Внимание! Вы используете устаревшую версию браузера.
Для корректного отображения сайта настоятельно рекомендуем Вам установить более современную версию одного из браузеров, представленных справа. Это бесплатно и займет всего несколько минут.
Спробувати Оформити передплату
Спробувати Оформити передплату
Як правильно отримати згоду на обробку персональних даних? Корисні та шкідливі поради
Сергій Богарада, Head of Personal data practice, Legal IT Group

Загальна інформація

Як відомо, 25 травня 2018 року набирає чинності Загальний регламент Європейського Союзу щодо захисту даних (GDPR / General data protection regulation / Регламент). Цей документ прийде на зміну Директиві 95/46/ЄС "Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних" (далі – Директива), що діє сьогодні.

GDPR несе цілу низку особливостей, що відрізнятимуть цей документ від попередніх нормативних актів, спрямованих на захист персональних даних у межах ЄС. Контролери та обробники, наявність яких передбачається умовами GDPR, будуть зобов'язані діяти, як того вимагає Регламент, при цьому дотримуючись фундаментальних вимог щодо захисту прав та інтересів фізичних осіб, визначених європейським законодавством.

Однією з таких особливостей є необхідність отримання згоди від фізичних осіб, персональні дані яких обробляються. На відміну від Директиви, GDPR чіткіше описує процедуру отримання згоди від фізичних осіб на обробку їхніх персональних даних, при цьому потрібно враховувати вид персональних даних, які обробляються, а також інші фактори й особливості. Зокрема, необхідно розділяти персональні дані на звичайні та чутливі персональні дані в контексті їх розділення Регламентом.

Для можливості зрозуміти, як і які особливості щодо отримання згоди застосовуватимуться, необхідно, перш за все, роз'яснити природу персональних даних у цілому, у розумінні GDPR.

На сьогодні відповідно до Директиви існує визначення Персональних даних, яке передбачає, що персональні дані – це будь-яка інформація, що відноситься до ідентифікованої фізичної особи або тієї особи, що може бути ідентифікована ("суб'єкт даних").

Своєю чергою, текст GDPR також містить визначення персональних даних, однак воно значно розширене та доповнене, враховуючи динаміку розвитку технологій і суспільних інтересів. Так, GDPR визначає, що персональні дані – це будь-яка інформація, що відноситься до ідентифікованої фізичної особи або тієї особи, що може бути ідентифікована ("суб'єкт даних"), при цьому ідентифікована особа – це особа, яка може бути ідентифікована прямо або посередньо, зокрема, на підставі ідентифікаційної інформації, такої як ім'я, ідентифікаційний номер, дані про місцеположення, ідентифікатор в Інтернеті (онлайн-ідентифікатор) або за допомогою одного чи кількох показників, характерних для фізичної, фізіологічної, генетичної, розумової, економічної, культурної або соціальної ідентичності фізичної особи.

Окрім розширеного визначення поняття персональних даних, Регламент також передбачає уточнення та розширення поняття чутливих даних (sensitive personal data). Чутливі дані визначаються за низкою ознак, які базуються на інформації про:

– расове чи етнічне походження;

– політичні думки;

– релігійні чи філософські переконання;

– професійне членство;

– здоров'я або сексуальне життя;

– генетичні дані;

– біометричні дані.

У розрізі Регламенту та враховуючи два основні види персональних даних, варто розрізняти два типи згоди, що може бути надана контролеру фізичною особою. Так, зокрема, це може бути як проста згода (consent), так і безумовна згода (explicit consent).

Види згод, наявність яких передбачається GDPR

Проста згода (consent)

Визначення поняття згоди (consent) міститься в параграфі 11 cт. 4 GDPR: "Будь-яким способом вільно надана, конкретна, поінформована та однозначна вказівка на бажання суб'єкта даних, за яким він або вона, за допомогою заяви або чіткої позитивної дії, виражають згоду на обробку персональних даних, пов'язаних з ним або з нею".

У цьому визначенні йдеться про звичайну (просту) згоду, яка може надаватися у вигляді однозначної вказівки, як за допомогою заяви, так і за допомогою чіткої позитивної дії.

Варто зазначити, що наданням згоди за допомогою заяви вважатиметься надсилання листа чи електронного листа до контролера, пояснюючи, що саме цей суб'єкт даних згоден на обробку своїх персональних даних. Однак на практиці такий спосіб є складним і застосовується рідко.

Що ж стосується позитивної дії, то варто підкреслити, що зробивши позначку в полі "Я згоден" (I accept), суб'єкт даних дійсно здійснює чітку позитивну дію, що засвідчує згоду на обробку його персональних даних. Така методологія отримання згоди ще називається Opt-in та передбачає спрощену процедуру отримання згоди від фізичної особи.

Безумовна згода (explicit consent)

Другим видом згоди є безумовна згода (explicit consent), яка надається при обробці спеціальних категорій даних (чутливих даних), при організації переміщення персональних даних до третіх країн або до міжнародних організацій, якщо відсутні належні гарантії щодо вжиття заходів захисту в межах автоматизованого індивідуального прийняття рішень, включаючи створення профілю.

Надання безумовної згоди передбачає більш ретельний підхід до організації її отримання. Так, наприклад, якщо ви збираєте загальні персональні дані про суб'єкта даних, зокрема дані про расове походження, то окрім звичайної згоди ви також повинні отримати окрему безумовну згоду на обробку чутливих персональних даних.

Безумовна згода відрізняється від звичайної згоди тим, що її надання потребує надання значно більшого обсягу інформації фізичній особі, яка описує особливості обробки чутливих даних. Разом з тим фізична особа, надаючи безумовну згоду, повинна здійснити додаткові дії для більш чіткого підтвердження своєї згоди щодо обробки персональних даних про неї. У такому випадку, зокрема, може бути застосований метод Double opt-in.

Взагалі, положення GDPR не передбачають чіткого технічного алгоритму отримання згоди, а тому контролер має можливість використовувати всі можливі досягнення науки та техніки, при цьому дотримуючись законних вимог Регламенту.

Корисні поради щодо отримання згоди

Згода на обробку персональних даних надається фізичною особою у тих випадках, коли не виникає інших законних підстав для обробки персональних даних згідно з положеннями GDPR.

Отримуючи згоду від фізичної особи, варто враховувати вимоги Регламенту, а також дотримуватися певних особливостей, передбачених GDPR. Так, зокрема, отримуючи згоду, необхідно мати на увазі, що:

1. Потрібно гарантувати дотримання принципів захисту персональних даних, передбачених GDPR, Хартією основних прав Європейського Союзу та іншими нормативно-правовими актами Європейського Союзу.

2. До моменту отримання згоди фізичній особі потрібно надати так званий запит на отримання згоди, в якому повинна міститися інформація щодо особливостей обробки персональних даних, зокрема про мету, строки, способи обробки, перелік третіх осіб, кому будуть передаватися або розкриватися персональні дані.

3. Отримуючи від фізичної особи згоду, необхідно забезпечити таку фізичну особу інформацією щодо її прав, зокрема про:

1) право на доступ до персональних даних;

2) право на виправлення персональних даних;

3) право на забуття (право на видалення (стирання) персональних даних);

4) право на обмеження обробки персональних даних; (v) право на повідомлення щодо виправлення або видалення персональних даних або обмеження обробки;

5) право на передачу персональних даних;

6) право на заперечення обробки персональних даних;

7) право на відмову від автоматизованого індивідуального прийняття рішень, включаючи створення профілю.

4. Отримання згоди від фізичної особи не повинно передбачати стягнення коштів за надання такої згоди або вчинення будь-яких інших дій, спрямованих на отримання вигоди.

5. Потрібно передбачити для фізичної особи можливість відізвати надану нею згоду. При цьому процес відізвання згоди повинен бути так само простим і безкоштовним, як і при її наданні.

6. У разі коли фізична особа не досягла 16-річного віку, згоду повинні надавати її батьки або особи, які юридично виконують їх обов'язки.

Шкідливі "поради"

GDPR, як документ загального використання, не містить чітких роз'яснень щодо деяких вимог, однак вони можуть виявитися пастками для контролерів. Зокрема, коли йдеться про зрозумілість і лаконічність тексту, а також про простоту мови.

Наприклад, під простотою мови відповідно до роз'яснень Article 29 Data Protection Working Party № 17/ЕN WP 260 слід розуміти, що інформація повинна бути надана настільки просто, наскільки це можливо. Разом з тим інформація повинна бути конкретно визначеною, не бути абстрактною, не містити слова "можливо", "деякий", "часто", не повинні використовуватися звороти, що можуть заплутати фізичну особу.

Тому, отримуючи згоду від фізичних осіб у межах GDPR, не варто застосовувати звичайні формулювання та звичайну структуру мови, притаманні нашому бізнесу сьогодні, оскільки це може призвести до застосування штрафних санкцій стосовно контролера.

Визначаючи мету обробки персональних даних, потрібно запам'ятати, що відповідно до GDPR неможливо встановити необмежену кількість цілей для обробки персональних даних, які збирає контролер.

Оброблюючи персональні дані, контролер повинен встановити максимум дві цілі обробки щодо кожної окремої категорії персональних даних. В іншому випадку це може тлумачитися контролюючими органами як введення в оману та зловживання.

ВИСНОВОК:

Отже, збираючи та оброблюючи персональні дані на підставі згоди, контролер повинен максимально виважено підійти до організації такого процесу, оскільки GDPR містить велику кількість вимог, що ставляться перед контролером. Окрім того, існує безліч офіційних роз'яснень, не враховуючи які, контролер може поплатитися шляхом застосування до нього штрафних санкцій відповідними органами Європейського Союзу.

Мати доступ до номерів і всіх статей видання Ви зможете за умови передплати на електронне видання ЮРИСТ&ЗАКОН
Контакти редакції:
uz@ligazakon.ua