Заснемането на личната карта в хотел и офис на мобилен оператор е неправомерно, предупреждава юристът

Какво означава регламентът за личните данни (GDPR) лично за всеки от нас? Готови ли сме за него? За какво е нужно да сме внимателни и за какво предпазливи? През последния месец това са основни въпроси, които са на дневен ред. Организират се семинари, конференции, експерти споделят своя опит и мнение. Как стоят нещата обаче при всеки от нас като носител на лични данни?

Потърсихме мнението на адв. Асен Велинов, който бе основен лектор на конференцията „Готови ли сме за GDPR?“. Заедно със своя партньор Светослав Герджиков вече 15 години той управлява Консултантска къща „Велинов и партньори“ - една от водещите кантори в България, специализирана в областта на гражданското и административното право и по-специално в търговското, вещното, облигационното право и обществените поръчки. Експертите в екипа са амбициозни юристи с доказана професионална квалификация и високи работни стандарти за качество.

Г-н Велинов, каква е всъщност целта на този регламент? Чии интереси защитава?

Целта на Регламента е да създаде единна рамка за защита на обработването на лични данни на физическите лица в контекста на бързото технологично развитие и глобализацията.

Мога ли да давам личната си карта в хотела и на мобилния оператор, имат ли право да ми я преснимат?

Това е доста често срещан случай. В тази ситуация ние сме поставени пред дилемата дали да предоставим своите данни с оглед на установено нормативно изискване, което администраторът /хотелиерът/ е длъжен да изпълнява. Съгласие не е необходимо. Всеки от нас може да предостави своите лични данни на хотела, в който е отседнал, като попълни предвидения за това образец – адресна карта. Тъй като някой може да посочи невярна информация в адресната си карта, хотелиерът може да изиска личната карта за сверка на попълнените данни, след което да я върне на притежателя й. Заснемането на копие от лична карта би било необосновано и би влязло в разрез с целта и изискванията на Регламента за личните данни. Относно предоставянето на личен документ на мобилния оператор, според нас отново заснемането на копие от него е напълно необосновано. Отношенията между всеки от нас и мобилния оператор се основават на писмен договор за предоставяне на конкретна услуга. За сключването на договор с физическо лице е необходимо да се индивидуализира страната, с която този договор е сключен – три имена, ЕГН и адрес /обемът и вида на лични данни, които дружеството изисква законосъобразно, зависи от вида на предоставяната услуга/. Допълнителните данни би следвало да бъдат предоставени само срещу изрично съгласие от наша страна. Дружеството може да изиска лична карта, за да свери предоставените от субекта данни.

Вярно ли е, че ще се забрани препращането на имейли и какви последици може да има?

Препращането на имейли като функционалност няма да бъде забранено. От гледна точка на защитата на лични данни, съдържанието на препратения мейл, както и данните за автора, могат да бъдат заличени. Имената могат да бъдат посочени като инициали (ако те не водят до идентификация на лицето), a е възможно да бъдат изцяло изтрити. Това ще трябва да се преценява за всеки конкретен случай – съответно да се провери дали препращането на мейла е насочено към лице във или извън организацията, какви лични данни се съдържат в мейла, има ли прикачени файлове и какво е тяхното съдържание, какви технически мерки са имплементирани и т.н.

Доколко са защитени профилите във фейсбук - там също има лични данни - рождена дата, телефон, имейл?

Ситуацията с фейсбук е малко по-специфична, тъй като голяма част от своите лични данни физическото лице споделя доброволно (снимки, дата на раждане, информация за образование, месторабота и т.н.). За да получи достъп до самата услуга, всяко физическо лице трябва да въведе телефон или имейл, две имена и парола /останалата информация той предоставя доброволно/. Социалната мрежа дава възможност много от поверителните данни /телефон, мейл, дата на раждане/ да бъдат направени частни – в този случай никой не може да достъпи тяхното съдържание. Към настоящия момент за създаване на фейсбук профил всяко лице се съгласява автоматично с „политиката за данни“ на компанията. В актуалната редакция (от  29 септември 2016 г.) на политиката за данни има подробни разяснения какви типове информация събира фейсбук, за какви цели, на кого се предоставят и т.н. Очаква се съвсем скоро платформата да публикува актуализираните си правила, както и да предостави допълнителни възможности за потребителите (в съответствие с изискванията на Регламента). В този смисъл, фейсбук вероятно ще инкорпорира в платформата нови опции за предоставяне и оттегляне на съгласие /за предоставянето на лични данни на потребителите на дружества-партньори на компанията например, в това число за маркетинг и т.н./, както и за упражняване на всички нови права, с които субектите разполагат.

Ако съм търговец с онлайн магазин и получавам данните на клиентите само през софтуера, мога ли да ги използвам? Какви данни да искам и какво е важно да попълни клиентът?

В случай на стандартно извършване на поръчка от страна на физическо лице, данните, които търговецът обработва, следва да бъдат ограничени до минимум с оглед извършването на конкретната доставка/услуга. Така например, ако онлайн магазинът продава облекло, субектът на лични данни – клиент, би следвало да предостави две имена, мейл, телефон и адрес за получаване на доставката. Всеки търговец следва да разполага с раздел в сайта си, в който са публикувани общите му условия, правилата за защита на личните данни и др. При извършване на поръчката всяко физическо лице следва да разполага с възможност да отбележи с отметка, че е съгласно както с общите условия на търговеца, така и с предоставянето на личните си данни /с посочване на конкретни категории лични данни, цели, срок на съхранение и всички други елементи, посочени в чл. 14 от Регламента/ за целите на извършването на конкретната доставка/услуга. Много често търговците дават възможност да се „кликне“ върху текст „Общи условия“ или „Правила за защита на лични данни“, които препращат към раздел, съдържащ целия текст на съответните документи, с които всеки потребител може да се запознае. Съгласието следва да бъде дадено с активно действие /отбелязване с отметка/, а текстът да е написан разбираемо, ясно и недвусмислено. Ако за извършването на съответната доставка/услуга вие като търговец предоставяте личните данни на клиента на трето лице /например лицензирана куриерска фирма/, то съгласието следва да бъде изисквано и по отношение на това обработване. Съгласно определението за „обработване“ /чл. 4, т. 2 от Регламента GDPR/, разкриването чрез предаване и разпространението на лични данни също се счита за обработване. Това съгласие следва да бъде дадено отделно и отново да отговаря на посочените по-горе изисквания. Електронната търговия заема все широко приложение, улеснява търговците и използване на лични данни е основна част от поръчките. Затова е важно да знаем, че използването на предоставените данни за цел, различна от посочени по-горе, е незаконосъобразно. Ако фирмата има интерес да осъществява маркетингови стратегии, като изпраща различни рекламни материали по мейл/поща до адреса, предоставен от физическото лице, то тогава е необходимо да разполага с изричното съгласие на получателите на тези съобщения и материали. Това може да стане с имплементирането на кутийка за отметка при осъществяването на поръчката онлайн. С чекването на кутийката физическото лице следва да бъде информирано какви категории лични данни ще бъдат обработвани, за какви конкретни цели, за какъв срок, с какви права разполага и т.н. Неговото съгласие следва да бъде ясно и категорично, дадено с активно действие и то следва да разполага с възможността да го оттегли.

Електронната отметка за съгласие важи ли?

В продължение и на коментираното досега, ако говорим за отметка за предоставяне на съгласие, администраторите на лични данни биха могли да използват електронната отметка като способ за получаване на съгласие, тъй като това отговаря на изискването на Регламента за активно поведение при предоставяне на съгласие. С поставянето на отметка на субекта задължително следва да бъде предоставена информация какви категории лични данни ще се обработват, за какви цели, за какъв срок и т.н. (съгласно чл. 14 от Регламента за личните данни).

Ако имам клиентска база данни и я използвам с маркетингови цели – например за поддържка на близка връзка с клиентите, уведомяване за промоции, честитене на рождени дни и др., имам ли право да продължа да го правя?

Отговорът на този въпрос не може да бъде категоричен, тъй като зависи от конкретната ситуация. От една страна, ако до настоящия момент за събирането на тези данни съответните физически лица не са предоставили изрично съгласие за обработването им с цел директен маркетинг /освен другите цели/, то тогава вие нямате право да обработвате вече предоставените ви лични данни за такава цел. За да бъде законосъобразно такова обработване, администраторът следва да изиска допълнително изричното съгласие на субекта, като му предостави подробна информация относно цел на обработването, срок и т.н.

Какво означава „Чувствителни данни“?

Това са специални категории лични данни, които са свързани с елементи/идентификатори, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и генетични данни, биометрични данни, данни за здравословното състояние или за сексуалния живот или сексуалната ориентация на физическото лице. Регламентът ги нарича „чувствителни“ поради тяхното специфично естество.

Ако видя, че данните ми са използвани неправомерно – към кого да се обърна и какво да предприема?

Всеки от нас е важно да бъде много внимателен при предоставянето на личните си данни. Ако установим, че данните ни са обработвани незаконосъобразно, имаме следните възможности:

Да подадем жалба до надзорен орган. Всяко физическо лице, което смята, че администратор на лични данни нарушава разпоредбите на Регламента при обработването на лични данни, отнасящи се до него, може да подаде жалба до КЗЛД, в която да посочи в какво се състои нарушението.

Съдебна защита срещу отнасящо се до него решение със задължителен характер на надзорен орган. Всяко физическо лице може да подаде жалба пред компетентния съд срещу решение на КЗЛД, което се отнася до него и има задължителен характер, както и когато КЗЛД не е разгледала жалбата или не е информирала субекта на данни за развитието на производството в срок от три месеца.

Съдебна защита срещу администратор или обработващ лични данни. Независимо от подадената жалба до надзорния орган /КЗЛД/, физическото лице има право да подаде жалба срещу администратор, който нарушава Регламента, директно пред компетентния съд.

Право на обезщетение и отговорност за причинени вреди. Всяко лице, което е претърпяло вреди /материални или нематериални/ в резултат на нарушение на Регламента от страна на администратор или обработващ лични данни, може да получи съответното обезщетение като предяви иск пред компетентния съд.

Физическото лице – субект на личните данни, може да възложи всички тези действия на структура, организация или сдружение с нестопанска цел, които действат в областта на защитата на правата и свободите на субекта на данни по отношение на защитата на неговите лични данни.