GDPR. Cum ne asigurăm că prelucrăm datele legal, corect și transparent?
5 minute • Redactia • 25 mai 2018
Pe scurt
- Datele pot fi prelucrate doar dacă există un temei juridic pentru prelucrare.
- Potrivit Regulamentului, există șase temeiuri pentru prelucrare: consimțământul, contractul, obligația legală, interesul legitim, interesul public, interesul vital.
- În absență unui temei legal, prelucrarea va fi ilegală și ea ar trebui să înceteze.
Regulamentul prevede că datele vor fi prelucrate în mod legal, echitabil și transparent față de persoana vizată („legalitate, echitate și transparență”). [1]
Pentru a înțelege acest principiu al „legalității, echității și transparenței”, vom analiza separat cei trei piloni: legalitatea, echitatea și transparența.
Legalitatea înseamnă că datele vor fi prelucrate doar dacă există un temei juridic pentru prelucrare. Potrivit Regulamentului, există șase temeiuri pentru prelucrare, care vor fi analizate distinct în capitolul următor:
- consimțământul;
- contractul;
- obligația legală;
- interesul legitim;
- interesul public;
- interesul vital.
În absență unui temei legal, prelucrarea va fi ilegală și ea ar trebui să înceteze. Se poate merge simultan pe mai multe temeiuri, însă alegerea acestora trebuie să se facă de la început cu atenție, întrucât migrarea ulterioară către alte temeiuri nu este o practică tolerată de Regulament.
Pentru alegerea corectă a temeiului se recomandă consultarea juriștilor. Temeiurile legale ar trebui documentate pentru a putea demonstra conformitatea. Acest lucru se realizează, de regulă, prin întocmirea evidenței activităților de prelucrare.
Prelucrarea datelor nu trebuie să fie doar legală, cât și corectă față de persoana vizată. Echitatea înseamnă în principiu că acestea ar trebui să știe că datele lor sunt prelucrate și modul în care sunt prelucrate, pentru a avea toate informațiile necesare pentru a fi de acord cu prelucrarea și pentru a le permite exercitarea drepturilor. În unele cazuri, indiferent de acordul persoanei, prelucrarea este considerată echitabilă, deoarece este cerută de lege.[2]
Exemplu: O afacere online va colecta numele, prenumele și adresa unei persoane fizice pentru emiterea unei facturi fiscale, elemente obligatorii cerute de Codul fiscal. În acest caz, prelucrarea este echitabilă, indiferent dacă persoana este de acord sau nu. Însă trebuie să ținem minte că CNP-ul nu este obligatoriu pentru emiterea facturii fiscale.
Exemplu: O aplicație pentru livrare de catering va analiza datele personale ale clienților, în special istoricul comenzilor și al preferințelor acestora culinare (dacă de exemplu comanzi constant ciorba de burtă la prânz, când va fi în meniu la promoție vei primi o alertă). Pentru asta, aplicația folosește module de tip cookie sau alte tehnologii similare, pentru a vedea care din clienți/consumatori sunt mai predispuși să cumpere atunci când sunt notificați. Cei care fac comenzi în mod frecvent, în special care-și folosesc telefonul mobil pentru a comanda, sunt mai predispuși decât cei care comandă o dată de pe site și eventual mai deschid un newsletter, pentru că avem prea puține date despre ei. Dacă aplicația este făcută în așa fel încât să își dea seama automat ce produse/oferte să furnizeze clienților pe baza preferințelor acestora și să afișeze, de exemplu, prețuri mai mari clienților fideli în detrimentul altora, pe ideea că aceștia comandă în mod constant și nu-și dau seama de modificarea prețurilor, o asemenea prelucrare poate fi considerată neloială.
Deși transparența nu este definită în GDPR, totuși Paragraful (39) din Preambul este informativ cu privire la principiul transparenței: „Ar trebui să fie transparent pentru persoanele fizice că sunt colectate, utilizate, consultate sau prelucrate în alt mod datele cu caracter personal care le privesc și în ce măsură datele cu caracter personal sunt sau vor fi prelucrate. Principiul transparenței prevede că orice informații și comunicări referitoare la prelucrarea respectivelor date cu caracter personal sunt ușor accesibile și ușor de înțeles și că se utilizează un limbaj simplu și clar. Acest principiu se referă în special la informarea persoanelor vizate privind identitatea operatorului și scopurile prelucrării, precum și la oferirea de informații suplimentare, pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoanele fizice vizate și dreptul acestora de a li se confirma și comunica datele cu caracter personal care le privesc care sunt prelucrate.“
Art. 12 din GDPR prevede că operatorul trebuie să realizeze informarea persoanei vizate astfel:
- într-o formă concisă, transparentă, inteligibilă și ușor accesibilă;
- utilizând un limbaj clar și simplu;
- în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic;
- la solicitarea persoanei vizate, informațiile pot fi prezentate oral;
- în mod gratuit.[3]
GDPR precizează că informarea persoanei ar trebui să răspundă la următoarele întrebări:
- Cine prelucrează?
- Ce tipuri de date prelucrează?
- Cui sunt transmise datele? În ce scopuri?
- Pe ce perioadă sunt stocate?[4]
[1] Art. (5) alin. (1) lit. a din Regulamentul (EU) 679/2016.
[2], accesat la data de 3.05.2017.
[3] https://legalup.ro/informarea-persoanei-vizate/, accesat la data de 3.05.2018.
[4] Art. (13) și (14) din Regulamentul (EU) 679/2016.
