Verificarea legalității prelucrării

Înainte de a putea procesa date personale, trebuie să identificați și să vă

raportați la o bază legală. Aceste considerente sunt denumite generic
“legalitatea prelucrării” și sunt specificate în Articolul 6 din GDPR, care se
ocupă de legalitatea condițiilor de prelucrare.  
În cadrul proceselor aferente obținerii conformității GDPR este foarte
important să determinați baza legală pentru prelucrarea datelor cu caracter personal
și să documentați acest lucru. De multe ori această bază legală poate avea efect
asupra drepturilor persoanelor. De exemplu, persoanele de la care primiți un
consimțământ clar pentru prelucrarea datelor vor avea și drepturi mai puternice,
cum ar fi dreptul de a fi uitat – adică opțiunea de ștergere a datelor.
Prevederile de la art. 6 – ”Legalitatea condițiilor de prelucrare”. La alin.
1 se specifică foarte clar că ”Prelucrarea este legală numai dacă şi în măsura în care
se aplică cel puţin una dintre următoarele condiţii”:
a. consimțământ – persoana vizată şi-a dat consimţământul pentru
prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri
specifice;
b. contract – prelucrarea este necesară pentru executarea unui contract la
care persoana vizată este parte sau pentru a face demersuri la cererea persoanei
vizate înainte de încheierea unui contract;
c. obligație legală – prelucrarea este necesară în vederea îndeplinirii unei
obligaţii legale care îi revine operatorului;
d. interese vitale – prelucrarea este necesară pentru a proteja interesele
vitale ale persoanei vizate sau ale altei persoane fizice;
e. interes public – prelucrarea este necesară pentru îndeplinirea unei sarcini
care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice
cu care este învestit operatorul;
f. interese legitime – prelucrarea este necesară în scopul intereselor legitime
urmărite de operator sau de o parte terţă, cu excepţia cazului în care prevalează
interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care
necesită protejarea datelor cu caracter personal, în special atunci când persoana
vizată este un copil.
Situații în care prelucrarea datelor personale nu are nevoie de
identificare.
În Articolul 11: ”Prelucrarea care nu necesită identificare”, Alineatul
1 se arată că ”în cazul în care scopurile pentru care un operator prelucrează date cu
caracter personal nu necesită sau nu mai necesită identificarea unei persoane vizate
de către operator, operatorul nu are obligaţia de a păstra, obţine sau prelucra
informaţii suplimentare pentru a identifica persoana vizată în scopul unic al
respectării prezentului regulament”.Important: Dacă operatorul prelucrează date
personale pentru două sau mai multe scopuri care nu au legătură între ele şi pentru
care există obligaţia de notificare, atunci este obligat să completeze câte un
formular tipizat separat pentru fiecare dintre aceste scopuri. Înregistrările separate
permit delimitări clare ale diferitelor baze de date deţinute de operator, utilizate în
scopuri diferite. În cazul în care prelucrarea are un singur scop sau mai multe
scopuri corelate, operatorul completează o singură notificare. 
Conform Articolului 11, Alineatul 2,  dacă operatorul poate demonstra că
nu este în măsură să identifice persoana vizată sau în cazul în care e posibil
operatorul informează persoana vizată în mod corespunzător.
Considerentul 171 din GDPR specifică destul de clar că putem continua să
ne bazăm pe orice consimțământ existent care a fost acordat în conformitate cu
cerințele GDPR și nu este nevoie să solicităm un nou consimțământ. Cu toate
acestea trebuie să fim siguri că solicitările existente de consimțîmânt au îndeplinit
cerințele GDPR și că documentația este corespunzătoare. Va trebui să punem în
aplicare mecanismele conforme pentru ca persoanele vizate să-și retragă ușor
consimțământul.
Pe de altă parte, în cazul în care consimțământul existent nu se aliniază la
standardele GDPR sau este slab documentat, va trebui să obținem un nou
consimțământ și să identificăm o bază legală diferită pentru prelucrarea în
continuare a datelor existente. În mod curent, pentru aceste operațiuni se
folosește o listă de verificare a consimțământului care stabilește pașii pe care
trebuie să-i urmăm pentru a căuta consimțământul valabil în baza GDPR. Această
listă de verificare ne poate ajuta să revizuim autorizațiile existente și să decidem
dacă îndeplinesc standardul GDPR și să solicităm un nou consimțământ, dacă este
cazul.