Articol scris de Ciprian Timofte, managing associate la Țuca Zbârcea & Asociații.
În primul rând, partenerii vor trebui să acorde o atenție specială minimizării datelor. Spre pildă, obiceiul inserării în contract a tuturor datelor de identificare a partenerului ar trebui să se schimbe.
Cu alte cuvinte, indicarea în contract atât a codului numeric personal (CNP), cât și a seriei și numărului de buletin al partenerului contractual (în cazul în care acesta este o persoană fizică) ar putea ridica probleme de minimizare a datelor, din moment ce ambele atribute au același scop (și anume, identificarea unică a persoanei).
În sens similar, transmiterea unor date cu caracter personal către potențialul partener încă din faza de negociere a contractului (cum ar fi o listă conținând numele și prenumele unor angajați, precum și, eventual, a altor date relative la aceștia – salariu, domiciliu etc.) ar putea fi privită ca fiind excesivă, mai ales atunci când se realizează într-o fază incipientă a negocierilor.
De asemenea, în contextul încheierii contractelor comerciale, partenerii contractuali vor trebui să asigure transparența prelucrării, prin informarea adecvată a persoanelor vizate cu privire la caracteristicile prelucrării.
Astfel, în exemplul de mai sus vizând transmiterea listei salariaților, chiar dacă transmiterea datelor s-ar dovedi necesară (respectându-se astfel principiul minimizării datelor), salariații vizați vor trebui, ca regulă, să fie informați cu privire la comunicarea datelor către partenerul destinatar și, eventual, cu privire la modul cum partenerul destinatar va prelucra respectivele date.
Ar trebui informate persoanele vizate în orice circumstanță?
Pe de altă parte, ar fi bine să nu se uite faptul că obligația de informare nu este absolută, ci comportă anumite limitări și excepții, în special atunci când datele sunt obținute de la o altă persoană decât persoana vizată (cum ar fi de la celălalt partener contractual).
Să spunem că vreau să achiziționez un imobil, iar contractul de vânzare-cumpărare menționează istoricul proprietății, deci inclusiv identitatea proprietarilor anteriori; în acest caz, nu va fi necesară informarea proprietarilor anteriori cu privire la o atare prelucrare, întrucât fie informarea este imposibil de realizat (nu am datele de contact), fie ar implica eforturi disproporționate, devenind astfel incidente prevederile art. 14 alin. (5) din GDPR.
Sigur, va fi crucial ca analiza incidenței excepțiilor să se realizeze în mod corect și obiectiv. Trebuie avute în vedere toate circumstanțele, cum ar fi natura datelor prelucrate, așteptările persoanei vizate, consecințele prelucrării pentru persoana vizată etc. În orice caz, recomand ca aplicabilitatea excepției să fie documentată în mod corespunzător.
Legat de cele de mai sus, aș mai remarca ceva: în ultimul timp, am constatat un anumit „reflex de supra-conformare” cu cerințele GDPR. Simplu spus, efectuarea de diverse acțiuni de conformare cu GDPR, atunci când nu e neapărat cazul. Nu de puține ori, aceasta a condus la situații ilare și, pe alocuri, absurde. Am văzut, spre pildă, contracte comerciale nesofisticate, al căror obiect nu implica prelucrări semnificative de date cu caracter personal, având anexate clauze GDPR de informare pe trei pagini.
Or, nu cred că este necesară furnizarea tuturor informațiilor la care face referire GDPR atunci când datele sunt obținute direct de la persoana vizată, iar prelucrarea se realizează de o manieră naturală raportat la obiectul contractului, conform așteptărilor pe care le-ar putea avea în mod rezonabil persoana vizată.
Am în vedere, de exemplu, prelucrările datelor cu caracter personal ale semnatarilor unui contract (nume, prenume, semnătură, eventual date de contact).
În astfel de cazuri, aș putea presupune în mod rezonabil că respectiva persoană cunoștea sau, după caz, trebuia să se aștepte la prelucrarea datelor de maniera respectivă și, prin urmare, ar deveni incidente prevederile GDPR potrivit cu care, atunci când datele sunt obținute direct de la persoana vizată, informarea nu este necesară atunci când respectiva persoană cunoștea respectivele informații. O poziție similară a fost exprimată, de altfel, și de autoritatea competentă din UK (ICO – Information Commissioner’s Office).
Prin urmare, revine consultanților GDPR rolul de a calibra efortul de informare cu particularitățile contractului și impactul produs de acesta din perspectiva protecției vieții private, determinând astfel necesitatea realizării informării formale conform GDPR și, dacă e cazul, modul optim de realizare a acesteia.