Согласие субъекта – физического лица, например, клиента, - до сих пор было одним из законных оснований для обработки данных. Так как до мая 2018 года в нормативные акты Латвии нужно полностью ввести Регулу Общей защиты данных (далее – Регула), предприятиям, которые обрабатывают данные физических лиц, нужно будет обращать повышенное внимание на законность обработки данных. Чтобы избежать потенциальных больших денежных штрафов и не потерять доверие своих клиентов, предприятиям придётся также оценить, происходит ли обработка персональных данных на основании согласия субъекта в соответствии с Регулой.
Применимость Регулы
Требования Регулы относятся ко всем лицам, которые обрабатывают данные физических лиц в какой-либо стране ЕС или данные жителей страны ЕС. Под данными физического лица подразумевается любая информация, которая относится к идентифицированному или идентифицируемому (такому, которое можно распознать) физическому лицу. Таким образом, следует произвести оценку как полученных данных клиента, так и обработку данных работников своего предприятия, если ранее на это не обращалось должного внимания.
Условия законности согласия субъекта данных
В соответствии с нынешним регулированием Латвии и новой Регулой согласие субъекта данных является одним из правовых оснований для обработки данных. В сравнении с директивой Защиты данных, на основании которой образовано нынешнее Латвийское регулирование, новая Регула уточняет условия законности согласия субъекта данных, уменьшая возможность различных интерпретаций предприятиями различных стран ЕС.
Чтобы согласие можно было бы считать законно полученным и обязательным, Регула предусматривает следующие условия:
-
Согласие должно быть недвусмысленным, которое дано в целях конкретной обработки данных и ясно отделено от других вопросов. Субъект данных должен восприниматься как потребитель, поэтому информация об обработке данных должна быть дана на понятном и простом языке.
-
Необходимо наглядно доказать, что субъект данных согласился на обработку своих данных, поэтому в случае письменного согласия нужно документировать факт согласия (например, в форме договора или э-почты). Если согласие получено электронным способом (например, галочкой в окошке), тогда нужно убедиться, что соответствующие метаданные сохраняются в системе.
-
Согласие должно быть добровольным. Если субъект данных не соглашается на обработку данных на основании согласия, это не должно повлиять на исполнение основного договора.
-
Субъект данных имеет право в любой момент отозвать свое согласие. Субъекту данных нужно предоставлять возможность использовать право отзыва, не создавая препятствий.
Так как отзыв согласия возможен в любой момент, следует оценить, нет ли возможности обработать данные на другом правовом основании, например, если обработка данных определена законом или необходима для заключения договора или его исполнения между субъектом данных и предприятием.
Обязанность соблюдать условия обработки данных
Хотя до сих пор соблюдение закона «О защите данных физического лица» было необходимым условием обработки данных, новая Регула усиливает права Государственной инспекции данных и обязанности соблюдать защиту данных, в том числе применяя денежный штраф в размере до 4% от годового оборота предприятия или применив запрет на обработку данных в случае нарушения закона. Кроме того, эти вопросы стали актуальными во всех СМИ, поэтому в результате игнорирования требований защиты данных предприятие может потерять как репутацию, так и клиентов.
Рекомендации по обеспечению соответствия обработки данных
Первым шагом любого предприятия было бы продумать действия по обработке данных, идентифицировав вид данных и цель обработки, вовлечённых лиц (как работников, так и третьих лиц) и правовое основание, чтобы можно было точнее оценить соответствие системы обработки данных. Так как Регула возлагает обязанность защиты нескольких данных, желательно проконсультироваться с сертифицированным специалистом по защите данных, который мог бы дать предприятию оценку соответствия обработки данных требованиям Регулы.
