GDPR: Cum se face o evaluare a interesului legitim de a prelucra date și la ce poate ajuta aceasta

Prelucrarea de date personale în baza interesului legitim are foarte multe avantaje: îi permite unei firme să se uite la ceea ce îi trebuie pentru dezvoltarea afacerii, atunci când sunt implicate date personale ale altor persoane. De asemenea, îi oferă posibilitatea de a prelucra date fără să fie dependentă de poziția unei alte persoane (cum e cazul consimțământului dat în vederea prelucrării de date și care poate fi retras oricând, astfel încât prelucrarea nu ar mai fi posibilă ulterior retragerii).

Totuși, ca să poată să prelucreze date personale în baza interesului lor legitim, firmele sunt ținute de o serie de elemente:

• în primul rând, trebuie să se asigure că există, cu adevărat, acel interes legitim;
• în al doilea rând, trebuie să se asigure că prelucrarea de date personale este necesară în vederea atingerii acelui interes legitim;
• și, în același timp, trebuie să se asigure că persoana ale cărei date sunt prelucrate nu are un interes superior interesului legitim.

O modalitate foarte bună prin care o firmă poate să răspundă la toate întrebările de mai sus este să facă o evaluare a interesului legitim, pe care să o și documenteze.

Într-un ghid privind interesul legitim, apărut pe site-ul autorității britanice în domeniul protecției datelor, este detaliată chestiuna evaluării la care am făcut referire mai sus. Practic, autoritatea ia fiecare întrebare la care am făcut referire mai sus și o împarte în mai multe întrebări specifice, care ar ajuta firmele să își clarifice dacă interesul legitim poate justifica prelucrarea de date într-un caz concret sau nu.

În privința stabilirii existenței interesului legitim, trebuie pornit de la motiv - de ce se dorește prelucrarea de date; care este scopul urmărit? După aceea, este recomandat pentru companii să găsească răspunsuri și la următoarele întrebări:

• Pe cine ajută acea prelucrare și în ce mod?
• Există anumite avantaje generale, pentru public?
• Cât sunt de importante acele avantaje?
• Care ar fi consecințele, dacă prelucrarea nu s-ar face?
• Ar putea fi datele prelucrate folosite într-un mod contrar eticii sau ilegal?

Odată găsite răspunsurile la aceste întrebări, o serie de alte întrebări pot clarifica necesitatea prelucrării pentru atingerea interesului:

• Ajută prelucrarea, cu adevărat, la atingerea interesului?
• Care este cea mai rezonabilă metodă de a aborda situația?
• Există vreo altă modalitate, mai puțin intruzivă, prin care ar putea fi atins același rezultat?

Până în acest punct, a fost stabilită existența interesului legitim și necesitatea măsurii. Mai trebuie analizată, însă, și existența echilibrului sau a proporționalității - între interesul firmei de a prelucra date și cel al persoanei de a nu-i fi utilizate datele (puteți citi mai multe despre importanța acestui element, aici). Analiza de proporționalitate poate fi făcută mai ușor prin găsirea unor răspunsuri la următoarele întrebări:

• Ce fel de relație există între persoana vizată de prelucrare și firmă?
• Există date sensibile sau care să țină de anumite elemente esențial private și care să fie vizate de prelucrare?
• Ar putea oamenii să se aștepte să le fie folosite datele în modul vizat de prelucrare?
• Suntem dispuși să le explicăm aceste chestiuni persoanelor vizate de prelucrare?
• Există vreo șansă ca persoana vizată să se opună sau să considere acțiunea prea intruzivă?
• Care e impactul potențial asupra persoanei vizate și cât este de mare?
• Sunt vizate date ale copiilor ?
• Este persoana vizată vulnerabilă, în orice mod (aici ar putea fi vorba de minorități, de exemplu, sau de persoane din categorii sociale defavorizate)?
• Pot fi luate unele măsuri prin care să fie redus impactul generat de prelucrare?
• Putem să îi oferim persoanei vizate opțiunea de a fi exclusă de la prelucrare?

Abordarea cu atenție a întrebărilor de mai sus poate face diferența dintre utilizarea corectă a interesului legitim și o prelucrare ilegală de date personale. 

În același timp, spuneam că e importantă documentarea analizei interesului legitim. Același ghid la care am făcut referire mai sus menționează acest lucru: e vorba de existența unor dovezi prin care să se dovedească faptul că au existat măsuri de protecție eficiente iar analiza a fost făcută în profunzime. De asemenea, este recomandată actualizarea constantă a documentelor păstrate, astfel încât schimbările eventuale (schimbarea scopului, de exemplu) să fie documentate. Aceste lucruri sunt foarte importante, în contextul în care GDPR-ul nu presupune doar existența unor temeiuri de prelucrare și respectarea limitelor acestora, ci și dovada conformării la cerințele Regulamentului.

Interesul legitim de a prelucra date personale este o campanie de informare avocatnet.ro, care oferă informații practice despre acest temei de prelucrare a datelor personale (conținut în Regulamentul general privind protecția datelor). Campania vizează explicarea detaliată a conținutului acestei justificări de prelucrare a datelor personale, precum și exemple concrete cu privire la cazuri când interesul legitim primează față de drepturile persoanelor vizate de prelucrarea datelor. Toate articolele din serie pot fi citite aici.