avocatnet.ro 
GDPR-ul protejează persoanele fizice de prelucrări nejustificate ale datelor lor personale. Însă și această protecție are o finalitate, la rândul ei - protejarea vieții private a indivizilor. De aceea, se poate ajunge la situații în care protecția GDPR se poate întinde și cu privire la activități ce nu implică, neapărat (sau întotdeauna) prelucrări de date personale.
Aceasta a fost abordarea CJUE, într-o cauză unde a analizat problema consimțământului dat cu privire la „cookies”. În concret, Curtea a reținut că prevederile relevante din GDPR (cu privire la consimțământul dat pentru prelucrarea datelor, în ceea ce privește stocarea de „cookies” ) „nu trebuie să fie interpretate diferit în funcție de aspectul dacă informațiile stocate sau consultate în echipamentul terminal al utilizatorului unui site internet constituie sau nu date cu caracter personal”.
Cu alte cuvinte, protecțiile pe care persoanele vizate de prelucrarea de date le primesc, în contextul consimțământului dat pentru stocarea de „cookies” vor fi aplicabile întotdeauna când o persoană vizitează un site web, indiferent dacă, într-un anumit moment, prelucrarea datelor care se face nu vizează chestiuni personale.
Logica, conform CJUE, este de a se evita stocarea unor mecanisme ascunse, care ar putea compromite sfera privată a persoanelor. Abordarea Curții este de înțeles, întrucât este foarte greu să se stabilească faptul că, dacă au fost stocate „cookies”, într-un anumit moment, ele nu vor viza niciodată date personale. Această abordare este în acord cu scopurile și principiile GDPR, care, printre altele, instituie o abordare în funcție de riscul pe care o activitate l-ar putea avea supra protecției datelor. Așadar, existența riscului, în cazul „cookies”, este suficientă pentru a justifica nivelul de protecție menționat mai sus.
Alte situații când protecția se poate extinde și asupra unor elemente ce nu ar putea implica, întotdeauna, date personale
Un prim exemplu se poate referi la situațiile în care, tehnic, ceea ce se prelucrează nu reprezintă date personale, însă din datele prelucrate pot fi obținute informații despre anumite persoane. Așadar, se poate ajunge, indirect, la colectare de date personale.
În concret, exemplul este dat de Paul Voigt și Axel von dem Bussche, în ghidul „The EU General Data Protectio Regulation (GDPR)” (Editura Springer, 2017): o firmă prelucrează date despre volumul de bunuri produse, prin intermediul unor mașinării, într-un anumit interval de timp, pentru a vedea cât este de eficientă. Chiar dacă, la prima vedere, informația vizează aspecte ce țin exclusiv de producția de bunuri, de aici pot fi obținute, indirect, informații despre eficiența persoanelor care manevrează acele mașinării. Astfel de informații sunt considerate date personale și, astfel, GDPR și toate protecțiile relevante devin aplicabile.
Un alt exemplu - la fel, menționat în ghidul la care am făcut referire, anterior - ar putea fi serviciile de cloud computing, adică folosirea infrastructurii unor furnizori de servicii informatice pentru stocare de documente, de exemplu. Pentru a fi în conformitate cu GDPR-ul, furnizorul de servicii cloud computing trebuie să implementeze măsuri de securitate, înainte ca un client să îi folosească serviciile, deci înainte să fie stocate documentele pe server-ul furnizorului. Este foarte posibil ca documentele stocate, ulterior, să nu conțină date personale, însă măsurile de securitate tot trebuie să fie implementate, din cauză că furnizorul de servicii cloud nu are cum să știe, exact, dacă informațiile relevante conțin și date personale sau nu.
usernew2021