Interesul Legitim al Operatorului – temei legal pentru prelucrarea datelor cu caracter personal

 

(i)  Scurt istoric

Necesitatea prelucrării datelor cu caracter personal a apărut încă din cele mai vechi timpuri, împrejurare care a condus la reglementarea unor dispoziții legale în baza cărora operatorii să poată prelucra datele personale în mod legal.

În anul 1980 se încearcă pentru prima dată reglementarea colectării datelor cu caracter personal prin Orientările OCDE privind protecția vieții private și a fluxurilor transfrontaliere de date cu caracter personal.

În 1981 apare oficial și de sine stătătoare noțiunea de “protecția datelor cu caracter personal“, stipulată în Convenția nr. 108 a Consiliului Europei, fără să fie furnizate și temeiurile detaliate privind prelucrarea.

Directiva 95/46/CE a fost adoptată în 1995 și a fost legiferată pe baza Orientărilor OCDE și a Convenției 108. Cu această ocazie, s-au detaliat temeiurile privind prelucrarea datelor cu caracter personal, printre care și posibilitatea operatorilor de a prelucra datele persoanelor vizate în baza intereselor lor legitime.

În 2018, Directiva 95/46/CE a fost abrogată prin intrarea în vigoare a Regulamentului (UE) General privind Protecția Datelor nr. 679/2016 („Regulament”). Necesitatea Regulamentului a rezultat din dezvoltarea tehnologică și aplicarea unitară în toate statele membre a unor dispoziții legale privind protecția datelor în scopul consolidării dreptului la viață privată a persoanelor fizice în noua eră digitală.

(ii) Analiza dispozițiilor legale

Conform art. 6 din Regulament, prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin unul dintre cele 6 temeiuri juridice, printre care și interesul legitim. Interesul legitim este unul dintre cele mai flexibile temeiuri legale pentru prelucrarea datelor cu caracter personal.

În cele ce urmează vom trata interesul legitim în cadrul activităților de marketing direct prin e-mail, oferind scurte îndrumări pentru efectuarea testului de echilibru.

Interesul Operatorului

În primul rând, arătăm că interesul este diferit de scopul operatorului. Prin interesul operatorului trebuie să înțelegem contextul pe care acesta îl are în vedere pentru prelucrarea datelor, iar prin scop trebuie înțeles motivul specific al acestuia.

De exemplu, o clinică medicală poate avea un interes în asigurarea sănătății și securității personalului care lucrează în condiții periculoase. În acest sens, clinica poate avea ca scop punerea în aplicare a unor proceduri specifice de depozitare și distrugere a unor medicamente care justifică prelucrarea unor anumite date cu caracter personal.

Natura interesului poate varia, astfel că în anumite situații, operatorii economici sunt nevoiți să prelucreze date cu caracter personal pentru a-și îndeplini unele sarcini legate de activitatea lor curentă. Prelucrarea datelor într-un astfel de context nu poate fi justificată de o obligație contractuală sau legală, obligându-i să prelucreze unele date cu caracter personal în baza intereselor lor legitime.

Niciunul dintre cele șase temeiuri legale nu are prioritate față de celălalt, iar operatorii trebuie să utilizeze întotdeauna acel temei care este cel mai potrivit unei anumite situații, având în vedere natura și scopul prelucrării.

În cazul în care operatorul înțelege să-și întemeieze prelucrarea pe interesele sale legitime trebuie să se asigure că acestea sunt justificate și că nu afectează în mod grav interesele sau drepturile și libertățile fundamentale ale persoanelor fizice.

Interesele operatorului ar putea fi justificate atunci când: (i) prelucrarea nu este cerută de lege, ci oferă un beneficiu operatorului; (ii) impactul asupra drepturilor și libertăților fundamentale ale persoanei sunt minime; (iii) persoana se așteaptă ca datele sale să fie prelucrate în acest mod; (iv) agasarea inutilă a persoanei printr-o cerere de consimțământ, mai ales atunci când este puțin probabil ca aceasta să se opună prelucrării.

Cu toate acestea, atragem atenția asupra faptului că deși uneori interesul legitim poate reprezenta o bază adecvată pentru prelucrarea datelor, nu este întotdeauna cea mai ușoară opțiune, deoarece impune operatorilor mai multă responsabilitate pentru a justifica prelucrarea și impactul asupra persoanelor. Concret, atunci când prelucrarea se bazează pe acest temei legal, operatorul trebuie să efectueze o evaluare a riscurilor pentru a demonstra că prelucrarea în baza acestui temei este adecvată.

Vom arăta succint, în cele ce urmează,  condițiile în care operatorul se poate folosi de interesele sale legitime în cadrul activităților de marketing direct prin intermediul poștei electronice:

Folosirea interesului legitim în scop de marketing direct prin e-mail

Conform considerentului 47 din Regulament, prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerată ca fiind desfășurată pentru un interes legitim.

O reglementare asemănătoare regăsim și în art. 12 alin. (2) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, prin care se arată că operatorii pot transmite comunicări directe prin intermediul poștei electronice.

Astfel, marketingul direct poate fi definit ca fiind o formă de publicitate care se adresează unor clienți deja existenți, prin transmiterea către aceștia de mesaje adaptate necesităților lor, pe baza unor tranzacții anterioare și a datelor adunate.

Spre exemplu, o societate din industria automotive dorește să trimită materiale despre noile aplicații software ce pot fi instalate pe autovehicule, prin e-mail, clienților care au cumpărat un anumit model de autovehicul, pe care se pot instala aplicațiile.

Societatea respectivă își poate fundamenta transmiterea unor astfel de mesaje în scopul de a spori siguranța șoferului și a pasagerilor / confortul șoferului etc. Ulterior, societatea va trebui să analizeze dacă e-mailului clientului poate fi folosit și în acest scop și dacă clientul se așteaptă să primească astfel de mesaje, având în vedere relația lor anterioară.

Putem observa că mesajele transmise de către operator trebuie să se refere la produse sau servicii similare cumpărate de către persoana vizată și comercializate de către operator.

Un alt exemplu ar fi transmiterea de e-mailuri către clienții care au cumpărat anterior cămăși, prin care li se prezintă un set de accesorii (butoni) – o astfel de prelucrare poate fi fundamentată pe interesul legitim al operatorului.

În toate cazurile, prelucrarea datelor cu caracter personal care are drept scop marketingul direct trebuie să aibă loc doar după efectuarea testului de echilibru și implementarea unor măsuri tehnice și organizatorice adecvate.

Cu ocazia efectuării testului de echilibru, considerăm că trebuie evitate aprecierile asupra beneficiilor pe care clientul le-ar avea în urma primirii unor anumite oferte, cu excepția situației când există dovezi foarte clare ale preferințelor lor (profilare).

La efectuarea testului de echilibru, operatorii trebuie să aibă în vedere cel puțin: (i) clienții se așteaptă ca datele lor să fie folosite în acest mod; (ii) factorul potențial de neplăcere cauzat de mesajele de marketing nedorite; (iii) efectul asupra clienților raportat la frecvența transmiterii unor astfel de mesaje.

În situația în care în urma testului de echilibru se constată că datele nu pot fi prelucrate în scop de marketing, operatorii au totuși posibilitatea de a prelucra datele dacă au obținut în prealabil consimțământul clientului de a-i folosi datele în acest mod.

Fundamentarea interesului legitim al operatorului pentru prelucrarea datelor în scop de marketing direct atunci când s-a obținut deja consimțământul clientului pentru a-i prelucra datele în scop de marketing ar fi un exercițiu inutil și ar putea cauza confuzii atât pentru clienți (având în vedere obligativitatea informării), cât și pentru autoritatea de supraveghere (în cazul unui control).

Atunci când datele cu caracter personal sunt prelucrate în baza intereselor legitime ale operatorilor, o atenție deosebită trebuie acordată dreptului la opoziție.

Trebuie reținut că Regulamentul oferă în mod expres clientului dreptul de a se opune prelucrării datelor sale cu caracter personal în scop de marketing direct, ceea ce conduce la obligativitatea operatorului de a-l informa cu privire la acest drept.

Mai mult, clientul trebuie să aibă posibilitatea de a obiecta într-un mod rapid și cât mai eficient, cum ar fi accesarea unui link prin care se dezabonează, ceea ce-i va conferi certitudinea că operatorul nu îi va mai transmite pe viitor mesaje de marketing direct.

Testul de echilibru

Așa cum am arătat pe parcursul acestui articol, operatorii au obligația de a efectua un test de echilibru ori de câte ori vor prelucra date cu caracter personal în scopul intereselor lor legitime.

Prin efectuarea testului de echilibru, operatorul va putea demonstra faptul că prelucrarea în baza acestui temei este cea mai adecvată și că sunt respectate interesele sau drepturile și libertățile fundamentale ale persoanelor vizate.

Concret, operatorul va lua în considerare dacă interesele sau drepturile și libertățile persoanei vizate nu sunt în contradicție cu interesele urmărite de el, iar atunci când se constată o suprapunere a intereselor, dacă există vreun prejudiciu potențial care ar putea să apară ca rezultat al prelucrării.

Cele trei etape ale evaluării interesului legitim sunt:

  1. Identificarea interesului legitim (interesul trebuie să fie actual și nu ipotetic);
  2. Efectuarea unui test de necesitate (trebuie arătat de ce prelucrarea este necesară și dacă nu există o cale mai facilă pentru prelucrare);
  3. Efectuarea unui test de echilibru (trebuie văzut impactul prelucrării asupra persoanelor vizate).

Uneori rezultatul testului poate fi neclar, astfel că este recomandat ca operatorul să implementeze măsuri tehnice și organizatorice suplimentare și să reia testul pentru a putea se asigura că drepturile persoanelor vizate sunt protejate (ex. oferirea unui mecanism prin care persoana vizată se poate exclude voluntar de la prelucrare).

În cazul în care rezultatul testului este unul nefavorabil, în sensul că operatorul nu se poate folosi de interesele sale legitime pentru a prelucra datele cu caracter personal ale persoanelor vizate, va trebui să opteze pentru un alt temei legal.

Astfel, pentru a asigura legalitatea prelucrării, aceasta se poate realiza și în baza altor temeiuri juridice, precum:

  1. Consimțământ – persoana vizată și-a dat acordul pentru ca datele sale să fie prelucrate pentru un anumit scop specific;
  2. Contract – prelucrarea este necesară în vederea executării contractului;
  3. Obligație legală – prelucrarea este necesară pentru ca operatorul să se conformeze cu dispozițiile legale;
  4. Interes vital – prelucrarea este necesară pentru interesele vitale ale persoanei vizate sau ale altei persoane fizice;
  5. Interes public – prelucrarea este necesară pentru a îndeplini o sarcină de interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul.

Factorii care pot ajuta operatorii să prelucreze datele în baza intereselor lor legitime

  • Interesul legitim al operatorului poate fi critic pentru buna desfășurare a afacerii;
  • Nu există o altă cale pentru prelucrarea datelor sau, deși există, efortul operatorului ar fi disproporționat;
  • Clienții se așteaptă să primească comunicări directe de la operator.

 Factorii care pot împiedică operatorii să prelucreze datele în baza intereselor lor legitime

  • Efectele negative asupra intereselor sau drepturilor și libertăților fundamentale ale clienților;
  • Afacerea operatorului este dominantă, iar clientul nu are de ales;
  • Prelucrarea ar putea fi percepută ca neobișnuită;
  • Nu se oferă clienților posibilitatea de a se opune prelucrării într-un mod rapid și eficient.

(iii) Concluzii

Evaluarea corespunzătoare a intereselor operatorului vs. interesele sau drepturile și libertățile persoanelor vizate este necesară, având în vedere că  interesul operatorului nu înseamnă întotdeauna că prelucrarea poate avea loc în baza acestui temei legal.