Изисквания към валидността на даденото съгласие като условие за законосъобразно обработване на личните данни

От 25 май 2018 г. започна да се прилага Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент за защита на данните). Неговото приемане беше продиктувано от две основни цели: да се отговори на предизвикателствата, свързани с все по-всеобхватното дигитализиране на обработването на лични данни и да се унифицира националната уредба в държавите-членки. Макар и с известно забавяне, българският законодател прие необходимите изменения в Закона за защита на личните данни в началото на 2019 г.
 
Законодателната реформа в правната рамка на защитата на личните данни у нас предизвика сериозни тревоги сред администратори и обработващи лични данни. Пред угрозата на високите по размер санкции не закъсняха и спекулациите: всякакви опити за избягване или заобикаляне на режима, вслушване в консултации от лица с недостатъчна подготовка в материята, форми на „презастраховане“ чрез предприемане на действия, каквито Регламентът и националното ни законодателство не предвиждат и т.н. Затова е удачно да се спрем още веднъж на един от най-съществените нови моменти в материята на защитата на личните данни: изискванията към валидността на даденото съгласие като условие за законосъобразно обработване на личните данни.
 
***

 
Според философията на Регламента – за да е законосъобразно обработването на лични данни – е необходимо да е налице поне едно от т.нар. алтернативни „условия за допустимост на обработването“:
- когато субектът на данните е дал съгласие за обработването;
- когато обработването е необходимо за изпълнението на договор, по който субектът на данните е страна или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
- когато обработването е необходимо за спазването на законово задължение на администратора;
- когато обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;
- когато обработването е необходимо за изпълнението на задача от обществен интерес или при упражняване на официални правомощия на администратора;
- когато обработването е необходимо за целите на легитимните интереси на администратора, освен когато преимущество пред тези интереси имат интересите или правата и основните свободи на субекта.
 
Като че ли обаче в практиката често се среща погрешното разбиране, че съгласието на физическото лице може да преодолее всякакви ограничения пред обработването на неговите лични данни. При това се забравя, че всяко обработване трябва да е подчинено на основните принципи на този правен режим като добросъвестното, законосъобразно и прозрачно обработване на данните, ограничено до целите, с които те са събрани. Ако конкретните действия по обработване нарушават тези принципи, дори съгласието на физическото лице няма да ги легитимира. Казаното лесно може да се илюстрира със следния пример: работодател изисква информация от работниците и служителите за техния интимен живот и/или сексуална ориентация, която те „доброволно“ му предоставят. Прави ли обаче даденото по този начин съгласие допустимо обработването на подобна информация? Разбира се, че не: такова обработване противоречи на принципите на добросъвестност на обработването, ограничаването му до легитимни цели и т.н. Примерът умишлено е подбран тенденциозно, за да онагледи и колко лесно може да се манипулира съгласието.
 
 
Може да се обобщи, че Регламент (ЕС) 2016/679 постави значително по-високи изисквания към валидността на даденото съгласие. Според легалната дефиниция в чл. 4 от Регламента „съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени.“
 
Изрично е предвидена възможността съгласието да се приема за невалидно, ако от обстоятелствата може да се заключи, че не е дадено свободно. Мълчаливото „съгласие“, предварително отметнатите полета във формуляр и пр. не могат да се приемат за валидно дадено съгласие за обработването на лични данни. Ако съгласието се дава с декларация, засягаща и други въпроси, то трябва да бъде ясно отличено от другите въпроси (включително като графично оформление на текста), в разбираема и лесно достъпна форма, на ясен и прост език. Последното изискване означава, че формулировката трябва да е разбираема за средностатистическия адресат, а не само за лица със специална юридическа подготовка.
 
Не е налице свободно дадено съгласие и ако не се предоставя възможност то да бъде дадено отделно за различните операции по обработване или ако изпълнението на договор или предоставянето на услуга е поставено в зависимост от даването на съгласие, въпреки че това не е необходимо за изпълнението. Например, банка изисква от клиентите си да дадат съгласие за използване на техните лични данни за маркетингови цели. Тази дейност по обработване не е необходима за изпълнението на договора с клиента и съответно за предоставянето на банково обслужване. Ако отказът на клиента да даде съгласието си за такова обработване би довел до невъзможност да получи банкови услуги, закриване на банкови сметки или увеличаване на таксите, не е налице свободно даване на съгласие.
 
Още в встъпителните съображения на Регламента е посочено, че съгласието не следва да представлява валидно правно основание за обработването на лични данни в конкретна ситуация, когато е налице очевидна неравнопоставеност между субекта на данните и администратора (по-специално, когато администраторът е публичен орган, поради което изглежда малко вероятно съгласието да е дадено свободно при всички обстоятелства на конкретната ситуация). Впрочем, в един от първоначалните проекти на Регламента, като пример за неравнопоставеност между администратор и субект на данните се посочваха трудовите отношения. В крайна сметка тази формулировка отпадна и в окончателно приетата редакция на съгласието в контекста на трудовите отношения не се гледа априори като на опорочено. И все пак трябва да се държи сметка, че обикновено работодателят е икономически по-силната страна в тези отношения и би могъл да окаже натиск, така че съгласието да не е дадено свободно. Ако работникът се е „съгласил“ с обработването на определени данни под натиск, принуда, заплаха или опасение, че може да не получи или да загуби работата си, волята му ще е опорочена.
 
Поради всичко изложено – поне що се отнася до съгласието като условие за допустимост на обработването на лични данни в трудовото право – към него трябва да се подхожда много внимателно. Работодателят следва да се стреми да обоснове наличието на някое от другите условия за допустимост и да третира съгласието като „допълнителна“, а не като „основна“ гаранция за законосъобразност на обработването.  Ако събирането и обработването на определена категория данни не произтича пряко от закона и се основава единствено на даденото от лицата съгласие, добре е да се помисли дали наистина тази информация е необходима за целите на трудовото правоотношение и ако не е, да се преустанови използването ѝ. Изобщо, водещ в случая е принципът на минимизиране на обработването – обемът на обработваните лични данни трябва да се сведе до минимално необходимото за постигане на заложените цели.

 
В края на 2017 г. нарочни указания (насоки) относно съгласието като условие за законосъобразното обработване на лични данни по смисъла на Регламента издаде и Работната група по чл. 29 от Директива 95/46/ЕО на Европейския парламент и на Съвета от 24.10.1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (след 25.05.2018 г. – Европейски комитет по защита на данните).
 
Посочено е например, че съгласието може да се дава чрез изявление или ясно утвърдителен акт (потвърждаващо действие), с който да се даде съгласие от страна на субекта на данни за обработване на свързани с него лични данни, например чрез писмена декларация, включително по електронен път, или устна декларация. В контекста на онлайн услугите това може да налага дори прекъсване на предоставяне на услугата, за да се привлече вниманието на субекта на данните към акта на даване на съгласие.
 
С оглед необходимостта администраторът на данните във всеки един момент да е в състояние да докаже законосъобразността на действията по обработване, за предпочитане винаги е писмената форма на даване на съгласие. За да се отговори едновременно и на двата критерия, заложени в Регламента (от една страна – лесна разбираемост на предоставяната информация, и от друга – нейната пълнота), някои администратори се ориентират към изготвяне на поне два варианта на декларация или друг текст, удостоверяващ информираното съгласие на субекта на данните за тяхното обработване. Било на Интернет сайт или на хартиен носител може да се предложи съкратена версия на документа, в която да се съдържа най-важната част от информацията, и изрична препратка към лесно достъпните подробни условия на обработването на данните. Ако става дума например за публикуван на уебсайт текст, линк към него следва да се постави на началната страница и изобщо максимално да се улеснят намирането му и достъпът до него.
 
 
Работната група по чл. 29 посочва, че администраторите на лични данни са свободни да разработят методи, за да докажат, че съгласието е валидно получено по начин, който отговаря най-добре на ежедневните им операции, като самият регламент не предписва изрично използването на един или друг метод. В допълнение се препоръчва на администраторите на данни да съхраняват архиви за съгласие само дотолкова, доколкото е необходимо за спазване на законовите задължения, които са приложими спрямо тях, или за установяване, упражняване или защита при правни искове. Запазената информация не следва да излиза извън минимално необходимото, за да се докаже, че е получено валидно съгласие.
 
Субектът на данните следва да бъде информиран за последиците при отказ да даде съгласие за обработване на отделни категории лични данни.
 
 
- личността на администратора на данните;
- целта на всяка форма на обработване на данни;
- видът лични данни, които ще се събират и обработват;
- наличието на възможност за оттегляне на съгласието;
- дали данните ще се използват за вземане на решение на база автоматично обработване/ профилиране;
- дали данните му ще се предават на лица извън територията на ЕИП и информация за свързаните с това рискове, ако не е налице решение за адекватно ниво на защита.
 
Свободно дадено съгласие е налице в случаите, когато субектът на данни има истински и свободен избор и е в състояние да откаже или да оттегли съгласието си, без това да доведе до вредни последици за него.
 
Специални правила са предвидени и за даването на съгласие от дете при директно предлагане на услуги на информационното общество  (например при ползването на социални мрежи). В тези случаи се изисква съгласието на неговия родител, попечител или настойник. Според специалното правило на чл. 25в ЗЗЛД обработването на данни на субект на данни - лице, ненавършило 14 години, въз основа на съгласие по смисъла на чл. 4, т. 11 от Регламент (ЕС) 2016/679, включително в случаите на пряко предлагане на услуги на информационното общество по смисъла на чл. 1, ал. 3 от Закона за електронната търговия, е законосъобразно само ако съгласието е дадено от упражняващия родителски права родител или от настойника на субекта на данните.
 
Администраторът на лични данни, който обработва данни за детето, полага разумни усилия да удостовери, че съгласието е дадено или разрешено от носещия родителска отговорност за детето, като взема предвид наличната технология.
 
 
Оттеглянето на съгласието обаче важи занапред и не може да има обратно действие. Действията по обработване на лични данни, предприети от администратора в съответствие с дадено преди това съгласие, са законосъобразни, тъй като администраторът е разполагал с валидно правно основание за обработване.
 
Възможни са хипотези, при които обработването на данните може да продължи на друго основание и след оттеглянето на съгласието от субекта на данните, но той следва да бъде информиран за това. Ако липсва друго условие за допустимост на обработването, след оттегляне на съгласието от страна на титуляра на данните те следва да бъдат унищожени или анонимизирани. Казаното може да се онагледи със следните два примера:
- Клиент е предоставил имената и адреса си на търговец, за да получава информационни брошури за търговски кампании. С оттеглянето на съгласието за обработване на неговите лични данни имената и адресът следва да бъдат заличени от базата данни на търговеца.
- Клиент на мобилен оператор е предоставил данните си при сключване на договор за ползване на съответните услуги. Оттеглянето на съгласието за обработване на тези данни само по себе си не прекратява договора, а той няма как да се изпълнява, без доставчикът на услугите да разполага с информация за потребителя. В такъв случай клиентът следва да бъде уведомен, че данните му ще продължат да бъдат обработвани на основание необходимостта от изпълнение на правата и задълженията по сключения договор. В случай че не желае това, клиентът винаги може да прекрати едностранно договора, разбира се, като понесе съответните последици от предсрочното прекратяване като напр. заплащане на неустойка.