gdpr.interesul-legitim
ianuarie 16, 2023 rcplegal 0 Comments

Organizatiile pot prelucra date cu caracter personal numai daca identifica un temei legal valid pentru respectiva prelucrare. GDPR enumera limitativ temeiurile care pot sta la baza prelucrarilor de date cu caracter personal.

Interesul legitim reprezinta unul dintre cele sase temeiuri legale care stau la baza prelucrarii datelor cu caracter personal, fiind reglementat in art. 6 (1) f) din Regulamentul (UE) 2016/679 (RGPD). Astfel, conform acestui articol, prelucrarea este necesara in scopul intereselor legitime urmarite de operator sau de o parte terta, cu exceptia cazului in care prevaleaza interesele sau drepturile si libertatile fundamentale ale persoanei vizate, care necesita protejarea datelor cu caracter personal, in special atunci cand persoana vizata este un copil.

Avantajele folosirii temeiului interesului legitim

Spre deosebire de celelalte temeiuri stipulate in Regulament, interesul legitim nu are un caracter specific, ingloband o gama larga de contexte juridice. Datorita acestui caracter flexibil, tot mai multi operatori aleg sa il invoce atunci cand prelucreaza date cu caracter personal.

De exemplu, interesul legitim poate fi utilizat atunci cand prelucrarea nu este ceruta de lege, ci are un beneficiu pentru operator sau pentru altii, cand exista un impact limitat asupra vietii private a persoanei vizate sau cand operatorul nu poate / nu doreste sa dea un control complet persoanei vizate (prin consimtamant) asupra prelucrarii pe care o efectueaza.

Limitele in care putem invoca temeiul interesului legitim.

Cu toate acestea, interesul legitim nu poate fi folosit discretionar, putand fi utilizat doar in anumite conditii, prin raportare la situatia de fapt. Astfel, tinandu-se cont de circumstantele si domeniul de activitate al operatorului, trebuie echilibrate interesele societatii care prelucreaza datele cu caracter personal cu interesele individuale ale persoanelor vizate si numai apoi, daca in urma testului de echilibrare rezulta prevalenta intereselor operatorului, poate fi  invocat interesul legitim ca temei pentru prelucrarea datelor cu caracter personal.

Articolul 6 (1) lit. f) din GDPR impune organizatiilor sa se asigure ca interesul lor legitim nu este depasit de interesele sau drepturile si libertatile fundamentale ale persoanelor vizate. Prin urmare, o analiza de tipul LIA (in sensul de a pune in balanta interesul legitim cu drepturile persoanelor vizate) va trebui efectuata in toate cazurile.

Se ridica totusi o intrebare: va trebui fiecare LIA documentata sau formalizata in vreun fel?

Fara indoiala, documentarea LIA reprezinta o buna-practica pentru organizatii.

Mai mult, pentru prelucrarile complexe sau intruzive, consideram ca documentarea LIA devine absolut necesara. Nu acelasi lucru se poate spune insa despre prelucrarile total nesofisticate, pentru care echilibrul dintre interesul legitim si drepturile persoanelor vizate transpare in mod facil, intuitiv.

In mod tipic, LIA are trei parti:

1. Descrierea interesului legitim,

2. Fundamentarea necesitatii, si

3. Fundamentarea proportionalitatii

Fundamentarea proportionalitatii reprezinta partea cea mai complexa si sensibila a unei LIA. In esenta, sectiunea va trebui sa fundamenteze echilibrul dintre interesul legitim al organizatiei si drepturile persoanelor vizate.

Pentru evaluarea unui atare echilibru, se vor avea in vedere diverse criterii, cum ar fi:

•          Natura si volumul datelor prelucrate

•          Asteptarile persoanelor vizate cu privire la prelucrare

•          Potentialul impact asupra persoanelor vizate

•          Potentialul impact asupra organizatiei

Ca urmare a aplicarii criteriilor sus-enuntate, organizatiile ar putea ajunge la concluzia ca interesul lor legitim este mai putin relevant decat dreptul la viata privata al persoanelor vizate. In acest caz, se va impune implementarea unor masuri de contra-balansare, asa-numitele „masuri de salvgardare: limitarea tipurilor de date prelucrate, limitarea perioadei de retentie a datelor, restrictionarea accesului la date (privilegii de acces limitate, chiar si in randul personalului relevant), utilizarea tehnicilor de anonimizare, agregare a datelor, privacy by design.

Concluzie: Desi temeiul interesului legitim reprezinta cea mai flexibila baza de prelucare a datelor personale si este recomandat a fi folosit atunci cand exista un scop clar al operatorului  si un impact minim asupra persoanelor vizate, se observa totusi ca aceasta flexibilitate reclama o reponsabilitate sporita din partea operatorului in a demonstra legalitatea prelucrarii si respectarea echilibrului intre interesele sale si cele ale persoanelor vizate.

Leave a Reply:

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *