Înainte de a putea procesa date personale, trebuie să identificați și să vă
raportați la o bază legală. Aceste considerente sunt denumite generic “legalitatea prelucrării” și sunt specificate în Articolul 6 din GDPR, care se ocupă de legalitatea condițiilor de prelucrare. În cadrul proceselor aferente obținerii conformității GDPR este foarte important să determinați baza legală pentru prelucrarea datelor cu caracter personal și să documentați acest lucru. De multe ori această bază legală poate avea efect asupra drepturilor persoanelor. De exemplu, persoanele de la care primiți un consimțământ clar pentru prelucrarea datelor vor avea și drepturi mai puternice, cum ar fi dreptul de a fi uitat – adică opțiunea de ștergere a datelor. Prevederile de la art. 6 – ”Legalitatea condițiilor de prelucrare”. La alin. 1 se specifică foarte clar că ”Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una dintre următoarele condiţii”: a. consimțământ – persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice; b. contract – prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract; c. obligație legală – prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului; d. interese vitale – prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice; e. interes public – prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul; f. interese legitime – prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terţă, cu excepţia cazului în care prevalează interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil. Situații în care prelucrarea datelor personale nu are nevoie de identificare. În Articolul 11: ”Prelucrarea care nu necesită identificare”, Alineatul 1 se arată că ”în cazul în care scopurile pentru care un operator prelucrează date cu caracter personal nu necesită sau nu mai necesită identificarea unei persoane vizate de către operator, operatorul nu are obligaţia de a păstra, obţine sau prelucra informaţii suplimentare pentru a identifica persoana vizată în scopul unic al respectării prezentului regulament”.Important: Dacă operatorul prelucrează date personale pentru două sau mai multe scopuri care nu au legătură între ele şi pentru care există obligaţia de notificare, atunci este obligat să completeze câte un formular tipizat separat pentru fiecare dintre aceste scopuri. Înregistrările separate permit delimitări clare ale diferitelor baze de date deţinute de operator, utilizate în scopuri diferite. În cazul în care prelucrarea are un singur scop sau mai multe scopuri corelate, operatorul completează o singură notificare. Conform Articolului 11, Alineatul 2, dacă operatorul poate demonstra că nu este în măsură să identifice persoana vizată sau în cazul în care e posibil operatorul informează persoana vizată în mod corespunzător. Considerentul 171 din GDPR specifică destul de clar că putem continua să ne bazăm pe orice consimțământ existent care a fost acordat în conformitate cu cerințele GDPR și nu este nevoie să solicităm un nou consimțământ. Cu toate acestea trebuie să fim siguri că solicitările existente de consimțîmânt au îndeplinit cerințele GDPR și că documentația este corespunzătoare. Va trebui să punem în aplicare mecanismele conforme pentru ca persoanele vizate să-și retragă ușor consimțământul. Pe de altă parte, în cazul în care consimțământul existent nu se aliniază la standardele GDPR sau este slab documentat, va trebui să obținem un nou consimțământ și să identificăm o bază legală diferită pentru prelucrarea în continuare a datelor existente. În mod curent, pentru aceste operațiuni se folosește o listă de verificare a consimțământului care stabilește pașii pe care trebuie să-i urmăm pentru a căuta consimțământul valabil în baza GDPR. Această listă de verificare ne poate ajuta să revizuim autorizațiile existente și să decidem dacă îndeplinesc standardul GDPR și să solicităm un nou consimțământ, dacă este cazul.