Secţiuni » Arii de practică » Protective » Data protection
Data protection
DezbateriConferinţeToate evenimenteleCărţiProfesionişti

Powered by SĂVESCU & ASOCIAŢII

Prelucrarea datelor cu caracter personal în scopul intereselor legitime urmărite de operator – soluție salvatoare sau nu?
25.07.2019 | Alexandru GEORGESCU

Secţiuni: Data protection, Opinii, Selected
JURIDICE - In Law We Trust
Alexandru Georgescu

Alexandru Georgescu

Alineatul 1 al articolului 6 din Regulamentul general privind protecția datelor cu caracter personal (Regulamentul UE nr. 679/2016, în continuare „Regulamentul” Legalitatea prelucrării, stipulează la litera f) că prelucrarea datelor cu caracter personal este legală dacă și în măsura în care această operațiune este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță dacă nu prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate care necesită protejarea datelor cu caracter personal, în special când este vorba despre un copil ca persoană vizată.

Modul foarte larg în care acest temei este reglementat, în practică poate crea dificultăți operatorului de date cu caracter personal care în anumite cazuri, fără a lua în considerare obligația de respectare a principiilor de prelucrare a datelor (ex. principiul reducerii la minimum a datelor) alege să își fundamenteze prelucrarea în baza interesului legitim. Din această perspectivă ne punem întrebarea dacă avem de a face cu o soluție salvatoare sau din contră este vorba despre un temei legal foarte complicat de folosit în practică. Răspunsul la întrebarea noastră trebuie circumstanțiat în funcție de specificul operatorului, de diligența acestuia în prelucrarea datelor cu caracter personal precum și de gradul de conștientizare al necesității respectării regulilor de prelucrare pentru protejarea intereselor sau drepturilor și libertăților fundamentale ale persoanelor vizate.

În contextul comunicatelor emise de Autoritatea Națională de Supraveghere a Prelucrărilor de Date cu Caracter Personal privind sancționarea unor operatori, interesul pentru ceea ce înseamnă respectarea regulilor și principiilor prelucrărilor de date cu caracter personal este readus în prim plan. Pentru a încerca să clarificăm situația în care un operator de date își poate întemeia prelucrarea în baza intereselor legitime urmărite de către acesta sau de către o terță parte, vom analiza rolul conceptului de interes legitim prin corelare cu alte temeiuri legale de prelucrare și vom evidenția etapele pe care operatorul trebuie să le parcurgă atunci când intenționează prelucrarea datelor cu caracter personal folosind temeiul legal al interesului legitim precum și modalitatea de documentare a parcurgerii acestor etape. În cadrul analizei noastre vom utiliza noțiunile și conceptele folosite de Grupul de lucru pentru articolul 29 în Avizul 06/2014 privind noțiunea de interese legitime ale operatorului de date prevăzute la articolul 7 din Directiva 95/46/CE.

NOȚIUNE ȘI DELIMITĂRI CONCEPTUALE

Deși menționat ca ultim temei legal al prelucrării datelor personale în arhitectura articolului 6 alin. 1 din Regulament, utilizarea acestui temei legal nu trebuie să fie percepută ca fiind o soluție salvatoare în situațiile în care celelalte temeiuri legale nu pot conferi legitimitate. Subliniem în acest context și faptul că Regulamentul prevede că prelucrarea este legală în baza interesului legitim al operatorului/terților dacă nu prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate (observăm că excepția vizează protecția tuturor drepturilor fundamentale ale persoanei fizice, nu numai dreptul la protecția datelor cu caracter personal).

Considerentul 47 al Regulamentului[1] menționează că interesele legitime ale unui operator/terț pot constitui temei legal de prelucrare cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate prin raportare la așteptările rezonabile ale persoanelor vizate bazate pe pe relația acestora cu operatorul.

Care sunt consecințele unei astfel de condiționări pentru operator?

În primul rând, trebuie evaluată relația pe care o are operatorul cu persoana vizată pentru a putea aprecia asupra „relației relevante” dintre aceștia, iar în al doilea rând asupra „așteptărilor rezonabile” din partea persoanei vizate.

Nu în ultimul rând trebuie înțeles din această condiționare faptul că interesul legitim nu reprezintă și nu trebuie să reprezinte un temei utilizabil pentru situațiile în care celelalte temeiuri nu sunt aplicabile sau ca o opțiune pentru a acoperi anumite lacune ale unor situații neprevăzute.

Mai mult de atât, suntem de părere că în special pentru acest temei legal, operatorul trebuie să pornească de la elementele care justifică necesitatea prelucrării, ceea ce impune o evaluare a acestei necesități, evaluare pe care operatorul să o poată documenta.

Astfel cum deja am precizat, vom reitera faptul că identificarea necesității și analiza interesului legitim în raport cu interesele, drepturile și libertățile persoanelor vizate nu înseamnă că pot fi făcute excepții de la respectarea celorlalte reguli de prelucrare sau cu privire la principiile prelucrărilor de date cu caracter personal.

ETAPE ÎN STABILIREA INTERESULUI LEGITIM CA TEMEI LEGAL AL PRELUCRĂRILOR DE DATE CU CARACTER PERSONAL

(i) TESTUL COMPARATIV

Avizul 06/2014 privind noțiunea de interese legitime ale operatorului de date prevăzute la articolul 7 din Directiva 95/46/CE prevede că prelucrarea bazată pe interes legitim necesită un test comparativ care reprezintă o comparare a interesului, a drepturilor și libertăților fundamentale ale persoanei vizate cu interesul legitim al operatorului/terțului.

Dificultatea acestui test rezidă din faptul că nu este vorba despre două valori ce pot fi facil cuantificabile, iar necunoscutele pot varia pe o scară foarte largă de la un operator la altul.

Pornind de la faptul că pentru a fi relevant, interesul legitim al operatorului trebuie:
(i) să fie în conformitate cu prevederile legale – atât dreptul UE, cât și legislația națională
(ii) să fie actual și real – să nu poată fi considerat speculativ
(iii) să fie expres determinat – să fie specific.

Operatorul trebuie să „lege” existența interesului de scopul prelucrării fără a-l confunda cu acesta pentru că scopul prelucrării reprezintă motivul determinant al prelucrării datelor în timp ce interesul este o cauză mai largă ce poate fi avută în vedere atunci când se urmărește prelucrarea în acest mod.

Un alt aspect care vizează analiza interesului legitim este cel legat de stringența acestuia, pentru că pot exista cazuri în care interesul urmărit de operator să nu fie stringent, caz în care interesul și drepturile persoanei vizate pot prevala.

Evaluarea intereselor, drepturilor și libertăților persoanei vizate

Recomandarea pentru un operator diligent, în contextul expansiunii tehnologiei și al prelucrărilor de date cu caracter personal este de a avea în vedere protecția tuturor intereselor persoanei vizate, Avizul privind noțiunea de interese legitime ale operatorului de date reținând un aspect de nuanță și anume faptul că spre deosebire de interesul legitim al operatorului, lipsa adjectivului „legitim” în cazul intereselor persoanelor vizate implică un domeniu de aplicare mai larg.

Elementele evaluării:

Operatorul trebuie să ia în considerare în evaluarea sa consecințele fie pozitive, fie negative pe care le are asupra persoanei vizate operațiunea de prelucrare respectivă. Aspectele avute în vedere includ atât elemente concrete, ușor cuantificabile, cât și chestiuni sensibile care vizează spectrul emoțional al persoanei vizate precum frica, iritarea, suferința psihică ce pot fi rezultate ale pierderii controlului asupra datelor cu caracter personal ori din constatarea asupra faptului că există posibilitatea ori chiar s-a produs periclitarea datelor, ca de exemplu, publicarea pe internet.

a) Natura și sursa datelor cu caracter personal

Operatorul va evalua natura datelor prelucrate pentru a stabili dacă sunt necesare măsuri suplimentare de protecție, dacă au fost obținute sau nu direct de la persoana vizată, dacă sunt categorii speciale de date.

b) Modalitatea de prelucrare a datelor

Operatorul va trebui să ia în considerare disponibilitatea metodelor alternative de prelucrare și mai puțin intruzive în viața privată a persoanei.

c) Așteptările rezonabile ale persoanei vizate

Operatorul, dând eficiență principiului limitării legate de scop, va trebui să analizeze statutul său (poziția sa în raport cu persoana vizată, pentru a identifica așteptările rezonabile ale persoanei vizate. De asemenea, granularitatea evaluării este diferită dacă persoana vizată este un minor sau nu.

d) Garanții suplimentare

Operatorul, în funcție de rezultatul evaluării, își va adapta măsurile tehnice și organizatorice astfel încât interesele, drepturile și libertățile persoanelor fizice să nu fie afectate sau un asemenea risc să fie cât mai mult diminuat/anihilat. Printre măsuri se pot regăsi cele privind anonimizarea/criptarea, măsuri eficiente de exercitare a drepturilor prevăzute de Regulament pentru persoanele vizate etc.

CONCLUZII

Ne dorim să atragem atenția asupra faptului că pentru prelucrarea în baza interesului legitim al operatorului/terțului, operatorul are responsabilitatea evaluării interesului legitim astfel cum am arătat, însă în același timp trebuie să țină cont de faptul că va trebui să efectueze o analiză atentă în funcție de circumstanțele fiecărui caz în parte pentru care există elemente de specificitate. În acest sens, un operator prudent și diligent nu va efectua un test formal sau abstract – iar pentru a nu ajunge în această situație va implica toate structurile sale funcționale relevante în prelucrarea preconizată și va documenta detaliat și în mod transparent această analiză. Pentru ce este necesară o asemenea abordare? Răspunsul credem că este cât se poate de evident – aplicarea în mod corect, transparent, suficient de clar articulat și detaliat a testului/evaluării interesului legitim îl va ajuta pe operator să comunice/să se apere atunci când persoanele interesate solicită informații în exercitarea drepturilor lor sau autoritatea de supraveghere solicită informații cu o cazia investigațiilor desfășurate.

Ceea ce este însă în afara oricărui dubiu în interpretare, este faptul că operatorul trebuie să își definească interesul urmărit în mod real pentru ca o asemenea evaluare să fie eficientă. Dacă în realitate interesul urmărit este cu totul altul sau doar convergent celui declarat, dacă acesta a fost insuficient detaliat, evaluarea/testul interesului legitim necesită să fie refăcută și nu poate constiui o bază documentată pentru prelucrare. 


[1] „Interesele legitime ale unui operator, inclusiv cele ale unui operator căruia îi pot fi divulgate datele cu caracter personal sau ale unei terțe părți, pot constitui un temei juridic pentru prelucrare, cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate, luând în considerare așteptările rezonabile ale persoanelor vizate bazate pe relația acestora cu operatorul. Acest interes legitim ar putea exista, de exemplu, atunci când există o relație relevantă și adecvată între persoana vizată și operator, cum ar fi cazul în care persoana vizată este un client al operatorului sau se află în serviciul acestuia. În orice caz, existența unui interes legitim ar necesita o evaluare atentă, care să stabilească inclusiv dacă o persoană vizată poate preconiza în mod rezonabil, în momentul și în contextul colectării datelor cu caracter personal, posibilitatea prelucrării în acest scop. Interesele și drepturile fundamentale ale persoanei vizate ar putea prevala în special în raport cu interesul operatorului de date atunci când datele cu caracter personal sunt prelucrate în circumstanțe în care persoanele vizate nu preconizează în mod rezonabil o prelucrare ulterioară. Întrucât legiuitorul trebuie să furnizeze temeiul juridic pentru prelucrarea datelor cu caracter personal de către autoritățile publice, temeiul juridic respectiv nu ar trebui să se aplice prelucrării de către autoritățile publice în îndeplinirea sarcinilor care le revin. Prelucrarea de date cu caracter personal strict necesară în scopul prevenirii fraudelor constituie, de asemenea, un interes legitim al operatorului de date în cauză. Prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerată ca fiind desfășurată pentru un interes legitim.” Regulamentul UE 679/2016 disponibil aici.


Drd. Alexandru Georgescu

Cuvinte cheie: , , , , ,
Vă invităm să publicaţi şi dvs., chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Totuşi, vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa de e-mail redactie@juridice.ro!

JURIDICE.ro foloseşte şi recomandă My Justice

JURIDICE CORPORATE
JURIDICE MEMBERSHIP
Juristi
JURIDICE pentru studenti









Subscribe
Notify of

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

0 Comments
Inline Feedbacks
View all comments
Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.

Secţiuni        Selected     Noutăţi     Interviuri        Arii de practică        Articole     Jurisprudenţă     Legislaţie        Cariere     Evenimente     Profesionişti