GDPR: Când pot avea firmele care oferă servicii financiare și de plată un interes legitim de a prelucra date personale

În concret, GDPR-ul permite unei firme care activează în domeniul financiar, bancar sau al serviciilor de plăți să prelucreze datele unei persoane fizice, dacă are un interes legitim în acest sens.

Singura problemă e că interesul legitim, fiind un temei atât de abstract și de vag, care permită utilizarea lui în situații foarte diferite ar putea fi abuzat ușor. De aceea, există o serie de elemente de siguranță stabilite de GDPR, pentru ca o astfel de justificare să fie validă. Esența rezidă în atingerea unui echilibru între interesul legitim al firmei și interesele persoanelor vizate de prelucrarea de date (puteți citi mai multe despre importanța acestui echilibru, aici). 

În acest context, ar putea fi greu pentru unele firme să își dea seama în ce context este permisă justificarea prelucrării în baza unui interes legitim și când nu ar fi. De aceea, într-un articol apărut pe site-ul informationpolicycentre.com, a apărut un articol unde este dată, printre altele, o serie de exemple relevante pentru entități care oferă servicii bancare, financiare sau de plăți: 

• prevenirea sau detectare fraudelor și infracțiunilor financiare;
• liste concepute în scopul prevenirii spălării de bani;
• obligația de cunoaștere a clientelei, în baza legislației privind prevenirea spălării de bani (puteți citi mai multe detalii, aici);
• analize de risc și verificări în privința creditului;
• descoperirea persoanelor expuse politic (tot în privința prevenirii spălării de bani);
• prevenirea sau detectarea finanțării terorismului;
• folosirea de probe în instanțe, pentru garantarea apărării.

Trebuie menționat că, deși multe din exemplele de mai sus s-ar putea încadra foarte ușor pe temeiul de prelucrare vizând îndeplinirea unei obligații legale, interesul legitim s-ar putea să aibă, totuși, un rol. Mai exact, multe din obligațiile de mai sus lasă un anumit grad de libertate firmelor în privința implementării. Dacă cineva ar sugera că o firmă a mers prea departe în implementarea unor astfel de obligații (în esență, depășind ceea ce i-a cerut legea), temeiul justificării prelucrării datelor în baza îndeplinirii îndatoririlor legale s-ar putea să nu mai fie aplicabil. De aceea, interesul legitim s-ar putea să acopere ceea ce nu vizează temeiul îndeplinirii obligației legale.

Interesul legitim de a prelucra date personale este o campanie de informare avocatnet.ro, care oferă informații practice despre acest temei de prelucrare a datelor personale (conținut în Regulamentul general privind protecția datelor). Campania vizează explicarea detaliată a conținutului acestei justificări de prelucrare a datelor personale, precum și exemple concrete cu privire la cazuri când interesul legitim primează față de drepturile persoanelor vizate de prelucrarea datelor. Toate articolele din serie pot fi citite aici.