avocatnet.ro 
GDPR-ul permite firmelor să se uite și la interesul lor când prelucrează date personale. De aceea, unul din temeiurile în baza cărora este permisă prelucrarea de date personale este cel al interesului legitim (puteți citi mai multe despre acesta, aici, și despre întrebările la care o firmă ar trebui să răspundă, pentru a vedea dacă se poate baza pe interesul ei legitim în scopul prelucrării, aici).
Un element foarte important în stabilirea existenței unui interes legitim și a posibilității utilizării acestuia, pentru prelucrarea de date, este luarea în considerare a așteptărilor rezonabile ale persoanelor vizate de prelucrare. Astfel cum este menționat într-un articol apărut pe site-ul autorității britanice cu atribuții în domeniul datelor personale, existența sau lipsa așteptărilor rezonabile, în cazul persoanelor vizate de prelucrarea de date, de a le fi utilizate acele date, poate face diferența între o recurgere permisă la interesul legitim sau una contrară GDPR-ului.
O astfel de analiză se referă la persoana vizată de prelucrarea datelor, în concret, și la cât de mult se poate aștepta aceasta să îi fie utilizate datele. În același timp, analiza - deși se referă la persoana vizată de prelucrare - ia în considerare o persoană obișnuită. Astfel, firmele trebuie să răspundă la întrebarea: „o persoana obișnuită s-ar aștepta la prelucrarea datelor ei, în acest context?”. Această diferență este foarte importantă, întrucât, de multe ori, interesul legitim vizează mai multe persoane și ar fi imposibilă o analiză făcută cu privire la fiecare dintre acele persoane, în parte (puteți vedea exemple concrete, în domeniul hotelier, aici, și în domeniul marketing-ului, aici).
Ca regulă, interesul legitim poate justifica o prelucrare acolo unde era stabilită o relație preexistentă între o firmă și o persoană vizată de prelucrarea datelor ei.
Același ghid al autorității britanice - la care am făcut referire mai sus - redă o serie de elemente pe care firmele ar trebui să le ia în considerare, pentru a stabili existența (sau nu) a unor așteptări rezonabile:
- cu cât timp în urma au fost obținute datele (în acest context, prelucrarea inițială poate să fi avut ca temei sau nu interesul legitim; important e ca vorbim de o altă prelucrare - o utilizare în scop de marketing, de exemplu - și nu de cea inițială);
- sursa de provenineță a datelor (acest lucru este foarte important - dacă datele au fost obținute de la persoana vizată, e mult mai ușor să se argumenteze faptul că existau așteptări de prelucrare; dacă au fost obținute din alte locuri, este foarte greu să se justifice validitatea unui interes legitim);
- parametrii în care s-a manifestat, cu exactitate, relația între firmă și persoana vizată de prelucrare și felul cum au fost folosite datele aceleiași persoane, în trecut (e mult mai ușor să se justifice o prelucrare, dacă nu se întâmplă prima dată);
- folosirea unei tehnologii sau a unei modalități de prelucrare diferită de cea în care s-ar fi așteptat persoanele vizate să le fie prelucrate datele.
Atenție! Stabilirea așteptărilor rezonabile nu este suficientă, prin ea însăși, în vederea stabilirii permisibilității prelucrării. Deși de bază, ea trebuie completată cu o analiză completă (puteți citi, aici, mai multe despre cum ar trebui făcută o asemenea analiză).
Interesul legitim de a prelucra date personale este o campanie de informare avocatnet.ro, care oferă informații practice despre acest temei de prelucrare a datelor personale (conținut în Regulamentul general privind protecția datelor). Campania vizează explicarea detaliată a conținutului acestei justificări de prelucrare a datelor personale, precum și exemple concrete cu privire la cazuri când interesul legitim primează față de drepturile persoanelor vizate de prelucrarea datelor. Toate articolele din serie pot fi citite aici.
cenush 
usernew2021
Comentarii articol (0)