GDPR

GDPR explicitat (4): Verificați legalitatea prelucrării și obțineți Consimțământul

 

AU MAI RĂMAS 306 zile

GDPR Ready! este o inițiativă care își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018.

 

Înainte de a putea procesa date personale, trebuie să identificați și să vă raportați la o bază legală. Aceste considerente sunt denumite generic “legalitatea prelucrării” și sunt specificate în Articolul 6, care se ocupă de legalitatea condițiilor de prelucrare.  Ce se înțelege prin consimțământ și cum trebuie acesta obținut și dovedit veți găsi în paragraful special dedicat.  

În cadrul proceselor aferente obținerii conformității GDPR este foarte important să determinați baza legală pentru prelucrarea datelor cu caracter personal și să documentați acest lucru. De multe ori această bază legală poate avea efect asupra drepturilor persoanelor. De exemplu, persoanele de la care primiți un consimțământ clar pentru prelucrarea datelor vor avea și drepturi mai puternice, cum ar fi dreptul de a fi uitat – adică opțiunea de ștergere a datelor.

Dar haideți să trecem în revistă prevederile de la Articolul 6 – ”Legalitatea condițiilor de prelucrare”. La Alineamentul 1 se specifică foarte clar că ”Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una dintre următoarele condiţii”:

a. consimțământ – persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

b. contract – prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

c. obligație legală – prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului;

d. interese vitale – prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;

e. interes public – prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul;

f. interese legitime – prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terţă, cu excepţia cazului în care prevalează interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

Ce este Consimțământul?

În contextul GDPR prin consimțământ se înțelege o confirmare clară a faptului că persoana vizată a fost informată, știe și este de acord cu prelucrarea datelor sale personale de către operator, în scopurile stabilite împreună cu acesta. În plus: 

  • această dovadă trebuie să fie clară, liberă, specifică, informată și lipsită de ambiguitate; 
  • trebuie să reprezinte o formă de acțiune afirmativă clară; 
  • în cazul chestionarelor ce au ca scop obținerea consimțământului sunt excluse ambiguități legate de necompletarea sau pre-bifarea unui căsuțe de dialog; 
  • consimțământul trebuie să fie separat de alți termeni și condiții; 
  • consimțământul trebuie să fie verificabil;
  • trebuie să existe modalități simple pentru ca oamenii să-și retragă consimțământul;
  • autoritățile publice și angajatorii vor trebui să aibă grijă deosebită pentru a se asigura că acordul este acordat în mod liber.

Evident că la condițiile Articolului 6, Alineatul 1 există și o serie de excepții. Astfel, prevederile de la Litera (f) nu se aplică în cazul prelucrării efectuate de către autoritățile publice în îndeplinirea atribuțiilor lor. Pentru prevederile de la Literele (c) și (e), GDPR e destul de flexibil, permițând statelor membre UE să introducă dispoziții mai specifice, aliniate legislațiilor interne.

În cazul în care prelucrarea se face în alt scop decât cel pentru care au fost colectate datele cu caracter personal și pentru care nu există consimţământul persoanei vizate, operatorii și procesatorii de date trebuie să ia în considerare prevederile de la Articolul 6, Alineatul 4. Pentru a putea stabili dacă prelucrarea în alt scop este compatibilă cu scopul inițial pentru care au fost colectate datele cu caracter personal, aceștia trebuie să ia în considerare, printre altele:

  • orice legătură dintre scopurile în care datele cu caracter personal au fost colectate şi scopurile prelucrării ulterioare preconizate;
  • contextul în care datele cu caracter personal au fost colectate, mai ales privind relaţia dintre persoanele vizate şi operator;
  • natura datelor cu caracter personal, în special în cazul prelucrării unor categorii speciale dedate, conform Articolului 9, sau pentru date referitoare la condamnări penale şi infracţiuni, conform Articolului 10;
  • posibilele consecinţe asupra persoanelor vizate legate de prelucrările ulterioare;
  • existenţa unor garanţii adecvate, care pot include criptarea sau atribuirea de pseudonime.

Așadar, pe lângă condițiile generale, trebuie avute în vedere condițiile specifice pentru categoriile speciale de date. În Articolul 9, Alineatul 1 se stipulează clar că: ”Se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice.”

În Articolul 9, Alineatul 2 se enumerează situațiile de excepție în care nu se aplică prevederile de la Alineatul 1, deci cazuri speciale în care este permisă prelucrarea datelor cu caracter personal:

  • persoana vizată şi-a dat consimţământul explicit pentru prelucrarea datelor pentru unul sau mai multe scopuri specifice, cu excepţia cazului în care legislația locală nu recunoaște consimţământul persoanei vizate;
  • prelucrarea este necesară pentru îndeplinirea unor obligaţii ale operatorului sau drepturi specifice ale persoanei vizate în domeniile ocupării forţei de muncă, securităţii sociale şi protecţiei sociale, cu aplicarea legislației locale;
  • prelucrarea vizează protejarea intereselor vitale, atunci când persoana vizată e incapabilă fizic sau juridic să îşi dea consimţământul;
  • prelucrarea este garantată de activităţile legitime ale unor fundaţii, asociaţii sau organisme nelucrative, cu specific politic, filozofic, religios sau sindical, dar numai pentru membri sau foşti membri;
  • prelucrarea se referă la date personale care sunt făcute publice în mod manifest de către persoana vizată;
  • prelucrarea e necesară la constatarea, exercitarea sau apărarea unui drept în instanţă;
  • prelucrarea se face din motive de interes public major, în baza dreptului Uniunii sau a dreptului intern;
  • prelucrarea în scopuri legate de medicina preventivă sau a muncii, evaluarea capacităţii de muncă, stabilirea unui diagnostic medical, asistenţă medicală sau socială;
  • prelucrarea din motive de interes public în domeniul sănătăţii publice;
  • prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, conform Articolului 89, Alineatul 1.

Legat de acestea, în Articolul 9, Alineatul 4 se precizează că fiecare stat poate menţine sau introduce condiţii suplimentare sau restricţii în cazul prelucrării de date genetice, biometrice sau privind sănătatea.

O altă situație cu totul specială este prelucrarea datelor personale referitoare la condamnări penale şi infracţiuni. Articolul 10 precizează că în astfel de situații prelucrarea datelor personale precum și deținerea unor registre privind condamnările penale se face numai sub controlul unei autorităţi de stat.

Dar pot exista o mulțime de situații în care prelucrarea datelor nu are nevoie de identificare, adică de asociere a unor seturi de date cu o anumită persoană. În această situație se pot încadra multe dintre analizele de piață și cercetări de marketing care au ca scop obținerea de informații statistice generale, atribuite unor grupuri de consumatori sau categorii profesionale. În Articolul 11: ”Prelucrarea care nu necesită identificare”, Alineatul 1 se arată că ”în cazul în care scopurile pentru care un operator prelucrează date cu caracter personal nu necesită sau nu mai necesită identificarea unei persoane vizate de către operator, operatorul nu are obligaţia de a păstra, obţine sau prelucra informaţii suplimentare pentru a identifica persoana vizată în scopul unic al respectării prezentului regulament”.

Conform Articolului 11, Alineatul 2,  dacă operatorul poate demonstra că nu este în măsură să identifice persoana vizată sau în cazul în care e posibil operatorul informează persoana vizată în mod corespunzător, Articolele 15-20 din capitolul de drepturi ale persoanei vizate, nu se aplică. Excepția care poate apărea aici atunci când persoana vizată oferă informaţii suplimentare ce permit identificarea sa, tocmai în scopul exercitării drepturilor sale prevăzute de respectivele articole. Vom relua aceste aspecte în următorul articol din seria GDPR explicitat.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready! În următorul material ne vom ocupa de Drepturile persoanei vizate  – Capitolul IV din GDPR. 

Articole anterioare:

15 thoughts on “GDPR explicitat (4): Verificați legalitatea prelucrării și obțineți Consimțământul

  1. Pingback: GDPR explicitat: Dreptul de a fi informat si Ce informații trebuie trimise | cloud☁mania
  2. Pingback: GDPR explicitat: Dreptul de acces, rectificare, ștergere sau restricționare | cloud☁mania
  3. Pingback: GDPR explicitat (7): Dreptul la portabilitatea datelor, obiecții și luarea automată a deciziilor | cloud☁mania
  4. Pingback: GDPR explicitat (8): Responsabilitatea și guvernanța în noua viziune GDPR | cloud☁mania
  5. Pingback: GDPR explicitat (8): Responsabilitatea și guvernanța în noua viziune | cloud☁mania
  6. Pingback: GDPR explicitat (9): Data protection by design and by default | cloud☁mania
  7. Pingback: GDPR explicitat (10): Importanța evaluărilor de impact (DPIA) | cloud☁mania
  8. Pingback: GDPR Explicitat (11) : Un personaj important – Data Protection Officer (DPO) | cloud☁mania
  9. Pingback: GDPR Explicitat (12): Transferul internațional de date | cloud☁mania
  10. Pingback: GDPR Explicitat (13): Notificarea breșelor de securitate | cloud☁mania
  11. Pingback: GDPR Explicitat (14): Coduri de Conduită și Mecanisme de Certificare | cloud☁mania
  12. Pingback: GDPR Explicitat (15): Penalitățile cu care vine GDPR | cloud☁mania
  13. Pingback: GDPR explicitat (4): Verificați legalitatea prelucrării și obțineți Consimțământul – GDPR Ready!
  14. Pingback: Casă nouă pentru GDPR Ready! – GDPR Ready!
  15. Pingback: Casă nouă pentru GDPR Ready! | cloud☁mania

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.