1.Вовед и опсег
Во рамки на секојдневното работење на Трговско друштво за вработување на инвалидни лица АЛФИ БИ КОМПАНИ ДООЕЛ увоз извоз Куманово (во понатамошен текст Алфи) собираме и
користиме лични податоци од повеќе индивидуи: вработени, корисници, доктори итн.
Кога собираме и користиме лични податоци, мора да се усогласиме со многу барања предвидени
во Законот за заштита на лични податоци. Едно од овие барања е да се осигураме дека кога
обработуваме лични податоци, секогаш ја имаме вистинската правна основа.
Во зависност од околностите, една од законските основи што ни дозволуваат да собираме и
користиме лични податоци е тоа што сме добиле изречна согласност од секој од засегнатите
поединци. Целта на оваа процедура е да опише како да се добијат и да се постапуваат со валидни
согласности добиени од тие лица.
Обработката на податоци врз основа на несоодветна или невалидна согласност од поединците
чии лични податоци ќе ги собираме и користиме може да ја изложи Алфи на значителни казни и
значително на нашата репутација на брендот.
Оваа процедура се однесува на сите вработени во Алфи, соработници и трети страни вклучени во
обработката на личните податоци.
Оваа процедура е имплементирана за да се осигура дека Алфи може да ги исполни своите
законски обврски за добивање и управување со специфични, јасно изразени и недвосмислени
согласности на субјектите на податоците за нивните лични податоци да бидат обработени од
страна на Компанијата.
Во оваа процедура, поединците чии лични податоци се обработуваат од или во име на Алфи се
наведени како „Субјекти на податоци“.
За повеќе информации за управувањето со личните податоци во согласност со Законот за заштита
на личните податоци и процедурите на Алфи во овој поглед, вклучително и други валидни правни
основи за законско собирање и користење на лични податоци, погледнете ја Политиката за
приватност на Алфи.
2. Улоги и одговорности на сопственикот на активноста за обработка
Сопственикот на активност обработка, заедно со Офицерот за заштита на лични податоци е одговорен за:
- Оценување дали согласноста е соодветна правна основа за предметната обработка,
- Кога ќе се потврди дека согласноста е соодветна правна основа за предметната обработка,спроведување и усогласување со барањата поврзани со согласноста наведени во оваапроцедура, и
- Навремено вклучување и координирање со сите релевантни чинители во Алфи за спроведување на оваа процедура, како што се:
- Офицерот за заштита на лични податоци
- Надворешните правни застапници на АЛФИ
- Добавувачи ( кои обезбедуваат производи/услуги за Алфи) и обработувачи на податоци,итн.
Алфи е одговорен за поддршка на имплементацијата на оваа процедура во однос на секоја обработка заснована на согласност со поставување на технички мерки кои овозможуваат правилно управување со согласностите, вклучувајќи:
- поставувањето согласност,
- ажурирање на известувањата за согласност (и) и
- водење евиденција за сите согласности на субјектите на податоци (и за верзијата на известувањето за согласност врз основа на која се добиени согласностите), како и за сите повлекувања на согласности од страна на субјектите на податоците.
3. Како правилно да управувате со согласностите (Упатства за
сопствениците на активностите за обработка)
3.1. Кога да се користи „согласност“ како правна основа?
Согласноста не е единствената можна валидна правна основа за законска обработка на личните
податоци. Според Законот за заштита на личните податоци, може да постојат други правни основи
за обработка на лични податоци, како што е постоечки договорен однос помеѓу Алфи и субјектите
на податоци, легитимен интерес согласно кој Алфи би требало да ги обработи личните податоци
за кои станува збор , законски обврски на Алфи и др.
Согласноста како правна основа има предности и недостатоци :
- Согласноста може да ја легитимира употребата на посебни категории на лични податоци(т.е. „чувствителни“ лични податоци), одредени видови на ограничена обработка,автоматско одлучување врз основа на Обработка на лични податоци или пренос налични податоци во земји надвор од ЕУ.
- Согласноста како правна основа за обработка на лични податоци ги става засегнатитесубјекти на податоци под поголема контрола. Особено во случајот на корисниците, какои на јавноста воопшто, користењето согласност може да придонесе да се изградинивната доверба во брендот, да се подигне нивниот ангажман со брендот и, генерално,да се подобри репутацијата.
Но, исто така важно е да се има на ум :
- Субјектите на податоци кои дале согласност за обработка на нивните лични податоци,исто така, имаат право да ја повлечат таа согласност во секое време.
- Особено за операциите за обработка заснована на согласност, субјектите на податоци имаат право да бараат информации за нивната обработка (видете ја Процедурата на Алфи за (правата на субјектите на податоци).
- Управувањето со согласност за бројни операции за обработка, особено евиденцијата на согласностите и повлекувањата, може да биде доста оптоварувачко.
Значи, пред да ја избереме и имплементираме согласноста како правна основа за специфична
предвидена обработка на лични податоци, секогаш мора внимателно да процениме дали
согласноста е навистина единствената можна и најсоодветна правна основа за таа предвидена
обработка да биде законита, или дали постои друга посоодветна важечка правна основа што
можеме законски да ја користиме.
Важно :
Задолжително е да се открие правната основа на која се потпира Алфи, како контролор на
податоци (на пример, согласност) најдоцна во моментот на собирање на личните податоци. Ова
значи дека Алфи мора однапред да одлучи за секое собирање на личните податоци која е
важечката правна основа на обработката.
3.2.Како да добиете валидни (соодветни) согласности?
Кога Алфи обработува лични податоци врз основа на согласностите добиени од засегнатите
субјекти на податоци, овие согласности мора секогаш да се усогласат со одредени барања.
Согласноста мора да биде:
- дадена преку јасен потврден акт од субјектот на податоците,
- дадена слободно,
- специфична,
- информирана,
- да не постои недвосмислена индикација за договорот/прифаќањето на субјектот на
податоците и - безусловно за испорака на производ или услуга до субјектот на податоците.
Секое од овие барања е дополнително објаснето подолу:
1.Дадена преку јасен потврден акт:
Согласноста може да се даде со писмена изјава, вклучително и со електронски средства. Кога
се дава со електронски средства , согласност може да се даде со, на пример:
- штиклирање поле при посета на веб-страница на Интернет,
- избор на технички поставки за дадените услуги, или
- друга изјава или однесување кое јасно укажува во овој контекст дека субјектот на податоците ја прифаќа предложената обработка на неговите/нејзините лични податоци.
Согласноста може да се даде и со усна изјава , но потоа ќе треба да се евидентира за да се има
доказ за согласноста (на пример, со испраќање е-пошта за потврда или врска до субјектот на
податоците).
2.Слободно дадена:
Врз основа на информациите што ги добиваат субјектите на податоци за планираната Обработка,
нивната согласност за таквата Обработка мора да се даде „слободно“.
„Слободно“ значи дека:
- Субјектите на личните податоците мора да имаат вистински избор да дадат или да не дадат согласност и да имаат вистинска контрола во овој поглед.
- Доколку субјектите на податоците немаат вистински избор или не се во можност да ја одбијат или повлечат својата согласност (или се чувствуваат принудени да се согласат) без да претрпат негативни последици, тогаш нивната согласност нема да се смета за слободна и затоа нема да биде валидна.
- Доколку согласноста е комплетирана како дел од условите за кој не може да се преговара, се претпоставува дека не е слободно дадена и затоа нема да биде валидна.
- Мора да се земе предвид и идејата за нерамнотежа помеѓу контролорот на податоци (т.е. Алфи) и субјектите на податоците. На пример, врз основа на природата на односот работодавач-вработен, вработените често нема да се сметаат дека можат слободно дададат согласност за обработка на нивните лични податоци од страна на нивниот работодавец.
- Согласноста мора да се добие за секоја цел на обработката посебно (грануларност), во спротивно нема да се смета дека е дадена слободно (видете го и следното барање подолу („специфично“)).
- Согласноста ќе биде валидна само доколку е дадена врз основа на точни информации за планираната обработка
3.Специфична:
Прецизната и точната цел на одредена обработка на лични податоци мора секогаш да биде јасно
специфицирана и самата обработка мора да биде ограничена на специфичните цели наведени во
информациите поврзани со согласноста (т.е. во конкретно известување за информации на правата
на субјектот)
Согласноста мора да ги опфати сите активности за обработка што се вршат за иста цел или
цели. Кога една обработка има повеќе намени, согласноста мора да се даде за сите нив
(согласностите мора да се добијат на грануларен начин). Не смее да постои единствена опција „се
или ништо“ за да се даде согласност за повеќе намени или за повеќе операции на обработка.
4.Информирани:
Субјектите на податоците мора да добијат јасни и точни информации за обработката на нивните
лични податоци (кои лични податоци ќе се собираат, за која цел итн.). Тоа е од суштинско значење
за да им се овозможи на субјектите на податоците да донесуваат информирани одлуки, да
разберат на што се согласуваат.
Информациите што треба да им се дадат на субјектите на податоци кога се бара негова/нејзина
согласност мора да бидат најмалку следниве:
- Идентитетот на контролорот на податоци (т.е. Алфи),
- целта на секоја од операциите за обработка за кои се бара согласност,
- категориите на лични податоци што ќе се собираат и користат,
- постоењето на право на повлекување на согласноста,
- информации за употребата на личните податоци за одлуки засновани исклучиво на автоматска обработка, вклучително и профилирање, и
- ако согласноста се однесува на пренос на лични податоци во земји надвор од ЕУ(вклучувајќи ги можните ризици од таквите трансфери во земји во отсуство на соодветни заштитни мерки).
Давањето точни информации на субјектот на податоците е всушност законска обврска според
Законот за заштита на личните податоци што се применува на секојао Обработка (видете
ја Политика за приватност на АЛФИ за дополнителни информации за тоа како правилно да ги
информираат субјектите на податоци за обработката на нивните лични податоци) .
Оваа информација мора да биде формулирана на јасно разбирлив и јасен јазик и не треба да
содржи нефер услови или услови.
Понатаму, барањето за согласност на субјектите на податоците и поврзаните информации мора да
бидат претставени на начин што јасно се разликува од другите прашања. На пример,
информациите поврзани со согласноста не смеат да бидат „скриени“ некаде во документ долг 20
страници што ги содржи условите и условите за користење на услугата на која се однесува
обработката.
4.Недвосмислена:
Барањето за согласност доставено од Алфи, како контролор на податоци до субјектот на
податоците мора да биде јасно, концизно и да не непотребно го нарушува користењето на
услугата за која е обезбедена.
Согласноста дадена од субјектот на податоците мора да биде недвосмислена, што значи дека не
може да има никаков сомнеж за укажувањето (т.е. договорот/прифаќањето) дадено од субјектот
на податоците.
Како што веќе беше објаснето во точка 1 погоре, согласноста мора да произлезе од изјава или
јасна афирмативна акција. Тоа никогаш не може да се заклучи од молчењето, неактивноста или
неодговорот на субјектот на податоците на барање за негова/нејзина согласност. Исто така, не е
дозволено да се нудат однапред штиклирани полиња или конструкции за откажување за кои е
потребна интервенција од субјектот на податоци за да се спречи договор (на пример, „полиња за
откажување“).
6.Безусловно за давање услуга или испорака на производ
Не смееме да го условуваме извршувањето на договор за давање услуга или испорака на
производ), со согласност на субјектите на податоци за обработка на нивните лични податоци што
не е строго неопходно за исполнување на договорните обврски.
3.3.Информации и транспарентност кон субјектот на податоците: известување за согласност
Информациите за правата на субјектот ги содржат сите информации што мора да му се
обезбедат на субјектот на податоците за да се добие неговата согласност на валиден начин во
однос на одредена операција на Обработка .
Како што беше споменато погоре во делот 3.2 погоре (особено во точка 4 „Информирани“),
соодветните информации поврзани со согласноста мора да им се дадат на субјектите на
податоците пред да започне обработката.
Информациите за правата на субјектот поврзани со специфична операција на Обработка може да
се однесува на општата процедура за приватност и заштита на податоците која е достапна за
субјектите на податоците во моментот кога се бара нивната согласност. Релевантните информации
содржани во таквата општа процедура за приватност и заштита на податоците не мора да се
повторуваат во известувањето за согласност поврзано со конкретната Обработка.
Пример : Идентификација и избор на правна основа во известувањето за приватност поврзана
со Обработка на одредени лични податоци врз основа на, во овој пример, Обработка на имиња и
податоци за контакт на клиентите. Овој пример покажува дека е важно од почетокот на
0бработката јасно да се идентификуваат сите релевантни правни основи кои се применуваат во
однос на сите идентификувани цели за кои одреден сет на лични податоци (во овој пример,
имињата на клиентите и деталите за контакт) се собира и користи.
Врз основа на пример:
1) табела во известувањето за приватност за описот на личните податоци собрани и користени:
| Категории на лични податоци: | Вашето име | Вашата адреса за е-пошта, телефонски број и домашна адреса |
2) табела во известувањето за приватност за целите и правните основи на обработката:
| Цел: | Правна основа: |
| За да ни овозможите да Ве идентификуваме во случај на настан проблем од нарачан продукт | Легитимен интерес на Алфи |
| За да Ви обезбедиме нови понуди за производите и услугите на Алфи што може да Ве интересираат | Ваша согласност |
| За вршење на достава на нарачани произовди или: За да извршиме достава на нарачан производ и да Ви обезбедиме нови понуди за производите и услугите на Алфи | Легитимен интерес на Алфи или: Ваша согласност |
3.4.Повлекување на согласност
На субјектите на податоците мора да им се дозволи да ја повлечат согласноста во секое
време врз основа на јасна, лесно достапна и прифатлива процедура за повлекување .
Повлекувањето на согласноста никогаш не може да има негативни последици за субјектот на
податоците.
Како контролор на податоци, АЛФИ, исто така, мора да може да покаже дека субјектот на
податоците бил информиран за правото да ја повлече својата согласност во секое време и дека
овие информации се дадени пред тие да дадат согласност.
Мора да биде лесно за субјектот на податоци да ја повлече согласноста како што било лесно да
ја даде. Ова значи дека постапката за повлекување на согласноста треба да биде лесно достапна
процедура во еден чекор. Доколку е можно, субјектите на податоци треба да можат да ја повлечат
својата согласност користејќи го истиот метод како кога ја дале.
Примери :
- Кога се добива согласност преку веб-страна, апликација, сметка за најавување или преку е-пошта, субјектот на податоците мора да може да ја повлече својата согласност на ист начин
- Субјектот на податоци дава своја согласност користејќи онлајн формулар. На подоцнежен датум, тој/таа одлучува да ја повлече нивната согласност. Потоа тој/таа мора да има можност, врз основа на онлајн формулар, да ја повлече својата согласност; овој онлајн формулар мора да биде лесно достапен од врската за откажување на дното на секоја веб-страница.
- Кога контролорот на податоци ќе добие согласност од субјектот на податоците преку телефон, тој треба да обезбеди телефонски број во случај субјектите на податоци да сакаат да ја повлечат неговата/нејзината согласност.
Кои се последиците од повлекувањето?
– За субјектите на податоци :
Субјектите на податоците мора да можат да ја повлечат својата согласност за обработка на
нивните лични податоци без да претрпат никаква штета. Доколку постои казна или друг вид
негативна последица за повлекување на согласноста, согласноста би била неважечка, бидејќи не
би се сметала дека е слободно дадена
-За Алфи како контролор на податоци :
Кога субјектот на податоци ќе ја повлече својата/нејзината согласност, тоа не влијае на
законитоста на операциите за Обработка за целите опфатени со согласноста до тој момент.
Меѓутоа, за целите на обработка кои беа опфатени со согласноста, тоа значи дека, по приемот на
повлекувањето, Алфи повеќе не може да се потпира на согласноста како валидна правна
основа за законска обработка на личните податоци за целите во прашање.
Како последица на повлекувањето, Алфи, како контролор на податоци, ќе мора да ја запре
обработката на личните податоци поврзани со предметниот субјект на податоци за целите што
беа опфатени со согласноста на тој субјект на податоци .
Алфи, исто така, ќе мора да ги избрише или анонимизира тие лични податоци, освен ако личните
податоци се користат и за други операции за обработка кои имаат валидна правна основа
(легитимен интерес на Алфи, спроведување на договор, итн.) или ако друг соодветен валидна
правна основа е достапна (особено за различни цели).
Пример : Ако, врз основа на согласноста на клиентите, Алфи ги користеше нивните лични
податоци за проактивно да контактира со нив за маркетинг цели, фактот дека некои од овие
клиенти ќе ја повлечат својата согласност за употреба на нивните лични податоци за такви
маркетинг цели, не значи дека Алфи ќе мора да ги избрише нивните лични податоци од своите
бази на податоци и не може дополнително да ги обработува доколку континуираното
складирање, како и одредени други употреби на нивните лични податоци, може да се оправдаат
врз основа на, на пример реализација на постоечки договор за купопродажба или услуги помеѓу
Алфи и овие клиенти или за легитимен интерес на Алфи (на пример, Алфи има легитимен интерес
да води евиденција за своите постоечки клиенти во одреден временски период и затоа, да ги
задржат своите податоци за контакт).
Што е директен маркетинг ?
Секој вид на комуникација остварена на било кој начин со цел испраќање на рекламен,
маркетиншки или пропаганден материјал која е насочена директно до идентификуван корисник.
Важно :
Доколку, по повлекувањето на согласноста, се покаже дека личните податоци можат законски да
бидат дополнително обработени за истите цели, но врз основа на друга валидна правна основа,
тоа ќе покаже дека задачата како што е опишана во делот 3.1. горенаведеното не е правилно
направено од страна на Сопственикот , и дека оваа друга правна основа (а не согласност) требало
да биде избраната и имплементирана правна основа од самиот почеток на Обработката.
Како што е објаснето во делот 3.1. погоре, Алфи, како контролор на податоци, мора однапред да
идентификува и избере, пред да започне Обработката, која цел се однесува на кои лични
податоци и која правна основа потоа соодветно ќе се применува во однос на таа цел. Правната
основа не може да се измени во текот на Обработката, што значи дека Алфи нема да може да се
заменува помеѓу правните основи во текот на Обработката.
Пример : Алфи не може ретроспективно да го користи својот легитимен интерес како правна
основа со цел да оправда специфична обработка заснована на одредена цел доколку Алфи
првично ја избрала и побарала согласност од субјектите на податоци како правна основа за таа
цел, но нашла од тоа дека согласноста можеби не е валидна или е повлечена; Алфи нема да може
да се потпре на својот легитимен интерес како „резервно“ решение.
Како мора да се спроведе повлекувањето (временска рамка и одговорност)?
Временска рамка .
Во некои случаи, ќе биде можно да се прекине Обработката веднаш по приемот на
повлекувањето на субјектот на податоците, особено во онлајн/автоматизирана средина. Кога итно
прекинување на пбработката е технички изводливо, тоа мора ефективно да се спроведе.
Во други случаи, може да се оправда кратка временска рамка за обработка на повлекувањето, но
во такви случаи повлекувањето треба да се спроведе во максимален временски период од 15
дена по приемот на повлекувањето на субјектот на податоците.
Одговорност .
Сопственикот е одговорен да обезбеди дека, со поддршка на Алфи, барањата за повлекување од
субјектите на податоци се ефективно имплементирани како што е наведено погоре.
3.5.Специфични ситуации
- Согласност дадена од деца . Обработката на личните податоци на дете е законска доколку детето има најмалку 16 години. Кога детето е помладо од 16 години, обработката е законска само доколку и до степен до кој согласноста е дадена или овластена од носителот на родителската одговорност над детето.
- Онаму каде што Алфи обезбедува онлајн услуги за деца, мора да се добие овластување од родител или старател. Ова барање се однесува на деца под 16-годишна возраст. Алфи мора да може да покаже дека оваа дополнителна согласност ја добил лицето кое е носител на родителска одговорност над детето и дека се направени разумни напори за да се утврди автентичноста на родителската одговорност земајќи ја предвид достапната технологија.
3.6.Евиденција и доказ за согласност / Евиденција за повлекување согласност
Алфи мора да води евиденција за тоа како и кога е дадена согласност, за да можеме да
обезбедиме докази доколку субјектот на податоци ја оспори.
Записите мора да овозможат на Алфи да го демонстрира следново:
- Кој се согласил: името на субјектот на податоци или друг идентификатор (на пример, онлајн корисничко име, ID на сесија).
- Кога е дадена согласност: на пример, копија од документ со датум, или онлајн записи кои вклучуваат временски печат или, за усна согласност, белешка за времето и датумот што биле направени во моментот на разговорот.
- Што им било кажано на субјектите на податоците во моментот кога ја дале својата согласност : на пример, главна копија од документот или формуларот за собирање податоци што ја содржи изјавата за согласност што се користела во тоа време, заедно со секоја посебна процедура за приватност и известување, вклучувајќи ги броевите на верзии и датуми кои се совпаѓаат со датумот на кој е дадена согласноста. Ако согласноста била дадена усно, копија од сценариото користено во тоа време.
- Како е дадена согласноста: на пример, за писмена согласност, копија од соодветниот документ или формулар за собирање податоци. Доколку согласноста била дадена на интернет, личните податоци се доставуваат како и временски печат за да се поврзат со релевантната верзија на формуларот за собирање лични податоци. Ако согласноста е дадена усно, забелешка за оваа согласност дадена во моментот на разговорот (нема потреба да се води целосна евиденција за целиот разговор).
Важна забелешка: во однос на идентификувањето на субјектот на податоците, треба да
преземеме и разумни чекори за да ја потврдиме автентичноста на лицето кое се согласило дека
всушност е субјект на податоците. На пример, во случај на онлајн регистрација (и освен ако
субјектот на податоците е веќе во безбедно опкружување каде што има единствен и безбеден
пристап) треба барем да користиме одобрување во два чекора, т.е. кликнување на линкот за
валидација во потвратната е-пошта. Во случај на чувствителни активности за обработка (на
пример, здравствени, финансиски или банкарски податоци или обработка со значително
економско влијание врз субјектот на податоците) може да бидат соодветни дополнителни
техники за верификација.
Товарот на докажување: Алфи треба да докаже дека добила валидни согласности од субјектите
на податоци и доказот дека Алфи има добиено валидни согласности треба да биде достапен пред
да се случи обработката на личните податоци.
Записите и доказите за согласности треба да ги чува Алфи за време и по обработката за да може
да се докаже усогласеноста на Алфи со Законот за заштита на податоци.
Алфи исто така мора да води евиденција за повлекување на согласности.
Примери за тоа што може да се направи за водење евиденција и доказ за согласностите:
- Во случај на онлајн согласности, еден од можните начини е да се генерира PDF-датотека со текст на согласност и доказ за дејството на корисникот (временски печат, електронски потпис, …) – и да се складира.
- Во случај на лично дадена согласност, Алфи може да задржи копија од потпишаниот и датиран формулар на субјектот на податоците што го прикажува текстот на согласноста и дејството на субјектот на податоците (на пример, потпис, означено поле).
Пример за тоа што не е доволно за да претставува доказ за согласност: чување табела со
штиклирана колона „обезбедена согласност“ со имињата на секој субјект на податоци.
4. Резиме: Тек на управување со согласност
