avocatnet.ro 
GDPR-ul prevede că datele personale nu pot fi prelucrate, în mod obișnuit, de către firme, decât în anumite situații excepționale. O astfel de situație se referă la cazul când firma în cauză are un interes legitim. Regulamentul oferă câteva exemple cu privire la situațiile când o firmă poate să se folosească de un asemenea temei pentru a își justifica activitatea care vizează date personale:
- dacă e vorba de un client sau de o persoană care se află în serviciul firmei care prelucrează datele (totuși, acest exemplu este deja foarte vag, fiind necesar, în astfel de situații, o analiză mai specifică);
- prelucrarea se face în scop de prevenire a fraudelor;
- GDPR mai oferă un exemplu referitor la prelucrarea de date care are drept scop marketingul direct (fiind vag și acest exemplu, analiza trebuie să fie mai specifică).
În același timp, acest temei de prelucrare poate fi folosit doar dacă interesele sau drepturile persoanei vizate de prelucrare nu sunt mai importante decât acel interes legitim.
În afara faptului că regulamentul dă un exemplu când datele personale ale persoanei vizate sunt mai importante decât interesul legitim al firmei care face prelucrarea (e vorba de situațiile când datele țin de un copil) și că menționează (în preambul) că interesul legitim trebuie să fie previzibil pentru persoana vizată de prelucrare, nu există alte detalieri care să clarifice întinderea acestei justificări.
Este important, astfel, de înțeles, ce poate fi considerat un interes legitim real, mai ales că firma trebuie să informeze persoana vizată de prelucrare și cu privire la interesul concret care a justificat prelucrarea. De asemenea, riscul stabilirii greșite a legalității a legalității prelucrării transformă prelucrarea într-una interzisă de regulament și, astfel, expune firma la sancțiunile aplicabile (puteți citi aici mai multe aici despre acest aspect).
Astfel, o serie de exemple detaliate este dată într-un ghid practic privind GDPR-ul, apărut la editura Springer, în 2017 (Paul Voigt și Axel von dem Bussche, „The EU General Data Protection Regulation (GDPR). A Practical Guide”). Primul exemplu menționat este cel privitor la marketing direct. Spre deosebire de Regulament, autorii acestui ghid merg mai departe și se referă la două cazuri specifice: reclame (în special cele personalizate) trimise prin mail sau afișate pe site-uri web sau în cadrul aplicațiilor. Un aspect important de reținut, în acest context, este că astfel de reclame ar putea fi justificate atunci când persoana vizată de prelucrare se așteaptă la reclamele respective.
Aceiași autori menționează, printre altele, faptul că interesul legitim ar putea exista, de exemplu, atunci când o bancă analizează capacitatea potențialilor clienți de a rambursa împrumuturile făcute.
Un alt exemplu se referă la „analiza strategică a datelor consumatorilor pentru a îmbunătăți spectrul de produse/servicii și pentru a menține și atrage clienți”. Este interesant de menționat, cu privire la acest exemplu, că un consumator se poate aștepta, în mod particular, la o evoluție și îmbunătățire continuă a produselor/serviciilor. Prin urmare, s-ar putea aștepta și la faptul că datele i-ar fi prelucrate pentru a beneficia, în final, de astfel de produse/servicii.
Interesul legitim de a prelucra date personale este o campanie de informare avocatnet.ro, care oferă informații practice despre acest temei de prelucrare a datelor personale (conținut în Regulamentul general privind protecția datelor). Campania vizează explicarea detaliată a conținutului acestei justificări de prelucrare a datelor personale, precum și exemple concrete cu privire la cazuri când interesul legitim primează față de drepturile persoanelor vizate de prelucrarea datelor. Toate articolele din serie pot fi citite aici.
elgabri