Неделна разходка 10: Наистина ли GDPR казва това?

Интересно е, че митовете за GDPR непрекъснато се увеличават, вместо да намаляват с течение на времето. Само 10 на сто от малките и средните предприятия могат да покажат практики, съответстващи на регламента. Какъв е изходът?

Всеки ден към мен се обръщат хора, които ме питат „GDPR отнася ли се за моя бизнес“? Доколко устойчиви са митовете за GDPR в края на февруари писа и ирландският надзорен орган DPC. Публикацията започва с недоразумението, че конференции, семинари и събития не могат да споделят подробности за присъстващите, поради GDPR. Дори на участниците в семинари, конференции или събития се казва, че организаторите не могат да споделят списъка на присъстващите или не могат да използват баджове с имената им, поради притеснения за спазването на GDPR.

Този вид подробности – като име, длъжност и работодател – обикновено представляват лични данни, но притесненията тук могат да възникнат от неразбиране относно задължението да има основание за използването или споделянето на нечии лични данни. Тази обосновка, наречена също правно основание, се изисква от член 6 от GDPR.

Често срещано погрешно схващане е, че винаги е необходимо съгласие за споделяне на нечии лични данни, като име или данни за контакт. Въпреки че може да е добре да попитате за позволение, не е вярно, че това може да стане само въз основа на съгласието на участника. В тези ситуации организаторите е добре да обмислят дали друго правно основание не е по-подходящо.

Например, един организатор може да има легитимен интерес да споделя списъка на присъстващите или да създава табели с имена, като например да управлява събитието по най-ефективния и продуктивен начин. Съгласно GDPR легитимният интерес може да послужи като оправдание за използването на лични данни, но само когато интересът на организатора не е надвишен от интересите или правата на участниците. На мрежови събития участниците могат да очакват списък на посетителите, който да бъде споделен, и могат да намерят баджовете за полезни. В тази ситуация легитимният интерес на присъстващите може да осигури основа за използване на личните им данни по този начин.

Преди да предприемат каквито и да било действия, организациите трябва да се запитат дали участниците биха очаквали такъв вид обработване на личните им данни. Ако използването на лични данни по определен начин би изненадало присъстващите, най-добре е да се преосмисли дали този конкретен начин на действие е необходим или подходящ, като се вземат предвид принципите на справедливост и прозрачност.

Друг важен начин за смекчаване на опасенията за защита на данните относно информацията за участниците е организаторите да гарантират, че те са открити и прозрачни по отношение на начина, по който възнамеряват да използват тези лични данни. Когато участниците са били предварително предупредени, че например ще се изработват баджове с имената на участниците и данни за работодателя, тогава участниците няма да бъдат изненадани и могат да поискат личните им данни да не се използват за това. Тук не трябва да се получава объркване с получаването на съгласие, което би трябвало да стане чрез ясен акт и може да бъде оттеглено по всяко време.

Представяте ли си, че ирландския надзорен орган публикува този текст четири години след създаването на GDPR!  А често малкият бизнес се сблъсва с многобройни въпроси, свързани с личните данни на клиенти и партньори.

Затова през април във Варна ще имаме обучение. Записването започна – можете да попълните формуляр тук.

 

Можете да споделите: