GDPR: Poate interesul legitim să justifice prelucrarea de date sensibile?

GDPR-ul stabilește un regim special în privința datelor sensibile. Astfel de date vizează chestiuni precum etnia unei persoane, religia acesteia sau datele privind sănătatea ei. Puteți citi mai multe despre aceste aspecte, aici. În cazul de față, ce contează este că regula de bază se referă la interzicerea prelucrării de astfel de date. Însă nu vorbim de o regulă absolută.

Există și anumite excepții, printre care și una referitoare la faptul că unele persoane juridice pot să prelucreze astfel de date, în desfășurarea „activităților lor legitime ”. Însă doar cu respectarea anumitor condiții. Bineînțeles, întrebarea care se pune, în primul rând, este dacă aceste activități legitime sunt echivalente cu temeiul interesului legitim? Răspunsul este, mai degrabă, negativ.

Într-un articol apărut pe site-ul brusselsprivacyhub.eu, este menționat faptul că, de fapt, e vorba de existența doar a anumitor elemente ale interesului legitim. Astfel, există doar anumite entități care pot prelucra datele personale, în acest caz și trebuie îndeplinite anumite condiții:

• entitatea care prelucrează să fie „o fundație, o asociație sau orice alt organism fără scop lucrativ și cu specific politic, filozofic, religios sau sindical”;
• prelucrarea de date sensibile să se facă „în cadrul activităților lor legitime și cu garanții adecvate”;
• „prelucrarea să se refere numai la membrii sau la foștii membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente în legătură cu scopurile sale” și
• „datele cu caracter personal să nu fie comunicate terților fără consimțământul persoanelor vizate”.

Din start, se poate vedea că firmele - din cauză că au scopul de a face profit - nu vor putea beneficia de această excepție. Mai mult, inclusiv entitățile care pot să se folosească de acestă excepție au la îndemână un temei de prelucrare mult mai restrâns decât interesul legitim: trebuie să fie o activitate legitimă și să aibă legătură cu domeniul de activitate. S-ar putea imagina, ca exemplu, o biserică ce prelucrează date vizând religia persoanelor din parohia respectivă.

În orice caz, mai există o excepție de care, de data aceasta, și firmele care urmăresc profituri ar putea beneficia. E vorba, mai exact, de faptul că „prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță sau ori de câte ori instanțele acționează în exercițiul funcției lor judiciare”, conform GDPR-ului. Într-o astfel de situație, este legitimă prelucrarea de date personale, chiar și de către firme.

Având în vedere, însă, că discutăm, în continuare, de date sensibile, va fi nevoie de anumite garanții. De exemplu, ar fi greu, pentru o firmă, să susțină că prelucrează date sensibile, în mod provizoriu, pentru a se asigura că, dacă apare un litigiu, poate să aibă acces la probe relevante. Cel mai probabil, este nevoie ca litigiul să se fi conturat, deja, pentru ca această excepție să poată fi folosită. Această concluzie pare să fie confirmată și de practica unei autorități în materia protecției datelor, unde s-a cerut divulgarea unor date sensibile, de către un spital, pentru folosirea lor ca probe, în instanță. În cazul respectiv, litigiul era deja pe rolul acelei instanțe (în desfășurare). 

Interesul legitim de a prelucra date personale este o campanie de informare avocatnet.ro, care oferă informații practice despre acest temei de prelucrare a datelor personale (conținut în Regulamentul general privind protecția datelor). Campania vizează explicarea detaliată a conținutului acestei justificări de prelucrare a datelor personale, precum și exemple concrete cu privire la cazuri când interesul legitim primează față de drepturile persoanelor vizate de prelucrarea datelor. Toate articolele din serie pot fi citite aici.