Мы працягваем серыю публікацый аб тым, як некамерцыйныя арганізацыі могуць наладзіць больш адказную працу з прыватнасцю і персанальнымі данымі людзей.

Тэкст падрыхтаваў Аляксей Казлюк, кансультант, эксперт па лічбавай прыватнасці і абароне персанальных дадзеных.

Адмыслоўцы па пытаннях прыватнасці напаўжартам заўважаюць, што арганізацыі, якія да нас звяртаюцца, праходзяць тры этапы:

• Нічога не чулі пра GDPR. “Якія правілы, мы ж нічога такога важнага ў іх не запытваем?”
• Нешта паспелі даведацца. “У нас ва ўсіх анкетах ёсць абавязковы чэкбокс са згодай на апрацоўку.”
• Чэмпіёны прыватнасці. “Мы тут рэестр апрацовак персанальных даных запоўнілі, паглядзіце разам з нашым DPO.”

Гэты артыкул для арганізацый, якія пакуль на другім этапе. Калі вы для сябе вырашылі, што апрацоўка персанальных даных — гэта важнае пытанне, і спрабуеце рабіць гэта адказна, адно са складаных пытанняў — выбар прававой падставы для апрацоўкі. Тым больш, што наяўнасць прававой падставы — гэта абавязковая ўмова апрацоўкі персанальных даных.

Іншыя матэрыялы па гэтай тэме:

• Прынцыпы GDPR на прыкладах для некамерцыйных арганізацый

• 8 крокаў да GDPR у некамерцыйнай арганізацыі
• Апытанкі. Як грамадскім арганізацыям клапаціцца пра персанальныя дадзеныя

Найперш, давайце разбярэмся з базавай тэрміналогіяй. Што такое апрацоўка персанальных даных? Гэта любыя дзеянні з данымі, сюды ўваходзіць збор, захоўванне, сістэматызацыя, распаўсюд і г.д. Чаму я выкарыстоўваю ў гэтым артыкуле “апрацоўкі” у множным ліку? Напрыклад, у межах адной анкеты ў GoogleForms можа адбывацца некалькі апрацовак. Для кожнай апрацоўкі вы абавязкова павінны вызначыць асобную мэту. Кантакты мы збіраем для сувязі з удзельнікамі і ўдзельніцамі, спасылкі на соцсеткі — для верыфікацыі ў мэтах бяспекі, асаблівасці харчавання — для арганізацыі харчавання на мерапрыемстве.

Чым мэта апрацоўкі адрозніваецца ад прававой падставы? Фармулёвак мэтаў можа быць сотні ў залежнасці ад вашай дзейнасці. Наадварот, прававых падстаў у GDPR толькі 6 і важна зрабіць правільны выбар паміж імі. Ці можна выбраць некалькі прававых падстаў для адной апрацоўкі? У большасці выпадкаў — не, бо такім чынам вы ўводзіце ў зман суб’екта даных (чалавека) і парушаеце першы прынцып GDPR. Распаўсюджанае на практыцы парушэнне, калі арганізацыя збірае даныя, неабходныя для аказання паслугі суб’екту, але “на ўсялякі выпадак” таксама запытвае згоду. Чалавек разлічвае, што можа ў любы момант адклікаць згоду, але высвятляецца, што яму ад пачатку не збіраліся даваць такую магчымасць.

Каб не трапіць у такую пастку, давайце разбірацца, як правільна выкарыстоўваць прававыя падставы для апрацоўкі персанальных даных. Для некаторых арганізацый становіцца адкрыццём, што акрамя згоды суб’екта персанальных даных ёсць і іншыя падставы, вось поўны спіс з Артыкула 6 GDPR:

1. Жыццёвы інтарэс суб’екта
2. Неабходнасць для дамовы
3. Выкананне юрыдычнага абавязку
4. Публічны інтарэс
5. Легітымны інтарэс кантралёра ці трэцяй асобы
6. Згода суб’екта

Цікава, што ў Рэгламенце гэтыя падставы пералічаныя ў іншым парадку, але мы будзем разглядаць іх менавіта ў такой паслядоўнасці — ад самых канкрэтных да больш абстрактных. Для кожнай апрацоўкі трэба выбраць толькі адну падставу, найбольш эфектыўны шлях — выкрэсліваць тыя падставы, якія вам не падыходзяць, пакуль не знойдзецца патрэбная. Прапаную карыстацца для гэтага вадаспадам прававых падстаў па методыцы Сяргея Варанкевіча.

Калі апрацоўка неабходная для абароны жыццёва важных інтарэсаў суб’екта даных або іншай асобы — гэта вельмі вузкая і канкрэтная падстава. Гаворка літаральна пра пытанні жыцця і смерці, якія патрабуюць неадкладных дзеянняў. Ці маеце вы права перадаць шпіталю ўсю неабходную інфармацыю аб удзельніку вашага мерапрыемства, які патрапіў у аварыю і страціў прытомнасць? GDPR кажа — так, і дае вам адпаведную прававую падставу. А вось збор экстраных кантактаў ад удзельнікаў напярэдадні мерапрыемства ўжо не трапляе пад крытэр неадкладнай неабходнасці, а значыць трэба шукаць іншую падставу.

Больш распаўсюджаная, але таксама канкрэтная падстава — апрацоўка неабходная для выканання дамовы, у якой суб’ект даных з’яўляецца адным з бакоў, а таксама для рэалізацыі па запыце суб’екта папярэдніх крокаў для заключэння дамовы. Пісьмовы кантракт не з’яўляецца абавязковай умовай, гэта можа быць вусная дамова або сітуацыя, у якой дамоўленасць вынікае з паводзінаў бакоў. Таксама гэта не заўсёды будзе ўключаць грашовы разлік. Як некамерцыйная арганізацыя вы можаце аказваць мноства паслуг, нават калі вы іх так не называеце. Вебінар, які вы ладзіце, гэта адукацыйная паслуга, гарачая лінія для ўразлівых груп — кансультацыйная, і г.д.

Каб вырашыць, ці сапраўды апрацоўка неабходная для выканання дамовы, адкажыце на наступныя пытанні:

1. Ці магу я прадаставіць паслугу гэтаму суб’екту без гэтых персанальных даных?
2. Ці магу я прадаставіць паслугу, калі суб’ект дасць несапраўдныя даныя?
3. Ці змагу я далей прадастаўляць паслугу суб’екту, калі ён забароніць мне апрацоўваць гэтыя даныя?

Калі вы адказваеце станоўча на адно з гэтых пытанняў, вам варта разглядаць іншыя прававыя падставы.

Апрацоўка можа быць неабходная для выканання юрыдычнага абавязку, які ўскладзены на кантралёра. Важнай умовай з’яўляецца тое, што гэты абавязак павінен быць прапісаны ў заканадаўстве і ў кантралёра няма варыянту не апрацоўваць даныя. Самыя відавочныя прыклады — падаткаабкладанне і бухгалтарскі ўлік, правілы працаўладкавання, справаздачнасць перад дзяржаўнымі ворганамі і г.д. Калі па заканадаўстве вы абавязаны запытваць у індывідуальных кантракцёраў іх ідэнтыфікацыйны нумар ці адрас пражывання, вы павінны выкарыстоўваць гэтую падставу для апрацоўкі гэтых даных. Аднак, калі такога абавязку ў вас няма і вы не можаце спаслацца на канкрэтную норму ў заканадаўстве ЕС або краіны ЕС, глядзіце наступную падставу.

Апрацоўка неабходная для выканання задачы ў публічным інтарэсе або рэалізацыі дзяржаўных паўнамоцтваў, ускладзеных на кантралёра. Гэтая падстава шырока выкарыстоўваецца дзяржаўнымі ворганамі і арганізацыямі з публічнымі функцыямі паводле закону. Звычайная некамерцыйная арганізацыя магчыма мае шанец скарыстацца гэтай падставай у выключных выпадках, але рэальных прыкладаў я не магу прывесці.

Апрацоўка можа быць неабходная для рэалізацыі легітымных інтарэсаў, якія пераследуе кантралёр або трэцяя асоба. Для прыкладу, гэта можа быць інтарэс ва ўтрыманні фокусу арганізацыі на канкрэтных уразлівых групах (запытваемся ў анкеце, ці адносіцца да іх суб’ект), аналізе і паляпшэнні сваёй дзейнасці (аналізуем праз статыстыку сайта, як суб’ект карыстаецца нашымі сервісамі), інтарэс стварыць бяспечную прастору для ўдзельніц і ўдзельнікаў мерапрыемстваў (верыфікуем праз рэкамендацыі і соцсеткі) і г.д. 

Важная ўмова прымянення гэтай падставы, легітымны інтарэс кантралёра павінны пераважваць інтарэсы або фундаментальныя правы і свабоды суб’екта даных, якія патрабуюць абароны персанальных даных. У большасці выпадкаў, калі вы карыстаецеся агульнапрынятымі ў сектары метадамі працы, вам не будзе патрэбы праводзіць ацэнку легітымнага інтарэсу (LIA). Аднак заўсёды карысна адказаць на пытанні:

1. Ці інтарэсы нашай арганізацыі ў гэтай сітуацыі пераважваюць інтарэсы і правы суб’екта?
2. Ці ёсць пагроза для арганізацыі/сервіса ў каротка- ці доўгатэрміновай перспектыве, калі мы адмовімся ад апрацоўкі гэтых даных?

Нарэшце, калі іншыя падставы нам не падыйшлі, трэба разглядаць згоду суб’екта. Апрацоўка персанальных даных будзе лічыцца законнай, калі суб’ект даных даў згоду на апрацоўку сваіх персанальных даных для адной ці некалькіх канкрэтных мэтаў. Згода суб’екта даных (consent) — гэта дабраахвотнае, спецыфічнае, інфармаванае і недвухсэнсоўнае волевыяўленне з дапамогай заявы ці выразнага сцвярджальнага дзеяння. Згоду можна выкарыстоўваць досыць шырока без дадатковых рызыкаў для суб’екта, але для вас як кантралёра гэта можа быць самая нязручная падстава праз шэраг абмежаванняў.

Згоду можна адклікаць гэтак жа проста, як і даць. Добра, калі вы запытваліся на згоду на паштовую рассылку — проста выдаліце гэты email. Але разгледзім сітуацыю, калі вы прасілі згоду на апрацоўку ўсіх анкетных даных удзельніцы адукацыйнага курса і потым яна адклікала гэтую згоду. Калі праз немагчымасць выкарыстоўваць яе персанальныя даныя вы не можаце забяспечыць ёй удзел у курсе, гэта значыць, што вы няправільна выбралі падставу для апрацоўкі і парушылі GDPR.

Згода павінна быць свабоднай. Вы не можаце рабіць згоду на апрацоўку ўмовай прадастаўлення паслугі (удзелу ў мерапрыемстве, кансультацыі, разгляду кандыдатуры). На практыцы я часта бачу ў GoogleForms абавязковы чэкбокс са згодай, без якога нельга адправіць анкету. Гэта грубае парушэнне. Таксама вы не можаце апрацоўваць даныя вашых супрацоўнікаў на падставе згоды, бо яны ў залежным становішчы ад вас, вы можаце іх звольніць, пазбавіць прэміі, змяніць умовы працы і г.д.

Згода павінна быць спецыфічнай. Нельга браць адну згоду на некалькі апрацовак ці замяняць згоду на апрацоўку персанальных даных на абстрактную згоду з палітыкай прыватнасці ці карыстальніцкім пагадненнем.

Згода павінна быць выражаная ў канкрэтным дзеянні. Нельга выкарыстоўваць фразы накшталт “працягваючы карыстацца нашым сервісам, вы пагаджаецеся на апрацоўку персанальных даных”. Калі вы карыстаецеся чэкбоксам у анкеце, ён не павінен быць загадзя прастаўлены.

Згоду трэба падцвердзіць, калі будзе неабходнасць, гэта ваш абавязак як кантралёра. Калі чалавек забыўся, ці даваў згоду на тую ж рассылку, а ў вас не захавалася падцверджання (ліст рэгістрацыі на мерапрыемстве, пазнака на сайце ці ў сервісе рассылак), значыць вы апрацоўваеце даныя незаконна.

Гэта базавыя веды, якія неабходныя, каб пайсці ў правільным накірунку, выбудоўваючы працэсы ў арганізацыі. Магчыма, напачатку гэтая тэма будзе падавацца складанай і заблытанай, але з дапамогай нашых тэкстаў і кансультацый мы спадзяемся зрабіць адказную працу з прыватнасцю і персанальнымі данымі людзей залатым стандартам у некамерцыйным сектары.