Обработване на лични данни за целите на директния маркетинг
В настоящата статия ще ви запознаем с понятието директен маркетинг, обработване на личните данни за неговите цели, права на субекти при обработване на лични данни, информация при предоставяне на данни, задължение за информиране, автоматизирано вземане на решения.
- Директен маркетинг – предлагане на стоки и услуги на физически лица по телефон, по поща или по друг директен начин, както и допитване с цел проучване относно предлаганите стоки и услуги.
- Съображение 47 in fine „Обработването на лични данни за целите на директния маркетинг може да се разглежда като осъществявано поради законен интерес.”
- Съображение 38 „На децата се полага специална защита на личните данни, тъй като те не познават достатъчно добре съответните рискове, последици и гаранции, както и своите права, свързани с обработването на лични данни. Тази специална защита следва да се прилага по-специално за използването на лични данни на деца за целите на маркетинга или за създаване на личностни или потребителски профили и събирането на лични данни по отношение на деца при ползване на услуги, предоставяни пряко на деца.“
- Когато личните данни се обработват за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработването, отнасящо се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг. При възражение обработването на лични данни за тези цели се прекратява. /Чл. 21, пар. 2 и 3 от Общия регламент/
- Ако обработването на лични данни за целите на директния маркетинг включва профилиране, субектът на данни трябва да бъде информиран за профилирането и използваната логика, значението и предвидените последствия от това обработване за субекта на данни. /Чл. 13, пар. 2, б. „е“ и чл. 14, пар. 2, б. „ж“ от Общия регламент/
Права на субектите при обработване на лични данни
1) Информация, предоставяна при събиране на лични данни от субекта на данните
- идентифициране на администратора – наименование и начин за контакт, включително с длъжностното лице по защита на данните, ако има такова (адрес, електронна поща, телефон и т.н.);
- какви категории лични данни се събират, за какви цели и на какви правни основания;
- категориите получатели на лични данни извън администратора, както и дали ще се предават (трансферират) данни в трети страни извън ЕС;
- срока за съхранение на данните;
- съществуването на конкретни права на субектите на данните (право на достъп, коригиране или изтриване на лични данни, ограничаване на обработването, възражение срещу обработването, преносимост на данните) и реда за упражняването им;
- правото на субектите на данни да подадат жалба до КЗЛД или до съда;
- дали предоставянето на лични данни е задължително по закон или договорно изискване, както и евентуалните последствия, ако тези данни не бъдат предоставени;
- (ако е приложимо) дали има автоматизирано вземане на решения, включително профилиране.
Информацията се предоставя в момента на получаване на данните, освен ако субектът вече разполага с нея.
Информация, предоставяна при събиране на лични данни от друг източник
- идентифициране на администратора – наименование и начин за контакт, включително с длъжностното лице по защита на данните, ако има такова (адрес, електронна поща, телефон и т.н.);
- какви категории лични данни се събират и за какви цели се обработват;
- категориите получатели на лични данни извън администратора, както и дали ще се предават (трансферират) данни в трети страни извън ЕС;
- срока за съхранение на данните;
- съществуването на конкретни права на субектите на данните (право на достъп, коригиране или изтриване на лични данни, ограничаване на обработването, възражение срещу обработването, преносимост на данните) и реда за упражняването им;
- правото на субектите на данни да подадат жалба до КЗЛД или до съда;
- източника на данните, включително дали данните са от публично достъпен източник;
- (ако е приложимо) дали има автоматизирано вземане на решения, включително профилиране.
Администраторът информира субекта, когато личните данни са получени от друг източник, в разумен срок след получаването им, но най-късно в срок до един месец, като се отчитат конкретните обстоятелства, при които личните данни се обработват.
Ако данните се използват за връзка със субекта на данните, информацията се предоставя най-късно при осъществяване на първия контакт с този субект на данните.
Ако е предвидено разкриване пред друг получател, информацията се предоставя най-късно при разкриването на личните данни за първи път.
Задължението за информиране не се прилага, когато:
- субектът на данните вече разполага с информацията;
- предоставянето на такава информация се окаже невъзможно или изисква несъразмерно големи усилия;
- получаването или разкриването е изрично разрешено от правото на ЕС или правото на държавата членка;
- личните данни трябва да останат поверителни при спазване на законово задължение за опазване на професионална тайна или за поверителност.
- Достъп до собствени лични данни;
- Коригиране (ако данните са неточни или непълни);
- Изтриване на личните данни (правото „да бъдеш забравен“);
- Ограничаване на обработването от страна на администратора или обработващия лични данни;
- Преносимост на личните данни;
- Право на възражение;
- Право лицето да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен;
- Право на защита по съдебен или административен ред.
Автоматизирано вземане на индивидуални решения
- Решение, основаващо се единствено на автоматизирано обработване, е решение, взето по технологичен начин без човешко участие. Дори в част от тези технологични дейности да участва човешкият фактор, без да има реално влияние върху вземането на решението, то следва да се счита за основаващо се единствено на автоматизирано обработване.
- Съществени правни и други последици – когато решението се отразява на правата и законните интереси на субекта на данни или има потенциал за повлияе значително на обстоятелствата, поведението или избора на засегнатите лица.
- Профилирането е „всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическото лице , и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение“. За неговото съществуване не е достатъчно само да има автоматизирано обработване на лични данни. Целта е оценяване на определени лични аспекти, свързани с физическото лице.
- Информиране на субекта на данни за автоматизирано вземане на решения, включително профилиране – чл. 13, пар. 2, б. „е“ и чл. 14, пар. 2, б. „ж“ от Регламент (ЕС) 2016/679;
- Гарантиране на правото по чл. 22 от Регламент (ЕС) 2016/679;
- Извършване на оценка на въздействието върху защитата на данните по чл. 35, пар. 3, б. „а“ от Регламент (ЕС 2016/679;
- Извършване на оценка на въздействието върху защитата на данните по чл. 35, пар. 4 от Регламент (ЕС) 2016/679 в следните случаи:
- обработване на генетични данни с цел профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга в значителна степен;
- обработване на данни за местоположение с цел профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга в значителна степен.
- обработване на лични данни на деца при пряко предлагане на услуги на информационното общество.
Вижте още Правни възможности за определяне на ДЛЗЛД.