Начало » Разяснения на КЗЛД относно „съгласието” според Общия регламент относно защитата на данните

Разяснения на КЗЛД относно „съгласието” според Общия регламент относно защитата на данните

Съгласието следва да бъде дадено чрез утвърдително действие, което установява свободно дадена, специфична и информирана индикация за съгласието на субекта на данни за обработването на лични данни, отнасящи се за него или нея, чрез писмено изявление, по електронен път включително, или чрез устно изявление. Това може да включва отметка на поле, когато се достъпва интернет страница, избиране на технически настройки за услугите на информационното общество или друго изявление, или поведение, което ясно посочва в този контекст, че субектът на данни приема предложеното обработване на неговите или нейните лични данни. Мълчание, предварително отметнати полета или бездействие не следва да представляват съгласие. Съгласието следва да покрива всички обработващи дейности извършвани за същата цел или цели. Когато обработването има многобройни цели, съгласие следва да се даде за всички тях. Ако съгласието на субекта на данни следва да бъде дадено по електронен път в следствие на искане, искането трябва да е ясно, кратко и не следва да е основание за отказ за предоставяне на услуга. Същевременно, субектът на данни следва да има правото да оттегли съгласието си по всяко време без да се засяга законосъобразността на обработването въз основа на съгласие преди оттеглянето му. За да се гарантира, че съгласието е свободно дадено, съгласието не следва да представлява валидно правно основание за обработката на лични данни в конкретни случаи с очевиден дисбаланс между субекта на данни и администратора. В обстоятелствата на конкретната ситуация е малко вероятно съгласието да е свободно дадено. Често не е възможно напълно да се идентифицира целта за обработката на лични данни за целите на научни изследвания по време на събирането на данни. Затова, на субектите на данни следва да се разреши да дават съгласието си за определени области на научните изследвания, когато отговарят на признатите етични стандарти за научни изследвания. Субектите на данни следва да имат възможност да дават съгласието си само за дадени области на научни изследвания или за части от изследователски проекти до степента позволена от предвидената цел.


1. По какъв начин физическите лица следва да дават своето съгласие за обработване на личните им данни?

Съгласие следва да се дава чрез изявление или ясно утвърдителен акт (потвърждаващо действие), с който да се даде съгласие от страна на субекта на данни за обработване на свързани с него лични данни, например чрез писмена декларация, включително по електронен път, или устна декларация.
  

2. Представлява ли съгласието на физическите лица основание за обработване на личните им данни?

Да, съгласието остава едно от алтернативните условия за обработване на лични данни. Администраторът на лични данни обаче трябва да е способен да докаже неговото наличие. Субектът на данните следва да бъде информиран за последиците при отказ да даде съгласие за обработване на отделни категории лични данни.
  

3. Възможно ли е съгласието да бъде давано онлайн?

Да, възможно е. Регламентът предвижда тази възможност (например чрез отбелязване на отметка в поле, избиране на технически настройки за услуги на информационното общество или друго заявление или поведение, което ясно показва, че субектът на данни е съгласен с предложеното обработване на неговите лични данни). Мълчанието, предварително отметнатите полета или липсата на действие не представляват съгласие.
  

4. На какви критерии трябва да отговаря даденото съгласие, за да бъде законосъобразно?

Изразеното съгласие трябва да бъде свободно дадено, конкретно, информирано и недвусмислено заявление.
  

5. Какво означава даденото съгласие да бъде информирано?

За да бъде съгласието информирано, субектът на данни следва да знае поне самоличността на администратора и целите на обработването, за които са предназначени личните данни.
 

6. Какво означава съгласието на физическото лице да бъде дадено свободно?

Свободно дадено съгласие е налично в случаите когато субектът на данни има истински и свободен избор и е в състояние да откаже или да оттегли съгласието си, без това да доведе до вредни последици за него. Смята се, че съгласието не е дадено свободно, ако не се предоставя възможност да бъде дадено отделно съгласие за различните операции по обработване на лични данни, макар и да е подходящо в конкретния случай, или ако изпълнението на даден договор, включително предоставянето на услуга, се поставя в зависимост от даването на съгласие, въпреки че това съгласие не е необходимо за изпълнението.
  

7. Могат ли да бъдат обработвани чувствителни лични данни без наличието на съгласието на физическите лица, за които се отнасят данните?

Да, в определени случаи, например по съображения от обществен интерес в областта на общественото здраве.
  

8. Има ли право физическото лице да оттегли даденото съгласие за обработване на личните му данни?

Да, субектът на данни има право да оттегли съгласието си по всяко време, като тази процедура трябва да е също толкова лесна колкото и даването на съгласието. Оттеглянето на съгласието обаче важи занапред и не може да има обратно действие. Действията по обработване на лични данни, предприети от администратора в съответствие с дадено преди това съгласие, са законосъобразни, тъй като администраторът е разполагал с валидно правно основание за обработване.
  

9. Задължително ли е съгласието да бъде дадено писмено?

Не, това не е задължително. Ако обаче съгласието на субекта на данните е дадено в рамките на писмена декларация, която се отнася и до други въпроси, искането за съгласие се представя по начин, който ясно да го отличава от другите въпроси, в разбираема и лесно достъпна форма, като използва ясен и прост език. Никоя част от такава декларация, която представлява нарушение на Регламент 2016/679, не е обвързваща.
  

10. Необходимо ли е да се вземе съгласието на носещия родителската отговорност за детето, когато е налице директно предлагане на услуги на информационното общество на деца (например при ползването на социални мрежи)?

Да, в случай че детето няма навършени 16 години, съгласието на неговия родител/ попечител/настойник е необходимо. В такива случаи администраторът на лични данни, който обработва данни за детето, полага разумни усилия да удостовери, че съгласието е дадено или разрешено от носещия родителска отговорност за детето, като взема предвид наличната технология.


 


Комисия за защита на личните данни, София 1592, бул. „Проф. Цветан Лазаров” № 2
Cookie Settings