Можеш ли да садиш и отглеждаш фиданки в двора на своето училище, ако някой не те снима, или как защитата на личните данни на деца се отнася към нарастващия интерес на компаниите да покажат своята корпоративна социална отговорност?
Директивата за отчитане на корпоративна устойчивост (CSRD), европейските стандарти за отчитане на устойчивостта (ESRS) и таксономията ще засегнат всички предприятия. Ангажиментите на бизнеса за по-голяма прозрачност по въпросите на устойчивото развитие влязоха в сила от началото на 2024 г., но някои компании от няколко години публикуват отчети, показващи т.нар. нефинансови данни.
Изискванията към тези отчети включват, представяне на данни относно дейността на предприятието, свързана с опазването на околната среда, както и влиянието на промяната на климата. В отчетите също така компаниите трябва да покажат данни и информация, по отношение на човешкия и интелектуален ресурс, с който разполагат, както и относно степента на зачитане на човешките права в рамките на предприятието. Едно от изконните човешки права е правото на неприкосновеност на личния живот, което включва правото на поверителност на личния живот и личната кореспонденция. Всичко казано по-горе, се обобощава в така наречените фактори на устойчивост или ESG (Environmental, Social and Governance – екологично, социално и корпоративно управление).
Инициативата на групата ГЕОТЕХМИН „Нашето зелено утре“ е именно такъв проект, който обаче поради незнание или нечия прекомерна проактивност поставя тревожен въпрос от областта на защита на личните данни и то на най-уязвимата група от обществото – децата.
Родители са били убеждавани да подпишат декларация-съгласие за обработване на лични данни на техните деца с аргумент, че ако декларацията не бъде подписана, то детето няма да може да участва в инициативата или предстоящи такива.
Ако погледнем условията конкурса публикувани тук:
вижда се, че няма правно ограничаващи условия за децата, нито изискване при заснемането на процесите по засаждане, отглеждане или в презентациите да бъдат заснемани и участниците.
Ако такива все пак се предоставят и дружеството, организатор възнамерява да ги използва, то това трябва да се случи при пълно спазване на законовите изисквания. Със сигурност за тази цел е необходимо съгласие, което отговаря на изискванията за защита на личните данни.
Едно от основните изисквания е съгласието да е свободно дадено.
Елементът „свободно“ предполага действителен избор и контрол от страна на субекта на данни. Като общо правило, в ОРЗД се предвижда, че ако субектът на данни няма действителен избор, чувства се принуден да даде съгласието си или ще понесе отрицателни последствия, ако не го направи, тогава съгласието няма да бъде валидно.
Това казва Работната група по чл. 29 в своите насоки по отношение на съгласието в съответствие с Регламента за защита на личните данни, придобил известност като GDPR. Същите насоки дават много подробна информация на администраторите на лични данни какво трябва да съдържа съгласието и на какви изисквания трябва да отговаря, за да изпълнява изискванията на регламента и да защитава правата на физическите лица, чиито данни ще се обработват. Внимателна проверка на текста на декларацията показва и други проблеми, освен споменатите като начина на описание на целите, индивидуализацията на получателите (тук трябва изрично да се посочат например сайтовете и социалните мрежи, в които ще има публикации), посочването, че данните ще се обработват само в България – например социалните мрежи от групата Meta, оповестяват съхранение за територията на ЕС в Ирландия.
Най-фрапиращ е текста, че дори съгласието да бъде оттеглено данните не подлежат на изтриване.
Препоръчваме на организаторите да се запознаят с текста на Регламента, напр. съображение 66 от преамбюла, както и със споменатите насоки, налични чрез страницата на Европейския борд за защита на данните – EDPB:
С цел утвърждаване на „правото да бъдеш забравен“ в онлайн средата, правото на изтриване следва да бъде разширено, като от администратора, който е направил личните данни обществено достъпни, следва да се изисква да уведоми администраторите, които обработват такива лични данни, да изтрият всякакви връзки към тези лични данни или техните копия или реплики.
За тази цел администраторът следва да предприеме разумни мерки, като вземе предвид наличните технологии и средствата на разположение на администратора, в това число технически мерки, за да информира администраторите, които обработват личните данни, за искането на субекта на данните.
Следва също да се има предвид, бе съгласно Закона за закрила на детето – чл. 11а, сведения и данни за дете не се разгласяват без съгласието на неговите родители или законни представители, а когато детето е навършило 14 години – и с негово съгласие.
В този смисъл е и разпоредбата на чл. 25в от Закона за защита на личните данни.
Когато разгледаме съдържанието на декларацията се вижда, че в нея се изискват имена и ЕГН (защо?) на родителя/ настойника и имена на детето, но не и посочване на неговата възраст.
В проекта е предвидено да участват деца от 5 до 12 клас, т.е. предполага се и такива над 14 години, но съгласието не е насочено към тях.
Не трябва да се пренебрегва също фактът, че поради изключителното значение на корпоративната група в региона, тя е също и водещ работодател, а това според теорията и практиката по прилагане на правилата за защита на лични данни, поставя всеки от служителите й в категорията уязвим субект.
Ще има ли последствия, ако зададените по-горе въпроси бъдат поставени от родител, който е и служител на някое от предприятията от групата?
Наша отговорност е да създаваме здравословна и сигурна среда за израстване на децата, като такъв подход би бил допълнителен аргумент корпоративната група да покаже, че организираните от нея инициативи действително следват най-добрите практики и обръщат еднакво внимание на всички фактори на устойчивост – екология, социална отговорност и ориентирано към устойчиво развитие корпоративно управление. На какво учим децата си, когато им поставяме условия като горното, за да получат достъп до нещо, желано от тях?
Българският надзорен орган по защита на личните данни – КЗЛД,също дава съвети по отношение на обработване на данните на деца, конкретно публикуване на снимки в социалните мрежи, във връзка с началото на учебната година. Те са насочени към родителите, но аргументите, съдържащи се в тях са валидни и следва да се вземат предвид при всяко разумно и отговорно обработване на лични данни на деца. Документът е достъпен на страницата на комисията на адрес:
Необходимо е да се осигури равен достъп на всяко дете до всяка инициатива, защото целта не е да се сравняват децата как изглеждат на снимка или как се държат във видео, те вече познават достатъчно добре това съревнование от собственото си сърфиране в мрежите.
Целта е да им покажем, че могат да пуснат телефона и да засадят дърво, което ще бъде там, когато минат покрай двора на любимото училищет слуд години, и че с действията си ще могат да помогнат за подобряване на качеството на живот в региона и в частност на околната среда.
Прилагаме текста на декларацията: