Atunci când o firmă modifică datele personale din contractul încheiat cu o persoană fizică, prima trebuie să aibă un temei pentru a face așa ceva. De cele mai multe ori, acest temei va fi consimțământul persoanei vizate de prelucrare.
Există, însă, și situații când o astfel de modificare poate avea loc fără să existe consimțământul persoanei și, astfel, să nu existe un temei legal pentru modificare. Așa s-a întâmplat cu o entitate din Spania (un furnizor de servicii de apă), ce a modificat datele personale din contractul unei persoane, fără consimțământul celei din urmă. Pentru aceasta, furnizorul de utilități a fost sancționat cu o amendă de 60.000 de euro de către Autoritatea spaniolă de protecție a datelor.
Cum trebuie înțeleasă decizia
Este greu de crezut că o firmă, din proprie inițiativă, va lua contractele pe care le are și va modifica datele personale ale clienților acesteia. Nici nu a fost vorba de așa ceva în situația din Spania, menționată mai sus. De fapt, ce s-a întâmplat a fost că o altă persoană decât clientul cu care era încheiat contractul i-a cerut, telefonic, entității sancționate să modifice datele personale ale clientului din contractul de furnizare de servicii de apă. Astfel, nu a existat consimțământul persoanei vizate de prelucrare.
Acest lucru arată că, de fapt, problema a fost lipsa unor proceduri organizatorice, din partea furnizorului de apă, cu privire la identificarea solicitanților când vine vorba de modificarea datelor personale.
Nu este singurul exemplu în care o entitate poate încălca GDPR pentru că nu depune suficiente diligențe pentru a vedea dacă persoana care solicită o anumită prelucrare de date este chiar persoana care ar avea acest drept. O situație asemănătoare a fost cea în care s-a demonstrat că exercitarea dreptului de acces la date (un drept pe care îl are oricine, ca să afle ce date deține o entitate despre el/ea) poate duce la situații în care terțe persoane încearcă să obțină, în mod fraudulos, informații despre alte persoane. Puteți găsi mai multe detalii despre acest lucru, aici.
După aceea, mai trebuie menționate unele lucruri despre prelucrarea legală a datelor și identificarea temeiului: în situația prezentată mai sus, Autoritatea spaniolă a sancționat entitatea investigată pentru că nu a existat consimțământ la prelucrarea datelor. Deși, în teorie, ar fi putut exista și alte temeiuri care să fi făcut prelucrarea legală în această situație (interesul legitim al firmei sau chiar executarea unei obligații legale - aceea de a actualiza constant datele colectate, pentru ca acestea să fie cât mai exacte), trebuie scoase în evidență două aspecte.
Pe de o parte, o firmă nu este liberă să aleagă orice temei îi convine sau să aleagă mai multe temeiuri și să justifice prelucrarea, ulterior, prin referire la cel mai „la îndemânâ” temei. Ea trebuie să depună diligențe pentru a vedea, în situația specifică, ce temei este obiectiv aplicabil în situația din speță (de exemplu, dacă discutăm de prelucrarea datelor în baza unei relații de muncă, s-ar putea ca nu consimțământul să fie cel mai potrivit temei, din cauza dezechilibrului dintre angajator și angajat, ceea ce ar putea crea dubii cu privire la existența unui consimțământ liber exprimat). Pe de altă parte, odată ales un temei, o firmă nu va putea, ulterior, să justifice prelucrarea pe baza altui temei. Puteți citi mai multe despre aceste chestiuni, aici.
În final, mai trebuie menționat că un consimțământ la prelucrarea datelor nu este același lucru cu un consimțământ la modificarea unui contract, în sensul legii civile. Cu alte cuvinte, tot ce am prezentat în acest articol se referă exclusiv la modificarea datelor dintr-un contract. Dacă doriți să modificați elementele contractului, precum drepturile și obligațiile pe care le aveți față de client, trebuie să obțineți un consimțământ de la acesta, pentru o astfel de modificare.
Atenție! Chiar dacă problema a apărut în fața Autorității spaniole de protecție a datelor, ea este relevantă și pentru noi, din cauză că vizează aplicarea GDPR, regulament aplicabil și în România exact ca în oricare alt stat membru al Uniunii Europene, cum e Spania.