GDPR: Trei diferențe importante între prelucrări de date bazate pe interes legitim și cele bazate pe consimțământ

Cele mai la îndemână temeiuri care să justifice prelucrarea de date personale (în baza GDPR), de către o firmă, sunt interesul legitim al acesteia și obținerea consimțământului persoanei vizate de prelucrarea datelor. Este foarte important, însă, pentru firma în cauză să cunoască limitele acestor două temeiuri. De aceea, ar fi utilă o comparație a celor două.

Atenție! Nu vorbim doar de aceste două temeiuri, când vine vorba de justificarea prelucrării. Totuși, celălalte temeiuri au întinderi mai restrânse (cum e îndeplinirea unei obligații legale, de exemplu) și, de aceea, articolul prezent este doar despre temeiurile de prelucrare menționate anterior.

Diferențe între prelucrarea în baza interesului legitim și prelucrarea în baza consimțământului persoanei vizate

1. Este mai greu pentru o firmă să își dea seama dacă persoana vizată și-a dat un consimțământ liber, neechivoc, specific, în cunoștință de cauză și clar. Nu este de mirare, astfel, că cea mai mare amendă dată pentru încălcarea GDPR a fost dată pentru lipsa unui consimțământ valabil exprimat. În schimb, când vine vorba de temeiul interesului legitim, nimeni nu știe mai bine decât firma care prelucrează datele personale care este interesul ei legitim de a utiliza datele în cauză. Bineînțeles, nu e suficientă existența unui interes legitim, ci este necesară și demonstrarea faptului că interesul acesta este mai important decât interesul persoanei ale cărei date sunt prelucrate de a fi protejată (mai multe detalii despre cum poate fi atins un echilibru, aici).

2. Consimțământul poate fi retras oricând, în timp ce prelucrarea în baza unui interes legitim poate să se facă atât timp cât interesul subzistă și este mai important decât interesul persoanei vizate de prelucrare de a îi fi utilizate datele personale. Dacă ne gândim la exemple concrete de interes legitim, precum îmbunătățirea produselor sau serviciilor oferite (mai multe detalii, aici), unele chiar vor subzista permanent, atât timp cât o firmă care urmărește profit are activitate. Bineînțeles, pot exista cazuri concrete când prelucrarea de date nu mai este justificată, însă, ca regulă, utilizarea datelor va fi constant validă.

3. Dacă există probleme cu privire la legalitatea prelucrării, cele două temeiuri implică posibilități diferite de apărare, pentru o firmă. Mai exact, este mai ușor pentru o firmă să se apere în baza interesului legitim decât atunci când prelucrarea s-a făcut în urma unui consimțământ. Dacă un consimțământ nu este valid, probleme precum lipsa de informare sau faptul că cineva nu și l-a dat în mod liber nu mai pot fi justificate, odată dovedite. În schimb, existența unui interes legitim și încercarea de a se ajunge la un echilibru între acesta și interesele persoanei vizate de prelucrare va permite mai multe dezbateri și, astfel, îi va da mai multe șanse unei firme să justifice prelucrarea. Din nou, ca regulă. Practic, pot exista situații în care este absolut evident că interesul firmei nu îl depășește pe cel al persoanei ale cărei date sunt prelucrate.

Interesul legitim de a prelucra date personale este o campanie de informare avocatnet.ro, care oferă informații practice despre acest temei de prelucrare a datelor personale (conținut în Regulamentul general privind protecția datelor). Campania vizează explicarea detaliată a conținutului acestei justificări de prelucrare a datelor personale, precum și exemple concrete cu privire la cazuri când interesul legitim primează față de drepturile persoanelor vizate de prelucrarea datelor. Toate articolele din serie pot fi citite aici.