Какво трябва да знаем за GDPR

Новият регламент за защита на личните данни вече е в сила. Документът, който бе обсъждан четири години и имаше двегодишен срок за въвеждане, свари неподготвени както организациите, които следва да го прилагат, така и надзорните органи. Смята се, че между една трета и 1/2 от бизнеса в ЕС е готов за него, а в България – дори по-малко. За броени дни GDPR се превърна в градски фолклор и тъй като голяма част от бизнеса късно осъзна рисковете, започнаха да се копират решения от други фирми, без проучване на конкретните обстоятелства. Това и страхът от глобите доведоха до много грешки.

До голяма степен това закъснение се дължеше на липсата на национална кампания и забавянето на законопроекта. Оказа се, че голяма част от организациите не са били наясно, че Регламентът има пряко действие. Медиите също допринесоха за хаоса в последните дни.

Тъй като много организации нямат бюджет за консултации по GDPR и ще продължат да копират поведението на останалите, в следващите редове ще покажем някои грешки. Посочени са съответните текстове от Регламента, така че всеки, който се съмнява, може да провери. Регламентът е тук, но има известни неточности в превода на български или едни и същи термини са преведени различно, което създава объркване.

Посочваме и някои конкретни примери. (Имената на фирмите са заличени, тъй като нямаме за цел да уличаваме конкретни организации.)

СЪГЛАСИЯ И ПОТВЪРЖДЕНИЯ

Най-видимата част от айсберга бе лавината от искания за съгласие. Допреди няколко седмици все още имаше несигурност дали директният маркетинг може да се прави на основание легитимен интерес, тоест без съгласие (той е посочен като пример в Съображение 70). След това се наложи мнението, че трябва да се иска съгласие, което вероятно тръгна от едно указание на ICO (британския орган). Все пак това най-вероятно не се отнася до настоящи клиенти, стига да можете да докажете, че са такива и стига да не извършвате друго обработване, различно от първоначалната цел.

Исканията за съгласие доведоха до задръстване на пощенските кутии и в редица случаи не бяха необходими. Но дори тези, които бяха необходими, много често не отговарят на изискванията на Регламента.

Съгласието е едно от шестте основания за обработване на лични данни (чл. 6). Освен това за различните видове и цели на обработване можете да прилагате различни основания. Може да сте събрали данните на основание договор, да ги предавате на друг получател (например, НАП) на законово основание, но да се нуждаете от съгласие, ако искате правите нещо друго с тях, например, за да ги сортирате или да ги качите в облака. За всяка цел на обработването се изисква отделно съгласие. Възможно е с една бланка да се събират съгласия за повече цели, но те трябва да може да се чекнат отделно. Не може да се събират повече данни, отколкото целта предполага.

Въпросът дали е необходимо съгласие, за съжаление на бизнеса, няма универсален отговор и следва да се подхожда с недоверие към всеки, който отговаря с Да или Не, без да попита за категориите данни, целите и средствата на обработване.

Съгласието трябва да е резултат на свободен избор, конкретно, информирано и недвусмислено. Невинаги е нужно изрично съгласие. Но то  винаги трябва да е документирано.  Много специалисти по дигитален маркетинг твърдят , че т. нар. двоен opt-in (осигурява се от услуги като Mailchimp) е достатъчно, за да валидира съгласието. Това може да не е вярно, ако не е представена цялата информация, включително юридическото лице – администратор, целите, срока и последиците при отказ.

Когато обработването е на основание легитимен интерес, законово основание и т.н. се изисква уведомление за поверителност, а не деклариране на съгласие.

Какво се получи на практика?

Държавни институции изпратиха еднотипни имейли на журналистите, с които работят, за да поискат от тях съгласие да им изпращат прессъобщения. Това не беше необходимо, тъй като в този случай министерството извършва дейност в обществен интерес (чл. 6, пар. 1, т. д).  Журналистите очевидно не могат да откажат съгласие да предоставят личните си данни (имейл адрес и имена). В този смисъл е нарушено правото на свободен избор. Нещо повече, Регламентът изрично казва, че обработването на лични данни следва да се съобрази с правото на свобода на изразяване и информация (Съображение 153, 154).

Някои медии също поискаха съгласие от потребителите, за да публикуват коментари. Това също противоречи на правото на свобода на изразяване и информация.*
Обработката на лични данни за журналистически цели поначало е изключена, но това не включва всички операции на новинарските организации, например, изпращането на промо материали.
пример
Този пример (съдържа част от формата) е предизвикателство към авторите на GDPR. С него се иска съгласие с общите условия, което е различно от политиката за поверителност. Отделно се иска съгласие с обработката на лични данни за определени цели (които наистина се нуждаят от съгласие), поне доколкото е дадена информация за тях. Няма да възможност да се откаже съгласие, тоест не е осигурен свободен избор. На практика потребителят, който не е съгласен с тези цели, има една-единствена опция да изрази несъгласието си и да продължи да използва сайта – като се “съгласи” само с общите условия.

ПРИЕМАМ ВСИЧКО

В практиката се срещат доста вариации на горния пример. “Приемам” е останало от практиката за “съгласяване” с Общите условия. Смесва се информиране за общи условия и съгласие, когато последното е основание за обработването. Неправилно е да се казва, че за да използвате услугите на даден сайт трябва да се съгласите с правилата. Съгласието не винаги е необходимо – например, ако няма бутони, маяци и пиксели на Facebook и сайтът не следи потребителите по друг начин.

Когато има различни варианти, много често от потребителите се иска да се съгласят с всичко, без възможност на избор.

Регламентът (Съобр. 32) предвижда, че когато се преследват повече цели, за всички следва да бъде дадено съгласие чрез ясен утвърдителен акт (например, персонализиране на услуги, таргетирана реклама, измерване и анализ, съхранение и достъп до данни). A когато са предвидени повече операции по обработване – съгласието да е за всяка от тях (Съобр 43).

Трябва да има възможност да не се приемат условията и да се опишат последиците.

УВЕДОМЛЕНИЯ

Уведомленията (Privacy Notice) са част от изискванията за прозрачност по чл. 12, 13 и 14. В редица случаи е очевидно, че не можете да връчвате такива уведомления на всеки посетител, затова информирането се извършва по друг начин.

Политиката за защита на личните данни е наложена от практиката, като начин да се информират потребителите на уебсайтове, които често са анонимни. Няма изрично изискване сайтовете да изпращат имейли при промяна на тази политика. Един сайт може да събира информация от посетителите си, която позволява тяхното идентифициране (например, комбинация от IP адрес и имена, които са попълнени чрез форма за запитване или коментари), но не е задължително това да включва данни за контакт (email).

Потребителят трябва да бъде информиран при предоставянето на данните – когато данните се предоставят от него самия, или при първи контакт, при предаване на данните на друг получател или в срок един месец от получаване – ако данните не са получени от самия него (например, информация, генерирана при използване на услугите на сайт).

Примери:

GDPR тръгна с паника и грешки

Пример за ненужно уведомление.

Възможно е организацията да иска да се презастрахова, ако има съмнения във валидността на съгласието, но това писмо би имало обратния ефект, ако е изпратено след влизане в сила на Регламента. Според GDPR администраторите дължат уведомяване при предаване на данните на трети страни, ако данните не са получени от лицето (чл. 14). Когато едно лице посещава уебсайт, то може да остави някаква информация за себе си и тази информация се предава на хостинг доставчик.

Информиране по чл. 14 не се прави ако потребителят вече е уведомен.
По-нататък в чл. 14 пише, че не се дължи уведомяване, ако то изисква несъразмерно големи усилия. В този случай се вземат мерки за защита на правата и интересите на потребителя, което включва предоставяне на публичен достъп до информацията. Тоест достатъчно е публикуване на политиката на видно място на сайта.

GDPR тръгна с паника и грешки

Пример за ненужно уведомление

В горния пример уведомяването, макар и излишно, е по-близко до изискванията на регламента (част от примера е изтрита), но посочването на две основания е проблемно. Правилото е “едно основание – една цел”. Вероятната причина за това в конкретния случай е, че отношенията с въпросната организация са приключили преди години. Тя вероятно иска да посочи, че ще съхранява данните по-дълго (пет години) заради законово изискване. Това е отделна цел и тя засяга само съхранението на данните. Организацията няма право на основание закона за мерките срещу изпиране на пари да прави друго освен да съхранява тази информация. Уведомяване при обработка на законово основание не  се налага.

Една много честа грешка е да не се посочва кой (юридическото лице) обработва данните. В уведомлението трябва да има и данни за контакт.

ИЗТРИВАНЕ НА КЛИЕНТСКИ СПИСЪЦИ

Някои бизнеси с цел да се презастраховат изтриха всички клиентски списъци или списъци на абонати на нюзлетъри. Такива случаи имаше и в чужбина, тъй като се оказа, че фирмите не знаят за кои клиенти имат валидно съгласие, дали хората, които са го дали, все още имат същата позиция и т.н. Възможно е това да е било прекалено в някои случаи.

Все пак регламентът дава възможност да се запази поне частично информацията чрез анонимизиране, тоест като се премахнат данните, които позволяват идентифициране. Други алтернативи са ограничаването на обработването/архивиране.

ВРЪЩАНЕ НА ПАЦИЕНТИ

Някои институции, които обработват лични данни с висок риск (специални категории лични данни, финансови данни) се престараха с искания за съгласие на общо основание. Нашумя случаят с Националната кардиологична болница, която искала предварително съгласие за лични данни, за да се запише час.

Здравните данни наистина са в специалната катеория данни, за които се изисква повишена защита (процедури, физическа защита, ИТ сигурност). Но това не означава, че винаги е необходимо съгласие. Напротив, в чл. 9 има повече основания за обработване:

  • изрично съгласие на лицето (ако това основание не е изключено от закон);
  • за да бъдат защитени жизненоважните интереси на лицето, ако то не е в състояние да даде съгласие (например, при спешна помощ);
  • за изпълнението на задълженията и упражняването на специалните права на администратора или на субекта на данните по силата на трудовото право и правото в областта на социалната сигурност и социалната закрила;
  • за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни или социални грижи или лечение; или за целите на управлението на услугите и системите за здравеопазване или социални грижи;
  • установяване, упражняване или защита на правни претенции;
  • за научни или исторически изследвания или за статистически цели.