ГІД ПО GDPR. ЯК ОТРИМАТИ ЗГОДУ НА ОБРОБКУ ДАНИХ ЗАКОННО

13 Грудня 2019

На багатьох веб-ресурсах є можливість часто побачити вираз «Продовжуючи користуватися нашим веб-сайтом, ви надаєте свою згоду на обробку персональних даних та файлів cookie». В результаті цього, зазвичай постає питання, чи законне таке формулювання та чи не повинні компанії вживати інших заходів для отримання законної згоди на обробку персональних даних. Надзвичайно важливо працювати у відповідності до вимог законодавства, особливо коли мова йде про ведення бізнесу в рамках вимог GDPR.

Згода в розумінні GDPR.

У відповідності до General Data Protection Regulation, згодою слід вважати згоду суб’єкта даних, яка передбачає собою будь-яку вільно надану, специфічну, поінформовану та однозначну вказівку на бажання суб’єкта даних, якою суб’єкт даних, зробивши заяву або здійснивши чітко стверджувальну дію, надає свою згоду на обробку персональних даних.

Загалом же, отримання згоди є доволі специфічним та складним процесом, який передбачає не лише фактичне отримання згоди, але і управління отриманими від суб’єктів даних згодами протягом певного періоду, включаючи, при необхідності, надання інформації про отримані від суб’єктів даних згоди до контролюючих органів.

Перед таким як використовувати таку законну підставу як «згода» для обробки персональних даних, необхідно встановити, що вам імпонує  саме така законна підстава, а не будь яка інша, враховуючи той факт, що в деяких випадках, для обробки персональних даних може застосовуватися комбінований алгоритм застосування законних підстав.  Інколи, можуть виникнути ситуації, у відповідності до яких, використовуючи згоду, ви можете порушити вимоги закону, зокрема GDPR.

Наприклад: Здійснюючи реалізацію товарів через веб-сайт, компанія отримує згоду від покупців на обробку їхніх персональних даних, необхідних для купівлі відповідного товару. В цьому випадку необхідно застосовувати іншу законну підставу для обробки даних аніж згода, яка б ґрунтувалася на необхідності врегулювання договірних відносин. Відповідно, обробка персональних даних на підставі згоди у цій ситуації може бути визнаною незаконною, а до компанії можуть бути застосовані штрафні санкції.

Наряду з необхідністю визначення релевантності відповідної законної підстави, компанії надзвичайно важливо усвідомити та прийняти всі зобов’язання, які покладаються на неї GDPR, у тому разі, коли компанія вирішить, що отримання згоди, як інструменту, що легітимізує процес збирання та обробки персональних даних, є найбільш підходящим варіантом.

Так як зазначалося вище, згода повинна бути вільно наданою, специфічною, поінформованою та однозначною. Інформація, стосовно цих аспектів, буде розрита нижче.

Вільне надання згоди в розумінні GDPR.

Під «вільно наданою згодою» мається на увазі надання суб’єктам даних можливості здійснення справжнього вибору та контролю над тим, як компанія використовує їхні дані. Якщо особа не матиме реального вибору, згода не вважається такою, яка надана вільно і, відповідно, вона буде недійсною (незаконною). В цьому випадку, компанія не може змушувати суб’єкта даних надати їй згоду, наприклад, розміщуючи на веб-сайті блокуючі вікна, розблокування яких можливе тільки після надання згоди на обробку персональних даних.

Суб’єкти даних, в будь-якому випадку, повинні мати можливість відкликати надану ними згоду в будь-який момент, не зазнаючи будь-яких утисків та незручностей зі сторони компанії, якій така згода була надана.

Наприклад: Між компанією і суб’єктом даних була укладена угода про надання послуг. Компанія вимагає отримання згоди на обробку персональних даних для можливості надати послуги. У Суб’єкта даних, який бажає отримати надавані компанією послуги, не залишатиметься жодного іншого варіанту, окрім як надати згоду. В цьому випадку, згода не буде вважатися вільно наданою.

Специфічна згода в розумінні GDPR.

Щоб бути законною, згода також повинна бути “специфічною”. Тобто, згода повинна надаватися для здійснення певних визначених операцій з обробки. Це означає, що перед компанією виникає обов’язок  доведення того, що згода отримувалася від суб’єкта даних виключно під конкретну операцію, а не під будь-яку іншу, або ж під набір невизначених операцій.

Якщо обробка персональних даних має декілька цілей, згода повинна бути надана для всіх таких цілей. Обробка для декількох цілей може спричинити подальші труднощі, оскільки не завжди можливо заздалегідь дізнатися, яка саме операція з обробки буде фактично здійснюватися, а отже, згоду, надану в певний час, буде обмежено конкретними параметрами, встановленими на момент її надання.

Наприклад: Компанія, отримуючи згоду від суб’єкта даних на обробку імені, прізвища та адреси електронної пошти, для цілей надання послуг з розробки програмного забезпечення, не має права використати ці персональні дані для продажу суб’єкту даних комплектуючих запчастин до персонального комп’ютера, так як суб’єкт даних свою згоду щодо цієї цілі не надавав.  

Є можливість настання ситуації, коли напрямок діяльність компанії різко змінюється, що приводить до виникнення нових операцій з обробки персональних даних, згода на обробку яких не була надана раніше. В цьому випадку  може виникнути необхідність в отриманні додаткової згоди на обробку даних від суб’єкта даних, оскільки згода, надана раніше, не покриває нові цілі обробки персональних даних.

Поінформована згода в розумінні GDPR

На вимогу GDPR, згода повинна бути «поінформованою», тобто, компанія повинна забезпечити суб’єкта даних всією необхідною інформацією, яка б розкривала всі можливі деталі обробної діяльності по відношенню до персональних даних суб’єкта даних. Разом з тим, таке інформування повинне здійснюватися мовою, зрозумілою суб’єкту даних, а також у формі, яка б надала можливість останньому зрозуміти як обробка персональних даних може вплинути на нього.

Фактично, реалізуючи цю вимогу, компанія повинна проінформувати суб’єкта даних про всі нюанси обробки персональних даних, надання яких вимагається статтями 13 та 14 GDPR.

Однозначність згоди в розумінні GDPR

Для того, щоб згода була визнана “однозначною”, заява або чітка ствердна дія суб’єкта даних не повинні залишати жодних сумнівів щодо наміру суб’єкта даних надати згоду на обробку персональних даних. Варто зауважити, що коли у контролюючих органів існуватимуть сумніви щодо того, чи була дана згода однозначною чи ні, такі органи завжди будуть приймати сторону суб’єкта даних. Саме тому, компанія має дуже обережно та скрупульозно підходити до питання технічної реалізації можливості отримання згоди.

Реалізація принципу «однозначності згоди» передбачає певні технічні вимоги, які повинні реалізовуватися компанією. Зокрема, мова йде про те, що згода повинна отримуватися тільки, наприклад, шляхом проставлення певної відмітки у відповідному вікні в рамках веб-сайту, якою б підтверджувалася згода на обробку персональних даних, або ж надання будь-якої заяви чи підписання окремого документу.  Разом з тим,  мовчання суб’єкта даних, бездіяльність суб’єкта даних, автоматичне заповнення клітинок позначками або проставлення відміток (pre-ticket boxes), відповідно, не слід вважати діями, як констатують надання згоди суб’єктом даних.

Управління отриманими згодами

У відповідності до вимог GDPR, зокрема принципу «Підзвітності», який передбачений в статті 5, компанія, яка здійснює обробку персональних даних повинна доводити свою відповідність вимогам законодавства ЄС про обробку персональних даних, що передбачає вжиття ряду заходів, зокрема технічних та організаційних, в тому числі по відношенню до отриманих згод на обробку персональних даних, їх збереженню та використанню.