rgpd 1

RGPD (III). Prelucrezi date personale? Afla daca ai justificarea legala.

7 minute • Redactia • 07 iunie 2017


Una dintre cele mai dezbătute probleme ale noului Regulament general privind protecția datelor (RGPD) este cea a consimțământului. Controversa provine din cerințele mai stricte de acordare a consimțământului și de reformă a motivelor așa-numitelor “interese legitime”.

Cu toate că motivele „consimțământului” și “intereselor legitime” sunt doar două dintre mai multe motive pentru a justifica prelucrarea datelor cu caracter personal, acestea sunt scopurile cele mai frecvent invocate în sensul directivei. Propunerile din cadrul RGPDcu privire la aceste motive de prelucrare a datelor ar putea avea implicații practice serioase pentru întreprinderi.

Ce legea cere astăzi?

În prezent, pentru a obține consimțământul în mod valabil, întreprinderile trebuie să furnizeze suficiente informații persoanelor despre cum și de ce își procesează datele personale și să ofere un mecanism prin care indivizii să-și poată indica consimțământul. În acest sens, consimțământul poate fi impus în temeiul directivei și numai în cazuri specifice, cum ar fi prelucrarea datelor cu caracter personal sensibile (adică date care pot dezvălui originea rasială sau etnică, opiniile politice, credințele religioase sau filosofice, calitatea de membru al sindicatelor sau date referitoare la sănătatea sau viața sexuală a subiectului vizat), acordul trebuie să fie explicit.

Condiția “intereselor legitime” oferă motive de prelucrare a datelor cu caracter personal într-o situație în care o afacere trebuie să facă acest lucru în scopul propriilor sale interese legitime sau al intereselor legitime ale terței părți căreia îi sunt dezvăluite informațiile. Interesele legitime ale întreprinderii sau ale părții terțe trebuie să fie echilibrate împotriva oricărui prejudiciu adus drepturilor și libertăților sau intereselor legitime ale persoanei a cărei date sunt prelucrate.

Într-o serie de jurisdicții, condiția “intereselor legitime” oferă un grad de flexibilitate a procesării datelor, care ar putea să nu existe în alt mod. Pe de altă parte, unele instituții de protecție a datelor au adoptat o abordare mai restrictivă – de exemplu, autoritatea spaniolă de reglementare a protecției datelor consideră că datele cu caracter personal ar trebui prelucrate numai în scopurile în care au fost colectate, cu excepții foarte limitate.

Cu toate acestea, directiva oferă o abordare favorabilă afacerilor, care a fost oarecum redefinită de GDPR.

Ce va impune Regulamentul general privind protecția datelor? 

În timpul procesului de redactare, Comisia a propus (și Parlamentul a convenit) că acordul ar trebui să fie întotdeauna „explicit, dat în mod liber, specific și informat”. De asemenea, aceasta a menționat că acordul ar trebui obținut printr-o declarație sau prin „o acțiune clară afirmativă”, că ar putea fi retrasă în orice moment de persoana vizată și că nu ar fi valabilă din punct de vedere juridic dacă există “un dezechilibru semnificativ între poziția persoanei vizate și a operatorului “. Pe de altă parte, Consiliul a sugerat că acordul în cadrul RGPD nu trebuie să fie „explicit” – trebuie doar să fie „lipsit de ambiguitate”.

După mai multe dezbateri, propunerea Parlamentului European că, în cazul în care prelucrarea se bazează pe consimțământul persoanei vizate, acest consimțământ trebuie să fie “explicit” (adică opțiunea de înscriere) a fost abandonată în textul de compromis al RGPD.

În schimb, cerința de acordare „explicită” a consimțământului se aplică atunci când se bazează pe consimțământ în contextul procesării datelor personale sensibile (așa cum este cazul directivei de azi).

RGPD definește în mod expres termenul „consimțământul persoanei vizate” pentru a solicita ca acesta să fie întotdeauna neechivoc.

De asemenea, stabilește alte cerințe care includ necesitatea ca „consimțământul” să fie

(i) informat;

(ii) dat în mod liber;

(iii) să fie exprimat printr-o acțiune afirmativă clară;și

(iv) să se distingă clar de alte aspecte.

De asemenea, RGPD avertizează că consimțământul nu va fi considerat valabil din punct de vedere legal în cazul în care există „un dezechilibru semnificativ între poziția persoanei vizate și operator”. Sunt stabilite, de asemenea, cerințe suplimentare în ceea ce privește obținerea consimțământului minorilor. De asemenea, mai multe tipuri de date (cum ar fi date biometrice) sunt incluse în categoria “datelor sensibile”, a căror prelucrare necesită consimțământ „explicit”.

În plus, RGPD cere companiilor să demonstreze că au obținut în mod efectiv acordul utilizatorilor – ceea ce ar putea implica o povară semnificativă pentru întreprinderi.

Având în vedere noile condiții mai exigente cu privire la consimțământ, posibilitatea de a se baza pe baza „intereselor legitime” va fi crucială din perspectiva afacerilor.

În timpul procesului de elaborare a GDPR, Comisia și Parlamentul au sugerat că datele persoanelor fizice pot fi prelucrate numai: (i) într-un scop pentru care au fost aprobate; sau (ii) pentru astfel de interese legitime urmărite de operator sau de părțile terțe relevante, pe care indivizii le-ar putea aștepta în mod rezonabil.

Pe de altă parte, Consiliul a propus o abordare mai orientată către business, care ar permite atât controlorilor, cât persoanelor împuternicite de acestea să prelucreze datele cu justificarea „intereselor legitime” chiar și în scopuri incompatibile cu scopurile inițiale ale prelucrării, cu condiția ca interesele sau drepturile și libertățile fundamentale ale individului să fie respectate.

Textul convenit al RGPD stabilește că prelucrarea este în continuare permisă dacă cu justificarea intereselor legitime ale unui operator (inclusiv al unui operator la care datele pot fi divulgate) sau al unei terțe părți, cu condiția ca aceste interese legitime să nu primejduiască interesele sau drepturile și libertățile fundamentale ale persoanei vizate, în special în cazul în care persoana vizată este un copil.

În practică, aceasta înseamnă că întreprinderile vor trebui să fie atente în evaluarea existenței unui interes legitim prin luarea în considerare, printre altele, a așteptărilor rezonabile ale subiectului vizat la momentul prelucrării și a exemplelor specifice pe care RGPD le prezintă când poate apărea un interes legitim (care include, de exemplu, prelucrarea datelor în scopul prevenirii fraudei sau a comercializării directe).

Care sunt implicațiile practice? 

Chiar dacă mecanismele de obținere a consimțământului nu s-au modificat foarte mult în cadrul RGPD, operatorul va trebui să dovedească că a obținut un consimțământ valabil pentru fiecare activitate de prelucrare (astfel încât întreprinderile vor trebui să țină evidența utilizatorilor care și-au dat consimțământul sau care și-au retras consimțământul într-o manieră detaliată și ordonată).

Această dezvoltare va avea, fără îndoială, un impact semnificativ asupra afacerilor. În plus, întreprinderile vor trebui să analizeze pentru ce scopuri legale își justifică prelucrarea. De exemplu, în cazul în care prelucrarea se bazează pe baza intereselor legitime, întreprinderile vor trebui să informeze persoana (de exemplu, în notificările lor privind protecția datelor) cu privire la interesele legitime pe care încearcă să se bazeze.

Deci, ce pot face companiile acum? 

  • Începeți auditarea tuturor diferitelor utilizări ale datelor;
  • Înțelegeți scopurile pentru care se colectează și utilizează datele;
  • Identificați mecanismelor prin care este obținut consimțământul și se realizează informarea cu privire la scopurile invocate pentru prelucrarea datelor lor; și
  • Evaluați dacă aceste scopuri rămân valabile în cadrul RGPD și dacă nu rămân valabile, vedeți dacă prelucrările pot avea alte scopuri legale.

SURSE
[1] Regulamentul general privind protectia datelor
[2] Directiva 95/46/CE
[3] Legea nr. 677/2001
[4] LEXOLOGY
[5] PRIVACYLAWBLOG
[6] LEXOLOGY

Un răspuns

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *