене на досиета за счетоводни цели).

Естествено, договорът трябва да бъде валиден и съгласно приложимото право.

На практика

• Вие сте компания, която продава дрехи, както онлайн, така и в магазин, може да се наложи да обработите някои от личните данни на клиентите си, като например данни за кредитни карти, за да можете да обработите покупките, направени от Вашите клиенти на Вашите дрехи. В този случай обработването на личните данни на клиентите може да е необходимо за изпълнението на договор.
• Вие сте компания, предлагаща застраховка за дома. Потенциален клиент е поискал оферта за своята домашна застраховка. В тази връзка може да е необходима обработката на, някои от личните данни, за да се предостави точна цена за застраховката на дома на клиента.
• Вие сте компания, която продава книги, които някои от Вашите клиенти са закупили. Когато тези клиенти са закупили книгите, може да сте събрали част от личните им данни, които са били необходими за обработката на транзакцията. Сега желаете да обработите личните данни на тези клиенти, включително данни за предишни покупки, за да препоръчате други книги, които те могат да харесат. Не можете да разчитате на обработването на лични данни за изпълнението на договор като правно основание, тъй като обработването на данните на клиентите за целите на рекламирането на други книги не е необходимо за изпълнението на договор.

В този случай, Вашата компания ще трябва да поиска съгласието на клиентите, за да може да рекламира други книги пред тях или, в зависимост от обстоятелствата, може да разчита на своя легитимен интерес.

Спазване на законово задължение на администратора

ОРЗД предвижда друго правно основание, а именно: това е необходимо за спазването на законово задължение, което се прилага спрямо администратора на данни.

На това правно основание може да се разчита, когато дадена операция по обработване е наложена на организация от законодателството на ЕС или националното законодателство. По-конкретно трябва да бъдат изпълнени четири условия:

• законовото задължение трябва да бъде определено от правото на ЕС или националното право, което се прилага спрямо администратора;
• тези правни разпоредби трябва да установяват ясно и конкретно задължение за обработване на тези лични данни;
• тези разпоредби трябва най-малкото да определят целите на обработването;
• това задължение следва да бъде наложено на администратора, а не на субектите на данни. 

Ако тези условия не са изпълнени, операцията по обработване не може да се основава на законово задължение и трябва да се търси друго правно основание.

ОРЗД предвижда много различни обстоятелства, при които администраторите на данни са законово задължени да обработват личните данни на своите потребители или клиенти. Например работодателите обикновено трябва да обработват личните данни на своите служители за целите на социалното осигуряване или предприятията често трябва да обработват личните данни на своите потребители или клиенти за данъчни цели.

Жизненоважните интереси на физическото лице

Обработването на данни за защита на жизненоважните интереси на дадено лице може да се използва само в редки и специфични случаи. Такъв може да е случаят, например, ако трябва да обработвате лични данни, за да защитите нечий живот. Въз основа на ОРЗД обаче обхватът на това правно основание е много ограничен и на него може да се разчита само в случай на извънредни ситуации.

На практика

Вашата организация предлага рафтинг пътувания. По време на едно от пътуванията, които сте организирали, един от участниците е сериозно ранен. В резултат на това участникът е в безсъзнание и трябва да получи спешна медицинска помощ в болница. Като организация може да се наложи да съобщите (= обработите) личните данни на това лице в болницата, която трябва да ги лекува, за да спаси живота на това лице. При тази ситуация може да обработите данните на това лице, за да защитите жизненоважния му интерес. 

Обществен интерес

В някои специфични случаи Вашата организация може да бъде в състояние да обработва лични данни на физически лица за задача, изпълнявана в обществен интерес. В този случай обработването трябва да има основание в правото на ЕС или националното право. Целта му трябва да бъде определена въз основа натова правно основание или да е необходима за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, предоставени на администратора на данни. Поради това, това правно основание може да е от значение, по-специално, за операции по обработване, извършвани от публични органи с цел изпълнение на техните задачи.

На практика

Вашата организация е медицинска практика, която включва зъболекар и общопрактикуващ лекар. Може да се наложи да обработите както личните данни на зъболекаря, така и на общопрактикуващия лекар, за да се гарантира, че тяхната квалификация, морално и етично поведение отговарят на стандартите, определени в страната, където се намира Вашата медицинска практика. 

Легитимен интерес

Вашата организация може да обработва лични данни по въпроси, свързани с легитимните интереси, при условие че тези интереси (търговски, защита на Вашата собственост и т.н.) не създават дисбаланс в ущърб на правата и интересите на физическите лица.

Въпреки че ОРЗД и съответната съдебна практика на Съда на Европейския съюз предвиждат примери за легитимни интереси, няма изчерпателен списък.

Трябва обаче да се уверите, че този интерес отговаря на определен брой изисквания:

• той трябва да бъде законосъобразен, ясен, реален и настоящ;
• обработването трябва да бъде необходимо за преследване на този интерес;
• легитимният интерес трябва да отчита правата на физическото лице на защита на данните, които не могат да бъдат преимуществени. Въз връзка с това изискване администраторът трябва да претегля своя законен интерес и интересите или основните права и свободи на физическите лица, и също така трябва да вземе предвид това, което лицата може разумно да очакват.Това балансиране трябва да се извършва в светлината на конкретните условия, при които се извършват тези операции.

На практика

Вие управлявате фирма за ремонт. Един от Вашите клиенти оспорва качеството на обновяването на кухнята и отказва да плати изцяло сметката. Като първа стъпка, вие прехвърляте данните на клиента на Вашия адвокат, за да се договори споразумение с клиента.  Тъй като клиентът все още отказва да плати, вие ангажирате агенция за събиране на вземания. Вие прехвърляте само личните данни, необходими за процедурата, на агенцията за събиране на вземания и агенцията извършва само ограничени проверки, за да потвърди данните за контакт на клиента и да започне съдебна процедура.

Въпреки че първата стъпка все още може да попадне в рамките на обработването, необходимо за изпълнението на договор, предприетите по-нататъшни стъпки, като например ангажирането на агенция за събиране на вземания, биха могли да се считат за попадащи в обхвата на легитимния интерес на администратора. Тъй като действията, предприети от агенцията, не са твърде натрапчиви и въздействието върху клиента е ограничено, легитимнияят интерес може да бъде подходящо правно основание.

Обработване на чувствителни лични данни

Ако възнамерявате да обработвате данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и  генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни относно сексуалния живот или сексуалната ориентация на физическото лице се прилагат допълнителни изисквания. Тези специални категории данни обикновено се наричат „чувствителни данни“.

Обработването на чувствителни данни по принцип е забранено, освен в следните специфични случаи.

• Лицето е дало изричното си съгласие за обработване на чувствителните му данни.
• Обработването на чувствителни данни е необходимо, за да може администраторът на данни да изпълнява своите задължения, по-специално по отношение на заетостта, социалната сигурност и социалната закрила. Например, администраторът на данни може да се наложи да обработва чувствителните данни на дадено лице, за да може да определи дали има право на определени социалноосигурителни обезщетения или стипендии за заетост.
• Обработването на чувствителни данни е необходимо, за да се защитят жизненоважните интереси на дадено лице, когато лицето е физически или юридически неспособно да даде съгласие. Например, ако дадено лице е оставено в безсъзнание в резултат на злополука и изисква незабавна медицинска помощ, може да се наложи да бъдат обработени неговите специални категории лични данни, за да бъдат предоставени подходящите медицински грижи.
• Обработването на чувствителни данни се извършва в рамките на законните дейности на фондация, сдружение или друга организация с нестопанска цел с политическа, философска, религиозна или синдикална цел и само за обработването на личните данни на техните членове, бивши членове или лица, които имат редовни контакти с тях.
• Чувствителните данни са били явно направени обществено достояние от физически лица.
• Обработването на чувствителни данни е необходимо в рамките на съдебни производства.
• Обработването на чувствителни данни е необходимо по въпроси от важен обществен интерес.
• Обработването на чувствителни данни е необходимо за целите на превантивната или трудовата медицина. Например, оценката на чувствителните данни на дадено лице, като например медицинските му данни, може да е необходима, за да се определи неговата работоспособност като служител.
• Обработването на чувствителни данни е необходимо по въпроси, свързани с общественото здраве, въз основа на правото на ЕС или националното право. Например, обработването на чувствителни данни на физическите лица може да е необходимо, за да се гарантира високо качество на здравеопазването и високо качество на медицинските продукти или за борба със сериозни заплахи за здравето, като например вируси.
• Обработването на чувствителни данни е необходимо за целите на архивирането в обществен интерес или за научни, статистически, исторически или изследователски цели. Например, обработването на чувствителни данни може да е необходимо, за да се предоставят точни статистически данни за положението на дадена държава в определена област.

Списък от действия, които следва да се предприемат при  обработване на чувствителни лични данни

• Запитайте се дали трябва да обработите специалните категории лични данни на дадено лице за предвиденото обработване.
• Определете правното основание (= правна обосновка) за обработването на личните данни на дадено физическо лице. Трябва да се позовете на член 6 от ОРЗД.
• Установете дали са спазени допълнителните условия за обработка на чувствителни данни. Трябва да се позовете на член 9 от ОРЗД.
• Идентифицирайте рисковете и гаранциите за защита на данните, като например техническите и организационните мерки, които Вашата организация може да се наложи да въведе при обработването на специалните категории лични данни на физическите лица.
• Не забравяйте да водите регистър на причините за обработването на специалните категории лични данни на дадено лице, на рисковете, които това може да породи, и на мерките, които сте въвели за смекчаване на тези рискове.