Европейският комитет по защита на данните прие, през октомври 2019, насоки за приложимостта на член 6, параграф 1, буква б) за обработване на лични данни в контекста на договори за онлайн услуги, независимо от това как се финансират услугите. Насоките очертават елементите на законна обработка в съответствие с член 6 (1) (б) GDPR отчитайки понятието за „необходимост“, когато се отнася за „необходимо за изпълнението на договор“ .
Администраторите трябва винаги да са сигурни, че действат в съответствие с принципите за защита на данните, посочени в член 5, както и с всички други изисквания на GDPR и, където е приложимо, на законодателство за неприкосновеност на личния живот онлайн.
Законовото основание за обработване въз основа на член 6, параграф 1, буква б) трябва да се разглежда в контекста на GDPR като едно цяло, целите, посочени в член 1, както и задължението на администраторите да обработват лични данни в съответствие с принципите за защита на данните съгласно член 5. Това включва обработка на лични данни по справедлив и прозрачен начин и в съответствие със задълженията за ограничаване на целта и минимизиране на данни. Принципът на справедливостта включва, inter alia, признаване на разумните очаквания [1] на субектите на данни, като се имат предвид възможните неблагоприятни последици, които обработването може да има върху тях, и като се вземат предвид връзката и потенциалните ефекти от дисбаланса между тях и администратора.
Във връзка със законността договорите за онлайн услуги трябва да са валидни съгласно приложимото договорно право. Пример за релевантен фактор е дали субектът на данни е дете. В такъв случай (и освен спазването на изискванията на GDPR, включително „специфичните защити“, които се прилагат за децата)[2] администраторът трябва да гарантира, че спазва съответните национални закони относно способността на децата да сключват договори. Освен това, за да гарантира спазването на принципите за справедливост и законосъобразност, администраторът трябва да отговаря на други законови изисквания.
Например за потребителски договори може да бъде приложима Директива 93/13/ЕИО на Съвета относно неравноправните клаузи в потребителските договори („Директивата относно неравноправните клаузи в потребителските договори “).[3] Член 6, параграф 1, буква б) не се ограничава до договори, уредени от законодателството на държава-членка на ЕИП.[4]
Както принципите за ограничаване на целта, така и принципите за минимизиране на данни са особено уместни при договорите за онлайн услуги, които обикновено не се договарят индивидуално. Технологичният напредък позволява на администраторите лесно да събират и обработват повече лични данни от всякога. В резултат на това съществува остър риск администраторите на данни да се стремят да включат в договорите общи условия за обработване, за да увеличат максимално възможното събиране и използване на данни, без да посочват адекватно тези цели или да вземат предвид задълженията за минимизиране на данни.
Целта за събиране на данни трябва да бъде ясно и точно определена: трябва да бъде достатъчно подробна, за да определи какъв е видът обработване и не е включено в рамките на определената цел, както и да позволи да се оцени спазването на закона и да се прилагат защитни мерки за защита на данните. Поради това, цел, която е неясна или обща, като например „подобряване на опита на потребителите“, „маркетингови цели“, „цели на ИТ сигурността“ или „бъдещи изследвания“ обикновено – без повече подробности – обикновено не отговаря на критериите за „конкретни“.
Обработването на данни не се счита за “ необходимо за изпълнението на един договор “, когато поискана услуга може да бъде осигурена без на конкретното обработване на данните. Европейският комитет по защита на данните признава, че може да бъде приложимо друго законно основание, при наличие на конкретни условия, например обработване на основание съгласие или легитимен интерес. Правното основание трябва да бъде идентифицирано в началото на обработването и информацията, предоставяна на субектите на данни в съответствие с членове 13 и 14, трябва да посочва правното основание. Определянето на подходящата законова основа е обвързано с принципите на справедливост и ограничаване на целта.
Когато администраторите си поставят за цел да идентифицират подходящото законово основание в съответствие с принципа за справедливост, това ще бъде трудно да се постигне, ако първо не са определили ясно целите на обработването или ако обработването на лични данни надхвърля необходимото за посочените цели.
В съответствие със задълженията си за прозрачност, администраторите трябва да се погрижат да избегнат всякакво объркване относно това какво е приложимото правно основание. Това е особено важно, когато подходящото правно основание е член 6, параграф 1, буква б) и от субектите на данни се сключва договор за онлайн услуги. В зависимост от обстоятелствата субектите на данни могат погрешно да имат впечатлението, че дават съгласието си в съответствие с член 6, параграф 1, буква а), когато подписват договор или приемат условия за предоставяне на услуги. В същото време администраторът може погрешно да приеме, че подписването на договор съответства на съгласие по смисъла на член 6, параграф 1, буква а). Това са съвсем различни понятия. Важно е да се разграничи приемането на условия за сключване на договор и даването на съгласие по смисъла на член 6, параграф 1, буква а), тъй като тези понятия имат различни изисквания и правни последици.
Обхват на член 6, параграф 1, буква б)
Член 6, параграф 1, буква б) се прилага, когато е изпълнено едно от двете условия:
- Въпросното обработване трябва да бъде обективно необходимо за изпълнение на договор със субект на данни, или
- обработването трябва да бъде обективно необходимо, за да се предприемат преддоговорни стъпки по искане на субект на данни.
Необходимост
Важно е да се отбележи, че концепцията за това, което е „необходимо за изпълнение на договор“, не е просто оценка на това, което е разрешено или записано в условията на договора. Понятието за необходимост има независимо значение в правото на Европейския съюз, което трябва да отразява целите на закона за защита на данните. Следователно тя включва също така съобразяване на основното право на неприкосновеност на личния живот и защита на личните данни, както и на изискванията на принципите за защита на данните, включително по-специално принципа на справедливост.
Началната точка е да се определи целта на обработването.
В контекста на договорни отношения може да има различни цели за обработка. Тези цели трябва да бъдат ясно посочени и съобщени на субекта на данните, в съответствие със задълженията на администратора за ограничаване и прозрачност.
Оценката на това, което е „необходимо“, включва комбинирана, основана на факти оценка на обработването „за преследваната цел и за това дали тя е по-малко натрапчива в сравнение с други възможности за постигане на същата цел“
Член 6, параграф 1, буква б) не обхваща обработването, което е полезно, но обективно не е необходимо за извършване на договорната услуга или за предприемане на подходящи преддоговорни стъпки по искане на субекта на данните, дори ако това е необходимо за други бизнес цели на администратора.
Когато администраторите не могат да докажат, че (а) съществува договор, (б) договорът е валиден съгласно приложимото национално договорно законодателство и (в) че обработването е обективно необходимо за изпълнение на договора, администраторът следва да разгледа друго законово основание за обработването.
Самото споменаване на обработка на данни в договор не е достатъчно, за да постави въпросната обработка в обхвата на член 6, параграф 1, буква б). От друга страна, обработката може да бъде обективно необходима, дори ако не е упомената конкретно в договора. Във всеки случай администраторът трябва да изпълнява задълженията си за прозрачност.
Когато се оценява дали член 6, параграф 1, буква б) е подходящо законово основание за обработване в контекста на онлайн договорна услуга, трябва да се вземе предвид конкретната насока, цел или предпоставките на услугата. За приложимост на член 6, параграф 1, буква б) се изисква обработването да е обективно необходимо за цел, която е неразделна част от предоставянето на тази договорна услуга на субекта на данните. Не е изключено да се обработят данни за плащане с цел таксуване на услугата. Администраторът следва да може да демонстрира как основният предмет на конкретния договор със субекта на данните всъщност не може да бъде изпълнен, ако не се извърши конкретното обработване на въпросните лични данни. Важният момент тук е връзката между съответните лични данни и операциите по обработване и изпълнението или неизпълнението на услугата, предоставена съгласно договора.
Договорите за цифрови услуги могат да включват изрични условия, които налагат допълнителни условия относно рекламата, плащанията или бисквитките, наред с други неща. Договорът не може изкуствено да разширява категориите лични данни или видове операции по обработка, които администраторът трябва да извърши за изпълнението на договора по смисъла на член 6, параграф 1, буква б).
За да се извърши преценката дали член 6, параграф 1, буква б) е приложим, следните въпроси могат да бъдат насоки:
- Какъв е характерът на услугата, която се предоставя на субекта на данните? Какви са отличителните ѝ характеристики?
- Каква е точната обосновка на договора (т.е. неговата същност и основен предмет)?
- Кои са основните елементи на договора?
- Какви са взаимните перспективи и очаквания на страните по договора? Как услугата се популяризира или рекламира на субекта на данните? Ще очаква ли обикновен потребител, като се има предвид естеството на услугата, предвиденото обработване на данни ще се извърши с цел изпълнение на договора, по който е са страна?
Ако оценката, какво е „необходимо за изпълнение на договор“, която трябва да се извърши преди започване на обработването, покаже, че планираното обработване надхвърля това, което е обективно необходимо за изпълнение на договор, това не прави такова бъдещо обработване незаконно само по себе си. Член 6 пояснява, че има други възможни законосъобразни основания за обработване преди започване на самото обработване.
Тази оценка може да разкрие, че определени дейности за обработване не са необходими за отделните услуги, поискани от субекта на данните, а са по-скоро необходими за по-широкия бизнес модел на администратора. В този случай член 6, параграф 1, буква б) няма да бъде правно основание за тези дейности. За това обработване обаче могат да бъдат налични други правни основания, като член 6, параграф 1, буква а) или е), при условие че са изпълнени съответните критерии.
Определени действия могат да бъдат разумно предвидени и необходими в рамките на нормални договорни отношения, като изпращане на официални напомняния за неизплатени плащания или коригиране на грешки или забавяне на изпълнението на договора. Член 6, параграф 1, буква б) може да обхваща обработването на лични данни, което е необходимо във връзка с подобни действия.
Договорната гаранция може да е част от изпълнение на договор и по този начин съхраняването на определени данни за определено време след като обменът на стоки / услуги / плащането е финализиран с цел гаранции, може да e необходимo за изпълнението на договор.
Прекратяване на договора
Когато обработването на лични данни се основава на член 6, параграф 1, буква б) и договорът бъде прекратен изцяло, тогава като общо правило обработването на тези данни вече няма да е необходимо за изпълнението на този договор и съответно администраторът ще трябва да прекрати обработването. Субектът на данни може да е предоставил личните си данни в контекста на договорни отношения, доверявайки се, че данните ще бъдат обработвани само като необходима част от тези отношения. Следователно, като цяло е несправедливо да преминем към ново правно основание, когато първоначалното основание престане да съществува.
Когато договорът бъде прекратен, това може да доведе до някаква администрация, като връщане на стоки или плащане. Подобно обработване може да се основава на член 6, параграф 1, буква б).
Член 17, параграф 1, буква а) предвижда, че личните данни се изтриват, когато вече не са необходими във връзка с целите, за които са били събрани. Независимо от това, това не се прилага, ако обработването е необходимо за определени специфични цели, включително за спазване на правно задължение съгласно член 17, параграф 3, буква б), или за установяване, упражняване или защита на правни искове съгласно член 17, параграф 3 (д). На практика, ако администраторите виждат обща необходимост да водят записи за правни цели, те трябва да идентифицират правно основание за това в самото начало на обработката и те трябва да съобщават ясно от самото начало за колко време планират да съхраняват записи за тях правни цели след прекратяване на договор. Ако го направят, няма нужда да изтриват данните при прекратяване на договора.
Докато тези други операции по обработване остават законни и администраторът съобщава ясно за тези операции при започване на обработването в съответствие със задълженията за прозрачност на GDPR, ще бъде възможно да се обработват лични данни за субекта на данните за тези отделни цели след това договорът е прекратен.
Необходимо за предприемане на стъпки преди сключване на договор
Тази разпоредба отразява факта, че може да се наложи предварителна обработка на лични данни преди сключване на договор, за да се улесни действителното сключване на този договор.
По време на обработването може да не е ясно дали даден договор всъщност ще бъде сключен. Вторият вариант на член 6, параграф 1, буква б) може да се приложи, стига субектът на данни да направи искането в контекста на потенциално сключване на договор и въпросното обработване е необходимо за предприемане на исканите стъпки. В съответствие с това, когато субектът на данни се свързва с администратора, за да се запознае с подробностите за предлагането на услуги на администратора, обработването на личните данни на субекта на данни за целите на отговор на запитването може да се основава на член 6, параграф 1 (б) ).
Тази разпоредба не би обхващала непоискан маркетинг или друго обработване, което се извършва единствено по инициатива на администратора на данни или по искане на трета страна.
Приложение на член 6, параграф 1, б) в специфични случаи
Обработка за „подобряване на услугата“
Онлайн услугите често събират подробна информация за това как потребителите се ангажират с тяхната услуга. В повечето случаи събирането на организационни показатели, свързани с услуга или подробности за ангажираността на потребителите, не може да се счита за необходимо за предоставянето на услугата, тъй като услугата може да бъде предоставена при отсъствие на обработка на такива лични данни. Въпреки това доставчикът на услуги може да може да разчита на алтернативни законосъобразни основания за тази обработка, като законен интерес или съгласие.
Европейският комитет по защита на данните не счита, че член 6, параграф 1, буква б) обикновено е подходяща законова основа за обработка с цел подобряване на услуга или разработване на нови функции в рамките на съществуваща услуга.
Обработка за „предотвратяване на измами“
Обработване с цел предотвратяване на измами могат да включват мониторинг и профилиране на клиентите. Според Европейския комитет по защита на данните подобно обработване вероятно ще надхвърли необходимото за изпълнение на договор с субект на данни. Въпреки това обработването на лични данни, строго необходимо за целите на предотвратяване на измами, може да представлява легитимен интерес на администратора на данни и следователно може да се счита за законно, ако са изпълнени специфичните изисквания на член 6, параграф 1, буква е) (легитимни интереси) от администратора на данни. В допълнение член 6, параграф 1, буква в) (законово задължение) би могъл също да е законово основание за обработването на данни.
Обработка за онлайн поведенческа реклама
Онлайн поведенческата реклама и свързаното с нея проследяване и профилиране на субектите на данни често се използват за финансиране на онлайн услуги. WP29 по-рано е заявил мнението си за такава обработка, заявявайки:
[договорната необходимост] не е подходящо правно основание за изграждане на профил на вкуса и начина на живот на потребителя въз основа на кликването му на уебсайт и закупените елементи. Това е така, защото администраторът на данни не е сключил договор за извършване на профилиране, а по-скоро за доставка на конкретни стоки и услуги…..
По правило обработването на лични данни за поведенческа реклама не е необходимо за изпълнение на договор за онлайн услуги. Обикновено би било трудно да се спори, че договорът не е изпълнен, тъй като няма поведенчески реклами. Това е още повече подкрепено от факта, че субектите на данни имат абсолютното право съгласно член 21 да възразят срещу обработката на своите данни за целите на директния маркетинг.
Освен това член 6, параграф 1, буква б) не може да осигури законова основа за онлайн поведенческа реклама, просто защото такава реклама косвено финансира предоставянето на услугата. Въпреки че подобно обработване може да подпомогне предоставянето на услуга, това само по себе си не е достатъчно, за да се установи, че е необходимо за изпълнението на разглеждания договор.
Европейският комитет по защита на данните също така отбелязва, че в съответствие с изискванията за ePrivacy и съществуващото становище на WP29 относно поведенческата реклама, администратори трябва да получат предварително съгласие на субектите на данни за поставяне на бисквитките, необходими за ангажирайте се с поведенческа реклама.
Обработка за персонализиране на съдържанието
Европейският комитет по защита на данните признава, че персонализирането на съдържанието може (но не винаги) да представлява съществен и очакван елемент на определени онлайн услуги и следователно може да се счита за необходимо за изпълнение на договора с потребителя на услугата в някои случаи. Дали подобна обработка може да се разглежда като присъща страна на онлайн услуга, ще зависи от естеството на предоставената услуга, очакванията на средния субект на данни в светлината не само от условията на услугата, но и от начина, по който услугата се популяризира на потребители и дали услугата може да бъде предоставена без персонализация. Когато персонализирането на съдържанието не е обективно необходимо за целите на основния договор, например когато персонализираното доставяне на съдържание има за цел да увеличи ангажираността на потребителите с услуга, но не е неразделна част от използването на услугата, администраторите на данни трябва да разгледат алтернативна законова основа когато е приложимо.
За да обобщим Насоките, които Европейският комитет по защита на данните предоставя може да изведем тези основни правила за използване на член 6, параграф 1, буква б) като законово основание за обработване:
- Предварителна преценка на целите спрямо бизнес нуждите
- Преценка на основните параметри на договора за предоставяне на онлайн услуга и съотнасящите се именно към тези параметри лични данни – необходимост
- Обособяване на подходящи алтернативни правни основания за обработване, което не попада в обхвата на член 6, параграф 1, буква б)
- Справедливост и прозрачност спрямо потребителите – субекти на данни
- Спазване на всички принципи на GDPR
[1] Очаква се някои лични данни да бъдат частни или да се обработват само по определени начини и обработването на данни не трябва да е изненадващо за субекта на данните. В GDPR понятието „разумни очаквания“ е конкретно позовавано в съображения 47 и 50 във връзка с член 6, параграфи 1, е) и (4).
[2] Вж. Съображение 38, което се отнася до децата, които заслужават специфична защита по отношение на личните си данни, тъй като те могат да бъдат по-малко запознати със съответните рискове, последици и предпазни мерки и техните права във връзка с обработването на лични данни.
[3]Договорен срок, който не е бил договарян поотделно, е несправедлив съгласно Директивата относно неравноправните клаузи в потребителските договори, „ако противно на изискването за добросъвестност причинява значителен дисбаланс в правата и задълженията на страните, произтичащи от договора, в ущърб на консуматор“. Подобно на задължението за прозрачност в GDPR, Директивата относно неравноправните клаузи в потребителските договори налага задължителното използване на обикновен, разбираем език. Обработката на лични данни, която се основава на това, което се счита за несправедлив срок съгласно Директивата, обикновено не е в съответствие с изискването съгласно член 5, параграф 1, буква а) GDPR, че обработването е законно и справедливо
[4] GDPR се прилага за определени администратори извън ЕИП; виж член 3 GDPR.
