Кога не е нужно съгласие за обработване на лични данни

Още за GDPR:

Обработването на лични данни от страна на администратори в публичната и частната сфера е законосъобразно, в случай че е налице някое от правните основания, посочени в чл. 6, пар. 1 от Регламент (ЕС) 2016/679:

a) субектът на данните е дал своето съгласие за обработване на неговите лични данни за 1 или повече от 1 конкретни цели;

б) обработването е нужно с оглед да се изпълни даден договор, по който субектът на данните се явява страна, или за предприемане на стъпки по искане на субекта на данните преди да се сключи договор;

в) обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;

г) обработването се налага с оглед защита на жизненоважни интереси на субекта на данните или друго физическо лице (ФЛ);

д) обработването се налага с оглед да се изпълни задача от обществен интерес или за упражняване на официални правомощия, предоставени на администратора;

е) обработването се налага за целите на легитимните интереси на администратора или трета страна, освен в случаите, когато пред подобни интереси преимуществото е на интересите или основните права и свободи на субекта на данните, изискващи защита на личните данни и по-специално когато този субект на данните е дете.

Съгласието се явява едно от основанията за събиране и обработване на лични данни. Без значение от това, че съгласието е посочено на първо място, всички правни основания са алтернативни и равнопоставени. Което и от тях да е налично, обработването е законосъобразно, стира, разбира се, да са спазени и другите изисквания на GDPR.

Когато даден администратор на лични данни преценява дали да обработва личните данни, базирайки се на предоставено съгласие, е необходимо той да изследва дали има друго правно основание за обработването (като законово задължение или пък договор), а също и какви биха били последиците за дадената дейност, ако субектът на данните оттегли своето съгласие.

Едни от най-честите ситуации, когато не се налага администратор да иска съгласие за обработка на данните са, са:

 

При подобни ситуации законодателят не е предоставил свобода на преценка на администратора или субекта на данните, ето заото едно евентуално съгласие на субекта на данни няма да е дадено свободно, а така и да е валидно. Това важи най-вече за публичните администратори, а също и за секторите, лудето има детайлна законова регламентация, като здравеопазване, образование, банкова дейност и пр.

 

При тези случаи правното основание е изпълнението на задача от обществен интерес или упражняването на официални правомощия. При подобни положение не е необходимо да се изисква съгласие от страна на лицето, чиито данни се обработват.

 

Тогава работникът или служителят не разполага със свободен избор и не може да откаже или да оттегли съгласието си, без това да доведе до неблагоприятни последици за него, заради очевидната неравнопоставеност между двете страни. В тези случаи взаимоотношенията между субекта на данни и работодателя или органа по назначаване, вкл. и по отношение на обработването на лични данни, изчерпателно са уредени от трудовото законодателство, индивидуалните и/или колективните трудови договори. Тогава основанието за обработването е законово задължение и/или изпълнението на договор (според хипотезата).

 

Доколкото основният предмет и цел на договора обективно не могат да се постигнат без предоставяне на даден обем лични данни, в тези случаи е достатъчна волята на страните да встъпят в договорни или преддоговорни отношения и не е необходимо да се дава отделно съгласие за обработване на данните.
 

Това не изключва възможността съгласието да бъде ползвано като правно основание за обработка на лични данни (контакти и др.) за допълнителни цели, като маркетинг и реклама, освен ако в нормативен акт не е предвидено основание за това. В подобни изискването да се получи съгласие може да отпадне, ако са изпълнени изискванията, които са предвидени в съответния нормативен акт. Важно е да се знае, че администраторът не разполага с правото да обвърже изпълнението на конкретен договор, вкл. предоставянето на дадена услуга, с получаване на съгласие за обработка на лични данни, когато това не е нужно за изпълнението на договора, като напр. получаване на рекламни съобщения. В такива случаи съгласието няма да е дадено свободно, защото лицето няма истински свободен избор и не може да откаже или оттегли съгласието си, без това да доведе до неблагоприятни последици за него.

 

Подобни хипотези в практиката са предприемането на мерки за сигурност и охрана, вкл. посредством видеонаблюдение, проверка на лица и регистрация на достъпа до сгради, действия за гарантиране на информационната и мрежовата сигурност и др.
 

Имаме легитимен интерес и при обработване на данни за защита правата на администратора по съдебен или несъдебен ред, напр. за подаване на иск за неизпълнение на договор или при търсене на отговорност за причинени вреди.

 

При подобни положения правното основание за обработка личните данни е изпълнение на законовото задължение по чл. 99, ал. 3 от ЗЗД. ЗЗД задължава предишният кредитор да предаде на новия намиращите се у него документи, установяваши вземането. Това обстоятелство обуславя ще предаването на личните данни, доколкото същите са включени в съответните документи. След получаване на вземането новият кредитор има възможност да обработва данните на основание своя легитимен интерес за събиране на дължимата сума, вкл. по реда на принудителното изпълнение. Когато е налице цесията не следва да се забравя задължението на предходния кредитор да съобщи на длъжника за прехвърлянето, кореспондиращо и на задължението за прозрачност и предоставяне на информация по смисъла на Общия регламент.

 

GDPR позволява на администраторите да привличат лица, обработващи лични данни - ФЛ или ЮЛ, публичен орган, агенция или друга структура, кои то обработват личните данни от името на администратора. Едни от най-честите случаи, в които се разчита на лица, обработващи лични данни, са свързани със счетоводни къщи, служби по трудова медицина, колекторски фирми за събиране на вземания, IT компании, които поддържат информационните системи на фирми и ведомства и пр.
 

В тези случаи Общият регламент не изисква съгласие от страна на субектите на данни, като преценката дали да ползва услугите на обработващ данни е изцяло в ръцете на администратора.

 

В случай че то се извършва от ФЛ в хода на чисто лични занимания, тогава GDRP изобщо не се прилага. Ако пък заснемането е част от професионална дейност, тогава може да се приложат изключенията и облекченията за академично, художествено или литературно изразяване по чл. 85 от ОРЗД. Тук трябва да се отчита и разпоредбата на чл. 13 от Закона за авторското право и сродните нему права, според която фотографът (видеооператорът) не изисква съгласие от изобразеното лице, в скучай че изображението е било направено в хода на обществената дейност на изобразеното лице или на публично или обществено място, изображението на лицето представлява само детайл в произведение, което показва събрание, шествие или пейзаж или изобразеното лице е получило възнаграждение за позирането.

 

В тази връзка обработката на лични данни за здравословното състояние е законосъобразна, при положение че се прави за целите на превантивната или трудовата медицина, за оценяване на трудоспособността на служителя, медицинска диагноза, осигуряване на здравни и социални грижи, лечение, зуправление на системите за здравеопазване или социални грижи, в сферата на общественото здраве, с цел защита срещу сериозни трансгранични заплахи за здравето и пр. Така че ако обработването е нужно за някоя от тези горепосочени цели, съответното болнично заведение, лаборатория или аптека не са задължени, нито имат право да иска допълнително изрично съгласие на субекта на данни (пациента). Обратното би значело, че болницата ще откаже лечение или пък аптеката - лекарство, ако субектът не даде съгласието си, а такова поведение би се явило пряко нарушение на GDPR, което може да се санкционира с глоба или имуществена санкция.

 

Съобразно посочените критерии, по правило не е нужно отделно съгласие от лицата, вкл. подписването на всякакви форми на декларации, за обработване на техните лични данни от изброените по-долу администратори при р
тяхната обичайна професионална дейност. Това не включва обработката на данни за целите на директния маркетинг, където съгласието трябва да се явява водещо основание.

- публични органи;
- лекари, зъболекари, фармацевти;
- религиозни, политически, обществени, синдикални организации;
- застрахователи;

- адвокати;

- работодатели;

- фирми, които предоставят обществени електронни съобщителни мрежи и/или услуги;

- учебни заведения;

- банки и др. кредитни институции;

- куриерски фирми и др. пощенски оператори;
- копирни услуги;

- фирми, които предоставят комунални услуги (електроразпределителни дружества, ВиК, топлофикации);

- обработващи лични данни (счетоводители, служби по трудова медицина и др.);

- хотелиери и туристически агенции;

- домоуправители;

- преводачи;

- журналисти, фотографи, видеооператори;

- др.

източник: cpdp.bg