GDPR: Trebuie să te asiguri că recurgi la temeiul de prelucrare obiectiv aplicabil într-o situație, nu la orice e valabil în teorie

GDPR-ul prevede că, pe lângă stabilirea unui temei de prelucrare a datelor personale, operatorii de date cu caracter personal (firmele care prelucrează anumite date, de exemplu) sunt obligați să facă o analiză obiectivă a situației pentru a vedea dacă există vreun temei obiectiv aplicabil. În acest caz, va fi necesară prelucrarea datelor în baza acelui temei.

Mai mult, odată stabilită și comunicată justificarea prelucrării (persoanelor cărora le sunt prelucrate datele), nu se poate interveni ulterior și modifica acel temei, recurgându-se la altul sau la altele.

Aceste lucruri au fost stabilite de Autoritatea greacă de protecție a datelor, care a sancționat cu 150.000 de euro un angajator pentru nerespectarea obligațiilor menționate mai sus. În concret, angajatorul a prelucrat datele personale ale angajaților săi, în baza consimțământului acestora, cei din urmă crezând că acesta era singurul temei aplicabil.

Obiectiv, însă, erau mai potrivite alte temeiuri de prelucrare: executarea contractelor (de muncă); îndeplinirea obligațiilor legale pe care operatorul de date trebuie să le respecte; și interesul legitim (desfășurarea eficientă a activităților companiei). Astfel, angajatorul ar fi trebuit să selecteze aceste temeiuri pentru prelucrarea datelor angajaților și nu consimțământul.

Autoritatea greacă și explică de ce aceste lucruri sunt necesare: în primul rând, consimțământul este potrivit doar când lipsesc alte temeiuri (nu a fost cazul în această situație). În al doilea rând, e vorba de obligații de transparență, în special în cazul în care temeiurile aplicate pot da naștere unor drepturi diferite pentru persoanele vizate de prelucrare. Astfel de persoane au anumite așteptări în relația lor cu operatorul de date: de exemplu, dacă ele știu că temeiul de prelucrare este consimțământul, vor putea să îl retragă oricând. În schimb, când temeiul este îndeplinirea unei obligații legale, acest lucru nu mai este posibil. Prin urmare, dacă angajații cred că datele le-au fost prelucrate doar din cauză că și-au dat consimțământul în acest sens, ei vor fi surprinși dacă, la retragerea lui, vor afla că prelucrarea de date va continua (existând și alte temeiuri cu privire la care ei nu au fost informați).

În același timp, Autoritatea greacă face referire și la faptul că un consimțământ dat în temeiul relațiilor de muncă, de către angajat, nu poate fi considerat ca fiind dat liber - din cauza dezechilibrului de putere dintre angajat și angajator.

Atenție! Deși decizia a fost adoptată de o autoritate de protecție a datelor din alt stat al Uniunii Europene, ea este relevantă și pentru România. Ea interpretează GDPR-ul, care este același atât în Grecia, cât și în România. Astfel, decizia în cauză reprezintă o puternică sursă de inspirație. Și, până ce apar cauze obiective care să justifice o altă interpretare (de exemplu, o decizie a Curții de Justiție a Uniunii Europene, care ar fi obligatorie pentru noi), avem toate motivele să ne inspirăm din interpretări date de alte autorități.