GDPR и услугите на информационното общество

Европейският комитет по защита на данните (EDPB) публикува за обществено обсъждане насоки при използването на сключване и изпълнение на договор като основание за обработка от страна на компаниите, предлагащи услуги на информационното общество.

В документа се посочва, че чл. 6, т. 1, б. „б“ от Общия регламент за защита на данните (GDPR) следва да се тълкува в контекста на целия регламент – при спазване на принципите за минимизиране на данните, прозрачност и конкретни цели. За да се позове на чл. 6, т. 1, б. „б“ от ОРЗД, администраторът на лични данни следва да може да докаже, че (1) съществува договор, (2) който е валидно сключен съгласно националното законодателство, и че (3) обработването на данните е необходимо за изпълнението на този договор.

Важен момент е неразривната връзка между обработването на личните данни и изпълнението или неизпълнението на основната услуга, за предоставянето на която е сключен договорът. В договора може да бъдат включени клаузи с допълнителни условия по отношение на реклама, плащане или „бисквити“, въпреки това той не може изкуствено да разшири типа данни, които администраторът обработва на основание чл. 6, т. 1, б. „б“ от ОРЗД, отбелязват от EDPB.

Администраторът трябва да определи подходящо правно основание за обработването, преди да започне операциите по обработване. Когато основанието е чл. 6, т. 1, б. „б“ от ОРЗД, трябва да бъде предвидено какво се случва с данните при прекратяване на договора.

Когато договорът е изцяло прекратен, в общия случай обработване на данни за неговото изпълнение няма да бъде необходимо и следователно трябва да бъде преустановено. Въпреки това има случаи, при които основанието за обработване се променя – например ако субектът на данни е дал своето съгласие или ако обработването е необходимо за спазването на правно задължение (чл. 17, т.3, б. „б“) или за установяването, упражняването или защитата на правни претенции (чл. 17, т.3, б. „д“). Администраторът следва да посочи бъдещето правно основание още в началото на обработването, както и срока, за който смята да съхрани данните след прекратяване на договора.

EDPB отбелязват, че невинаги персонализирането на съдържание може да бъде оправдано със сключения договор. Като примери те дават новинарска услуга и онлайн магазин. При абониране за новинарска услуга със селектирано от потребителя персонализирано съдържание, приложението на чл. 6, т. 1, б. „б“ от ОРЗД е удачно. При показване на персонализирано съдържание от страна на магазина, след анализ на предходни разглеждания или поръчки – не.

От EDPB посочват още, че при обработването на данни с цел подобряване на услугата, чл. 6, т. 1, б. „б“ от ОРЗД не е подходящо правно основание.