Адвокат Асен Велинов: Внимавайте, когато предоставяте личните си данни
Какво значи регламентът за персоналните данни (GDPR) персонално за всеки от нас? Готови ли сме за него? За какво е нужно да сме деликатни и защо внимателни? През последния месец това са съществени въпроси, които са на дневен ред. Организират се семинари, конференции, специалисти споделят своя опит и мнение. Как стоят нещата обаче при всеки от нас като притежател на персонални данни?
Потърсихме мнението на адв. Асен Велинов , който бе главен преподавател на конференцията „ Готови ли сме за GDPR? “. Заедно със своя сътрудник Светослав Герджиков към този момент 15 години той ръководи Консултантска къща „ Велинов и сътрудници “ – една от водещите адвокатски фирми в България, профилирана в региона на гражданското и административното право и по-специално в комерсиалното, вещното, облигационното право и публичните поръчки. Експертите в екипа са амбициозни адвокати с потвърдена професионална подготовка и високи работни стандарти за качество.
Г-н Велинов, каква е в действителност задачата на този правилник? Чии ползи пази?
Целта на Регламента е да сътвори единна рамка за отбрана на обработването на персонални данни на физическите лица в подтекста на бързото софтуерно развиване и глобализацията.
Мога ли да давам персоналната си карта в хотела и на мобилния оператор, имат ли право да ми я преснимат?
Това е много постоянно срещан случай. В тази обстановка ние сме сложени пред алтернативата дали да предоставим своите данни предвид на открито нормативно условие, което админът /хотелиерът/ е задължен да извършва. Съгласие не е належащо. Всеки от нас може да даде своите персонални данни на хотела, в който е отседнал, като попълни планувания за това пример – адресна карта. Тъй като някой може да уточни погрешна информация в адресната си карта, хотелиерът може да изиска персоналната карта за сличаване на попълнените данни, след което да я върне на притежателя й. Заснемането на копие от персонална карта би било голословно и би влезнало в прорез с задачата и условията на Регламента за персоналните данни. Относно даването на персонален документ на мобилния оператор, съгласно нас още веднъж снимането на копие от него е изцяло голословно. Отношенията сред всеки от нас и мобилния оператор се основават на писмен контракт за даване на съответна услуга. За сключването на контракт с физическо лице е належащо да се индивидуализира страната, с която този контракт е подписан – три имена, ЕГН и адрес /обемът и типа на персонални данни, които сдружението изисква законосъобразно, зависи от типа на предоставяната услуга/. Допълнителните данни би следвало да бъдат предоставени единствено против категорично единодушие от наша страна. Дружеството може да изиска персонална карта, с цел да свери предоставените от субекта данни.
Вярно ли е, че ще се забрани препращането на имейли и какви последствия може да има?
Препращането на имейли като функционалност няма да бъде неразрешено. От позиция на отбраната на персонални данни, наличието на препратения мейл, както и данните за създателя, могат да бъдат заличени. Имената могат да бъдат посочени като букви (ако те не водят до идентификация на лицето), a е допустимо да бъдат напълно изтрити. Това ще би трябвало да се преценя за всеки съответен случай – надлежно да се ревизира дали препращането на мейла е ориентирано към лице във или отвън организацията, какви персонални данни се съдържат в мейла, има ли атачмънти и какво е тяхното наличие, какви механически ограничения са имплементирани и така нататък
Доколко са предпазени профилите във фейсбук – там също има персонални данни – рождена дата, телефон, имейл?
Ситуацията с фейсбук е малко по-специфична, защото огромна част от своите персонални данни физическото лице споделя непринудено (снимки, дата на раждане, информация за обучение, месторабота и т.н.). За да получи достъп до самата услуга, всяко физическо лице би трябвало да вкара телефон или имейл, две имена и ключова дума /останалата информация той дава доброволно/. Социалната мрежа дава опция доста от поверителните данни /телефон, мейл, дата на раждане/ да бъдат направени частни – в този случай никой не може да достъпи тяхното наличие. Към сегашния миг за основаване на фейсбук профил всяко лице се съгласява автоматизирано с „ политиката за данни “ на компанията. В настоящата редакция (от 29 септември 2016 г.) на политиката за данни има подробни уточнения какви видове информация събира фейсбук, за какви цели, на кого се дават и така нататък Очаква се напълно скоро платформата да разгласява обновените си правила, както и да даде спомагателни благоприятни условия за потребителите (в сходство с условията на Регламента). В този смисъл, фейсбук евентуално ще инкорпорира в платформата нови варианти за даване и отдръпване на единодушие /за даването на персонални данни на потребителите на дружества-партньори на компанията да вземем за пример, включително за маркетинг и т.н./, както и за практикуване на всички нови права, с които субектите разполагат.
Ако съм търговец с онлайн магазин и получавам данните на клиентите единствено през софтуера, мога ли да ги употребявам? Какви данни да желая и какво е значимо да попълни клиентът?
В случай на общоприетоо осъществяване на поръчка от страна на физическо лице, данните, които търговецът обработва, следва да бъдат лимитирани до най-малко с оглед осъществяването на съответната доставка/услуга. Така да вземем за пример, в случай че онлайн магазинът продава облекло, субектът на персонални данни – клиент, би следвало да даде две имена, мейл, телефон и адрес за приемане на доставката. Всеки търговец следва да разполага с раздел в уеб страницата си, в който са оповестени общите му условия, разпоредбите за отбрана на персоналните данни и други При осъществяване на поръчката всяко физическо лице следва да разполага с опция да означи с отметка, че е според както с общите условия на търговеца, по този начин и с даването на персоналните си данни /с изтъкване на съответни категории персонални данни, цели, период на предпазване и всички други детайли, посочени в член 14 от Регламента/ за задачите на осъществяването на съответната доставка/услуга. Много постоянно търговците дават опция да се „ кликне “ върху текст „ Общи условия “ или „ Правила за отбрана на персонални данни “, които препращат към раздел, съдържащ целия текст на съответните документи, с които всеки консуматор може да се запознае. Съгласието следва да бъде обещано с интензивно деяние /отбелязване с отметка/, а текстът да е написан разбираемо, ясно и недвусмислено. Ако за осъществяването на съответната доставка/услуга вие като търговец предоставяте персоналните данни на клиента на трето лице /например лицензирана куриерска фирма/, то единодушието следва да бъде изисквано и във връзка с това култивиране. Съгласно определението за „ култивиране “ /чл. 4, т. 2 от Регламента GDPR/, разкриването посредством предаване и разпространяването на персонални данни също се смята за култивиране. Това единодушие следва да бъде обещано настрана и още веднъж да дава отговор на посочените нагоре условия. Електронната търговия заема все необятно приложение, улеснява търговците и потребление на персонални данни е съществена част от поръчките. Затова е значимо да знаем, че потреблението на предоставените данни за цел, друга от посочени нагоре, е незаконосъобразно. Ако компанията има интерес да реализира маркетингови тактики, като изпраща разнообразни рекламни материали по мейл/поща до адреса, възложен от физическото лице, то тогава е належащо да разполага с експлицитното единодушие на получателите на тези известия и материали. Това може да стане с имплементирането на кутийка за отметка при реализирането на поръчката онлайн. С чекването на кутийката физическото лице следва да бъде осведомено какви категории персонални данни ще бъдат обработвани, за какви съответни цели, за какъв период, с какви права разполага и така нататък Неговото единодушие следва да бъде ясно и изрично, обещано с интензивно деяние и то следва да разполага с опцията да го отдръпна.
Електронната отметка за единодушие важи ли?
В продължение и на коментираното до момента, в случай че приказваме за отметка за даване на единодушие, админите на персонални данни биха могли да употребяват електронната отметка като прийом за приемане на единодушие, защото това дава отговор на условието на Регламента за интензивно държание при даване на единодушие. С слагането на отметка на субекта наложително следва да бъде предоставена информация какви категории персонални данни ще се обработват, за какви цели, за какъв период и така нататък (съгласно член 14 от Регламента за персоналните данни).
Ако имам потребителска база данни и я употребявам с маркетингови цели – да вземем за пример за поддържка на близка връзка с клиентите, известяван за промоции, честитене на рождени дни и други, имам ли право да продължа да го върша?
Отговорът на този въпрос не може да бъде безапелационен, защото зависи от съответната обстановка. От една страна, в случай че до сегашния миг за събирането на тези данни съответните физически лица не са дали категорично единодушие за обработването им за пряк маркетинг /освен другите цели/, то тогава вие нямате право да обработвате към този момент предоставените ви персонални данни за такава цел. За да бъде законосъобразно такова култивиране, админът следва да изиска в допълнение експлицитното единодушие на субекта, като му даде подробна информация по отношение на цел на обработването, период и така нататък
Какво значи „ Чувствителни данни “?
Това са специфични категории персонални данни, които са свързани с елементи/идентификатори, разкриващи породист или етнически генезис, политически възгледи, религиозни или метафизичен убеждения или участие в синдикални организации, както и генетични данни, биометрични данни, данни за здравословното положение или за половия живот или половата ориентировка на физическото лице. Регламентът ги назовава „ чувствителни “ заради тяхното характерно естество.
Ако видя, че данните ми са употребявани непозволено – към кого да се обърна и какво да подхваща?
Всеки от нас е значимо да бъде доста деликатен при даването на персоналните си данни. Ако установим, че данните ни са обработвани незаконосъобразно, имаме следните благоприятни условия:
Да подадем тъжба до контролен орган. Всяко физическо лице, което счита, че админ на персонални данни нарушава наредбите на Регламента при обработването на персонални данни, отнасящи се до него, може да подаде тъжба до КЗЛД, в която да уточни в какво се състои нарушаването.
Съдебна отбрана против отнасящо се до него решение със наложителен темперамент на контролен орган. Всяко физическо лице може да подаде тъжба пред способния съд против решение на КЗЛД, което се отнася до него и има наложителен темперамент, както и когато КЗЛД не е разгледала жалбата или не е уведомила субекта на данни за развиването на производството в период от три месеца.
Съдебна отбрана против админ или обработващ персонални данни. Независимо от подадената тъжба до надзорния орган /КЗЛД/, физическото лице има право да подаде тъжба против админ, който нарушава Регламента, непосредствено пред способния съд.
Право на обезщетение и отговорност за породени вреди. Всяко лице, което е претърпяло вреди /материални или нематериални/ вследствие на нарушаване на Регламента от страна на админ или обработващ персонални данни, може да получи съответното обезщетение като предяви иск пред способния съд.
Физическото лице – индивид на персоналните данни, може да разпореди всички тези дейности на конструкция, организация или съдружие с нестопанска цел, които работят в региона на отбраната на правата и свободите на субекта на данни във връзка с отбраната на неговите персонални данни.
Потърсихме мнението на адв. Асен Велинов , който бе главен преподавател на конференцията „ Готови ли сме за GDPR? “. Заедно със своя сътрудник Светослав Герджиков към този момент 15 години той ръководи Консултантска къща „ Велинов и сътрудници “ – една от водещите адвокатски фирми в България, профилирана в региона на гражданското и административното право и по-специално в комерсиалното, вещното, облигационното право и публичните поръчки. Експертите в екипа са амбициозни адвокати с потвърдена професионална подготовка и високи работни стандарти за качество.
Г-н Велинов, каква е в действителност задачата на този правилник? Чии ползи пази?
Целта на Регламента е да сътвори единна рамка за отбрана на обработването на персонални данни на физическите лица в подтекста на бързото софтуерно развиване и глобализацията.
Мога ли да давам персоналната си карта в хотела и на мобилния оператор, имат ли право да ми я преснимат?
Това е много постоянно срещан случай. В тази обстановка ние сме сложени пред алтернативата дали да предоставим своите данни предвид на открито нормативно условие, което админът /хотелиерът/ е задължен да извършва. Съгласие не е належащо. Всеки от нас може да даде своите персонални данни на хотела, в който е отседнал, като попълни планувания за това пример – адресна карта. Тъй като някой може да уточни погрешна информация в адресната си карта, хотелиерът може да изиска персоналната карта за сличаване на попълнените данни, след което да я върне на притежателя й. Заснемането на копие от персонална карта би било голословно и би влезнало в прорез с задачата и условията на Регламента за персоналните данни. Относно даването на персонален документ на мобилния оператор, съгласно нас още веднъж снимането на копие от него е изцяло голословно. Отношенията сред всеки от нас и мобилния оператор се основават на писмен контракт за даване на съответна услуга. За сключването на контракт с физическо лице е належащо да се индивидуализира страната, с която този контракт е подписан – три имена, ЕГН и адрес /обемът и типа на персонални данни, които сдружението изисква законосъобразно, зависи от типа на предоставяната услуга/. Допълнителните данни би следвало да бъдат предоставени единствено против категорично единодушие от наша страна. Дружеството може да изиска персонална карта, с цел да свери предоставените от субекта данни.
Вярно ли е, че ще се забрани препращането на имейли и какви последствия може да има?
Препращането на имейли като функционалност няма да бъде неразрешено. От позиция на отбраната на персонални данни, наличието на препратения мейл, както и данните за създателя, могат да бъдат заличени. Имената могат да бъдат посочени като букви (ако те не водят до идентификация на лицето), a е допустимо да бъдат напълно изтрити. Това ще би трябвало да се преценя за всеки съответен случай – надлежно да се ревизира дали препращането на мейла е ориентирано към лице във или отвън организацията, какви персонални данни се съдържат в мейла, има ли атачмънти и какво е тяхното наличие, какви механически ограничения са имплементирани и така нататък
Доколко са предпазени профилите във фейсбук – там също има персонални данни – рождена дата, телефон, имейл?
Ситуацията с фейсбук е малко по-специфична, защото огромна част от своите персонални данни физическото лице споделя непринудено (снимки, дата на раждане, информация за обучение, месторабота и т.н.). За да получи достъп до самата услуга, всяко физическо лице би трябвало да вкара телефон или имейл, две имена и ключова дума /останалата информация той дава доброволно/. Социалната мрежа дава опция доста от поверителните данни /телефон, мейл, дата на раждане/ да бъдат направени частни – в този случай никой не може да достъпи тяхното наличие. Към сегашния миг за основаване на фейсбук профил всяко лице се съгласява автоматизирано с „ политиката за данни “ на компанията. В настоящата редакция (от 29 септември 2016 г.) на политиката за данни има подробни уточнения какви видове информация събира фейсбук, за какви цели, на кого се дават и така нататък Очаква се напълно скоро платформата да разгласява обновените си правила, както и да даде спомагателни благоприятни условия за потребителите (в сходство с условията на Регламента). В този смисъл, фейсбук евентуално ще инкорпорира в платформата нови варианти за даване и отдръпване на единодушие /за даването на персонални данни на потребителите на дружества-партньори на компанията да вземем за пример, включително за маркетинг и т.н./, както и за практикуване на всички нови права, с които субектите разполагат.
Ако съм търговец с онлайн магазин и получавам данните на клиентите единствено през софтуера, мога ли да ги употребявам? Какви данни да желая и какво е значимо да попълни клиентът?
В случай на общоприетоо осъществяване на поръчка от страна на физическо лице, данните, които търговецът обработва, следва да бъдат лимитирани до най-малко с оглед осъществяването на съответната доставка/услуга. Така да вземем за пример, в случай че онлайн магазинът продава облекло, субектът на персонални данни – клиент, би следвало да даде две имена, мейл, телефон и адрес за приемане на доставката. Всеки търговец следва да разполага с раздел в уеб страницата си, в който са оповестени общите му условия, разпоредбите за отбрана на персоналните данни и други При осъществяване на поръчката всяко физическо лице следва да разполага с опция да означи с отметка, че е според както с общите условия на търговеца, по този начин и с даването на персоналните си данни /с изтъкване на съответни категории персонални данни, цели, период на предпазване и всички други детайли, посочени в член 14 от Регламента/ за задачите на осъществяването на съответната доставка/услуга. Много постоянно търговците дават опция да се „ кликне “ върху текст „ Общи условия “ или „ Правила за отбрана на персонални данни “, които препращат към раздел, съдържащ целия текст на съответните документи, с които всеки консуматор може да се запознае. Съгласието следва да бъде обещано с интензивно деяние /отбелязване с отметка/, а текстът да е написан разбираемо, ясно и недвусмислено. Ако за осъществяването на съответната доставка/услуга вие като търговец предоставяте персоналните данни на клиента на трето лице /например лицензирана куриерска фирма/, то единодушието следва да бъде изисквано и във връзка с това култивиране. Съгласно определението за „ култивиране “ /чл. 4, т. 2 от Регламента GDPR/, разкриването посредством предаване и разпространяването на персонални данни също се смята за култивиране. Това единодушие следва да бъде обещано настрана и още веднъж да дава отговор на посочените нагоре условия. Електронната търговия заема все необятно приложение, улеснява търговците и потребление на персонални данни е съществена част от поръчките. Затова е значимо да знаем, че потреблението на предоставените данни за цел, друга от посочени нагоре, е незаконосъобразно. Ако компанията има интерес да реализира маркетингови тактики, като изпраща разнообразни рекламни материали по мейл/поща до адреса, възложен от физическото лице, то тогава е належащо да разполага с експлицитното единодушие на получателите на тези известия и материали. Това може да стане с имплементирането на кутийка за отметка при реализирането на поръчката онлайн. С чекването на кутийката физическото лице следва да бъде осведомено какви категории персонални данни ще бъдат обработвани, за какви съответни цели, за какъв период, с какви права разполага и така нататък Неговото единодушие следва да бъде ясно и изрично, обещано с интензивно деяние и то следва да разполага с опцията да го отдръпна.
Електронната отметка за единодушие важи ли?
В продължение и на коментираното до момента, в случай че приказваме за отметка за даване на единодушие, админите на персонални данни биха могли да употребяват електронната отметка като прийом за приемане на единодушие, защото това дава отговор на условието на Регламента за интензивно държание при даване на единодушие. С слагането на отметка на субекта наложително следва да бъде предоставена информация какви категории персонални данни ще се обработват, за какви цели, за какъв период и така нататък (съгласно член 14 от Регламента за персоналните данни).
Ако имам потребителска база данни и я употребявам с маркетингови цели – да вземем за пример за поддържка на близка връзка с клиентите, известяван за промоции, честитене на рождени дни и други, имам ли право да продължа да го върша?
Отговорът на този въпрос не може да бъде безапелационен, защото зависи от съответната обстановка. От една страна, в случай че до сегашния миг за събирането на тези данни съответните физически лица не са дали категорично единодушие за обработването им за пряк маркетинг /освен другите цели/, то тогава вие нямате право да обработвате към този момент предоставените ви персонални данни за такава цел. За да бъде законосъобразно такова култивиране, админът следва да изиска в допълнение експлицитното единодушие на субекта, като му даде подробна информация по отношение на цел на обработването, период и така нататък
Какво значи „ Чувствителни данни “?
Това са специфични категории персонални данни, които са свързани с елементи/идентификатори, разкриващи породист или етнически генезис, политически възгледи, религиозни или метафизичен убеждения или участие в синдикални организации, както и генетични данни, биометрични данни, данни за здравословното положение или за половия живот или половата ориентировка на физическото лице. Регламентът ги назовава „ чувствителни “ заради тяхното характерно естество.
Ако видя, че данните ми са употребявани непозволено – към кого да се обърна и какво да подхваща?
Всеки от нас е значимо да бъде доста деликатен при даването на персоналните си данни. Ако установим, че данните ни са обработвани незаконосъобразно, имаме следните благоприятни условия:
Да подадем тъжба до контролен орган. Всяко физическо лице, което счита, че админ на персонални данни нарушава наредбите на Регламента при обработването на персонални данни, отнасящи се до него, може да подаде тъжба до КЗЛД, в която да уточни в какво се състои нарушаването.
Съдебна отбрана против отнасящо се до него решение със наложителен темперамент на контролен орган. Всяко физическо лице може да подаде тъжба пред способния съд против решение на КЗЛД, което се отнася до него и има наложителен темперамент, както и когато КЗЛД не е разгледала жалбата или не е уведомила субекта на данни за развиването на производството в период от три месеца.
Съдебна отбрана против админ или обработващ персонални данни. Независимо от подадената тъжба до надзорния орган /КЗЛД/, физическото лице има право да подаде тъжба против админ, който нарушава Регламента, непосредствено пред способния съд.
Право на обезщетение и отговорност за породени вреди. Всяко лице, което е претърпяло вреди /материални или нематериални/ вследствие на нарушаване на Регламента от страна на админ или обработващ персонални данни, може да получи съответното обезщетение като предяви иск пред способния съд.
Физическото лице – индивид на персоналните данни, може да разпореди всички тези дейности на конструкция, организация или съдружие с нестопанска цел, които работят в региона на отбраната на правата и свободите на субекта на данни във връзка с отбраната на неговите персонални данни.
Източник: trud.bg
КОМЕНТАРИ