Interesul legitim

Pentru că subiectele despre care scriu vin în ordinea „durerilor facerii„ din practica mea, astăzi am ajuns la  „interes legitim„, situație care, în opinia mea, va fi una dintre cele mai des întîlnite în majoritatea organizațiilor.

Scriu rîndurile de mai jos cu aceeași mențiune: este înțelegerea mea și nu o opinie juridică.

Situațiile prezentate în Art. 6 – Legalitatea prelucrării nu trebuie interpretate în ordinea prelucrării (consimțămînt-contract-obligație legală etc).

Art. 6 (f):

prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

(processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.)

Această prevedere exista și înainte de GDPR, în directiva 95/46/EC, Art. 7(f):

processing is necessary for the purposes of the legitimate interests pursued by the controller or by the third party or parties to whom the data are disclosed, except where such interests are overridden by the interests for fundamental rights and freedoms of the data subject which require protection under Article 1 (1).

Supriză! Exista și în Legea 677/2001 (dar din 2001 pînă acum datele personale au fost „prelucrate în acord cu legea„ și prin urmare….:) :

Art. 6 (e) când prelucrarea este necesară în vederea realizării unui interes legitim al operatorului sau al terțului căruia îi sunt dezvăluite datele, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate;

Lămuriri cu privire la interesul legitim există sub forma Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC. (Opinia trebuie citită neapărat pentru că explică destul de clar și situațiile care nu constituie „interes legitim„)

Din această Opinie aflăm că noțiunea de „interes” este strîns legată, dar distinctă de conceptul de „scop„:

  • scopul” este motivul specific pentru care datele sunt prelucrate
  • interesul„, este miza pe care un operator o poate avea în prelucrare sau beneficiul pe care îl obține (operatorul sau societatea)din prelucrare

Pentru că în definirea „interesului legitim„ apare și „cu excepția cazului în care prevalează interesele...„ interesul este legitim dacă:

  • este legal (adică în conformitate cu legislația UE și cu legislația națională aplicabilă);
  • este suficient de clar articulat pentru a permite testarea echilibrului (balancing test) între interesul operatorului și interesele și drepturile fundamentale ale persoanei vizate (adică suficient de specific);
  • este real și prezent (nu speculativ).

Articol

Recital

6 (f)- Legalitatea prelucrării

13 (d)- Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată

14 (2)(b) – Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată

21 (1)- Dreptul la opoziție

22 (2)(b) – Procesul decizional individual automatizat, inclusiv crearea de profiluri

49 (1) -Derogări pentru situații specifice

 

47-50, 68, 69

Recital 47 explică:

Interesele legitime ale unui operator, inclusiv cele ale unui operator căruia îi pot fi divulgate datele cu caracter personal sau ale unei terțe părți, pot constitui un temei juridic pentru prelucrare, cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate, luând în considerare așteptările rezonabile ale persoanelor vizate bazate pe relația acestora cu operatorul. Acest interes legitim ar putea exista, de exemplu, atunci când există o relație relevantă și adecvată între persoana vizată și operator, cum ar fi cazul în care persoana vizată este un client al operatorului sau se află în serviciul acestuia. În orice caz, existența unui interes legitim ar necesita o evaluare atentă, care să stabilească inclusiv dacă o persoană vizată poate preconiza în mod rezonabil, în momentul și în contextul colectării datelor cu caracter personal, posibilitatea prelucrării în acest scop. Interesele și drepturile fundamentale ale persoanei vizate ar putea prevala în special în raport cu interesul operatorului de date atunci când datele cu caracter personal sunt prelucrate în circumstanțe în care persoanele vizate nu preconizează în mod rezonabil o prelucrare ulterioară. Întrucât legiuitorul trebuie să furnizeze temeiul juridic pentru prelucrarea datelor cu caracter personal de către autoritățile publice, temeiul juridic respectiv nu ar trebui să se aplice prelucrării de către autoritățile publice în îndeplinirea sarcinilor care le revin. Prelucrarea de date cu caracter personal strict necesară în scopul prevenirii fraudelor constituie, de asemenea, un interes legitim al operatorului de date în cauză. Prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerată ca fiind desfășurată pentru un interes legitim. (N.M – Atenție la această ultimă propoziție care conține „poate fi„. Prin urmare, în cazul marketingului direct este posibil să mai fie nevoie și de altceva pe lîngă „interes legitim„. De exemplu, consimțămînt, în anumite cazuri.)

Recital 48:

Operatorii care fac parte dintr-un grup de întreprinderi sau instituții afiliate unui organism central pot avea un interes legitim de a transmite date cu caracter personal în cadrul grupului de întreprinderi în scopuri administrative interne, inclusiv în scopul prelucrării datelor cu caracter personal ale clienților sau angajaților. Principiile generale ale transferului de date cu caracter personal, în cadrul unui grup de întreprinderi, către o întreprindere situată într-o țară terță rămân neschimbate.

Cînd avem în vedere securitatea IT, Recital 49 este relevant:

Prelucrarea datelor cu caracter personal în măsura strict necesară și proporțională în scopul asigurării securității rețelelor și a informațiilor, și anume capacitatea unei rețele sau a unui sistem de informații de a face față, la un anumit nivel de încredere, evenimentelor accidentale sau acțiunilor ilegale sau rău intenționate care compromit disponibilitatea, autenticitatea, integritatea și confidențialitatea datelor cu caracter personal stocate sau transmise, precum și securitatea serviciilor conexe oferite de aceste rețele și sisteme, sau accesibile prin intermediul acestora, de către autoritățile publice, echipele de intervenție în caz de urgență informatică, echipele de intervenție în cazul producerii unor incidente care afectează securitatea informatică, furnizorii de rețele și servicii de comunicații electronice, precum și de către furnizorii de servicii și tehnologii de securitate, constituie un interes legitim al operatorului de date în cauză. Acesta ar putea include, de exemplu, prevenirea accesului neautorizat la rețelele de comunicații electronice și a difuzării de coduri dăunătoare și oprirea atacurilor de „blocare a serviciului”, precum și prevenirea daunelor aduse calculatoarelor și sistemelor de comunicații electronice. (N.M.- Aici lucrurile sînt clare: constituie!)

Atunci cînd „interesul legitim„ va fi folosit ca bază legală a prelucrării, înainte de a iniția prelucrarea, ar trebui:

  • să stabilim „realitatea„ interesului (trebuie să îmi protejez rețeaua)
  • să stabilim necesitatea prelucrării (este nevoie să colectez adrese IP)
  • ție, persoană vizată, nu îți încalc drepturi și nu îți afectez interese (din contră, este și interesul tău să afli dacă ești implicat, fără să știi, într-un atact informatic, de ex).

Altfel spus, „interesul legitim„ trebuie jutificat și nu folosit în mod abuziv dacă predomină drepturile și interesele persoanei vizate.„Interesul legitim„ nu este „șperaclul„ care îți asigură legalitatea prelucrării în orice situație (Art. 5 impune demonstrarea legalității prelucrării)

Atenție trebuie acum acordată și Art. 21 – Dreptul la opoziție,:

(1)   În orice moment, persoana vizată are dreptul de a se opune, din motive legate de situația particulară în care se află, prelucrării în temeiul articolului 6 alineatul (1) litera (e) sau (f) sau al articolului 6 alineatul (1) a datelor cu caracter personal care o privesc, inclusiv creării de profiluri pe baza respectivelor dispoziții. Operatorul nu mai prelucrează datele cu caracter personal, cu excepția cazului în care operatorul demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță.

De aici eu înțeleg că atît operatorul cît și persoana vizată trebuie să demonstreze ceva:

  • persoana vizată trebuie să prezinte motivele legate de situația personală
  • operatorul, dacă va continua prelucrarea, trebuie să justifice prelucrarea.

În cazul în care „există motive legitime care să prevaleze în ceea ce privește prelucrarea„, consider că și  „dreptul la ștergerea datelor„ este afectat și atenția va fi către dreptul privind restricționarea prelucrării (Art. 18) (de exemplu, voi păstra anumite înregistrări/documente pentru a-mi apăra drepturile și interesele în instanță)

Un exemplu:

Pînă în urmă cu doi ani, accesul în biblioteca facultății unde sînt profesor se făcea cu ajutorul unui sistem de identificare biometrică (scanarea amprentei unui deget). Acest mecanism de control (măsură de securitatea) nu a mai putut fi folosit avînd ca bază legală a prelucrării „interesul legitim„ al universității (în urma unei decizii a Autorității noastre).

Pe de altă parte, pentru a controla accesul în sala în care se află un calculator de proces de la o centrală nucleară consider că se poate folosi un astfel de mecanism iiar ca bază legală „interesul legitim„.

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s