Як правильно отримати згоду на обробку персональних даних? Корисні та шкідливі поради.

Як відомо, 25 травня 2018 року вступає в дію Загальний регламент Європейського Союзу по захисту даних (GDPR/General data protection regulation/Регламент). Цей документ прийде на зміну Директиві 95/46/ЄС «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних» (далі – «Директива»), що діє на даний час, і вступить в дію з травня 2018 року.

GDPR несе в собі цілий ряд особливостей, які будуть відрізняти цей документ від попередніх нормативних актів, спрямованих на захист персональних даних в межах ЄС. Контролери та обробники, наявність яких передбачається умовами GDPR, будуть зобов’язані діяти як того вимагає Регламент, при цьому, дотримуючись фундаментальних вимог щодо захисту прав та інтересів фізичних осіб, визначених європейським законодавством.

Однією з таких особливостей є необхідність отримання згоди від фізичних осіб, персональні дані яких обробляються. На відміну від Директиви, GDPR більш чіткіше описує процедуру отримання згоди від фізичних осіб на обробку їхніх персональних даних, при цьому, потрібно враховувати вид персональних даних, які обробляються, а також інші фактори та особливості. Зокрема, необхідно розділяти персональні дані на звичайні персональні дані та чутливі персональні дані в контексті їх розділення Регламентом.

Для можливості зрозуміти, як і які особливості щодо отримання згоди будуть застосовуватися, необхідно, перш за все, вияснити природу персональних даних в цілому, в розумінні GDPR.

На даний момент, у відповідності до Директиви, існує визначення Персональних даних, яке передбачає, що «Персональні дані» – це будь-яка інформація, що відноситься до ідентифікованої фізичної особи або тієї особи, що може бути ідентифікована («суб’єкт даних»).

В свою чергу, текст GDPR також містить визначення персональних даних, однак, воно значно розширене та доповнене, враховуючи динаміку розвитку технологій та суспільних інтересів. Так, GDPR визначає, що «Персональні дані» – це будь-яка інформація, що відноситься до ідентифікованої фізичної особи або тої особи, що може бути ідентифікована  («суб’єкт даних»), при цьому, ідентифікована особа – це особа, яка може бути ідентифікована прямо або посередньо, зокрема, на підставі ідентифікаційної інформації, такої як ім’я, ідентифікаційний номер, дані про місцеположення, ідентифікатор в інтернеті (онлайн-ідентифікатор) або за допомогою одного або декількох показників, характерних для фізичної, фізіологічної, генетичної, розумової, економічної, культурної або соціальної ідентичності фізичної особи.

Окрім розширеного визначення поняття персональних даних, Регламент також передбачає уточнення та розширення поняття чутливих даних (sensitive personal data). Чутливі дані визначаються за рядом ознак, які базуються на інформації про:

• расове чи етнічне походження;
• політичні думки;
• релігійні чи філософські переконання;
• професійне членство;
• здоров’я або сексуальне життя;
• генетичні дані;
• біометричні дані.

В розрізі Регламенту та враховуючи два основні види персональних даних, варто розрізняти два типи згоди, що може бути надана контролеру фізичною особою. Так, зокрема, це може бути як проста згода (consent), так і безумовна згода (explicit consent).

Види згод, наявність яких передбачається GDPR.

Проста згода (consent)

Визначення поняття згоди (consent) міститься в параграфі 11 cт.4 GDPR: «Будь-яким способом вільно надана, конкретна, поінформована та однозначна вказівка на бажання суб’єкта даних, за яким він або вона, за допомогою заяви або чіткої позитивної дії, виражають згоду на обробку персональних даних, пов’язаних з ним або з нею”.

В даному визначені йдеться про звичайну (просту) згоду, яка може надаватися у вигляді однозначної вказівки, як за допомогою заяви, так і за допомогою чіткої позитивної дії.

Варто зазначити, що наданням згоди за допомогою заяви буде вважатися надсилання листа або  електронного листа до контролера, пояснюючи, що саме цей суб’єкт даних згоден на обробку своїх персональних даних. Однак, на практиці такий спосіб є складним та рідко застосовується.

Що ж стосується позитивної дії, то варто підкреслити, що зробивши позначку в полі “Я згоден” (I accept), суб’єкт даних дійсно здійснює чітку позитивну дію, що засвідчує згоду на обробку її персональних даних. Така методологія отримання згоди ще називається                Opt-in та передбачає спрощену процедуру отримання згоди від фізичної особи.

Безумовна згода (explicit consent)

Другим видом згоди є безумовна згода (explicit consent), яка надається при обробці спеціальних категорій даних (чутливих даних), при організації переміщення персональних даних до третіх країн або до міжнародних організацій, якщо відсутні належні гарантії щодо вжиття заходів захисту в рамках автоматизованого індивідуального прийняття рішень, включаючи створення профілю.

Надання безумовної згоди передбачає більш ретельний підхід до організації її отримання. Так, наприклад, якщо ви збираєте загальні персональні дані про суб’єкта даних, в тому числі дані про расове походження, то окрім звичайної згоди, ви також повинні отримати окрему безумовну згоду на обробку чутливих  персональних даних.

Безумовна згода відрізняється від звичайної згоди тим, що її надання потребує надання значно більшого об’єму інформації фізичній особі, яка описує особливості обробки чутливих даних. Разом з тим, фізична особа, надаючи безумовну згоду, повинна здійснити додаткові дії для більш чіткішого підтвердження своєї згоди щодо обробки персональних даних про неї. В такому випадку, зокрема, може бути застосований метод Double opt-in.

Взагалі, положення GDPR не передбачають чіткого технічного алгоритму отримання згоди, а тому, контролер має можливість всі можливі досягнення науки та техніки, при цьому, дотримуючись законних вимог Регламенту.

Корисні поради щодо отримання згоди

Згода на обробку персональних даних надається фізичною особою у тих випадках, коли не виникає інших законних підстав для обробки персональних даних, згідно положень GDPR. 

Отримуючи згоду від фізичної особи, варто враховувати вимоги Регламенту, а також дотримуватися ряду особливостей, передбачених GDPR. Так,  зокрема, отримуючи згоду, необхідно мати на увазі, що:

• Потрібно гарантувати дотримання принципів захисту персональних даних, передбачених GDPR, Хартією основних прав Європейського Союзу та іншими нормативно правовими актами Європейського Союзу;

• До моменту отримання згоди, фізичній особі потрібно надати так званий запит на отримання згоди, в якому повинна міститися інформація щодо особливостей обробки персональних даних, зокрема про мету, строки обробки, способи обробки, перелік третіх осіб, кому будуть передаватися або розкриватися персональні дані.

• Отримуючи від фізичної особи згоду, необхідно забезпечити таку фізичну особу інформацією щодо її прав, зокрема про:
• право на доступ до персональних даних;
• право на виправлення персональних даних;
• право на забуття (право на видалення (стерання) персональних даних);
• право на обмеження обробки персональних даних; (v) право на повідомлення щодо виправлення або видалення персональних даних або обмеження обробки;
• право на передачу персональних даних;
• право на заперечення обробки персональних даних;
• право на відмову від автоматизованого індивідуального прийняття рішень, включаючи створення профілю;

• Отримання згоди від фізичної особи не повинно передбачати стягнення коштів за надання такої згоди або вчинення будь-яких інших дій, спрямованих на отримання вигоди.

• Передбачити для фізичної особи можливість відізвати надану нею згоду. При цьому, процес відізвання згоди повинен бути таким же простим та безкоштовним як і при її наданні;

• У випадках , коли фізична особа не досягла 16 річного віку, згоду повинні надавати її батьки або ж особи, які юридично виконують їх обов’язки.

Шкідливі “поради” : )

GDPR, як документ загального використання, не містить чітких роз’яснень щодо деяких вимог, однак, вони можуть виявитися пастками для контролерів. Зокрема, коли мова йде про зрозумілість та лаконічність тексту, а також про простоту мови.

Наприклад, під простотою мови, у відповідності з роз’ясненнями Article 29 Data Protection Working Party № 17/ЕN WP 260, слід розуміти, що інформація повинна бути надати настільки просто, на скільки це можливо. Разом з тим, інформація повинна бути конкретно визначеною, не бути абстрактною, не містити слова «можливо», «деякий», «часто», не повинні використовуватися звороти, що можуть заплутати фізичну особу.

Тому, отримуючи згоду від фізичних осіб в рамках GDPR, не варто застосовувати звичайні формулювання та звичайну структуру мови, притаманні нашому бізнесу на сьогоднішній день, так як це може призвести до застосування штрафних санкцій, по відношенню до контролера.

Визначаючи цілі та мету обробки персональних даних, потрібно запам’ятати, що у відповідності до GDPR, не можливо встановити необмежену кількість цілей для обробки персональних даних, які збирає контролер.

Оброблюючи персональні дані, контролер повинен встановити максимум дві цілі обробки щодо кожної окремої категорії персональних даних. В іншому випадку це може тлумачитися контролюючими органами як введення в оману та зловживання.

Отже, збираючи та оброблюючи персональні дані на підставі згоди, контролер повинен максимально виважено підійти до організації такого процесу, так як GDPR містить велику кількість вимог, які ставляться перед контролером. Окрім того, існує безліч офіційних роз’яснень, не враховуючи які, контролер може поплатитися, шляхом застосування до нього штрафних санкцій відповідними органами Європейського Союзу.