Ce trebuie sa stii despre bazele legale pentru prelucrarea datelor cu caracter personal
12/06/2018
Prelucrarea datelor cu caracter personal se poate realiza exclusiv in baza unui temei valid. Conform GDPR, exista 6 baze legale disponibile pentru prelucrarea datelor, niciuna dintre ele nefiind mai buna sau mai importanta decat restul. Cea mai potrivita baza legala pentru business-ul tau depinde de scopul si de relatia companiei tale cu persoanele vizate.
Cele mai multe baze legale prevad ca prelucrarea datelor este “necesara”. Daca iti poti atinge scopul fara a prelucra date cu caracter personal, nu vei avea o baza legala.
Inainte de a demara prelucrarea datelor trebuie sa ai o baza legala si bine documentata. Ai grija sa stabilesti aceasta baza legala inca de la inceput pentru ca nu o vei putea schimba fara un motiv intemeiat.
Informarea privind confidentialitatea datelor trebuie sa includa baza legala de prelucrare si scopul acesteia. In cazul in care scopurile se modifica, este posibila continuarea prelucrarii in baza legala originala daca noul scop este compatibil cu cel initial, exceptand situatiile in care baza legala initiala a fost consimtamantul.
In cazul in care compania ta prelucreaza categorii de date speciale, este importanta identificarea unei baze legale pentru prelucrarea generala, cat si o conditie suplimentara privind datele speciale.
Daca prelucrezi date privind condamnarile penale sau date despre infractiuni, trebuie sa identifici atat o baza legala pentru prelucrarea generala, cat si o conditie suplimentara pentru prelucrarea acestui tip de date.
Cerinta de a avea o baza legala pentru prelucrarea datelor cu caracter personal nu este noua. GDPR pune insa un accent mai mare pe responsabilitate si pe transparenta activitatilor de prelucrare a datelor.
Cele 6 baze legale pentru prelucrare sunt in mare parte similare cu vechile conditii de prelucare, desi exista si unele diferente. Conform GDPR, este necesara revizuirea prelucrarii datelor si identificarea bazelor legale adecvate, precum si verificarea aplicarii acestora. In multe cazuri, exista probabilitatea ca noua baza sa corespunda bazei legale existente in ceea ce priveste prelucrarea datelor.
Cea mai mare schimbare adusa de GDPR se aplica autoritatilor publice, care trebuie sa ia in considerare mai intai noua sarcina “publica” pentru cea mai mare parte a prelucrarii datelor si care au un scop mai limitat, bazat pe consimtamant si pe interese legitime.
Poti alege o noua baza legala daca vechea baza legala de prelucrare a datelor nu este adecvata in cadrul GDPR sau daca decizi ca o alta baza este mai potrivita. Odata cu intrarea in vigoare a GDPR, schimbarea bazelor legale este mai greu de realizat daca descoperi ca baza initiala nu a fost valida. Daca nu ai identificat in mod clar baza sau bazele legale de la inceput, vei incalca GDPR.
GDPR aduce noi cerinte legate de responsabilitate si transparenta. Prin urmare, trebuie sa te asiguri ca bazele legale sunt clar documentate, astfel incat sa poti demonstra conformitatea cu articolul 5, alineatul (2) si cu articolul 24.
De ce este importanta baza legala pentru prelucrarea datelor?
Primul principiu GDPR impune prelucrarea legala, corecta si transparenta a tuturor datelor cu caracter personal. Prelucrarea este legala doar daca ai o baza legala in conformitate cu articolul 6. Acest lucru implica si necesitatea de a demonstra baza legala declarata.
Daca nu se aplica o baza legala prelucrarii tale, aceasta va fi ilegala si va incalca primul principiu. Persoanele fizice au dreptul de a solicita stergerea datelor cu caracter personal care au fost prelucrate ilegal.
Dreptul persoanei vizate de a fi informata implica necesitatea furnizarii informatiilor privind baza legala de prelucrare a datelor prin intermediul notificarii de confidentialitate a datelor. Baza legala pentru procesarea datelor poate afecta insa drepturile persoanelor vizate, existand situatii in care unele drepturi nu se vor aplica. Cu toate acestea, o persoana are intotdeauna dreptul de a se opune prelucrarii datelor in scopuri de marketing, indiferent de temeiul legal.
Care sunt bazele legale pentru prelucrarea datelor cu caracter personal?
Bazele legale pentru prelucrare sunt prevazute in articolul 6 din GDPR. Cel putin una dintre ele trebuie sa se aplice atunci cand prelucrezi date personale:
- Consimtamantul – persoana vizata si-a dat consimtamantul clar pentru a-i prelucra datele persoanele intr-un anumit scop.
- Contractul – prelucrarea este necesara pentru un contract incheiat cu persoana vizata.
- Obligatia legala – prelucrarea este necesara pentru a te conforma legii, fara a include obligatii contractuale.
- Interese vitale – prelucrarea este necesara pentru a proteja viata cuiva.
- Sarcina publica – prelucrarea este necesara pentru a indeplini o sarcina in interes public sau pentru functii oficiale, iar sarcina sau functia are o baza legala clara.
- Interesele legitime – prelucrarea este necesara pentru interesele tale legitime sau pentru interesele legitime ale unei terte parti, cu exceptia cazului in care exista un motiv intemeiat de a proteja datele personale ale persoanei, care are prioritate fata de aceste interese legitime.
Cand este necesara prelucrarea datelor
Multe dintre bazele legale pentru prelucrare implica necesitatea prelucrarii datelor, desi aceasta nu este intotdeauna esentiala. Baza legala nu se aplica daca scopul declarat se poate obtine prin alte mijloace mai putin invazive.
Cum decizi ce baza legala se aplica?
Acest lucru depinde de scopurile specifice ale companiei tale si de contextul prelucrarii datelor. Analizeaza ce baza legala se potriveste cel mai bine circumstantelor si documenteaz-o inca de la inceput. Este posibil sa identifici chiar mai multe baze legale. Este bine sa ai in vedere faptul ca nicio baza legala nu este mai buna, mai sigura sau mai importanta decat celelalte si ca nu exista nicio ierarhie a acestora in GDPR. Este recomandat sa tii cont de ceea ce vrei sa obtii (care este scopul tau) si sa urmaresti daca poti obtine acest lucru intr-un mod diferit, precum si daca ai posibilitatea de a alege daca vrei sau nu sa prelucrezi date personale.
In cazul in care prelucrezi date in alte scopuri decat obligatia legala, contractul, interesele vitale sau sarcina publica, atunci baza legala adecvata poate sa nu fie clara. In multe cazuri, exista posibilitatea de a alege intre folosirea intereselor legitime si consimtamant. Pentru a determina care este baza legala, ia in calcul urmatoarele aspecte:
Cine beneficiaza de prelucrarea datelor?
Persoanele vizate se asteapta ca datele lor sa fie prelucrate?
Care e relatia ta cu persoanele vizate?
Esti intr-o pozitie de putere in raport cu persoanele vizate?
Care este impactul prelucrarii asupra persoanelor vizate?
Este posibil ca unele persoanele vizate sa se opuna prelucrarii datelor?
Poti opri prelucrarea datelor in orice moment, la cererea persoanelor vizate?
Poti considera interesele legitime ca baza legala daca vrei sa pastrezi controlul asupra prelucrarii si daca iti asumi responsabilitatea pentru a demonstra ca prelucrarea datelor este in concordanta cu asteptarile rezonabile ale persoanelor vizate si ca aceasta nu are un impact nejustificat asupra lor. Pe de alta parte, daca preferi sa oferi persoanelor vizate controlul total si responsabilitatea asupra datelor lor, inclusiv posibilitatea de a-si schimba opinia cu privire la continuarea procesului prelucrare a datelor, cel mai bine este sa te bazezi pe consimtamantul acestora.