GDPR: Кой не е длъжен да иска съгласие за обработка на лични данни от потребителите

Новият регламент за личните данни в ЕС вече е факт. Влизането в сила на GDPR влязоха в сила и много неправилни тълкувания на регламента, особено за съгласията, свързани с обработване на потребителски лични данни.

За да помогнем в хаоса, ще дадем няколко примера за ситуации, в които не се изисква даването на подобно съгласие. Най-общо, НЕ СТЕ ДЛЪЖНИ да искате одобрението на физическо лице (или според дефиницията в регламента – субект на данните) работите с личните му данни в случаите, в които:

• Вече имате такова в предишни договорни отношения за една или повече конкретни цели
• Имате нужда от личните данни с цел изпълнението на договор, по който субектът на данните е страна – или за да може да създадете такъв договор (да попълните данните за субекта в договора при списването му)
• Трябва да спазите друго законово задължение (например, по закона за счетоводството)
• За да защитите интереси на субекта на данните или на друго физическо лице (например, по време на лечение)
• За да изпълнените задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора
• Защото обработката е необходима за целите на легитимните ви интереси или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

Няколко примера от практиката.

Double opt-in за маркетингова комуникация

Знаем, че мина доста време от тогава – но сме сигурни, че през целия май месец сте получавали десетки, а защо не и стотици мейли, в които се иска да потвърдите съгласието си за получаване на маркетингова комуникация от даден сайт или услуга.

Това НЕ Е необходимо, ако вече сте дали такова съгласие веднъж. Да, double opt-in е посочен като препоръчителен – но не и задължителен.

Лекари, фармацевти и банкери изискват съгласие

Започваме с цитат на текст от Капитал, публикуван на 25 май : „Поне 1.5 млн. хартиени декларации за обработка на лични данни ще се натрупат през следващите дни във всички аптеки, ако се съди по неправилния подход, който възприеха редица аптеки в страната в първия ден на влизане в сила на новия регламент за съхранение на личните данни GDPR. Толкова е броят на пациентите, които получават медикаменти, платени напълно или частично от здравната каса.“

Подобно беше положението и в част от банките, личните лекари – и още много други подобни институции, с които вече или имате договор, или чиято дейност е свързана със защитата на собствения ви интерес (да живеете).

Забранено ли е видеонаблюдението?

Според Комисията за защита на личните данни: „легитимен интерес е налице и при обработване на лични данни за защита на правата на администратора по съдебен или несъдебен ред, например за подаване на иск за неизпълнение на договор или за търсене на отговорност за причинени вреди. Такива хипотези в практиката са предприемането на мерки за сигурност и охрана, включително чрез видеонаблюдение, проверка на лица и регистрация на достъпа до сгради, действия за гарантиране на информационната и мрежовата сигурност и др.“

Иначе казано – видеонаблюдението не е забранено, но трябва да имате легитимен (основателен) интерес, за да го осъществявате.

Примери може да се дават още много, но за да ви улесним – ето непълен списък с основните специалисти или случаи, в които НЕ ТРЯБВА да изискват съгласие при изпълняване на основните функции на ролите им (и едно уточнение: получаването на маркетингова комуникация НЕ Е основна функция на ролята на нито една от долните функции):

• лекари, зъболекари и фармацевти;
• адвокати;
• работодатели (за сключване на трудов договор);
• публични органи (държавни и общински);
• учебни заведения (детски градини, училища и висши учебни заведения) – освен в случаите, в които не се изпращат маркеитнгови и други, несвързани с основната дейност на училището дейности;
• банки и други кредитни институции (за получаване на кредит или откриване на сметка);
• застрахователи;
• предприятия, предоставящи обществени електронни съобщителни мрежи и/или услуги;
• куриерски фирми и други пощенски оператори;
• предприятия, предоставящи комунални услуги (електроразпределителни дружества, ВиК, топлофикации);
• обработващи лични данни (счетоводители, служби по трудова медицина и др.);
• хотелиери и туристически агенции;
• управителите на етажна собственост (домоуправители);
• копирни услуги;
• преводачи;
• журналисти, фотографи и видеооператори;
• религиозни, политически, обществени и синдикални организации;
• ако се сещате за още – пишете ни!

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.