Evaluarea intereselor legitime in cadrul GDPR
Ce sunt interesele legitime?
Pentru ca organizatia dvs. sa proceseze datele personale ale persoanelor fizice, trebuie sa aiba o baza legala, sau un temei juridic.
Regulamentul general privind protectia datelor (UE) 2016/679-GDPR defineste sase baze legale in temeiul carora carora pot fi procesate date cu caracter personal:
Prelucrarea este legala numai daca si in masura in care se aplica cel putin una dintre urmatoarele conditii:
a) persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
b) prelucrarea este necesara pentru executarea unui contract la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui contract;
c) prelucrarea este necesara in vederea indeplinirii unei obligatii legale care ii revine operatorului;
d) prelucrarea este necesara pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
e) prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul;
f) prelucrarea este necesara in scopul intereselor legitime urmarite de operator sau de o parte terta, cu exceptia cazului in care prevaleaza interesele sau drepturile si libertatile fundamentale ale persoanei vizate, care necesita protejarea datelor cu caracter personal, in special atunci cand persoana vizata este un copil.
Interesele Operatorilor pot fi definite ca un avantaj sau beneficii pentru acestia, sau ca o participare la procesare sau rezultatul acesteia. Din cauza acestor "interese", GDPR justifica o evaluare atunci cand se utilizeaza acest temei juridic, cu Considerentul 47, care stipuleaza ca "existenta unui interes legitim ar necesita o evaluare atenta".
INTEMEIEREA PRELUCRARII PE INTERESE LEGITIME
Intemeierea pe interese legitime pentru prelucrarea datelor cu caracter personal este legala numai atunci cand o astfel de prelucrare este necesara si interesele operatorilor nu sunt depasite de drepturile si libertatile persoanei vizate. De asemenea, GDPR constata ca interesele legitime nu pot fi invocate de autoritatile publice in indeplinirea sarcinilor lor.
GDPR impune documentarea oricarei evaluari si decizii privind interesele legitime, precum si mentionarea in informarile de confidentialitate a tuturor intereselor legitime urmarite de operator sau de o terta parte in cazul in care prelucrarea se bazeaza pe articolul 6 alineatul (1) litera (f).
Dintre cele sase baze legale, interesele legitime sunt cele mai flexibile, dar aceasta nu inseamna ca este cea mai potrivita. Este probabil sa fie cea mai potrivita atunci cand folositi datele oamenilor in moduri pe care acestia le-ar putea astepta in mod rezonabil si ar avea un impact minim asupra vietii private sau in cazul in care exista o justificare convingatoare pentru prelucrare.
Daca alegeti sa va bazati pe interese legitime, va asumati o responsabilitate suplimentara pentru a examina si a proteja drepturile si interesele cetatenilor.
Interesele legitime pot fi propriile dvs. interese sau interesele tertilor vorbim asadar de o gama larga de interese care pot fi legitime. GDPR mentioneaza in mod specific folosirea datelor personale ale clientilor sau ale angajatilor, marketing-ul, prevenirea fraudei, transferurile intragrup sau securitatea IT ca potentiale interese legitime, dar aceasta nu este o lista exhaustiva.
inainte de a va decide ca interesele legitime sunt cea mai potrivita baza legala, efectuati o evaluare a intereselor legitime (Legitimate Interests Assessments-LIA).
Evaluarea intereselor legitime (LIA) este un tip de evaluare a riscurilor bazat pe contextul si circumstantele specifice care va vor ajuta sa va asigurati ca procesarea dvs. este legala.
ETAPELE EVALUARII INTERESELOR LEGITIME
In timp ce GDPR nu specifica formatul evaluarii intereselor legitime, Autoritatea de supraveghere din UK - the Information Commissioners Office (ICO) si Grupul de lucru Articolul 29 (WP29-EDPG) se refera la etapele evaluarii pentru a determina daca interesul legitim este cea mai potrivita baza legala pentru procesare.
Ghidul privind transparenta, emis de Grupul de lucru Articolul 29 WP29 recomanda:
"Interesul specific in cauza trebuie sa fie identificat in beneficiul persoanei vizate. in ceea ce priveste cele mai bune practici, operatorul de date ar trebui, de asemenea, sa furnizeze persoanei vizate informatiile privind testul de echilibrare, care ar fi trebuit sa fie efectuat de catre operator pentru a intemeia prelucrarea pe prevederile articolului 6.1 litera f din GDPR, inaintea oricarei colectari de date cu caracter personal.
Pentru evitarea furnizarii unor informatii obositoare, aceastea pot fi incluse intr-o declaratie/nota de confidentialitate stratificata. in orice caz, pozitia WP29 este aceea ca informatiile furnizate persoanei vizate ar trebui sa clarifice faptul ca acestea pot obtine informatii privind testul de echilibrare la cerere. Acest lucru este esential pentru o transparenta efectiva in cazul in care persoanele vizate au indoieli cu privire la faptul ca testul de echilibrare a fost efectuat in mod echitabil sau daca doresc sa depuna o plangere la o autoritate de supraveghere.
ICO a structurat testul pentru evaluarea utilizarii intereselor legitime ca temei juridic pentru prelucrarea datelor cu caracter personal in 3 parti:
1. Scop
2. Necesitate
3. Echilibrare
SCOPUL
Documentarea scopului prelucrarii si a functiei pe care o serveste pentru operator ofera baza pentru identificarea oricarui interes legitim si documentarea acestuia. Definirea scopului permite operatorului sa stabileasca care baza juridica este cea mai adecvata si sa treaca la celelalte etape de evaluare daca interesele legitime sunt considerate adecvate.
In acest stadiu, trebuie inregistrate/evidentiate toate interesele identificate, chiar daca operatorul nu se bazeaza pe toate pentru prelucrare. Interesele pot fi ale operatorului sau ale tertilor, pot fi interese comerciale si avantaje/beneficii sociale mai largi. Interesele convingatoare si semnificative nu vor fi usor de inlaturat de drepturile si libertatile persoanelor la efectuarea testului de echilibrare.
NECESITATEA
ICO defineste "necesitatea", deoarece "procesarea datelor trebuie sa fie o modalitate vizata si proportionala pentru atingerea scopului dvs." Trebuie sa puteti demonstra ca prelucrarea este necesara si sa dovediti ca nu exista nici o cale mai putin intruziva pentru a obtine acelasi rezultat. Luati in considerare interesele legitime mentionate in prima etapa si orice obiective de afaceri relevante pentru procesare. Este procesarea "necesara" pentru atingerea acestor interese si obiective?
Daca puteti identifica o alta modalitate (mai putin intruziva) de a atinge acelasi obiectiv sau interes (sau a determina ca prelucrarea nu este necesara), atunci nu ar trebui sa va bazati pe interese legitime.
ECHILIBRAREA
Etapa finala a unei evaluari a intereselor legitime (LIA) este de a echilibra prelucrarea impotriva intereselor, drepturilor si libertatilor persoanei vizate. Aceasta inseamna documentarea si demonstrarea unei evaluari a acelor drepturi si libertati si asigurarea faptului ca interesele persoanei vizate nu prevaleaza intereselor urmarite de operator sau de o terta parte.
Aceasta etapa se refera la luarea in considerare a impactului pe care prelucrarea intentionata ar putea sa o aiba/o va avea asupra unei persoane si evaluarea oricarui impact asupra intereselor identificate de operator.
Dupa efectuarea LIA cu cele 3 parti si aveti un rezultat al evaluarii si o decizie asumata, aprobata in acest sens, asigurati-va ca pastrati si o evidenta a acesteia.
Nu exista un format standard pentru un astfel de document, dar este important sa inregistrati rationamentul si decizia dvs, pentru a demonstra ca aveti procese adecvate de luare a deciziilor si ca justificati rezultatul.
Revizuiti LIA si actualizati-o daca exista o schimbare semnificativa in scopul, natura sau contextul prelucrarii.
Daca nu sunteti sigur de rezultatul testului de echilibrare, ar fi mai indicat sa va raportati la o alta baza legala. Interesele legitime nu vor fi de cele mai multe ori baza legala cea mai adecvata pentru procesarea care este neasteptata sau cu risc ridicat.
Daca va bazati pe interese legitime in procesarea datelor, amintiti-va ca trebuie sa le precizati persoanelor vizate prin notificarea dvs. privind confidentialitatea faptul ca va bazati pe interese legitime si trebuie sa le explicati care sunt aceste interese.
Daca doriti sa procesati datele personale pentru un scop nou, puteti continua procesarea in interese legitime, atata timp cat noul dvs. scop este compatibil cu scopul original. in acest caz, este recomandabil sa efectuati o noua LIA, deoarece acest lucru va va ajuta sa demonstrati compatibilitatea.
Daca va bazati pe interese legitime pentru procesarea datelor personale, trebuie sa stiti ca dreptul de a obiecta (dreptul de opozitie) al persoanei vizate este absolut si trebuie sa opriti procesarea atunci cand cineva obiecteaza.
Pentru ca organizatia dvs. sa proceseze datele personale ale persoanelor fizice, trebuie sa aiba o baza legala, sau un temei juridic.
Regulamentul general privind protectia datelor (UE) 2016/679-GDPR defineste sase baze legale in temeiul carora carora pot fi procesate date cu caracter personal:
Prelucrarea este legala numai daca si in masura in care se aplica cel putin una dintre urmatoarele conditii:
a) persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
b) prelucrarea este necesara pentru executarea unui contract la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui contract;
c) prelucrarea este necesara in vederea indeplinirii unei obligatii legale care ii revine operatorului;
d) prelucrarea este necesara pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
e) prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul;
f) prelucrarea este necesara in scopul intereselor legitime urmarite de operator sau de o parte terta, cu exceptia cazului in care prevaleaza interesele sau drepturile si libertatile fundamentale ale persoanei vizate, care necesita protejarea datelor cu caracter personal, in special atunci cand persoana vizata este un copil.
Interesele Operatorilor pot fi definite ca un avantaj sau beneficii pentru acestia, sau ca o participare la procesare sau rezultatul acesteia. Din cauza acestor "interese", GDPR justifica o evaluare atunci cand se utilizeaza acest temei juridic, cu Considerentul 47, care stipuleaza ca "existenta unui interes legitim ar necesita o evaluare atenta".
INTEMEIEREA PRELUCRARII PE INTERESE LEGITIME
Intemeierea pe interese legitime pentru prelucrarea datelor cu caracter personal este legala numai atunci cand o astfel de prelucrare este necesara si interesele operatorilor nu sunt depasite de drepturile si libertatile persoanei vizate. De asemenea, GDPR constata ca interesele legitime nu pot fi invocate de autoritatile publice in indeplinirea sarcinilor lor.
GDPR impune documentarea oricarei evaluari si decizii privind interesele legitime, precum si mentionarea in informarile de confidentialitate a tuturor intereselor legitime urmarite de operator sau de o terta parte in cazul in care prelucrarea se bazeaza pe articolul 6 alineatul (1) litera (f).
Dintre cele sase baze legale, interesele legitime sunt cele mai flexibile, dar aceasta nu inseamna ca este cea mai potrivita. Este probabil sa fie cea mai potrivita atunci cand folositi datele oamenilor in moduri pe care acestia le-ar putea astepta in mod rezonabil si ar avea un impact minim asupra vietii private sau in cazul in care exista o justificare convingatoare pentru prelucrare.
Daca alegeti sa va bazati pe interese legitime, va asumati o responsabilitate suplimentara pentru a examina si a proteja drepturile si interesele cetatenilor.
Interesele legitime pot fi propriile dvs. interese sau interesele tertilor vorbim asadar de o gama larga de interese care pot fi legitime. GDPR mentioneaza in mod specific folosirea datelor personale ale clientilor sau ale angajatilor, marketing-ul, prevenirea fraudei, transferurile intragrup sau securitatea IT ca potentiale interese legitime, dar aceasta nu este o lista exhaustiva.
inainte de a va decide ca interesele legitime sunt cea mai potrivita baza legala, efectuati o evaluare a intereselor legitime (Legitimate Interests Assessments-LIA).
Evaluarea intereselor legitime (LIA) este un tip de evaluare a riscurilor bazat pe contextul si circumstantele specifice care va vor ajuta sa va asigurati ca procesarea dvs. este legala.
ETAPELE EVALUARII INTERESELOR LEGITIME
In timp ce GDPR nu specifica formatul evaluarii intereselor legitime, Autoritatea de supraveghere din UK - the Information Commissioners Office (ICO) si Grupul de lucru Articolul 29 (WP29-EDPG) se refera la etapele evaluarii pentru a determina daca interesul legitim este cea mai potrivita baza legala pentru procesare.
Ghidul privind transparenta, emis de Grupul de lucru Articolul 29 WP29 recomanda:
"Interesul specific in cauza trebuie sa fie identificat in beneficiul persoanei vizate. in ceea ce priveste cele mai bune practici, operatorul de date ar trebui, de asemenea, sa furnizeze persoanei vizate informatiile privind testul de echilibrare, care ar fi trebuit sa fie efectuat de catre operator pentru a intemeia prelucrarea pe prevederile articolului 6.1 litera f din GDPR, inaintea oricarei colectari de date cu caracter personal.
Pentru evitarea furnizarii unor informatii obositoare, aceastea pot fi incluse intr-o declaratie/nota de confidentialitate stratificata. in orice caz, pozitia WP29 este aceea ca informatiile furnizate persoanei vizate ar trebui sa clarifice faptul ca acestea pot obtine informatii privind testul de echilibrare la cerere. Acest lucru este esential pentru o transparenta efectiva in cazul in care persoanele vizate au indoieli cu privire la faptul ca testul de echilibrare a fost efectuat in mod echitabil sau daca doresc sa depuna o plangere la o autoritate de supraveghere.
ICO a structurat testul pentru evaluarea utilizarii intereselor legitime ca temei juridic pentru prelucrarea datelor cu caracter personal in 3 parti:
1. Scop
2. Necesitate
3. Echilibrare
SCOPUL
Documentarea scopului prelucrarii si a functiei pe care o serveste pentru operator ofera baza pentru identificarea oricarui interes legitim si documentarea acestuia. Definirea scopului permite operatorului sa stabileasca care baza juridica este cea mai adecvata si sa treaca la celelalte etape de evaluare daca interesele legitime sunt considerate adecvate.
In acest stadiu, trebuie inregistrate/evidentiate toate interesele identificate, chiar daca operatorul nu se bazeaza pe toate pentru prelucrare. Interesele pot fi ale operatorului sau ale tertilor, pot fi interese comerciale si avantaje/beneficii sociale mai largi. Interesele convingatoare si semnificative nu vor fi usor de inlaturat de drepturile si libertatile persoanelor la efectuarea testului de echilibrare.
NECESITATEA
ICO defineste "necesitatea", deoarece "procesarea datelor trebuie sa fie o modalitate vizata si proportionala pentru atingerea scopului dvs." Trebuie sa puteti demonstra ca prelucrarea este necesara si sa dovediti ca nu exista nici o cale mai putin intruziva pentru a obtine acelasi rezultat. Luati in considerare interesele legitime mentionate in prima etapa si orice obiective de afaceri relevante pentru procesare. Este procesarea "necesara" pentru atingerea acestor interese si obiective?
Daca puteti identifica o alta modalitate (mai putin intruziva) de a atinge acelasi obiectiv sau interes (sau a determina ca prelucrarea nu este necesara), atunci nu ar trebui sa va bazati pe interese legitime.
ECHILIBRAREA
Etapa finala a unei evaluari a intereselor legitime (LIA) este de a echilibra prelucrarea impotriva intereselor, drepturilor si libertatilor persoanei vizate. Aceasta inseamna documentarea si demonstrarea unei evaluari a acelor drepturi si libertati si asigurarea faptului ca interesele persoanei vizate nu prevaleaza intereselor urmarite de operator sau de o terta parte.
Aceasta etapa se refera la luarea in considerare a impactului pe care prelucrarea intentionata ar putea sa o aiba/o va avea asupra unei persoane si evaluarea oricarui impact asupra intereselor identificate de operator.
Dupa efectuarea LIA cu cele 3 parti si aveti un rezultat al evaluarii si o decizie asumata, aprobata in acest sens, asigurati-va ca pastrati si o evidenta a acesteia.
Nu exista un format standard pentru un astfel de document, dar este important sa inregistrati rationamentul si decizia dvs, pentru a demonstra ca aveti procese adecvate de luare a deciziilor si ca justificati rezultatul.
Revizuiti LIA si actualizati-o daca exista o schimbare semnificativa in scopul, natura sau contextul prelucrarii.
Daca nu sunteti sigur de rezultatul testului de echilibrare, ar fi mai indicat sa va raportati la o alta baza legala. Interesele legitime nu vor fi de cele mai multe ori baza legala cea mai adecvata pentru procesarea care este neasteptata sau cu risc ridicat.
Daca va bazati pe interese legitime in procesarea datelor, amintiti-va ca trebuie sa le precizati persoanelor vizate prin notificarea dvs. privind confidentialitatea faptul ca va bazati pe interese legitime si trebuie sa le explicati care sunt aceste interese.
Daca doriti sa procesati datele personale pentru un scop nou, puteti continua procesarea in interese legitime, atata timp cat noul dvs. scop este compatibil cu scopul original. in acest caz, este recomandabil sa efectuati o noua LIA, deoarece acest lucru va va ajuta sa demonstrati compatibilitatea.
Daca va bazati pe interese legitime pentru procesarea datelor personale, trebuie sa stiti ca dreptul de a obiecta (dreptul de opozitie) al persoanei vizate este absolut si trebuie sa opriti procesarea atunci cand cineva obiecteaza.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Analize si solutii GDPR
28Feb2024
Siguranta datelor clientilor, din perspectiva GDPR
de Colectivul de Specialisti Rentrop&Straton
28 Feb 2024
31Ian2024
Fotografierea angajatilor nu incalca GDPR. Stocarea pozelor in baza de date a firmei, DA!
de Colectivul de Specialisti Rentrop&Straton
31 Ian 2024
22Feb2023
Siguranta datelor clientilor, din perspectiva GDPR: ce trebuie sa stii despre datele cu caracter personal
de Colectivul de Specialisti Rentrop&Straton
22 Feb 2023
25Feb2019
Abilitatile cyber security necesare pentru afacere
de Colectivul de Specialisti Rentrop&Straton
25 Feb 2019
20Ian2019
Consideratii asupra specificitatii domeniului jocurilor de noroc online in contextul GDPR
de Andrei Savescu
20 Ian 2019
Un produs marca