Aleksandr Sergheevici Pușkin nr. 8, sector 1, București, C.P. 011996
(+4) 0745 007 311
 
Nomenius
ArticoleAv. Roxana EnescuOctober 25, 20180

Cum prelucrezi în interes legitim conform GDPR

Cum prelucrezi în interes legitim conform GDPR

Deși notorietatea revine consimțământului, prelucrarea datelor cu caracter personal poate fi legală și atunci când este necesară în scopul intereselor legitime ale operatorului sau ale unei terțe părți.

Art. 6 alin. (1) lit. f) din GDPR permite organizațiilor să prelucreze datele cu caracter personal în scopul intereselor legitime pe care acestea le urmăresc, mai puțin în cazul în care prevalează interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

Când putem baza prelucrarea pe temeiul interesului legitim?

Acest temei cel mai flexibil dintre cele șase baze legale prevăzute de art. 6 alin. (1) din Regulament. Nu se concentrează pe un anumit scop și, prin urmare, vă oferă o marjă mai mare de utilizare.

Poate fi cel mai adecvat temei atunci când:

  • prelucrarea nu este cerută de lege, ci are un beneficiu pentru operator sau pentru alții;
  • există un impact limitat asupra vieții private a persoanei vizate;
  • persoana vizată ar trebui, în mod rezonabil, să se aștepte să utilizați datele în acest mod; și
  • operatorul nu poate sau nu dorește să dea un control complet persoanei vizate (consimțământul) sau să deranjeze cu cereri de consimțământ atunci când este puțin probabil ca aceasta să se opună prelucră

GDPR evidențiază anumite activități de prelucrare care se pot întemeia pe interes legitim:

  • prelucrarea datelor angajaților sau a clienților;
  • marketing direct; sau
  • transferurile administrative intra-grup.

În considerente regăsim menționat că „se poate„ aplica acestor activități de prelucrare, dar acest lucru nu înseamnă că aceste activități vor fi întotdeauna justificate de interes legitim.

Cum se aplică temeiul interesului legitim?

Dacă doriți să vă bazați pe acest temei, puteți utiliza testul în trei părți pentru a evalua dacă se aplică prelucrării pe care o realizați.

Testul este o evaluare legată de interes și ar trebui efectuat înainte de a începe prelucrarea. Înregistrarea acestei evaluări vă va ajuta să demonstrați conformarea dumneavoastră. Recomandăm ca evaluarea să presupună un triplu test:

  1. Testul scopului: urmărești un interes legitim?
  2. Test de necesitate: este prelucrarea necesară în acest scop?
  3. Testul de proporționalitate: interesele persoanei vizate depășesc interesul legitim?

Dacă ați efectuat evaluarea și ați decis să vă bazați pe interes legitim, trebuie să aveți în vedere revizuirea periodică, în special dacă se schimbă ceva semnificativ – cum ar fi scopul, natura sau contextul prelucrării – care ar putea afecta echilibrul dintre dumneavoastră și individ.

Dacă evaluarea concluzionează că impactul asupra individului depășește interesele legitime, atunci nu puteți prelucra în mod legal datele pentru acel scop folosind temeiul interesului legitim. Va trebui să justificați prelucrarea datelor pe un alt temei legal.

Putem folosi interesul legitim pentru a dezvălui unor terți datele persoanei vizate?

Da, divulgarea poate fi justificată astfel. Acestea ar putea fi interesele dumneavoastră sau interesele terței părți care primește datele sau o combinație a celor două.

Obiectivul este să vă justificați dezvăluirea atunci când efectuați testul în trei părți. Deși intențiile și interesele părții terțe sunt direct relevante, se pune accentul pe faptul că dezvăluirea în sine este justificată în acest scop. Partea terță este responsabilă de asigurarea corectitudinii și legalității procesării ulterioare, inclusiv prin efectuarea unui test propriu, dacă intenționează să se bazeze pe acest temei ca bază pentru prelucrare.

Garanții suplimentare

Legea nr. 190/2018 aduce măsuri de aplicare în ceea ce privește prelucrarea unui număr de identificare național efectuată în scopul intereselor legitime.

Astfel, prelucrarea unui număr de identificare national (CNP, serie, număr CI) este legală doar dacă se efectuează cu instituirea de către operator a următoarelor garanţii:

  1. a) punerea în aplicare de măsuri tehnice şi organizatorice adecvate pentru respectarea, în special, a principiului reducerii la minimum a datelor, precum şi pentru asigurarea securităţii şi confidenţialităţii prelucrărilor de date cu caracter personal,;
  2. b) numirea unui DPO;
  3. c) stabilirea duratei de stocare în funcţie de natura datelor şi scopul prelucrării, precum şi de termene specifice în care datele cu caracter personal trebuie şterse sau revizuite;
  4. d) instruirea periodică cu privire la obligaţiile ce le revin persoanelor care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, prelucrează date cu caracter personal.

Așadar, dacă în categoriile de date prelucrate în interes legitim se regăsește și un număr de identificare națională, trebuie să asigurați și garanțiile de mai-sus, nefiind suficient să demonstrați conformarea prin efectuarea evaluării.

Drepturile persoanei vizate

În cazul în care prelucrarea are ca bază interesul legitim, GDPR vă impune să informați persoana vizată cu privire la:

  • care este scopul pentru prelucrarea datelor cu caracter personal;
  • faptul că vă bazați pe interes legitim; și
  • să prezentați/descrieți pe scurt care sunt interesele legitime relevante.

Aceste informații trebuie incluse în Politica de confidențialitate.

Persoana vizată are dreptul să se opună prelucrării bazate pe interesul legitim, conform art. 21 alin. (1) din GDPR. Cu toate acestea, nu este un drept absolut și este posibil să puteți arăta că prelucrarea trebuie să continue (cu excepția cazului în care este vorba de marketing direct).

Pentru a continua prelucrarea în cazul exercitării dreptului la opoziție, trebuie să puteți demonstra motive legitime convingătoare (imperioase). Demonstrarea motivelor legitime convingătoare este mai mult decât simpla repetare a testului de echilibrare, deoarece aveți nevoie de o justificare mai puternică pentru a depăși o anumită obiecție și trebuie să luați în considerare motivele speciale pe care individul le-a ridicat atunci când și-a exercitat dreptul.

Totuși, dreptul de a se opune prelucrării în scopuri de marketing direct este absolut și persoana poate exercita acest drept în orice moment. Nu există interese legitime imperioase împotriva acestui drept de a opri marketingul direct.

Surse:
– https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests/
– Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului general privind protecţia datelor

Share

Leave a Reply

Your email address will not be published. Required fields are marked *

previous
Clauza de neconcurență în contractul de franciză
next
Centrala Riscului de Credit

Înscrie-te la Newsletter

https://greculawyers.ro/wp-content/uploads/2022/08/Abonare-Newsletter-G-QR-code-160x160.png

Abonare Newsletter

Error: Contact form not found.

https://greculawyers.ro/wp-content/uploads/2022/10/Logo_c.png
(+4) 031 426 0745
office@greculawyers.ro
Strada Aleksandr Sergheevici Pușkin nr. 8, Sectorul 1, Bucuresti

Expertiză

Puteți să ne urmăriți și pe:

Peste 16 ani de activitate în domeniul avocaturii de business. Clienții noștri ne recomandă.

error: Conținut protejat!!