Н овият регламент за защита на личните данни, който влезе в сила на 25.05.2018 г. въвежда 6 правни основания, на базата на които могат да се обработват лични данни. Обработването на лични данни за маркетингови цели обаче, може да се извършва на две от тях, а именно съгласието на субекта на данни и легитимният интерес на администратора, когато няма риск основните права и свободи на лицето, чиито данни се обработват, да бъдат сериозно засегнати.
I. Обработка на лични данни чрез получаване на съгласие
Когато се обработват лични данни на база съгласие, трябва да бъдат изпълнени няколко условия, за да бъде това съгласие валидно:
- да е дадено свободно;
- да бъде информирано;
- да бъде дадено за конкретна цел, която да бъде изрично посочена;
- да е дадено изрично (отметка в електронно поле или подпис върху формуляр);
- да бъде възможно съгласието да се оттегли и тази опция да бъде изрично обяснена;
За да бъде съгласието информирано, с оглед защита на личните данни, на лицето трябва да бъде предоставена най-малко следната информация:
- посочване на организацията, която ще обработва личните данни;
- цели, за които ще бъдат обработвани (предоставените данни могат да се обработват само за целите, за които са предоставени);
- вида на данните, които ще бъдат обработвани;
- възможността да се оттегли даденото съгласие;
Следващият пример е с цел онагледяване на тези правила:
Фирма "XYZ" има сайт, в който са описани стоките и услугите, които се предлагат от компанията. В сайта има опция за онлайн бюлетин използван за рекламиране на нови продукти и услуги на заинтересовани страни. За да се запише едно физическо лице за въпросния бюлетин, трябва да даде изрично своето съгласие. Дружеството от своя страна трябва да му предостави посочената по-горе информация към момента на даване на съгласието. То не гарантира достоверността на личните данни, попълнени чрез сайта. Истинността на данните е отговорност на лицето, което ги е попълнило. В противен случай, ако не се иска съгласието на лицето, Дружеството ще носи отговорността да гарантира достоверността на личните данни и да доказва, че лицето доброволно се е абонирало за получаването на съобщения с маркетингово съдържание
Важно е да се направи уточнението, че не е необходимо да се иска съгласието на вече настоящите абонати на бюлетин или с други думи – на потенциалните клиенти от вече съществуваща база данни. Дружеството има задължение да ги информира за начините на обработка на личните им данни, както и да им даде възможност да възразят срещу тази обработка. Така, ако едно физическо лице се е абонирало, то има възможност да се откаже от този абонамент. Не е необходимо физическото лице да се съгласява за услуга, която вече веднъж е заявявало желанието си чрез активни действия на абониране.
II. Обработка на лични данни на база легитимен интерес на администратора
След подробен анализ на тълкувателната практика на институциите на ЕС, както и на работната група за защита личните данни по чл. 29, може да се стигне до следното заключение: легитимен би бил всеки интерес, който едно дружество има с оглед осъществяването на основната си търговска дейност (освен ако тази дейност не е незаконна), както и такъв насочен към защита на имуществото му от кражби и злоупотреби.
Например, когато говорим за маркетингова агенция, в която се обработват голям обем от лични данни с маркетингова цел, то обработката за основната дейност в този случай трябва да се извършва предимно за целите на легитимен интерес на администратора, тъй като искането на съгласие би затруднило дейността на администратора и би довело до неудобство за субектите на данни, чието съгласие се иска за всяко обработване.
Дали е възможно позоваването на това правно основание или не, следва да се установи чрез извършване на анализ/оценка на интереса на администратора за всяко конкретно обработване.
Правното основание за целите на „легитимният интерес” на администратора е доста гъвкаво основание, предоставящо възможност на администраторите да обработват лични данни на своите клиенти и контрагенти, необходими им за осъществяване на основаната им търговска дейност, без същите излишно да бъдат натоварвани със задължението да събират съгласие от всеки субект на лични данни. Тази възможност следва всеки път да се съобразява с останалите изисквания дадени от Регламента за защита на личните данни за прилагането на основанието „легитимен интерес”, а те са както следва:
- обработването на данни следва да е „Необходимо” – обработката на личните данни да е само и единствено за постигане на съответната цел. Не може да се разчита на легитимния интерес, ако има друг разумен и по-малко натрапчив за субектите на данни начин за постигане на същия резултат.
- интересът трябва да е „преследван от администратора“. Това изисква интересът да бъде реален и настоящ, да съответства на настоящите дейности или ползи, които се очакват в съвсем близко бъдеще. С други думи не е достатъчно това да са интереси, които са твърде неопределени или само предполагаеми, а да са определени.
- и накрая, за да се обработват данни на основание легитимен интерес следва да има баланс между интересите на администратора и интересите и основните права и свободи на субектите на данни – физическите лица. Това означава, че ако физическите лица не биха могли да очакват от съответния администратор да използва данните им по начина, по който той ги използва или това би им причинило неоснователна вреда, интересите им вероятно ще надделеят над тези на администратора. В случай, че обработването може да доведе до каквото и да е накърняване на основни права и свободи на физическите лица, администраторът не може и не следва да обработва лични данни на това основание.
Например:
Фирма „XYZ” организира бизнес семинар, където организаторът събира визитните картички на някои от посетителите. Организаторът има желание да разшири базата си от контакти. След разглеждане на целта и необходимостта за обработка на новите лични данни, организаторът оценява, че има легитимен интерес от тяхната обработка, тъй като е разумно за посетителите, които предават визитни картички, да очакват, че техните бизнес данни за контакт ще бъдат обработени, както и че въздействието върху тях ще бъде ниско. Организаторът също така гарантира, че ще предостави на посетителите информация за поверителността, включително подробности за тяхното право на възражение. След това организаторът събира координатите за контакт на посетителите и ги добавя към своята база данни за бизнес контакти. Обработката в подобна ситуация на основание „съгласие” би затруднила както организатора, така и посетителите.
В заключение може да се направи обобщението, че всеки администратор обработващ лични данни за маркетингови цели, може да се позове както на основание съгласие, така и на легитимен интерес. За да се намери най-правилното правно основание за обработка на лични данни, във всеки един случай е необходимо да се направи оценка на въздействието.
Когато става дума за регистрация, която клиент прави, за да се абонира с цел да използва даден продукт или услуга, предлаган/а от конкретно дружество, основанието за обработка на личните данни на този клиент е договорно (осъществена покупко-продажба). Ето защо за тези лични данни не е необходимо да се иска съгласие на физическото лице. Още повече - тук дружеството – администратор на лични данни разполага с легитимен интерес като продавач да провежда на клиентите си последващ директен маркетинг. В случая добра практика би било администраторът да вмъкне под полетата за регистрация кратък и ясен текст, с който да информира физическите лица за какво ще бъдат използвани личните им данни, без те да дават съгласие за този вид обработка.
Що се отнася до бисквитите, които сайтовете на търговците използват – тук отново е необходимо при отваряне на сайта да излиза информационно съобщение, в което да бъдат описани всички видове бисквити, както и целта на използването им. Тук отново НЕ е нужно съгласие на клиента. Ако той не желае личните му данни да бъдат събирани от конкретният администратор, просто може да затвори сайта му.
Що се отнася до визитките, които представител на администратор може да събере на събития и различни срещи, тук, както става ясно и от написаното по-горе, дружеството отново има легитимен интерес.
