GDPR: ghid complet privind interesul legitim
78 minute • Ana-Maria Udriste • 29 iulie 2018
Interesul legitim reprezintă unul din cele 6 temeiuri legale prevăzute de GDPR și este cel mai flexibil de folosit, cu o analiză prealabilă. Am pregătit un scurt ghid care își va spune exact cum se folosește interesul legitim, în ce cazuri se aplică, când nu se poate folosi, precum și procedura de urmat în cazul unei analize.
Citește și articolul nostru despre cum se va aplica concret GDPR în România.
GDPR: ghid complet pentru aplicarea interesului legitim by Avocatoo on Scribd
Cuprins
1. CARE ESTE REGLEMENTAREA INTERESULUI LEGITIM?
1.1. Ce spune articolul 6 alin. (1) lit. f) despre interesul legitim?
1.2. Cum dovedim un interes legitim?
1.3. Ce poate fi calificat ca interes legitim?
1.4. Când este prelucrarea ”necesară”?
1.5. Ce este testul de echilibrare?
1.6. Care sunt ”interesele sau drepturile și libertățile fundamentale” ale persoanelor?
1.7. Importanța așteptărilor rezonabile
1.8. Când interesele persoanelor vizate prevalează asupra intereselor voastre?
2. CÂND NE PUTEM BAZA PE INTERESUL LEGITIM?
2.1. Când este interesul legitim oportun pentru a fi folosit?
2.2. Putem folosi interesul legitim ca un temei legal implicit pentru toate prelucrările?
2.3. Care sunt beneficiile alegerii interesului legitim?
2.4. Există și dezavantaje?
2.5. Se pot baza autoritățile publice pe interesul legitim?
2.6. Există cazuri în care scopul poate servi drept interes legitim?
2.7. Există cazuri când este probabil să se aplice interesul legitim?
2.8. Putem folosi interesul legitim pentru prelucrarea datelor angajaților?
2.9. Putem folosi interesul legitim pentru transferuri intra-grup?
2.10. Putem folosi interesul legitim pentru activități de marketing?
2.11. Putem folosi interesul legitim pentru contactele B2B?
2.12. Putem folosi interesul legitim pentru prelucrarea datelor personale ale copiilor?
2.13. Putem folosi interesul legitim pentru a divulga date către terțe persoane?
2.14. Ce facem cu datele din categoriile speciale?
2.15. Când ar trebui să evităm interesul legitim?
2.16. Care sunt alternativele?
3. CE TREBUIE SĂ FACEM ÎN PRACTICĂ?
3.1. De ce trebuie să facem o AIL?
3.2. Cum se face o AIL?
3.2.1 Cum facem testul de scop?
3.2.2 Cum facem testul de necesitate?
3.2.3 Cum facem testul de echilibrare?
3.2.4 Cum decidem rezultatul?
3.2.5 Ce facem mai departe?
3.2.6 Cum legăm o AIL de o DPIA?
4. CE TREBUIE SĂ MAI AVEM ÎN VEDERE?
4.1. Ce spunem oamenilor?
4.2. Dacă scopurile prelucrărilor noastre se schimbă?
4.3. Ce drepturi au persoanele vizate?
1. Care este reglementarea interesului legitim?
1.1. Ce spune articolul 6 alin. (1) lit. f) despre interesul legitim?
Interesul legitim reprezintă una dintre cele șase baze legale pentru prelucrarea datelor cu caracter personal. Trebuie să aveți o bază legală pentru a prelucra datele personale în conformitate cu principiile “legalității, echității și transparenței“.
Articolul 6 alin. (1) lit. f) din GDPR spune că:
(1) Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:
(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.
Interesul legitim diferă de celelalte temeiuri legale, deoarece nu este centrate pe un anumit scop (de exemplu, încheierea sau executarea unui contract cu o persoană, respectarea unei obligații legale, protejarea intereselor vitale sau îndeplinirea unei sarcini publice). Interesul legitim este mai flexibile și ar putea, în principiu, să se aplice oricărui tip de prelucrare care are un scop rezonabil.
Deoarece s-ar putea aplica într-o gamă largă de împrejurări, rămâne în sarcina voastră să echilibrați interesele legitime și necesitatea prelucrării datelor cu caracter personal împotriva intereselor, drepturilor și libertăților individului, ținând cont de circumstanțele particulare ale afacerii. Acest lucru este diferit de celelalte baze legale, care presupun că interesele dvs. și cele ale individului sunt echilibrate.
1.2. Cum dovedim un interes legitim?
Elementele-cheie ale interesului legitim pot fi împărțite într-un test format din trei părți.
Chiar dacă test din trei părți nu este prezentat în mod explicit ca atare în GDPR, normele privind interesul legitim includ trei elemente-cheie.
Astfel, articolul 6 alineatul (1) litera (f) se clasifică în trei părți:
”prelucrarea este necesară în scopul:
intereselor legitime urmărite de operator sau de o parte terță (regula)
cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.”
Logica în acest caz ar trebui aplicată în următoarea ordine:
Testul de scop – există un interes legitim în spatele prelucrării?
Testul de necesitate – este procesarea necesară în acest scop?
Testul de echilibrare – este interesul legitim înlăturat de interesele, drepturile sau libertățile individului?
Acest concept al unui test de trei părți pentru interese legitime nu este o noutate în GDPR. De fapt, Curtea de Justiție a Uniunii Europene a confirmat această abordare a intereselor legitime în cauza Rigas (C-13/16, 4 mai 2017) în contextul Directivei 95/46/CE privind protecția datelor, care conținea o dispoziţie foarte asemănătoare.
Asta înseamnă că nu este suficient să decideți pur și simplu că este în interesele dvs. legitime și să începeți prelucrarea datelor. Trebuie să puteți satisface toate cele trei părți ale testului înainte de începerea prelucrării.
1.3. Ce poate fi calificat ca interes legitim?
O gamă largă de interese pot fi interese legitime. Ar putea fi interesele dvs. legitime în prelucrare sau ar putea include interesele legitime ale oricărei terțe părți. Termenul de “terță parte” nu se referă numai la alte organizații, ci și la o persoană terță.
Interesele legitime ale publicului în general pot, de asemenea, să joace un rol important atunci când hotărâți dacă interesele legitime ale procesării au prioritate asupra intereselor și drepturilor individului. Dacă prelucrarea are un interes public mai larg pentru societate în ansamblul său, atunci acest lucru poate adăuga o greutate intereselor dvs. atunci când le echilibrați față de cele ale individului.
Exemplu
O societate de asigurări dorește să prelucreze date cu caracter personal pentru a identifica afirmațiile frauduloase pe baza unor interese legitime.
În primul rând, ea face testul de scop. Este în interesele legitime ale companiei să se asigure că clienții ei nu fac fraude cu banii companiei. Cu toate acestea, în același timp, ceilalți clienți ai companiei și publicul în general au, de asemenea, un interes legitim de a asigura împiedicarea și totodată detectarea fraudelor.
Întrucât a îndeplinit testul scopului, societatea de asigurări poate trece apoi în considerare testului de necesitate și apoi a testului de echilibrare.
GDPR nu definește care sunt factorii de care să țineți cont atunci când decideți dacă scopul dvs. este un interes legitim. Ar putea fi la fel de simplu ca și cum ar fi legitim să începeți o nouă afacere sau să vă dezvoltați afacerea.
Deoarece termenul de “interes legitim” este larg, interesele nu trebuie să fie foarte convingătoare (deși, în unele cazuri, acestea ar putea fi) și nu exclude interese mai triviale. Un interes care ar putea fi privit ca fiind trivial sau controversat ar putea totuși să reprezinte un interes legitim pentru aceste scopuri, ar trebui să țineți cont că acestea ar putea fi depășite în cadrul testului de echilibrare sau în cazul în care persoana vizată se opune prelucrării în temeiul articolului 21.
A arăta că aveți un interes legitim înseamnă că trebuie că dvs. (sau o parte terță) să aveți un anumit beneficiu clar sau specific. Nu este suficient să vă bazați pe interese vagi sau generice de afaceri (cum ar fi să spuneți că vă crește vânzările cu x% deși nu aveți nicio dovadă în sensul ăsta). Trebuie să vă gândiți în mod clar și aplicat ce încercați să obțineți cu respectiva operațiune de prelucrare.
De exemplu, nu este suficient să spunem: “avem un interes legitim în prelucrarea datelor despre clienți“, deoarece acest lucru nu clarifică scopul sau rezultatul dorit. În schimb, trebuie să fiți mai specific cu privire la scopul urmărit, cum ar fi: “avem un interes legitim de a comercializa produsele noastre clienților existenți pentru a crește vânzările“.
Deși orice scop ar putea fi relevant, acest scop trebuie să fie “legitim“. Orice interes nelegitim, lipsit de etică sau ilegal nu este un interes legitim. De exemplu, deși comercializarea poate fi, în general, un scop legitim, trimiterea de e-mailuri spam care încalcă regulile de marketing electronic nu este legitimă.
! Dacă interesul nu este legitim, atunci nu îndepliniți prima parte a testului și nu puteți folosi interesul legitim ca bază legală. Nu este necesar să se ia în considerare restul testului, deoarece celelalte părți nu pot legitima prelucrarea care nu este legitimă încă de la început (adică dacă celelalte părți ale testului ar putea îndeplini condițiile, nu o suplinesc pe prima).
GDPR nu are o listă exhaustivă a scopurilor care ar putea constitui un interes legitim. Cu toate acestea, considerentele spun că următoarele scopuri constituie un interes legitim:
- prevenirea fraudei;
- asigurarea securității rețelelor și a informațiilor; sau
- indicând posibile acte criminale sau amenințări la adresa securității publice.
Prin urmare, dacă prelucrați datele pentru unul din aceste scopuri, este posibil să depuneți mai puține eforturi pentru a demonstra că vă bazați pe interesul legitim.
De asemenea, considerentele menționează că următoarele activități pot indica un interes legitim:
- prelucrarea datelor angajaților sau a clienților;
- marketing direct; sau
- transferuri administrative în cadrul unui grup de societăți.
Cu toate acestea, în timp ce aceste trei activități trecute pot indica un interes legitim, trebuie totuși să faceți anumite eforturi pentru a vă identifica scopul exact și pentru a arăta că este legitim în anumite circumstanțe și în special că orice marketing direct respectă regulile privind e-privacy. De asemenea, trebuie să continuați să evaluați restul testului din trei părți. A se vedea secțiunea Când ne putem baza pe interesul legitim? pentru mai multe informații despre impactul acestui preambul.
Aceste exemple de prelucrare evidențiate de considerentele GDPR nu sunt exhaustive. Puteți, de asemenea, să demonstrați într-o gamă largă de alte situații pe care le prelucrați scopul legitim al interesului prelucrării.
Pentru mai multe măsuri practice privind evaluarea scopului și documentarea interesului legitim, citiți Ce trebuie să facem în practică?
1.4. Când este prelucrarea ”necesară”?
Trebuie să demonstrați că prelucrarea este necesară în scopul intereselor legitime pe care le-ați identificat. Aceasta nu înseamnă că trebuie să fie absolut esențială, dar trebuie să fie o modalitate targetată și proporțională de a vă atinge scopul.
Trebuie să decideți cu privire la elementele fiecărui caz dacă prelucrarea este proporțională și adecvată pentru atingerea obiectivelor sale și dacă există o alternativă mai puțin intruzivă, adică puteți să vă atingeți scopul prin alte mijloace rezonabile, fără a prelucra datele în acest mod? Dacă ați reuși să vă atingeți scopul într-un mod mai puțin invaziv, atunci nu este necesară o cale mai invazivă.
Pe scurt, vizual, situația este următoarea:
Exemplul 1
O organizație întreprinde o activitate deosebit de sensibilă, astfel încât este necesar să se asigure că indivizii pe care îi angajează au fost verificați. Aceasta decide să-și facă ofertele de locuri de muncă condiționate de o verificare în prealabil a persoanei pe care o angajează (atât cu recomandări, cât și din surse publice/cazier judiciar).
Pentru testul de scop, organizația stabilește că este în interesele sale legitime de afaceri să aibă un personal complet verificat, având în vedere natura lucrării. Ea ia în considerare diferitele roluri pe care le are și determină că nivelul de verificare ar fi diferit în funcție de tipul de rol. Ea evaluează ce verificări și recomandări sunt efectiv necesare pentru fiecare rol, pentru a se asigura că prelucrarea este orientată și proporțională cu rolul și responsabilitățile specifice pentru a îndeplini criteriul de necesitate.
Dacă prelucrarea include date referitoare la infracțiuni, organizația ar trebui, de asemenea, să aibă o condiție separată pentru prelucrarea acestor date în conformitate cu articolul 10.
Exemplul 2
O persoană publică postează un videoclip despre supraaglomerarea trenurilor și arată un tren condus de un anumit operator de tren. Videoclipul este preluate de site-uri diverse ale mass-media, precum și de rețele de socializare.
Operatorul de tren vrea să elibereze imaginile CCTV cu persoana publică care a făcut video-ul și se afla la momentul respectiv în tren pentru a contracara rapoartele că trenul a fost supraaglomerat. Înregistrările pe care le deține includ imagini ale altor pasageri aflați la momentul respectiv în tren.
Operatorul de transport feroviar are un interes legitim să elibereze materialul pentru a corecta ceea ce consideră că este un raport de știri înșelător, care ar putea dăuna reputației și intereselor sale comerciale.
Compania ia în considerare testul de necesitate și concluzionează că nu este posibil să-și atingă interesele legitime fără a publica imaginea cu pasagerii aflați la momentul respectiv în tren, deoarece este singura metodă prin car poate contracara imaginile existente deja în mass-media și să arate că erau locuri goale în tren – nu poate face acest lucru dacă publică la rândul său imagini din tren, care înfățișează pasagerii aflați acolo la momentul respectiv.
Cu toate acestea, deși este în măsură să demonstreze că este necesară publicarea imaginii persoanei publice care a furnizat pozele în presă pentru a-și urmări interesele legitime (adică să spună și varianta companiei a acestei povești), nu este necesar ca operatorul feroviar să publice fotografii concrete ale oricărui alt pasager din tren.
Prin urmare, trebuie să se ia măsuri pentru a se asigura că imaginile pasagerilor, alții decât persoana publică, sunt ascunse (blurate), precum și să se ia în considerare testul de echilibrare.
Ar trebui să aveți grijă să nu confundați prelucrarea care este necesară pentru scopul stabilit cu prelucrarea care este necesară numai datorită metodei alese pentru a urmări acel scop. În contextul unor interese legitime, este posibil să puteți argumenta că anumite aspecte neesențiale ale procesării dvs. (cum ar fi profilarea sau marketingul) sunt necesare pentru a atinge scopurile dvs. Totuși, acest lucru este valabil numai dacă identificați în mod clar scopul specific din spatele acestor caracteristici și nu vă ascundeți în spatele unui obiectiv vag de afaceri care ar putea fi realizat într-un alt mod. Prelucrarea trebuie să fie necesară pentru scopul specific pe care l-ați identificat în prima etapă. Acesta este motivul pentru care este important să fiți clar și specific cu privire la scopurile pe care le urmăriți.
Dacă nu puteți demonstra că prelucrarea vă ajută într-adevăr să îndepliniți interesul legitim, atunci nu puteți aplica această bază. De asemenea, dacă prelucrarea nu este o modalitate rezonabilă de a vă atinge scopul declarat, interesul legitim nu se aplică. Dacă există o altă modalitate rezonabilă și mai puțin invazivă de a satisface interesul companiei și de a vă atinge scopul fără a prelucra date personale, atunci ar fi nelegal (cu excepția cazului în care se aplică un alt temei legal).
Pentru mai multe măsuri practice privind evaluarea și documentarea testului de necesitate, consultați secțiunea Ce trebuie să facem în practică?
1.5. Ce este testul de echilibrare?
Doar pentru că ați stabilit că prelucrarea dvs. este necesară pentru un interes legitim nu înseamnă că sunteți în măsură să vă bazați în mod automat pe acest temei legal pentru prelucrare. De asemenea, trebuie să efectuați un “test de echilibrare” pentru a justifica orice impact asupra persoanelor.
Testul de echilibrare este modalitatea în care țineți seama de “interesele sau drepturile și libertățile fundamentale ale persoanei vizate care necesită protecția datelor cu caracter personal” și verificați dacă acestea nu depășesc interesele dvs. În esență, este vorba despre o evaluare a riscului pentru a verifica dacă riscurile pentru interesele persoanelor vizate sunt proporționale.
Dacă datele aparțin copiilor, trebuie să fiți deosebit de atenți pentru a vă asigura că interesele și drepturile lor sunt protejate (vezi mai multe despre prelucrarea datelor copiilor în GDPR în articolul de aici).
1.6. Care sunt ”interesele sau drepturile și libertățile fundamentale” ale persoanelor?
Interesele, drepturile și libertățile persoanelor folosite în acest context sunt un concept larg care include protecția datelor și drepturile de confidențialitate, dar și alte drepturi fundamentale, precum și interese mai generale.
Din alte prevederi relevante din GDPR care vorbește despre riscurile la adresa drepturilor și libertăților indivizilor este clar că accentul trebuie să se concentreze aici asupra oricărui impact potențial asupra persoanelor. Considerentul 75 oferă câteva indicații relevante aici. Este clar că un risc pentru drepturile și libertățile persoanelor este legat de potențialul oricăror tipuri de impact. Aceasta include impactul fizic, financiar sau orice alt impact, cum ar fi:
- imposibilitatea de a-și exercita drepturile (inclusiv drepturile de protecție a datelor);
- pierderea controlului asupra utilizării datelor cu caracter personal; sau
- orice dezavantaj social sau economic.
1.7. Importanța așteptărilor rezonabile
GDPR este ferm când afirmă că interesele individului ar putea, în anumite cazuri, să depășească interesele legitime dacă intenționați să procesați date personale în moduri pe care individul nu le așteaptă în mod rezonabil. Acest lucru se datorează faptului că, în cazul în care prelucrarea este neașteptată, persoanele pierd controlul asupra utilizării datelor și nu pot fi în cunoștință de cauză să-și exercite drepturile. După cum putem vedea, există o legătură clară între interesul legitim și obligația de transparență pe care o aveți.
Preambulul (considerentul) 47 spune că:
”Interesele legitime ale unui operator, inclusiv cele ale unui operator căruia îi pot fi divulgate datele cu caracter personal sau ale unei terțe părți, pot constitui un temei juridic pentru prelucrare, cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate, luând în considerare așteptările rezonabile ale persoanelor vizate bazate pe relația acestora cu operatorul. Acest interes legitim ar putea exista, de exemplu, atunci când există o relație relevantă și adecvată între persoana vizată și operator, cum ar fi cazul în care persoana vizată este un client al operatorului sau se află în serviciul acestuia. În orice caz, existența unui interes legitim ar necesita o evaluare atentă, care să stabilească inclusiv dacă o persoană vizată poate preconiza în mod rezonabil, în momentul și în contextul colectării datelor cu caracter personal, posibilitatea prelucrării în acest scop. Interesele și drepturile fundamentale ale persoanei vizate ar putea prevala în special în raport cu interesul operatorului de date atunci când datele cu caracter personal sunt prelucrate în circumstanțe în care persoanele vizate nu preconizează în mod rezonabil o prelucrare ulterioară. Întrucât legiuitorul trebuie să furnizeze temeiul juridic pentru prelucrarea datelor cu caracter personal de către autoritățile publice, temeiul juridic respectiv nu ar trebui să se aplice prelucrării de către autoritățile publice în îndeplinirea sarcinilor care le revin. Prelucrarea de date cu caracter personal strict necesară în scopul prevenirii fraudelor constituie, de asemenea, un interes legitim al operatorului de date în cauză. Prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerată ca fiind desfășurată pentru un interes legitim.”
Trebuie să evaluați dacă persoana se poate aștepta în mod rezonabil la respectiva prelucrare, ținând cont, în special, de perioada și modul în care au fost respectivele date colectate (când? și cum?).
Acesta este un test obiectiv. Întrebarea nu se pune dacă un anumit individ așteaptă de fapt prelucrarea, ci dacă o persoană rezonabilă ar trebui să se aștepte la respectiva prelucrare în circumstanțele respective.
Unul dintre factorii care ar putea afecta ceea ce se așteaptă în mod rezonabil de la indivizi este ceea ce le spuneți în informarea privind politica de prelucrare a datelor personale și confidențialitatea acestor date. Dacă includeți informații clare despre prelucrarea dvs., care să respecte dispozițiile articolelor 13 și 14 din GDPR este mai probabil ca persoanele vizate să se aștepte la această procesare (citește mai multe aici despre ce ar trebui să conțină o notă de informare a persoanelor vizate în conformitate cu dispozițiile GDPR).
Relația dvs. cu persoana vizată, joacă de asemenea un rol important în determinarea dacă persoana respectivă s-ar aștepta în mod rezonabil ca prelucrarea să aibă loc sau nu. Preambulul 47 indică faptul că este mai probabil ca interesele legitime să se aplice atunci când aveți o “relație relevantă și adecvată“, de exemplu, în situația în care persoana vizată este clientul sau angajatul dvs. Dacă nu aveți o relație preexistentă, este mai greu să demonstrați că prelucrarea poate fi așteptată în mod rezonabil. Dacă ați obținut datele de la o terță parte (cum ar fi de exemplu bazele de date), trebuie să știți cu certitudine ce i s-a spus persoanei respective cu privire la transmiterea acestor date pentru a fi utilizate de alții și dacă această informare acoperă și scopul prelucrării dvs. deoarece acest lucru va afecta așteptările rezonabile .
Alți factori ar putea afecta, de asemenea, așteptările rezonabile ale persoanelor, cum ar fi:
- acum cât timp ați colectat datele;
- sursa datelor;
- natura exactă a oricărei relații existente cu persoana și modul în care ați utilizat datele în trecut; și
- dacă utilizați o nouă tehnologie sau prelucrați date într-un mod nou pe care indivizii nu l-au anticipat – sau, invers, dacă există evoluții tehnologice sau actualizări ale serviciilor la care indivizii se așteaptă.
Exemplul 1
O persoană își încarcă CV-ul pe un o platformă de locuri de muncă. O agenție de recrutare accesează CV-ul și consideră că persoana poate avea abilitățile pe care doi dintre clienții săi îi caută și dorește să transmită CV-ul candidatului către aceste companii.
Este posibil ca, în această situație, baza legală de prelucrare pentru agenția de recrutare și clienții săi să fie interesul legitim.
Persoana fizică și-a făcut CV-ul disponibil pe o platformă de locuri de muncă pentru motivul expres că angajatorii au acces la aceste date. El nu și-au dat consimțământul specific pentru operatorii de date identificați, dar se așteaptă în mod clar ca agențiile de recrutare să acceseze CV-ul și să le împărtășească clienților, într-adevăr, aceasta este probabil intenția individului. Astfel, interesul legitim al agențiilor de recrutare și al clienților săi de a ocupa posturile vacante nu ar fi înlăturat de interese sau drepturi ale individului. De fapt, aceste interese legitime sunt susceptibile de a se alinia cu interesele individului în circulația CV-ului pentru a-și găsi un loc de muncă.
Exemplul 2
O persoană creează un profil pe o rețea socială destinată networkingului sau relațiilor profesionale (de exemplu, LinkedIn). Există o opțiune specifică de a selecta o funcție pentru a permite recrutorilor să știe că persoana este deschisă oportunităților de angajare.
Dacă individul alege să selecteze acea opțiune, acesta se poate aștepta în mod clar că cei care văd profilul lui ar putea utiliza datele lui de contact în scopuri de recrutare și că pot exista interese legitime (cu condiția respectării altor cerințe legale și în special GDPR). Cu toate acestea, dacă acesta alege să nu selecteze această opțiune, nu este rezonabil să presupunem o astfel de așteptare. Interesele individului în menținerea controlului asupra datelor sale – în special în contextul cerinței GDPR privind consimțământul specific de a primi mesaje de marketing nesolicitate – depășesc interesele legitime ale unei agenții de recrutare în promovarea serviciilor sale potențialilor candidați.
Deși așteptările rezonabile sunt un factor important, ele nu determină automat rezultatul testului. Pur și simplu, avertizând persoana în prealabil că datele sale vor fi prelucrate într-un anumit mod nu înseamnă neapărat că interesele dvs. legitime prevalează întotdeauna, indiferent de atingerea adusă. În unele cazuri, ați putea totuși să justificați prelucrarea neașteptată dacă aveți un motiv convingător pentru aceasta.
1.8. Când interesele persoanelor vizate prevalează asupra intereselor voastre?
Chiar dacă prelucrarea ar putea avea un impact negativ asupra persoanei vizate, acest lucru nu înseamnă automat că interesele sale întotdeauna depășesc pe ale voastre. Acest lucru depinde de gravitatea impactului și dacă este justificat în lumina scopului dvs. Interesele nu trebuie întotdeauna să fie în armonie cu cele ale individului, iar dacă aveți un interes mai convingător, acest lucru poate justifica un anumit impact asupra persoanelor.
Exemplu
O societate de leasing nu poate localiza un client care a încetat să mai plătească în baza unui contract de cumpărare în rate. Clientul și-a mutat domiciliul fără a anunța compania despre noua sa adresă. Compania dorește să angajeze o agenție de recuperare a datoriilor pentru a găsi clientul și a solicita rambursarea datoriei. Aceasta dorește să dezvăluie datele personale ale clientului agenției în acest scop.
Societatea de leasing are un interes legitim în recuperarea datoriilor respective și, pentru a realiza acest scop, este necesar ca aceasta să utilizeze o agenție de recuperare a datoriilor ca să identifice clientul și să recupereze suma datorată.
Societatea de leasing parcurge testul de echilibrare și ajunge la concluzia că este rezonabil ca clienții săi să se aștepte ca aceasta să ia măsuri pentru a solicita plata datoriilor restante. Este clar că interesele clienților pot diferi față de cele ale societății în această situație, deoarece se poate întâmpla ca clientul să dorească să se sustragă plății datoriei restante.
Cu toate acestea, interesul legitim de a transmite datele cu caracter personal unei agenții de recuperare a datoriilor în aceste circumstanțe nu va fi înlăturat de interesele clientului, întrucât scopul urmărit (ie. recuperarea datoriei ar fi în interesul societății de leasing).
Cu toate acestea, dacă există o neconcordanță mare între interesele dvs. și cele ale individului (iar acel acestuia sunt mai puternice), interesele individului prevalează, de exemplu în cazul în care:
- nu ar aștepta în mod rezonabil prelucrarea;
- ar fi probabil să se opună prelucrării;
- prelucrarea ar avea un impact semnificativ asupra acestora;
- prelucrarea i-ar împiedica să-și exercite drepturile; sau
- datele pe care le prelucrați sunt deosebit de sensibile, de exemplu date din categoriile speciale, date despre infracțiuni penale sau date despre copii (citește mai multe despre datele sensibile și cum le prelucrăm aici și aici, iar despre datele privind copiii aici).
Cu toate acestea, rezultatul va depinde de circumstanțele cazului.
Pentru mai multe instrucțiuni practice privind evaluarea testului de echilibrare, citiți secțiunea Ce trebuie să facem în practică?
2. Când ne putem baza pe interesul legitim?
2.1.Când este interesul legitim oportun pentru a fi folosit?
Interesul legitim este cel mai flexibil temei din toate cele șase temeiuri legale (citește mai multe aici despre temeiurile de prelucrare pe GDPR). Nu se concentrează pe un anumit scop și, prin urmare, vă oferă mai multă flexibilitate pentru a-l folosi în contexte diferite.
Interesul legitim poate fi cel mai potrivit temei atunci când:
- prelucrarea nu este cerută de lege, dar are un beneficiu clar pentru dvs. sau pentru alții;
- există un impact limitat asupra vieții private asupra persoanei;
- individul ar trebui în mod rezonabil să se aștepte să utilizați datele în acest mod; și
- nu puteți sau nu doriți să vă bazați prelucrarea pe un control complet din partea persoanei vizate (adică consimțământul) sau să-i deranjați cu cereri de consimțământ atunci când este puțin probabil să se opună prelucrării.
De asemenea, pot apărea situații în care aveți o justificare convingătoare pentru prelucrare, ceea ce poate însemna că poate fi justificat un impact mai intruziv asupra persoanei. Cu toate acestea, în astfel de cazuri, trebuie să vă asigurați că puteți demonstra că orice impact este justificat.
Interesul legitim este probabil cel mai util temei legal atunci când există fie un impact minim asupra persoanei, fie o justificare convingătoare pentru prelucrare.
2.2. Putem folosi interesul legitim ca un temei legal implicit pentru toate prelucrările?
NU. Deși interesul legitim reprezintă un concept flexibil și are o sferă mare de aplicabilitate, nu se aplică la toate prelucrările și nu îl puteți folosi ca bază implicită pentru toate prelucrările (nu puteți să spuneți unei persoane vizate că veți folosi interesul legitim pentru toate prelucrările).
Temeiurile legale nu au prioritate unul față de altul și nici o ierarhie prestabilită (ie. mă gândesc să folosesc prima oară consimțământul și dacă nu pot folosesc executarea contractului și dacă nici asta nu merge folosesc interesul legitim). De aceea, ar trebui să utilizați întotdeauna temeiul care este cel mai potrivit pentru circumstanțele respective, având în vedere scopul prelucrării.
Ar trebui să analizați cu atenție dacă interesul legitim reprezintă baza legală adecvată pentru operațiunea specială de prelucrare. Nu ar trebui să vă gândiți să vă bazați doar pe faptul că, inițial, pare să se aplice mai ușor decât alte temeiuri legale. Nu este întotdeauna cea mai ușoară opțiune și, de fapt, impune mai multă responsabilitate în sarcina companiei pentru a justifica procesarea și orice impact asupra persoanelor. De fapt, aceasta necesită o evaluare a riscurilor bazată pe contextul și circumstanțele specifice pentru a demonstra că prelucrarea este adecvată.
2.3. Care sunt beneficiile alegerii interesului legitim?
Deoarece acest temei legal nu are un scop specific, este foarte flexibil și poate fi aplicat într-o gamă largă de situații diferite. De asemenea, pe termen lung, interesul legitim poate oferi mai mult control și siguranță în ceea ce privește operațiunea de prelucrare față de consimțământ, întrucât la acesta din urmă există riscul ca persoana vizată să și-l retragă în orice moment. Cu toate acestea, trebuie să aveți în vedere că trebuie să luați în considerare eventualele opoziții care vin din partea persoanelor vizate.
Totodată, interesul legitim responsabilizează companiile din punct de vedere al prelucrării datelor întrucât presupune o conformare bazată pe riscuri: trebuie să vă gândiți la impactul pe care îl are prelucrarea asupra persoanelor vizate, ceea ce vă poate ajuta să identificați riscurile și să luați măsurile de protecție adecvate. Acesc lucru vă poate ajuta de asemenea în obligația de a fi conformi în situația de ”privacy by design” și vă va ajuta să identificați când este necesar să faceți o evaluare a impactului privind protecția datelor (DPIA).
Folosind acest temei pentru o prelucrare la care persoana vizată se așteaptă și care are un impact redus asurpa vieții private, puteți chiar să evitați bombardarea persoanelor cereri de consimțământ inutile (cum au fost cele de ”reabonare”) și poate ajuta la evitarea fenomenului obținerii consimțământului (întrucât a fost folosit în exces și ineficient, persoanele vizate sunt suprasaturate de această modalitate și tind să refuze din start ideea). De asemenea, dacă este implementat în mod corespunzător, poate fi o modalitate eficientă de a proteja interesele individului, mai ales atunci când este combinată cu furnizarea unir informații clare despre confidențialitate și posibilitatea din partea persoanei vizate de a renunța/a se opune prelucrării.
2.4. Există și dezavantaje?
S-ar putea să descoperiți că este mai mult de făcut pentru a justifica aplicarea interesului legitim în comparație cu unele dintre celelalte temeiuri legale (mai ales că aici vorbim despre efectuarea propriu-zisă a unui test de format din 3 părți). De exemplu, celelalte baze legale care includ un test de necesitate specifică scopul prelucrării. Interesul legitim pune în sarcina voastră să explicați scopul și să justificați de ce prelucrarea este în interesul vostru legitim, pe lângă faptul că trebuie să demonstrați necesitatea prelucrării. De asemenea, este în sarcina să vă asigurați și să demonstrați că interesele dvs. sunt echilibrate cu individul.
Ar putea fi mai greu să se demonstreze conformitatea GDPR, deoarece există mai multe posibilități de dezacord cu privire la rezultatul testului de echilibrare. Trebuie să puteți justifica în mod clar decizia dvs. că rezultatul testului favorizează, de fapt, prelucrarea datelor.
Dacă intenționați să vă bazați pe interesul legitim, trebuie să vă asumați responsabilitatea de a proteja interesele individului. Dacă este mai adecvat să se transfere răspunderea asupra indivizilor pentru a-și asuma pentru utilizarea datelor lor, atunci vă recomandăm să vă gândiți dacă nu cumva consimțământul ar fi un temei legal mai adecvat.
De asemenea, trebuie să depuneți mai multe eforturi pentru a fi transparent atunci când vă bazați pe interesul legitim. Trebuie să explicați în mod clar în politica de confidențialitate care sunt interesele legitime ale prelucrării.
2.5. Se pot baza autoritățile publice pe interesul legitim?
DA, în unele cazuri, autoritățile publice pot să ia în considerare utilizarea interesului legitim ca bază legală.
Cu toate acestea, dacă sunteți o autoritate publică, nu puteți utiliza interesele legitime ca bază legală dacă prelucrarea este în îndeplinirea sarcinilor dvs. ca autoritate publică. GDPR explică faptul că există această excludere pentru că este în sarcina legiuitorului să acorde autorităților publice competența legală de prelucrare a datelor cu caracter personal. De exemplu, dacă sunteți o autoritate publică, ar trebui să aveți posibilitatea de a prelucra date cu caracter personal în îndeplinirea sarcinilor dvs. numai dacă există o lege care vă autorizează în acest sens.
Dacă sunteți o autoritate publică, aveți alte temeiuri legale pentru a face prelucrarea datelor și probabil acestea sunt mai potrivite pentru anumite tipuri de prelucrare – de exemplu, ar trebui să luați în considerare dacă nu cumva activitățile voastre curente se pot înscrie în temeiul legal de ”sarcina publică”.
Deși nu puteți folosi interesul legitim ca temei legal atunci când prelucrați datele personale în exercitarea sarcinilor dvs. ca autoritate publică, aceasta nu înseamnă că nu se poate aplica niciodată.
Această restricție privind utilizarea interesului legitim ca bază legală se referă la natura sarcinii, nu la natura organizației. Aceasta înseamnă că, dacă sunteți o autoritate publică, interesul legitim ar putea fi folosit ca temei legal dacă puteți demonstra că prelucrarea nu face parte sarcinile curente pe care le îndepliniți ca autoritate publică.
2.6. Există cazuri în care scopul poate servi drept interes legitim?
GDPR evidențiază anumite scopuri care fie “constituie” un interes legitim, fie “ar trebui considerate ca” un interes legitim. Acestea sunt:
- prevenirea fraudei;
- securitatea rețelelor și a informațiilor; și
- indicii privind posibile acte criminale sau amenințări la adresa securității publice.
Dacă prelucrați date personale în aceste scopuri, atunci îndepliniți testul de scop și dacă puteți demonstra că prelucrarea dvs. este necesară (sau, în unele cazuri, “strict” necesară), aceasta poate face testul de echilibrare mai simplu. Prelucrarea în aceste scopuri este un factor puternic în testul de echilibrare – prin urmare, în funcție de circumstanțe, testul dvs. de echilibrare ar putea fi scurt.
În timp ce prelucrarea în aceste scopuri este posibil să faciliteze folosirea interesului legitim ca temei legal, trebuie totuși să țineți cont de respectarea mai largă a altor obligații și garanții GDPR. De exemplu, condițiile articolului 9 dacă procesați date de categorii speciale, articolul 10 dacă procesați date privind infracțiunile, cerințele de transparență, minimizarea datelor și obligația de a efectua o DPIA atunci când este necesar.
2.7. Există cazuri când este probabil să se aplice interesul legitim?
GDPR evidențiază anumite activități de prelucrare unde se poate folosi interesul legitim ca temei legal:
- prelucrarea datelor angajaților sau a clienților;
- marketing direct; sau
- transferurile administrative intra-grup.
Preambulul spune că interesele legitime “se pot” aplica acestor activități de prelucrare, dar acest lucru nu înseamnă că automat aceste activități se vor baza întotdeauna pe un interes legitim sau vă oferă în mod automat un temei legal pentru prelucrare. Totuși, trebuie să aplicați testul în trei părți pentru a demonstra că interesul legitim se aplică în anumite circumstanțe.
2.8. Putem folosi interesul legitim pentru prelucrarea datelor angajaților?
DA, în unele cazuri, dar nu se aplică întotdeauna și trebuie să luați în considerare testul din trei părți. Preambulul 47 al GDPR spune:
”Interesele legitime ale unui operator, inclusiv cele ale unui operator căruia îi pot fi divulgate datele cu caracter personal sau ale unei terțe părți, pot constitui un temei juridic pentru prelucrare, cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate, luând în considerare așteptările rezonabile ale persoanelor vizate bazate pe relația acestora cu operatorul. Acest interes legitim ar putea exista, de exemplu, atunci când există o relație relevantă și adecvată între persoana vizată și operator, cum ar fi cazul în care persoana vizată este un client al operatorului sau se află în serviciul acestuia. În orice caz, existența unui interes legitim ar necesita o evaluare atentă, care să stabilească inclusiv dacă o persoană vizată poate preconiza în mod rezonabil, în momentul și în contextul colectării datelor cu caracter personal, posibilitatea prelucrării în acest scop. Interesele și drepturile fundamentale ale persoanei vizate ar putea prevala în special în raport cu interesul operatorului de date atunci când datele cu caracter personal sunt prelucrate în circumstanțe în care persoanele vizate nu preconizează în mod rezonabil o prelucrare ulterioară. Întrucât legiuitorul trebuie să furnizeze temeiul juridic pentru prelucrarea datelor cu caracter personal de către autoritățile publice, temeiul juridic respectiv nu ar trebui să se aplice prelucrării de către autoritățile publice în îndeplinirea sarcinilor care le revin. Prelucrarea de date cu caracter personal strict necesară în scopul prevenirii fraudelor constituie, de asemenea, un interes legitim al operatorului de date în cauză. Prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerată ca fiind desfășurată pentru un interes legitim.”
Aceasta înseamnă că ar putea exista un interes legitim atunci când există o “relație relevantă și adecvată” între dvs. și individ. De exemplu, dacă persoana este clientul dvs. sau angajatul dvs. Cu toate acestea, nu se poate spune că temeiul interesului legitim se aplică întotdeauna.
Într-adevăr, este mai probabil, deoarece sanșele sunt mari să aveți un scop legitim evident pentru utilizarea acestor date, iar natura relației dvs. înseamnă că prelucrarea este mai puțin probabil să fie neașteptată sau nedorită, astfel încât testul de echilibrare va fi probabil mai ușor (de cele mai multe ori, putem presupune că un angajat sau un client se așteaptă în mod rezonabil ca datele lui să fie prelucrate de către angajator sau de persoana cu care intră într-o relație comercială având în vedere natura relațiilor dintre cei doi).
În unele cazuri, este posibil ca interesele dvs. și cele ale individului să fie, de fapt, aliniate sau interconectate. De exemplu, susțineți dezvoltarea personalului (evaluarea periodică sau identificarea problemelor de management defectuos) sau rezolvarea nevoilor unui client (suport clienți). Cu toate acestea, acest lucru nu înseamnă că atunci când există o relație adecvată și relevantă, există automat și un interes legitim.
Totuși, trebuie să specificați interesele dvs., să demonstrați că prelucrarea este necesară și să luați în considerare testul de echilibrare.
Există probabil o anumită suprapunere cu datele personale prelucrate pe baza executării unui contract (cum ar fi contractul de muncă sau contractul de prestări servicii). Dacă prelucrarea este efectiv necesară pentru a vă îndeplini partea contractuală cu angajatul sau clientul, atunci ar trebui să luați în considerare articolul 6 alineatul (1) litera (b) mai degrabă decât interesul legitim, mai ales că în acest caz nu trebuie să parcurgeți testul de echilibrare.
2.9. Putem folosi interesul legitim pentru transferuri intra-grup?
DA, în unele cazuri, dar din nou, această situație nu acoperă automat toate aceste prelucrări și trebuie să luați în considerare efectuarea testului din trei părți. Preambului 48 din GDPR spune:
”Operatorii care fac parte dintr-un grup de întreprinderi sau instituții afiliate unui organism central pot avea un interes legitim de a transmite date cu caracter personal în cadrul grupului de întreprinderi în scopuri administrative interne, inclusiv în scopul prelucrării datelor cu caracter personal ale clienților sau angajaților. Principiile generale ale transferului de date cu caracter personal, în cadrul unui grup de întreprinderi, către o întreprindere situată într-o țară terță rămân neschimbate.”
Exemplu
Compania AAA este o filială a Companiei A. Compania AAA nu are un departament de resurse umane, deoarece această funcție este efectuată centralizat la Compania A. Compania AAA dorește să se bazeze pe interesul legitim ca temei legal pentru transferul datelor angajatului către Compania A.
Compania AAA ajunge la concluzia că este în interesul său legitim să divulge informații despre concediu, boală, performanță etc. societății-mamă pentru administrarea eficientă a activității de HR în cadrul grupului.
Compania AAA are totuși nevoie să analizeze dacă transferul acestor date este efectiv necesar în acest scop și apoi să echilibreze acest lucru în raport cu interesele persoanelor, înainte de a fi siguri că prelucrarea este legală pe baza unui interes legitim.
Deoarece datele pe care Compania AAA dorește să le transfere include date de categorie specială, trebuie de asemenea să identifice o condiție de categorie specială pentru prelucrare în conformitate cu articolul 9 din GDPR.
! Este important să rețineți că, deși considerați că interesul legitim vă oferă un temei legal pentru transfer, se aplică în continuare regulile privind transferul datelor cu caracter personal către o companie dintr-o țară terță. Trebuie în continuare să vă asigurați că respectați cerințele internaționale privind transferurile.
2.10. Putem folosi interesul legitim pentru activități de marketing?
DA, în unele cazuri, dar trebuie să aplicați testul în trei părți și să vă asigurați că respectați alte legi de marketing. Preambulul 47 al GDPR spune:
”Interesele legitime ale unui operator, inclusiv cele ale unui operator căruia îi pot fi divulgate datele cu caracter personal sau ale unei terțe părți, pot constitui un temei juridic pentru prelucrare, cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate, luând în considerare așteptările rezonabile ale persoanelor vizate bazate pe relația acestora cu operatorul. Acest interes legitim ar putea exista, de exemplu, atunci când există o relație relevantă și adecvată între persoana vizată și operator, cum ar fi cazul în care persoana vizată este un client al operatorului sau se află în serviciul acestuia. În orice caz, existența unui interes legitim ar necesita o evaluare atentă, care să stabilească inclusiv dacă o persoană vizată poate preconiza în mod rezonabil, în momentul și în contextul colectării datelor cu caracter personal, posibilitatea prelucrării în acest scop. Interesele și drepturile fundamentale ale persoanei vizate ar putea prevala în special în raport cu interesul operatorului de date atunci când datele cu caracter personal sunt prelucrate în circumstanțe în care persoanele vizate nu preconizează în mod rezonabil o prelucrare ulterioară. Întrucât legiuitorul trebuie să furnizeze temeiul juridic pentru prelucrarea datelor cu caracter personal de către autoritățile publice, temeiul juridic respectiv nu ar trebui să se aplice prelucrării de către autoritățile publice în îndeplinirea sarcinilor care le revin. Prelucrarea de date cu caracter personal strict necesară în scopul prevenirii fraudelor constituie, de asemenea, un interes legitim al operatorului de date în cauză. Prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerată ca fiind desfășurată pentru un interes legitim.”
Asta înseamnă că marketingul direct poate fi un interes legitim. Cu toate acestea, GDPR nu spune că marketingul direct reprezintă întotdeauna un interes legitim și dacă prelucrarea dvs. este sau nu legală pe baza unui interes legitim depinde de circumstanțele particulare.
În ceea ce privește testul de scop, anumite forme de marketing nu pot fi legitime dacă nu respectă alte standarde juridice sau etice sau nu sunt aliniate codurilor de practică ale industriei. Cu toate acestea, atâta timp cât marketingul se realizează în conformitate cu legile privind confidențialitatea și alte standarde juridice și ale industriei, în majoritatea cazurilor este probabil ca marketingul direct să reprezinte un interes legitim.
Cu toate acestea, acest lucru nu înseamnă în mod automat că orice prelucrare în scopuri de marketing este legală pe acest temei. Trebuie în continuare să arătați că prelucrarea dvs. trece testul de necesitate și echilibrare.
De asemenea, este posibil să aveți nevoie de mai multe informații despre scopurile dvs. pentru anumite elemente ale prelucrării, pentru a arăta că prelucrarea este necesară și pentru a cântări beneficiile în testul de echilibrare. De exemplu, dacă utilizați profilarea pentru a vă direcționa marketingul (atunci când faceți targetare pentru anumite categorii de persoane vizate în funcție de elementele pe care le stabiliți relevante pentru respectiva campanie de marketing).
Se sugerează uneori că marketingul este în interesul persoanelor, de exemplu dacă primesc produse bancare sau oferte care sunt direct relevante pentru nevoile lor. Cu toate acestea, este puțin probabil ca acest lucru să cântărească mult la testul dvs. de echilibrare și vă recomandăm să vă concentrați în primul rând pe propriile interese și să evitați concentrarea necorespunzătoare a beneficiilor presupuse față de clienți, cu excepția cazului în care aveți dovezi foarte clare ale preferințelor lor.
În unele cazuri, marketingul are potențialul de a avea un efect negativ semnificativ asupra individului, în funcție de situația personală a acestuia. De exemplu, un individ care are dificultăți financare și care este vizat în mod regulat cu marketing pentru împrumuturi cu dobândă înaltă, poate apela la aceste oferte și astfel poate acumula și alte datorii.
Când parcurgeți testul de echilibrare, trebuie să luați în considerare și factori precum:
- dacă oamenii se așteaptă în mod rezonabil să folosiți detaliile lor în acest fel;
- factorul potențial de neplăcere al mesajelor de marketing nedorite; și
- efectul pe care metodele și frecvența de comunicare ale dvs. le-ar putea avea asupra persoanelor mai vulnerabile (de exemplu dacă furnizați mesaje promoționale privind dulciurile unor persoane care suferă de diabet sau mesaje privind jocuri violente pe calculator către copii).
Având în vedere faptul că persoanele fizice au dreptul absolut de a se opune marketingului direct în conformitate cu articolul 21 alineatul (2), este mai dificil de trecut testul de echilibrare dacă nu acordați indivizilor o opțiune clară de a renunța la marketingul direct atunci când colectați inițial datele acestora sau în prima comunicare, dacă datele nu au fost colectate direct de la persoana respectivă. Lipsa oricărei posibilități proactive de a renunța în avans ar contribui, fără îndoială, la pierderea controlului asupra datelor lor și ar constitui un obstacol inutil în exercitarea drepturilor lor de protecție a datelor.
Exemplu
Un ONG dorește să trimită materiale de strângere de fonduri prin poștă persoanelor care le-au donat bani în trecut, dar nu s-au opus anterior să primească materiale de marketing de la ei.
Scopul de marketing direct al ONG-ului de a căuta fonduri pentru a-și continua cauza este un interes legitim.
ONG-ul analizează apoi dacă trimiterea corespondenței este necesară pentru scopul ei de strângere de fonduri. Aceasta decide că este necesar să prelucreze detaliile de contact în acest scop și că trimiterea prin poștă este o modalitate proporțională de abordare a persoanelor pentru donații.
ONG-ul ia în considerare testul de echilibrare și ia de asemenea în considerare faptul că natura datelor prelucrate este reprezentată doar de numele și adresele persoanelor vizate și că ar fi rezonabil ca acești indivizi să se aștepte că vor primi materiale de marketing prin poștă, având în vedere relația lor anterioară cu ONG-ul.
ONG-ul determină faptul că impactul unei campanii de strângere de fonduri prin corespondență pentru acești indivizi este probabil să fie minim, însă include detalii în corespondență (și în fiecare comunicare ulterioară) despre modul în care persoanele fizice pot renunța să primească comunicări de marketing prin poștă în viitor.
Dacă intenționați să prelucrați date cu caracter personal în scopul marketingului direct prin mijloace electronice (prin e-mail, text, apeluri automate etc.), interesele legitime nu pot fi întotdeauna un temei adecvat pentru prelucrare. Acest lucru se datorează faptului că legile privind confidențialitatea electronică privind marketingul direct impun ca persoanele să își dea acordul pentru anumite forme de marketing electronic. În acest caz se aplică standarul privind consimțământul pe GDPR, ca un efect al articolului 94.
În cazul în care legile privind confidențialitatea în materie de e-mail necesită un consimțământ, prelucrarea datelor cu caracter personal în scopuri de marketing direct electronic este nelegală în temeiul GDPR fără un consimțământ al persoanei vizate. Dacă nu ați obținut consimțământul necesar, nu vă puteți baza pe interesul legitim. Nu puteți utiliza interesul legitim pentru a legitima o prelucrare care este nelegală în temeiul unei alte norme.
Dacă ați obținut consimțământul în conformitate cu legile referitoare la confidențialitatea datelor electronice, atunci în practică consimțământul este, de asemenea, temeiul potrivit pentru prelucrare conform GDPR. Încercarea de a aplica interesul legitim atunci când aveți deja consimțământul conform GDPR ar fi un exercițiu complet inutil și ar cauza confuzii pentru indivizi.
Dacă legile privind confidențialitatea în domeniul electronic nu necesită un consimțământ, interesul legitim ar putea fi adecvat. În funcție de rezultatul testului dvs. din trei părți, interesul legitim poate fi potrivit pentru marketingul solicitat (de exemplu, marketing solicitat în mod proactiv de individ prin bifarea unei căsuțe în mod expres pe site) sau pentru marketingul nesolicitat în următoarele situații:
Metoda de marketing aleasă | Este interesul legitim temeiul adecvat pentru prelucrare? |
Poștă | DA |
Apeluri telefonice către persoanele care și-au pus datele de contact public | DA |
Apeluri telefonice către persoanele care s-au opus contactării | X |
Apeluri telefonice automate | X |
Email/mesaje text pentru persoanele care și-au dat acordul de tip ”soft-in” | DA |
Email/mesaje text pentru persoanele care nu și-au dat acordul de tip ”soft-in” | X |
Email/mesaje text pentru persoanele cu care aveți o relație de afaceri sau intenționați să aveți una | DA |
De asemenea, trebuie să aveți în vedere că articolul 21 GDPR oferă în mod expres persoanei vizate dreptul de a se opune prelucrării datelor sale cu caracter personal în scopul marketingului direct și trebuie să îi informați cu privire la acest drept. În cazul persoana vizată se opune, atunci acest lucru prevalează asupra interesele dvs. legitime și trebuie să opriți prelucrarea datelor pentru scopuri de marketing direct.
2.11. Putem folosi interesul legitim pentru contactele B2B?
DA, este foarte posibil ca acest tip de prelucrare să fie legală pe baza interesului legitim, dar nu există o regulă absolută aici și trebuie să aplicați testul în trei părți.
Tot prelucrați date personale atunci când utilizați și stocați numele și detaliile contactelor dvs. individuale de la alte companii (ie. persoane cu care intrați în contact). Trebuie să aveți un temei legal pentru a prelucra aceste date personale.
Puteți lua în considerare utilizarea interesului legitim ca temei legal pentru o astfel de prelucrare. Cu toate acestea, trebuie să identificați interesul dvs. specific care stă la baza prelucrării și să vă asigurați că prelucrarea este efectiv necesară în acest scop.
Presupunând că puteți îndeplini aceste prime două părți ale testului cu trei părți, trebuie să luați în considerare și testul de echilibrare. Veți constata că este simplu de efectuat, deoarece contactele de afaceri sunt mult mai probabil să se aștepte în mod rezonabil la prelucrarea datelor lor personale într-un context de afaceri și prelucrarea este mai puțin probabil să aibă un impact semnificativ asupra lor în mod personal.
Exemplu
Persoanele fizice participă la un seminar de afaceri și organizatorul colectează cărți de vizită de la unii dintre aceștia.
Organizatorul stabilește că are un interes legitim în crearea de rețele de networking și în creșterea afacerii lor. De asemenea, aceștia decid că colectarea datelor de contact ale persoanelor din cărțile de vizită este necesară în acest scop.
Având în vedere scopul și necesitatea, organizatorul apreciază apoi că rezultatul favorizează prelucrarea acestor date, deoarece este rezonabil ca persoanele care transmit cărți de vizită să se aștepte ca datele de contact ale acestora să fie prelucrate, iar impactul asupra lor va fi scăzut. Organizatorul se asigură, de asemenea, că va oferi persoanelor vizate informații cu privire la confidențialitate, inclusiv detalii despre dreptul lor de a se opune. Organizatorul pune laolaltă ulterior toate datele de contact ale persoanele respective și le adaugă în baza de date de contacte de afaceri.
Dacă intenționați să prelucrați datele personale ale contactelor dvs. de afaceri, trebuie să vă amintiți că drepturile persoanelor, inclusiv dreptul de a fi informate, se aplică în continuare.
2.12. Putem folosi interesul legitim pentru prelucrarea datelor personale ale copiilor?
GDPR nu vă interzice să vă bazați pe interesul legitim ca temei legal dacă prelucrați datele cu caracter personal ale copiilor. Cu toate acestea, articolul 6 alineatul (1) litera (f) subliniază în mod specific că datele personale ale copiilor necesită o protecție specială.
Dacă alegeți să vă bazați pe interesul legitim pentru prelucrarea datelor personale ale copiilor, aveți responsabilitatea de a îi proteja de riscurile pe care nu le pot conștientiza pe deplin și de consecințele pe care nu le pot lua în considerare. Trebuie să vă asigurați că interesele lor sunt protejate în mod adecvat și că există garanții adecvate (vedeți ghidul nostru detaliat despre prelucrarea datelor personale ale copiilor aici).
O evaluare legitimă a intereselor poate fi un instrument util pentru a vă ajuta să vă asigurați că țineți cont în mod corespunzător de interesele copiilor. Cu toate acestea, trebuie să acordați o mai mare importanță intereselor dvs. și aveți nevoie de un interes mai convingător pentru a justifica orice impact potențial asupra copiilor pe acest temei.
2.13. Putem folosi interesul legitim pentru a divulga date către terțe persoane?
Puteți divulga în mod legal date către terțe persoane în temeiul interesului legitim. Acesta ar putea fi reprezentat de interesele dvs. sau interesele terței părți care primește datele sau o combinație a celor două.
Obiectivul dvs. este să justificați dezvăluirea atunci când efectuați testul în trei părți. Deși intențiile și interesele părții terțe sunt direct relevante, se pune accentul pe faptul că dezvăluirea în sine este justificată în acest scop. Partea terță este responsabilă de asigurarea corectitudinii și legalității procesării ulterioare, inclusiv prin efectuarea unui test propriu în trei părți dacă intenționează să se bazeze pe interesele legitime ca bază pentru prelucrare.
! Atunci când alegeți să folosiți interesul legitim ca temei legal pentru prelucrare și divulgare a datelor personale către terțe persoane, trebuie să țineți minte că și terțele persoane au răspundere față de acele date și că la rândul lor trebuie să efectueze testul interesului legitim din trei părți.
2.14. Ce facem cu datele din categoriile speciale?
Puteți lua în considerare interesul legitim drept temei legal pentru prelucrarea datelor personale din categoriile speciale, însă chiar dacă acesta trece testul, aveți nevoie și de o condiție specială pentru aceste categorii de date, în conformitate cu articolul 9 GDPR. Dacă nu puteți îndeplini o condiție, nu puteți procesa datele categoriei speciale , chiar dacă interesele legitime se aplică în conformitate cu articolul 6.
Dacă prelucrați date din categoriile speciale, în majoritatea cazurilor caracterul sensibil al acestor date înseamnă că există riscuri mai mari pentru interesele și drepturile sau libertățile individului. Prin urmare, poate fi necesar să vă asigurați că veți puneți în aplicare măsuri de protecție mai dure pentru a atenua orice impact sau risc asupra persoanei ca rezultat al prelucrării dvs. sau că există o justificare mai convingătoare.
De asemenea, este mai probabil să aveți în vedere efectuarea unei DPIA.
Pentru mai multe detalii privind condițiile de prelucrare a categoriilor speciale de date personale vă rugăm să consultați Ghidul nostru și articolul de aici.
2.15. Când ar trebui să evităm interesul legitim?
Există o serie de factori care ar putea indica faptul că este puțin probabil ca interesele legitime să reprezinte un temei legal adecvat pentru procesarea dvs. De exemplu, ar trebui să evitați alegerea interesului legitim ca bază legală dacă:
- sunteți o autoritate publică, iar prelucrarea este efectuată pentru a vă îndeplini sarcinile ca autoritate publică;
- procesarea dvs. nu respectă standardele juridice, etice sau aparținând industriei (acolo unde avem reglementare la nivel de industrie);
- nu aveți un scop clar și păstrați datele “doar să fie” (în acest caz prelucrearea dvs. nu este conformă în niciun fel);
- ați putea obține scopul final fără a utiliza date personale;
- nu doriți să vă asumați întreaga responsabilitate pentru protejarea intereselor individului sau preferați să transferați răspunderea asupra individului (prin oferirea de către acesta a consimțământului);
- intenționați să utilizați datele personale în moduri în care oamenii nu știu și nu se așteaptă în mod rezonabil (cu excepția cazului în care aveți un motiv mai convingător care justifică natura neașteptată a prelucrării);
- există un risc de vătămare semnificativă (cu excepția cazului în care aveți un motiv mai convingător care justifică impactul);
- nu aveți încredere în rezultatul testului de echilibrare;
- v-ar stânjeni orice publicitate negativă cu privire la modul în care intenționați să utilizați datele; sau
- altă temei legal se aplică în mod evident cu un alt scop. Deși, teoretic, se poate aplica mai mult de un temei legal pentru aceeași prelucrare, în practică, este puțin probabil ca interesul legitim să fie un temei legal adecvat în cazul în care se aplică un alt temei legal în mod obiectiv.
Exemplu
Un vânzător cu amănuntul (retailerul) pune la punct un sistem de loialitate. Persoanele fizice se înscriu pentru a face parte din sistem și colectează puncte de loialitate, furnizând date personale în schimbul unor oferte speciale. Retailerul va prelucra date cu caracter personal în scopuri diferite și dorește să folosească interesul legitim ca temei legal.
Scopurile pentru prelucrarea datelor cu caracter personal sunt:
– pentru a calcula cantitatea de vouchere pentru indivizi;
– să identifice interesele persoanelor fizice pentru le trimite prin e-mail/poștă marketing direct adresat lor;
– pentru analiza datelor, cu scopul de a-și îmbunătăți produsele și serviciile.
Termenii și condițiile sistemului de loialitate se concretizează într-un contract. Domeniul de aplicare al serviciilor va dicta care prelucrare poate fi considerată “necesară pentru contract“.
Scopul 1. este un serviciu principal, astfel încât prelucrarea în acest scop este necesară pentru contract. Dat fiind că prelucrarea este legală în mod obiectiv pe baza unui contract, interesul legitim nu ar fi adecvat. Acest lucru se datorează faptului că fundamentarea prelucrării asupra intereselor legitime și nu pe contract înseamnă că persoanele ar fi private de drepturile lor de portabilitate a datelor.
Scopul 2. nu este un serviciu principal și este, de fapt, marketingul direct la care individul are dreptul de a se opune. Prelucrarea în acest scop nu este necesară pentru contract. Retailerul poate alege să considere consimțământul sau interesul legitim pentru această prelucrare.
Scopul 3. din nou nu este un serviciu principal și, prin urmare, nu este necesar pentru contract. Retailerul poate alege să considere consimțământul sau interesul legitim pentru această prelucrare. O abordare alternativă este ca aceste date personale să fie anonimizate înainte de a fi utilizate pentru analiza datelor.
2.16. Care sunt alternativele?
Trebuie să aveți un temei legal pentru a prelucra date cu caracter personal. Interesul legitim reprezintă unul din cele șase temeiuri legale, dar există alternative. Celelalte temeiuri legale sunt pe scurt:
- Consimțământul: individul și-a dat consimțământul clar pentru a vă permite prelucrarea datele personale într-un anumit scop.
- Contract: prelucrarea este necesară pentru un încheierea sau executarea unui contract cu persoana fizică.
- Obligație legală: prelucrarea este necesară pentru a vă conforma legii (fără a include obligațiile contractuale).
- Interesele vitale: prelucrarea este necesară pentru a proteja viața cuiva.
- Sarcina publică: prelucrarea este necesară pentru a îndeplini o sarcină de interes public sau pentru o funcție oficială, iar sarcina sau funcția are temei clară în lege.
! Trebuie să alegeți întotdeauna temeiul legal care este cel mai potrivit în contextul dat!
3. Ce trebuie să facem în practică?
Trebuie să evaluați fiecare parte a testului din trei părți și să documentați rezultatul astfel încât să puteți demonstra că se aplică interesul legitim. Facem referire la aceasta ca la o “Analiză a Intereselor Legitime” sau la AIL (deși această terminologie nu apare ca atare în GDPR).
O AIL este un tip de evaluare a riscului la primă mână, bazată pe contextul specific și pe circumstanțele prelucrării.
Trebuie să documentați atât o AIL, cât și rezultatul acesteia. Nu există nicio cerință specifică în GDPR pentru a face acest lucru. Cu toate acestea aveți nevoie de o justificarea procesării pe baza unor interese legitime și este o metodă eficientă de a demonstra pașii urmați pentru a asigura conformitatea cu GDPR.
Nu există o abordare unică a unei AIL. Uneori, AIL poate fi destul de scurtă (mai ales atunci când scopurile sunt bine definite, iar persoanele vizate se pot aștepta în mod rezonabil ca datele acestora să fie prelucrate în scopurile respective, după cum am văzut în exemplul cu cărțile de vizită), dar în alte situații poate fi mult mai detaliată sau poate identifica necesitatea unei DPIA (pentru ușurință, găsiți modele de AIL în KIT-ul nostru aici).
3.1. De ce trebuie să facem o AIL?
Nu există nicio obligație în GDPR pentru a face o AIL. Cu toate acestea, este o bună practică să faceți una pentru că altfel ar fi dificil să vă îndepliniți obligațiile privind responsabilitatea dacă nu le aveți puse pe hârtie în mod clar.
O AIL vă încurajează să vă puneți întrebările corecte cu privire la prelucrarea pe care o efectuați și să examinați în mod obiectiv care sunt așteptările persoanelor vizate și care este impactul prelucrării datelor asupra lor.
Realizarea unei AIL vă ajută să vă asigurați că prelucrare dvs. este legală. Vă ajută să gândiți în mod clar cu privire la prelucrarea dvs. și la impactul pe care l-ar putea avea asupra individului.
Înregistrarea în mod oficial a unei AIL la nivel de organizație vă ajută, de asemenea, să demonstrați respectarea principiilor și a măsurilor organizatorice adecvate, în conformitate cu obligațiile dvs. de responsabilitate prevăzute la articolul 5 alineatul (2) și la articolul 24 din GDPR.
3.2. Cum se face o AIL?
Deoarece AIL determină dacă se aplică temeiul interesul legitim, trebuie să o efectuați înainte de a începe prelucrarea datelor. Nu puteți începe prelucrarea datelor, apoi să încercați să aplicați retroactiv interesul legitim. Prelucrarea dvs. este nelegală fără un temei legal, ceea ce va duce la încălcări inevitabile ale cerințelor de transparență și responsabilitate.
Nu există un proces definit în GDPR, dar ar trebui să abordați o AIL urmând testul din trei părți:
- Testul scopului (identificarea interesului legitim);
- Testul de necesitate (luați în considerare dacă prelucrarea este necesară); și
- Testul de echilibrare (luați în considerare interesele individului).
O AIL nu trebuie să aibă o formă specială. Cu toate acestea, trebuie să abordați fiecare parte a testului cu trei părți și să înregistrați rezultatul. Ar trebui să înregistrați toți factorii relevanți, indiferent dacă vă susțin sau nu concluzia, deoarece aceasta arată că ați luat toate aspectele în considerare înainte de a lua decizia asupra prelucrării, ceea ce poate duce la o demonstrare a bunei intenții de conformitate cu GDPR în cazul unui control.
3.2.1 Cum facem testul de scop?
În primul rând, trebuie să identificați scopul prelucrării și să decideți dacă este considerat un interes legitim. Fiți cât mai concret posibil, deoarece vă ajută în ceea ce privește testele de necesitate și de echilibrare.
Ar trebui să vă întrebați:
- De ce doriți să prelucrați datele?
- Ce beneficii așteptați să obțineți de la prelucrare?
- Va beneficia orice terță parte de prelucrare?
- Există beneficii publice mai largi pentru prelucrare?
- Cât de importante sunt aceste beneficii?
- Care ar fi impactul asupra activității dacă nu ați putea continua prelucrarea?
- Care este rezultatul dorit pentru persoanele fizice?
- Sunteți în conformitate cu alte legi relevante?
- Respectați regulamentele sau codurile de practică din domeniu/industrie?
- Există probleme de etică cu prelucrarea?
De asemenea, ar trebui să verificați dacă utilizați date pentru unul dintre următoarele scopuri (în acest caz GDPR specifică că acestea sunt interese legitime și, în funcție de circumstanțe, AIL-ul dvs. ar putea fi foarte scurt):
- prevenirea fraudelor (în măsura strict necesară);
- securitatea rețelelor și a informațiilor (în măsura strict necesară); sau
- indicând posibile acte criminale sau amenințări la adresa securității publice.
Rețineți că, deși transferurile administrativ intra-grup și marketingul sunt menționate în GDPR ca potențiale interese legitime, probabil că veți avea nevoie de o AIL mai detaliată și nu puteți presupune că acest scop este suficient pentru a vă ajuta să justificați prelucrarea. Pentru mai multe informații, consultați secțiunea Când ne putem baza pe interesul legitim?
Exemplu
Creditorii (în special băncile) împărtășesc date cu Biroul de Credite despre plățile efectuate de o persoană fizică într-un cont. Aceste date sunt apoi împărtășite cu orice alt creditor al cărui individ face o cerere, astfel încât să poată evalua capacitatea și posibilitatea individului de a rambursa un împrumut.
Creditorul dorește să evalueze cu exactitate probabilitatea ca ei să recupereze banii pe care îi împrumuta.
Beneficiul este de a minimiza riscul creditelor neperformante și de a se asigura că creditorul face decizii de creditare durabile pentru a obține o rată globală rezonabilă de rentabilitate.
De asemenea, este în interesul persoanei care face cererea ca creditorii să ia decizii responsabile de împrumut și să nu le permită să se suprapună cu datoriile pe care nu le pot permite.
În cele din urmă, este în interesul publicului ca creditorii să poată face evaluări precise ale riscurilor atunci când iau decizii de creditare. Fără aceasta, creditorii pot fi mai puțin dispuși să împrumute sau cel puțin să împrumute la o rată a dobânzii rezonabilă.
Aceste beneficii sunt vitale pentru buna funcționare a sistemului de credite.
Rezultatul dorit pentru individ este acela că li se va acorda sau se li va refuza acordarea creditului pe baza capacității de rambursare a acestora.
Creditorii respectă legile și standardele relevante privind creditele de consum.
Creditorii au demonstrat un interes legitim și specific și au o bază bună pentru a demonstra necesitatea și pentru a lua în considerare în mod obiectiv echilibrul intereselor.
3.2.2 Cum facem testul de necesitate?
Trebuie să vă gândiți cu atenție dacă prelucrarea este efectiv necesară pentru scopul pe care l-ați identificat în primul pas.
Trebuie să vă întrebați:
- procesarea vă ajută să vă atingeți scopul?
- procesarea este proporțională în acest scop?
- vă puteți atinge scopul fără a prelucra datele sau prelucrând mai puține date?
- puteți atinge scopul urmărit prin prelucrarea datelor într-un alt mod mai evident sau mai puțin intruziv?
Fii sincer în privința asta – dacă prelucrarea este sau nu necesară. Dacă există alte alternative potențial mai puțin intruzive, trebuie să fie clar în AIL de ce acestea nu sunt alternative rezonabile (costă prea mult, implică prea mult timp, prea multe resurse etc.).
Dacă vi se pare dificil să explicați modul în care prelucrarea vă ajută la atingerea obiectivului dvs. sau dacă există multe metode alternative care pur și simplu nu sunt compatibile cu modelul dvs. de afaceri, este posibil să vă întoarceți la pasul unu și să fiți nevoit să fiți mai specific cu privire la scopul dvs. Un scop clar definit ar trebui să facă testul de necesitate mai ușor de parcurs.
3.2.3 Cum facem testul de echilibrare?
Trebuie să luați în considerare interesele și drepturile și libertățile fundamentale ale individului și dacă acestea depășesc interesele legitime pe care le-ați identificat.
Nu există o listă exhaustivă referitor la ceea ce ar trebui să țineți cont atunci când efectuați testul de echilibrare. Totuși, trebuie să vă gândiți cel puțin la:
- natura datelor cu caracter personal pe care doriți să le prelucrați;
- așteptările rezonabile ale individului; și
- impactul probabil al prelucrării asupra individului și dacă pot fi instituite măsuri de salvgardare pentru a atenua impactul negativ.
Natura datelor
Trebuie să vă gândiți la sensibilitatea datelor personale pe care intenționați să le procesați. De exemplu:
- sunt date de categorie specială?
- sunt date care privesc o infracțiune sau o condamnare penală?
- este un alt tip de date pe care oamenii ar putea să le considere deosebit de “private”, de exemplu date financiare?
- efectuați prelucrarea datelor despre copii sau a datelor referitoare la alte persoane vulnerabile?
- sunt date despre persoane în calitatea lor personală sau profesională?
Cu cât datele sunt mai sensibile sau mai “private”, cu atât este mai probabil ca prelucrarea să fie considerată intruzitivă sau să creeze riscuri semnificative pentru drepturile și libertățile individului. De exemplu, punându-le în pericol de discriminare (să spunem că doriți să angajați o persoană, îi faceți un background check și descoperiți că are o datorie neplătită către un fost angajat/un litigiu cu acesta și îl eliminați din recrutare pentru acest motiv. Sau doriți să angajați o persoană și descoperiți din alte surse că este însărcinată și astfel nu ma continuați procesul de recrutare). Este posibil să aveți nevoie de un motiv mai convingător pentru a utiliza acest tip de date și să aveți grijă deosebită pentru a pune la dispoziție garanții adecvate.
În schimb, dacă prelucrarea implică date cu caracter personal care sunt considerate mai puțin sensibile sau private, cum ar fi cele ale indivizilor privind capacitatea lor de muncă, atunci este posibil ca impactul să fie mai mic (deși trebuie să vă gândiți totuși la impactul probabil asupra individului).
Exemplu
Un angajator solicită angajaților săi să furnizeze detaliile de contact în caz de urgență (emergency contacts) ale unui membru al familiei sau prieten în cazul în care angajații suferă un accident la locul de muncă sau pățesc ceva grav din punct de vedere medical.
Nu este practic pentru angajator să obțină consimțământul familiei sau prietenilor tuturor angajaților săi pentru a prelucra detaliile de contact în scopul utilizării în situații de urgență. Angajatorul consideră, prin urmare, dacă se aplică temeiul interesului legitim.
Angajatorul consideră că posibilitatea de a lua legătura cu un membru al familiei sau cu un prieten desemnat într-o situație de urgență este un interes legitim în calitatea lui de angajator responsabil. De asemenea, observă că este în interesul angajatului ca un membru al familiei sau un prieten să știe despre situația de urgență și, totodată, este în interesul persoanei desemnate drept contact de urgență să știe despre situație.
Angajatorul decide că solicitarea făcută angajaților de a furniza datele personale ale altor persoane este necesară în acest scop și că nu există altă modalitate rezonabilă de a-și atinge scopul.
Angajatorul continuă să ia în considerare testul de echilibrare. Acesta ține cont de faptul că datele pe care le va prelucra nu sunt sensibile (numele și detaliile de contact) și determină faptul că impactul stocării acestor detalii în caz de urgență este minim. Angajatorul decide că numai departamentul său de resurse umane va avea acces la detaliile de contact și se va asigura că aceste detalii vor fi utilizate numai într-o situație de urgență reală. Acesta ajunge la concluzia că testul de echilibrul inclină în favoarea interesului lor legitim în prelucrarea datelor.
Așteptări rezonabile
Trebuie să vă gândiți dacă oamenii se vor aștepta în mod rezonabil să utilizați datele în acest mod în anumite circumstanțe. Ar trebui să luați în considerare toți factorii relevanți, inclusiv:
- aveți o relație existentă cu persoana vizată? Dacă da, care este natura acestei relații?
- cum i-ați folosit datele în trecut?
- ați colectat date direct de la persoana vizată?
- ce le-ați spus persoanelor în acel moment?
- dacă ați obținut datele de la o terță parte, ce a spus această parte persoanelor despre reutilizarea datelor de către terți în alte scopuri?
- cu cât timp în urmă au fost colectate datele? Există vreo schimbare a tehnologiei sau a altui context din acel moment care ar afecta așteptările actuale?
- scopul și metoda dvs. de prelucrare sunt evidente sau înțelese?
- vreți să faceți ceva nou sau inovator?
- aveți dovezi concrete despre așteptări, de exemplu cercetare de piață, grupuri de interes sau alte forme de consultare?
- există alți factori care ar putea duce la concluzia ca persoanele vizate nu s-ar aștepta în mod rezonabil la această prelucrare?
Acesta este un test obiectiv. Nu trebuie să arătați că fiecare persoană se așteaptă să utilizați datele în acest fel. În schimb, trebuie să arătați că o persoană se poate aștepta în mod rezonabil la această prelucrare în circumstanțele date.
Dacă scopul și metoda de prelucrare nu sunt imediat evidente și există posibilitatea să nu fie foarte clar că persoanele se așteaptă în mod rezonabil să le fie prelucrate datele, ați putea dori să efectuați o anumită formă de consultare, focus grup sau cercetare de piață cu indivizii pentru a demonstra așteptările acestora și să vă sprijiniți poziția în cadrul testului. Dacă există studii preexistente în ceea ce privește așteptările rezonabile într-un anumit context, puteți beneficia de acestea ca parte a determinării dvs. cu privire la ceea ce se pot sau nu se pot aștepta indivizii de la respectiva prelucrare.
! Așteptările rezonabile nu se analizează în funcție de fiecare persoană specifică în parte, ci de categorie. Trebuie să puteți demonstra într-un manieră facilă că persoanele ale căror date le prelucrați se pot aștepta, în mod rezonabil, ca aceste date să le fie prelucrate, în contextul relațiilor pe care le aveți.
Impact și garanții
Trebuie să luați în considerare impactul potențial asupra persoanelor și orice daune pe care prelucrarea dvs. le-ar putea cauza acestora.
În primul rând, trebuie să vă gândiți dacă prelucrarea dvs. este de o manieră intrinsecă care ar putea duce la un risc ridicat pentru drepturile și libertățile persoanelor. Dacă da, trebuie să faceți o DPIA, care poate funcționa și ca AIL. Dacă faceți o DPIA, nu este nevoie să faceți o LIA distinctă deoarece acoperă aceeași problemă în detaliu. Puteți utiliza DPIA-ul nostru din KIT pentru a identifica dacă prelucrarea ar putea avea un risc ridicat.
Dacă decideți că nu aveți nevoie să faceți o DPIA, trebuie să faceți în continuare o evaluare a riscului mai ușoară pentru a examina dacă prelucrarea dvs. ar putea să dăuneze intereselor, drepturilor și libertăților persoanelor, chiar dacă acestea nu prezintă un risc ridicat . În special, trebuie să vă gândiți dacă prelucrarea dvs. ar putea contribui la:
- instituirea unei bariere față de persoanele care își exercită drepturile (inclusiv, dar fără a se limita la drepturile de confidențialitate);
- instituirea unei bariere pentru persoanele care accesează servicii sau oportunități;
- orice pierdere a controlului asupra utilizării ulterioare a datelor cu caracter personal;
- un rău fizic;
- pierderi financiare, furt de identitate sau fraudă; sau
- orice alt dezavantaj economic sau social semnificativ (cum ar fi discriminarea, pierderea confidențialității sau reputația).
Trebuie să vă uitați atât la probabilitatea, cât și la gravitatea vreunui rău.
Dacă identificați potențialul unui risc ridicat (fie din cauza unei șanse de vătămare severă sau a unei probabilități ridicate de face un rău), aveți nevoie de un interes legitim mult mai convingător pentru a satisface testul de echilibrare. Trebuie să demonstrați că interesele dvs. legitime pot depăși un impact grav. Acest lucru determină, de asemenea, necesitatea unei DPIA de a evalua aceste riscuri în detaliu.
Dacă identificați un risc mai scăzut de anumite vătămări, trebuie să cântăriți situația în raport cu beneficiile potențiale ale prelucrării.
De asemenea, puteți să vă gândiți dacă există garanții pe care le-ați putea pune în aplicare pentru a reduce sau atenua acest risc. De exemplu, ați putea să colectați mai puține date sau să le oferiți persoanelor vizate o opțiune de excludere?
Exemplu
Un vânzător cu amănuntul (retailer) dorește să trimită oferte clienților săi prin poștă (cum sunt de exemplu catalogurile de la Metro, Lidl, Auchan etc.). Formularul de comandă de produs conține următoarea declarație:
“Vă vom trimite informații despre ofertele noastre speciale la adresa dvs. de facturare. Dacă nu doriți să aflați despre ofertele noastre, bifați aici [_] ‘
Retailerul echilibrează interesele clienților săi împotriva intereselor sale legitime (de face marketing prin trimiterea catalogurilor prin poștă către clienții existenți pentru a îmbunătăți vânzările). Este posibil ca clienții să se aștepte în mod rezonabil ca aceștia să primească niște materiale de marketing de la retailer, deoarece retailerul a informat persoanele în mod clar că această prelucrare va avea loc. Impactul asupra individului este minim. Cu toate acestea, oferind clienților săi o oportunitate clară de a renunța la această prelucrare, retailerul a instituit o garanție pentru a se asigura că persoana își păstrează controlul asupra datelor și că își poate exercita cu ușurință dreptul de a se opune.
Puteți constata că instituirea unor garanții adecvate poate schimba echilibrul și să însemne că interesele individului nu vă depășesc interesele. Cu toate acestea, trebuie să știți că măsurile de siguranță nu justifică întotdeauna prelucrarea.
Oferirea posibilității persoanelor de a se opune/retrage prelucrării în cazul intereselor legitime nu ar trebui să fie confundată cu utilizarea consimțământului ca bază legală. Dacă persoanele nu reușesc să se dezaboneze/opună/retragă nu înseamnă că există un consimțământ afirmativ (adică nu putem merge pe ideea că dacă nu s-a retras, este de acord cu prelucrarea).
3.2.4 Cum decidem rezultatul?
Trebuie să cântăriți toți factorii identificați în cadrul AIL pentru și împotriva prelucrării și să decideți dacă considerați că interesele dvs. ar trebui să aibă prioritate față de orice risc pentru persoane fizice. Acesta nu este un exercițiu matematic și există un element de subiectivitate implicat, dar ar trebui să fiți cât mai obiectiv posibil.
Trebuie să puteți demonstra de ce beneficiile prelucrării justifică riscurile pe care le-ați identificat. Cu cât sunt mai importante riscurile, cu atât mai puternică trebuie să fie justificarea.
Uneori, rezultatul este destul de evident într-o anumită direcție (fie pozitivă, fie negativă), caz în care decizia ar trebui să fie simplă.
Exemplu
O companie decide dacă să concedieze un angajat pentru abateri disciplinare. Compania decide că are nevoie de consiliere juridică cu privire la dreptul muncii și dorește să trimită consilierilor juridici externi detalii despre presupusa abatere a angajatului.
Testul de scop: compania trebuie să fie capabilă să gestioneze performanța angajaților la locul de muncă și facă angajații să acționeze în mod corespunzător cu scopurile urmărite. De asemenea, trebuie să se asigure că orice acțiune pe care o ia este în conformitate cu obligațiile care îi revin în temeiul legislației muncii. Această abordare este în interesele legitime de afaceri ale companiei. Este, de asemenea, în interesul legitim al angajaților ca societatea să acționeze corect și legal în relațiile sale cu angajații.
Testul de necesitate: este necesar să se obțină o expertiză juridică externă cu privire la presupusa abatere și la cadrul juridic relevant în acest scop. Numai datele cu caracter personal care sunt relevante pentru respectivele abateri vor fi comunicate consilierilor juridici, cu respectarea obligațiilor de confidențialitate profesională.
Testul de echilibru: datele se referă la viața profesională a individului, nu la viața sa privată. Există o relație angajator-angajat clar definită, iar angajații s-ar aștepta în mod rezonabil ca întreprinderea să prelucreze detalii privind comportamentul profesional pentru a gestiona performanța și să solicite consultanță juridică atunci când se ocupă de eventuale concedieri. Cu toate că împărtășirea datelor ar putea contribui la daune semnificative asupra individului, dacă opinia legală susține demiterea, ar trebui să contribuie, de asemenea, la garantarea faptului că decizia nu este arbitrară sau ilegală. Datele sunt de asemenea împărtășite sub obligația de de confidențialitate profesională, care oferă o protecție împotriva altor riscuri sau pierderea controlului asupra datelor.
Rezultatul pentru compania care a luat în considerare toți factorii relevanți este că interesele angajatului nu depășesc interesele sale legitime de a obține consultanță juridică, iar prelucrarea este legală pe baza acestor interese legitime.
În alte cazuri, este posibil ca rezultatul să fie mai greu de determinat. Dacă nu sunteți sigur, ar putea fi mai sigur să căutați altă temei legal pentru prelucrare. Interesele legitime nu sunt de cele mai multe ori baza cea mai potrivită pentru o prelucrare care este neașteptată sau cu un risc ridicat.
3.2.5 Ce facem mai departe?
Dacă ați efectuat Analiza Interesului Legitim și ați decis să vă bazați pe interesul legitim ca temei legal, nu trebuie să plecați de la premisa că responsabilitățile voastre se încheie aici.
Aveți în vedere o revizuire periodică a prelucrării și, respectiv, actualizarea AIL. Dacă se schimbă ceva semnificativ – cum ar fi scopul, natura sau contextul prelucrării – care ar putea afecta echilibrul dintre dvs. și individ, ar trebui să revizuiți AIL și să o actualizați, după caz.
De exemplu, în cazul în care identificați un impact nou al prelucrării, care nu a fost prevăzut la momentul efectuării inițiale a AIL, trebuie să revizuiți AIL și testul de echilibrare pentru a identifica dacă sunt necesare alte măsuri de protecție sau suplimentarea celor existente.
Dacă în urma AIL ajungeți la concluzia că impactul asupra persoanei vizate depășește interesele dvs. legitime, atunci nu veți putea să prelucrați datele pentru acel scop folosind ca temei legal interesul legitim. În acest caz ar fi oportun să luați în considerare un alt temei legal pentru prelucrare.
Dacă rezultatul este pe muchie de cutiț (incert) și nu sunteți convins că interesele dvs. justifică impactul asupra persoanelor, atunci este posibil să doriți și să apelați la un alt temei legal pentru prelucrare. De exemplu, vă recomandăm să luați în considerare dacă consimțământul este adecvat ca temei pentru prelucrare, pentru a le oferi persoanelor controlul deplin asupra utilizării datelor lor.
Dacă AIL identifică potențialele riscuri ridicate pentru drepturile și libertățile individului, trebuie să continuați să faceți o DPIA pentru a evalua riscurile și potențialele garanții în detaliu.
3.2.6 Cum legăm o AIL de o DPIA?
Există similitudini între o AIL și o DPIA. Ambele presupun luarea în considerare a scopului prelucrării, identificarea și evaluarea riscului și luarea în considerare a eventualelor garanții.
Cu toate acestea, o AIL este concepută ca o formă mai simplă de evaluare a riscurilor, care vă solicită să identificați în mod corespunzător scopul și să vă gândiți la impactul asupra persoanelor. Trebuie să faceți o AIL în toate cazurile în care intenționați să utilizați interesul legitim ca temei legal, indiferent dacă există sau nu motive speciale de îngrijorare. Nu există cerințe absolute pentru conținutul acestuia sau pentru metoda urmată, atâta timp cât sunteți încrezător că prelucrarea dvs. poate fi justificată.
De cealaltă parte, o DPIA este un proces mult mai aprofundat, de la un capăt la altul, cu cerințe minime mult mai specifice în ceea ce privește conținutul și procesul. Trebuie să faceți o DPIA doar dacă identificați că prelucrarea poate duce la un risc ridicat, dar trebuie să o faceți indiferent de ce temeiul legal pe care îl aveți în vedere pentru procesare. Dacă nu puteți reduce riscurile, trebuie să consultați ANSPDCP înainte de a începe prelucrarea.
Cu toate acestea, există o suprapunere între cele două și ar trebui să identificați acest lucru în procesele voastre. În practică, este oportun să vă bazați pe lista prelucrărilor cu risc ridicat stabilite pentru o DPIA pentru a identifica potențialele riscuri față de persoanele vizate.
O AIL poate fi, de asemenea, un potențial declanșator pentru o DPIA. Dacă AIL identifică potențialul pentru riscuri ridicate pentru drepturile și libertățile persoanelor (fie din cauza gravității, fie a riscului producerii unei vătămări), este posibil să aveți nevoie să efectuați o DPIA.
Este posibil să puteți să foloși AIL ca bază pe care să o adaptați într-o DPIA sau să vă ofere un punct de pornire. Dacă nu ați făcut încă o AIL, nu este necesar să faceți pe ambele. Puteți utiliza DPIA în loc de o AIL pentru a demonstra modul în care se aplică interesele legitime, deoarece acoperă același motiv în detaliu.
4. Ce trebuie să mai avem în vedere?
4.1. Ce spunem oamenilor?
Trebuie să spuneți persoanelor:
- care este scopul dvs. pentru prelucrarea datelor cu caracter personal;
- că vă bazați pe interesul legitim ca temei legal; și
- să amintiți pe scurt care sunt interesele legitime relevante.
Trebuie să includeți acest lucru în informațiile dvs. privind confidențialitatea (nota de informare către persoanele vizate). De asemenea, trebuie să vă asigurați că aceste informații sunt comunicate în mod activ și periodic către persoanele vizate.
4.2. Dacă scopurile prelucrărilor noastre se schimbă?
Dacă scopurile prelucrării se schimbă în timp sau dacă aveți un scop nou pe care nu l-ați anticipat inițial, puteți continua prelucrarea pentru acest scop nou pe baza interesului legitim, atâta timp cât noul dvs. scop este compatibil cu scopul original.
O evaluare a compatibilității implică în general pași similari cu cei folosiți la o AIL, deoarece trebuie să ia în considerare scopul prelucrării, așteptările rezonabile, impactul asupra persoanelor și posibilele măsuri de protecție. Așadar, vă recomandăm să efectuați întotdeauna o AIL proaspătă ca o chestiune de bună practică, deoarece aceasta vă ajută să demonstrați compatibilitatea sau să vă asigurați că interesele legitime se aplică noii prelucrări de sine stătător.
Chiar dacă prelucrarea pentru un scop nou este legală pe baza unor interese legitime, trebuie totuși să vă gândiți dacă este corectă și transparentă, să vă asigurați că respectă principiul limitării scopului (sau satisface o excepție de la acest principiu) și să oferiți persoanelor informații despre noul scop.
4.3. Ce drepturi au persoanele vizate?
Cele mai multe drepturi acordate persoanelor fizice în temeiul GDPR sunt disponibile dacă vă bazați pe interesul legitim ca temei legal.
Cu toate acestea, dacă vă bazați pe interesul legitim, atunci dreptul la transferabilitatea datelor nu se aplică tuturor datelor personale prelucrate pe temeiul respectiv. Aceasta înseamnă că nu este necesar să respectați cererile de portabilitate de la persoane fizice. Amintiți-vă că nu puteți alege interesul legitim ca temei legal pentru a stopa cererile de portabilitate dacă se aplică temeiul legal pentru executarea unui contract, deoarece acest lucru ar avea un impact nejustificat asupra drepturilor persoanelor.
Trebuie să vă amintiți că persoanele au dreptul să se opună prelucrării pe baza unor interese legitime. Cu toate acestea, acest lucru nu este un drept absolut și este posibil să puteți arăta că prelucrarea trebuie continuată (cu excepția cazului în care faceți prelucrarea datelor în scopul de marketing direct, caz în care trebuie să opriți imediat orice prelucrare a datelor).
Pentru a continua prelucrarea în ciuda unei obiecții din partea persoanelor, trebuie să puteți demonstra motive legitime convingătoare. Demonstrarea acestora este mai mult decât simpla repetare a testului de echilibrare, deoarece aveți nevoie de o justificare mai puternică pentru a depăși o anumită obiecție și trebuie să luați în considerare motivele speciale pe care individul le-a ridicat.
Dacă vă bazați pe interesul legitim ca temei legal pentru prelucrarea datelor personale în marketing direct, trebuie să opriți procesarea în cazul în care persoana se opune. Aceasta include profilarea în măsura în care este folisită în scopul marketingului direct. Dreptul de a se opune prelucrării în scopuri de marketing direct este absolut și persoana poate exercita acest drept în orice moment. Nu există interese legitime convingătoare împotriva acestui drept de a opri marketingul direct.
Ai nevoie de implementare GDPR? Scrie-ne mai jos!
[wpforms id=”13083″]
Un răspuns