Важливі нові нормативні вказівки
Інтернет-послуги стали частиною нашого повсякденного життя. Надання онлайн-послуг майже завжди супроводжується певним ступенем управління даними. З одного боку, ми самі надаємо свої дані, коли вирішили користуватися послугами Інтернету, а з іншого боку, ми також створюємо дані про нас під час користування послугою. Зважаючи на характер онлайн-послуг, загальні правила захисту даних повинні бути належним чином інтерпретовані та адаптовані до онлайнових служб. Нещодавно також з’явились дві нові рекомендації, які можуть допомогти інтерпретувати вимоги щодо конфіденційності, пов’язані з наданням онлайн-послуг. (Обидва настанови - це проекти, опубліковані для громадських консультацій.)
Однією з настанов є Регламент 2/2019 про обробку даних відповідно до статті 6 (1) (b) GDPR, виданий Європейською комісією із захисту даних (EDPS) у рамках Інтернет-сервісів для суб’єктів даних. s. орієнтир.
Інший - віковий дизайн Управління з питань захисту даних Великобританії (ICO): кодекс практики для онлайн-послуг.
В обох настановах термін «онлайнові послуги» використовується у значенні «послуги інформаційного суспільства», як визначено в Директиві 2015/1535 (див. Статтю 2). Послуга інформаційного суспільства: "будь-яка послуга, яка зазвичай надається за винагороду, на відстані, електронними засобами та за індивідуальним запитом одержувача послуги".
1. Керівні принципи Європейської ради з захисту даних
Стаття 6 (1) (b) GDPR забезпечує правову основу для обробки персональних даних, коли "обробка необхідна для виконання контракту, учасником якого є суб'єкт даних, або для вжиття заходів на запит суб'єкта даних до договір укладено ".
Якщо обробка даних необхідна для надання послуги, про яку вимагає суб’єкт даних, то в інтересах обох сторін є обробка даних, оскільки відсутність обробки даних заважає наданню послуги. Що стосується застосовності цієї правової основи, то на практиці у багатьох випадках може бути важко визначити, яку обробку даних можна класифікувати за цією правовою основою, і в якій мірі необхідно покладатися на іншу правову основу (насамперед згоду чи законний інтерес) ).
Термін дії договору
Однією з передумов застосовності цієї правової основи є наявність дійсного договору. Дійсність договору може оцінюватися на підставі чинного договірного законодавства. Наприклад, відповідно до вимог споживчих контрактів або спеціальних правил у контрактах з дітьми.
Необхідність та інші правові основи для обробки даних
На підставі думки ЄНОЗД, стаття 6 (1) (b) ні охоплює обробку даних, яка об’єктивно не є необхідною для виконання договірної послуги, навіть якщо це інше необхідно для інших ділових цілей контролера даних.
У цьому контексті ЄНОЗД посилається на думку WP29 про те, що «... положення не застосовується до ситуацій, коли обробка насправді не є необхідною для виконання контракту, а накладається контролером в односторонньому порядку на суб’єкта даних. Крім того, той факт, що певна діяльність з обробки даних охоплюється контрактом, не означає автоматично, що обробка даних необхідна для виконання контракту "(Висновок 06/2014)
ЄНОЗД також звертає увагу на обов'язок контролерів даних враховувати аспекти середнього суб'єкта даних при розгляді потреби в обробці даних. У цьому відношенні варто зазначити, що ЄДПВ використовував такі терміни, як "середня зацікавлена сторона", "розумно дієва зацікавлена сторона". Це питання того, як ці терміни та поняття будуть наповнені змістом у майбутньому, і як ці категорії можуть служити орієнтиром при застосуванні правил захисту даних.
Застосування статті 6 (1) (b) GDPR
Контролер може покладатися на цю правову основу лише в тому випадку, якщо обробка відбувається в рамках (або для укладення) дійсного контракту з суб'єктом даних., і управління даними необхідне для виконання контракту.
Наступні запитання можуть допомогти оцінити придатність правової бази:
- Яку послугу надає контролер даних суб'єкту даних? Які особливості має ця послуга?
- Яка мета договору (тобто його основний зміст та предмет)?
- Які основні елементи договору?
- Які взаємні очікування договірних сторін щодо договору? Як рекламується послуга для постраждалих? Чи очікується від звичайного користувача, враховуючи характер послуги, очікуваного виконання запланованого управління даними для виконання контракту?
Інші скарги
Якщо, з огляду на вищезазначене, обробка даних не є необхідною у зв'язку з контрактом, і, отже, ця правова основа не може застосовуватися, то обробка даних може відбуватися лише за наявності іншої відповідної правової основи. У цьому контексті може бути поставлена під загрозу згода або законний інтерес, за умови, звичайно, якщо умови, що застосовуються до цих правових засад, виконуються.
Спеціальні дані
Обробка конкретних даних відповідно до статті 6 (1) (b) GDPR можлива лише за умови дотримання однієї з умов статті 9 (2) (b) - (j). Якщо жодне з них не застосовується, обробка конкретних даних можлива на основі згоди (явна згода, стаття 9 (2) (а)).
Особливі випадки
Настанови також стосуються деяких конкретних, але більш поширених випадків. Сюди входять запобігання шахрайству, управління даними для вдосконалення послуги, використання поведінкової реклами в Інтернеті тощо. Стосовно цих видів діяльності, ЄДПБ дійшов висновку, що, загалом, слід використовувати іншу правову основу, оскільки ця діяльність не є необхідною для виконання контракту.
2. Керівництво ICO
Обробка даних дітей - це сфера, в якій контролери даних повинні бути особливо обережними та обережними. У посібнику викладено та деталізовано 16 вимог, які повинні враховувати контролери даних щодо онлайн-послуг для дітей. Ці вимоги такі:
Додаток до посібника може також надати корисну допомогу контролерам даних, наприклад, за допомогою доданого шаблону оцінки впливу.
- Переваги органічних чистячих засобів - Блог краси - Інтернет-магазин Ecco Verde
- Мигдальна кнопка (гастрономія) - Визначення - Інтернет-лексикон
- Яблучний сир (гастрономія) - Визначення - Інтернет-лексикон
- Алое Вера - королева трав - Блог краси - Інтернет-магазин Ecco Verde
- Інтернет-магазин для чоловіків