Photo by Kelly Sikkema on Unsplash |
Comitetul european pentru protecția datelor (CEPD) a publicat Ghidul de bune practici nr.1/2024 pentru cazul prelucrărilor de date personale justificate de intersul legitim.
Sunt multe lucruri interesante, dar mi-a atras atenția o încercare de a defini ce înseamnă așteptarea rezonabilă din partea persoanelor vizate, la care trimite textul din art. 47 GDPR.
Se arată că așteptările rezonabile nu depind neapărat de informațiile furnizate persoanelor vizate. În timp ce omisiunea de informații poate contribui la surprinderea persoanei vizate de o anumită prelucrare, simpla îndeplinire a obligațiilor de informare prevăzute la articolele 12, 13 și 14 GDPR nu este suficientă ca să se considere că persoanele vizate se pot aștepta în mod rezonabil la o anumită prelucrare.
Următoarea listă este menită să ilustreze elemente contextuale care pot fi luate în considerare în evaluarea așteptărilor rezonabile ale persoanelor vizate atunci când este invocat interesul legitim pentru a justifica o anumită prelucare de date personale.
Caracteristici ale relației cu persoana vizată sau ale serviciului:
- Însăși existența unei relații cu persoana vizată (de exemplu, ar trebui să distingem între clienți și neclienți), inclusiv data încetării contractului, acolo unde este cazul;
- Cât de stânsă este relația (de exemplu, cazurile în care un operator face parte dintr-un grup de companii cu o singură marcă vs. grup de companii care au doar obligații economice necunoscute clientului mediu, deoarece în acest din urmă caz persoana vizată este mai puțin probabil să aștepte în mod rezonabil schimbul de date între entitățile din grup);
- Locul și contextul culegerii datelor (de exemplu, persoanele vizate s-ar putea aștepta la CCTV într-o bancă dar nu în instalațiile sanitare sau în saună);
- Natura și caracteristicile serviciului (de exemplu, diferența dintre un client obișnuit și un potențial client care s-a abonat doar la un buletin informativ, aceștia vor avea așteptări rezonabile diferite);
- Cerințe legale aplicabile în contextul relevant (de exemplu, cerințe de confidențialitate aplicabile relatiei dintre client și serviciu).
Caracteristicile persoanelor vizate „medii” ale căror date cu caracter personal urmează să fie prelucrate. Ar trebui să se ia în considerare persoana vizată „medie” – cu excepția cazului în care prelucrarea este probabil să afecteze diferit grupuri de persoane vizate cu caracteristici diferite:
- Vârsta persoanei vizate (așteptările rezonabile ale minorilor pot fi diferite de cele ale adulților),
- Măsura în care persoana vizată este o persoană publică,
- Poziția profesională pe care o deține persoana vizată și nivelul de înțelegere și cunoaștere a prelucrării preconizate pe care este probabil să o aibă într-un anumit context (de ex. personalul care urmează să fie implicat într-un proces de interviu de angajare s-ar aștepta că unele dintre datele personale urmează să fie partajate cu solicitanții de locuri de muncă).
În ce privește pelucrările în scop de marketing, ghidul arată că interesul legitim nu acoperă întotdeauna pelucrarea de date în scop de marketing, și că operatorii ar trebui să analizeze dacă consimțământul persoanei vizate nu este o justificare mai bună pentru asfel de prelucrări.
Comentarii