GDPR și contractele cu persoanele fizice: Cum să (nu) prelucrezi datele personale la încheierea acestora

În urma unei discuții cu Costin Sandu, senior attorney at law și head of data protection la Schoenherr și Asociații SCA, redăm un cadru general al efectelor GDPR asupra încheierii și executării contractelor.

Minimizarea prelucrării datelor la încheierea contractelor

Cel mai important aspect în cazul încheierii contractelor și al prelucrării datelor personale în scopul acesta este principiul minimizării prelucrării datelor. În acest caz, este vorba de reducerea la minimum a prelucrării datelor personale solicitate.

Mai mult, solicitarea unor date irelevante poate duce chiar la probleme privind executarea unui contract. De exemplu, solicitarea datelor care apar pe un act de identitate, urmată de schimbarea ulterioară a acelui act de identitate, poate cauza astfel de probleme.

O aplicație specifică a regulilor de mai sus o reprezintă contractele „intuitu personae” (contractele care sunt încheiate în virtutea caracteristicilor unei persoane). În acest caz, este normal ca numărul datelor necesare pentru încheierea contractului să fie mai mare.

În orice caz, având în vedere faptul că astfel de contracte presupun negocieri detaliate, este normală dezvoltarea datelor privind persoana vizată, în cadrul contractului.

Obligativitatea contractelor sau posibilitatea retragerii consimțământului?

Există anumite cazuri în care posibilitatea retragerii consimțământului, de către persoana vizată de prelucrarea datelor, ar putea afecta executarea contractelor și, astfel, principiul forței obligatorii a contractului.

Costin Sandu a dat un exemplu relevant în acest sens. „Gândiți-vă la contractele bancare, unde banca își îndeplinește obligația la începutul contractului, iar clientul trebuie să plătească eșalonat ulterior. Dacă nu ar mai fi de acord clientul cu prelucrarea datelor sale de către bancă pentru a-i trimite, de exemplu, notificări de plată, înștiințări de întârziere etc., banca nu ar mai putea aduce la îndeplinire contractul. Prin urmare, banca trebuie să aleagă un alt temei pentru prelucrarea datelor persoanei vizate încă de la începutul relației”, a explicat avocatul.

Astfel, este recomandat ca temeiul folosit pentru prelucrarea datelor să nu fie consimțământul persoanei vizate.

GDPR reprezintă, de la 25 mai 2018, cadrul legal european unic în materie de prelucrări de date personale. Astfel, firmele care prelucrează asemenea date sunt obligate să-i respecte prevederile.