Interesul legitim în prelucrarea datelor
Interesul legitim în prelucrarea datelor cu caracter personal. Prelucrarea datelor cu caracter personal este posibilă în mod legal prin determinarea concretă a temeiului juridic în baza căruia se realizează această operațiune. Inexistența acestui temei conduce la încălcarea prevederilor Regulamentului (UE) 2016/679 (în continuare “Regulamentul” sau “GDPR”).
Conform art. 6 alin. (1) din Regulament, există șase temeiuri care pot sta la baza prelucrării datelor cu caracter personal de către operatori sau terțe persoane. Printre acestea regăsim și interesul legitim, un temei des utilizat de catre operatori datorită flexibilității lui, putându-se aplica oricărui tip de prelucrare care prezintă un scop admisibil. Totuși, acest temei al prelucrării trebuie să îndeplinească anumite cerințe pentru a justifica necesitatea prelucrării.
Operatorul trebuie să aibă în vedere următoarele aspecte: interesul legitim, pentru a putea asigura legalitatea procesului de prelucrare a datelor personale, trebuie să fie unul real, actual și , de asemenea, conform lit. f) a articolului 6 alin. (1), să nu fie devansat de interesele ori drepturile și libertățile fundamentale ale persoanei vizate. Pentru a verifica/demonstra existența acestor condiții, operatorul are posibilitatea de a recurge la o serie de măsuri organizatorice a căror finalitate este să arate în ce măsură este legală prelucrarea datelor. Ori de câte ori datele cu caracter personal sunt prelucrate în baza temeiului în discuție, este recomandată efectuarea unei analize asupra acestui interes legitim, dar și asupra posibilului grad de afectare ale drepturilor și libertăților fundamentale aparținând persoanelor vizate.
Modalitățile de realizare ale acestei cercetari sunt determinate de existența a două măsuri organizatorice, și anume, de elaborarea unei analize LIA (Legitimate Interest Assessment) ori, după caz, a unei evaluări de impact privind protecția datelor DPIA (Data Protection Impact Assessment). Diferențele dintre aceste două măsuri urmează a fi prezentate mai jos, fiind expuse atât asemănările, cât și deosebirile dintre instrumentele de analiză concretă a situației de fapt în care s-ar regăsi operatorul sau terța persoană care realizează prelucrarea datelor.
LIA reprezintă un tip de evaluare sumară a riscului generat de circumstanțele procesului de prelucrare a datelor, care nu este prevazută cu caracter obligatoriu pentru operator și nici expres menționată în Regulament. Elaborarea unei LIA reprezintă o modalitate prin care este asigurată îndeplinirea principiilor GDPR privind legalitatea, echitatea, transparența si responsabilitatea. Este o procedură prealabilă prelucrării datelor și abordarea acesteia ar presupune existența unei testari realizată în trei etape:
- Identificarea interesului legitim (Purpose test)
- Analiza necesității (Necessity test)
- Analiza proporționalității (Balancing test).
Dacă în urma analizei proporționalității este identificat un posibil risc ridicat pentru drepturile și libertățile fundamentale ale persoanelor vizate, se poate avea în vedere realizarea unei DPIA, acest instrument fiind expres reglementat de prevederile art. 35 GDPR.
DPIA, precum LIA, presupune întocmirea unei analize privind scopul prelucrării și identificarea, respectiv evaluarea riscului. Aceasta are la bază o fundamentare riguroasă, fiind necesara îndeplinirea unor cerințe specifice, reglementate expres de către GDPR. O diferență între aceste două măsuri organizatorice poate fi legată de temeiul invocat, DPIA putând fi realizată indiferent de temei, în timp ce LIA se fundamentează strict pe interesul legitim.
LIA pentru DPIA poate reprezenta o procedură prealabilă, care duce la nașterea acestui tip de evaluare atunci când prelucrarea datelor personale este una susceptibilă de generararea unui risc ridicat.
O asemănare, care reprezintă și o trăsătura definitorie pentru cele două măsuri analizate, este aceea că ambele modalități trebuie întocmite anterior demarării procesului de prelucrare a datelor personale, pentru asigurarea unei proceduri eficiente și aflată într-o continuă îmbunătățire.
Așadar, indiferent de modalitatea aleasă, operatorul, prin utilizarea unor măsuri organizatorice precum cele expuse anterior, trebuie să aibă în vedere demonstrarea existenței interesului legitim ca temei al operațiunii de prelucrare a datelor cu caracter personal, pentru a putea fi dovedită legalitatea procedurii expuse de GDPR.
Poți urmări articole de interes legate de protecția datelor pe paginile noastre de LinkdIn și Facebook sau pe site-ul nostru.
Pentru mai multe detalii, poți lua legătura cu avocații noști specializați în domeniul protecției datelor cu caracter personal.
Andreea Bologa – OTD Lawyers
