Aici descoperim
dreptul tehnologiei

header-balance-rocks-mobile.jpg

GDPR spune că interesul legitim este cel mai flexibil temei de prelucrare, dar alegerea acestui temei trebuie să fie adecvată.

Interesul legitim este un temei potrivit pentru prelucrare atunci când persoanele vizate se așteaptă în mod rezonabil la utilizarea datelor personale pe care le dețin și prelucrarea va avea un impact minim asupra vieții private.

Dacă alegeți temeiul interesului legitim, vă asumați responsabilitatea suplimentară de a proteja drepturile și interesele persoanelor fizice.

Ce prevede GDPR?

Articolul 6 alineatul (1) litera (f) indică un temei pentru prelucrare în cazul în care:

“Prelucrarea este necesară în scopul intereselor legitime urmărite de către operator sau de un terț, cu excepția cazului în care aceste interese sunt înlăturate de interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protecția datelor cu caracter personal, în special atunci când datele aparțin unui copil.”

Interesele legitime pot fi atât interesele dvs., cât și interesele terților. Acestea pot include interesele comerciale, interesele individuale sau beneficiile sociale.

Cum prelucrăm în temeiul interesului legitim?

  • Prelucrarea trebuie să fie necesară. Dacă puteți obține în mod rezonabil același rezultat într-un alt mod mai puțin intruziv, temeiul interesului legitim nu va fi aplicabil.
  • Trebuie să vă echilibrați interesele cu cele ale persoanei vizate. Dacă persoana nu s-ar aștepta în mod rezonabil la prelucrare sau dacă i-ar provoca un prejudiciu, interesele acesteia depășesc interesele dvs.
  • Mențineți o evidență a evaluării intereselor legitime (Legitimate Interest Assessment) pentru a demonstra legalitatea prelucrării, dacă este necesar.
  • Trebuie să includeți detalii despre interesele dvs. legitime în notificarea de confidențialitate.

Ce sunt interesele legitime?

O gamă largă de interese reprezintă interese legitime, din perspectiva GDPR. Acestea pot fi interesele dvs. sau interesele terților, interese comerciale, precum și beneficii sociale. GDPR menționează în mod special utilizarea datelor despre clienți sau angajați, marketingul, prevenirea fraudei, transferuri între grupuri sau securitatea IT ca potențiale interese legitime, însă aceasta nu este o listă exhaustivă. De asemenea, puteți spune că aveți un interes legitim atunci când dezvăluiți autorităților informații despre posibile activități infracționale sau amenințări la adresa securității.

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/

 



Adresa de protocol internet dinamică a unui vizitator constituie, pentru administratorul site-ului, o dată cu caracter personal, în cazul în care acest administrator dispune de mijloace legale care îi permit să identifice vizitatorul respectiv cu ajutorul informațiilor suplimentare de care dispune furnizorul de acces la internet al vizitatorului

Domnul Patrick Breyer se opune în fața instanțelor germane la înregistrarea și stocarea adreselor sale de protocol internet („adrese IP”)1 de către site-urile internet ale organismelor federale germane. Aceste organisme înregistrează și stochează, pe lângă data și ora consultării, adresele IP ale vizitatorilor pentru a preveni atacurile cibernetice și a face posibilă urmărirea penală.

 Bundesgerichtshof (Curtea Federală de Justiție, Germania) a sesizat Curtea de Justiție pentru a stabili dacă în acest context adresele IP dinamice constituie de asemenea, în privința administratorului site-ului internet, o dată cu caracter personal și beneficiază, astfel, de protecția prevăzută pentru astfel de date. O adresă IP dinamică este o adresă IP care se schimbă cu ocazia fiecărei noi conectări la internet. Spre deosebire de adresele IP statice, adresele IP dinamice nu permit să se facă legătura, prin intermediul unor fișiere accesibile publicului, între un anumit calculator și conexiunea fizică la rețea utilizată de furnizorul de acces la internet. Astfel, numai furnizorul de acces la internet al domnului Breyer dispune de informațiile suplimentare necesare pentru a-l identifica.

Pe de altă parte, Bundesgerichtshof solicită să se stabilească dacă administratorul unui site internet trebuie, cel puțin în principiu, să aibă posibilitatea de a colecta și de a utiliza ulterior datele cu caracter personal ale vizitatorilor pentru a asigura funcționalitatea generală a site-ului său. Instanța menționată precizează în această privință că majoritatea doctrinei germane interpretează reglementarea germană în materie în sensul că aceste date trebuie șterse după terminarea sesiunii de consultare dacă nu sunt necesare în vederea facturării.

Prin hotărârea pronunțată astăzi, Curtea răspunde mai întâi că o adresă IP dinamică înregistrată de „un furnizor de servicii de comunicații electronice” (cu alte cuvinte, administratorului unui site internet, în speță organismele federale germane) cu ocazia consultării site-ului său internet pe care îl pune la dispoziția publicului constituie, pentru administrator, o dată cu caracter personal2 , în cazul în care acesta dispune de mijloace legale care îi permit să identifice vizitatorul cu ajutorul informațiilor suplimentare de care dispune furnizorul de acces la internet al acestuia din urmă.

Curtea arată în această privință că se pare că există în Germania căi legale care permit furnizorului de servicii de comunicații electronice să se adreseze, în special în cazul unor atacuri cibernetice, autorității competente pentru ca aceasta să întreprindă demersurile necesare pentru a obține aceste informații de la furnizorul de acces la internet și pentru a declanșa ulterior urmărirea penală.

În al doilea rând, Curtea răspunde că dreptul Uniunii se opune unei reglementări a unui stat membru în temeiul căreia, în lipsa consimțământului vizitatorului, un furnizor de servicii de comunicații electronice poate colecta și utiliza datele cu caracter personal ale vizitatorului numai în măsura în care această colectare și această utilizare sunt necesare pentru a permite și a factura utilizarea concretă a serviciilor respective de către acest vizitator, fără ca obiectivul care vizează asigurarea funcționalității generale a acestor servicii să poată justifica utilizarea datelor după o sesiune de consultare a acestora.

Curtea amintește că, potrivit dreptului Uniunii, prelucrarea datelor cu caracter personal este legală printre altele dacă este necesară pentru realizarea interesului legitim urmărit de operator sau de către unul sau mai mulți terți, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate.

Reglementarea germană, astfel cum este interpretată în doctrina majoritară, reduce domeniul de aplicare al acestui principiu, excluzând ca obiectivul privind asigurarea funcționalității generale a comunicațiilor electronice respective să poată face obiectul unei ponderări cu interesul sau cu drepturile și libertățile fundamentale ale vizitatorilor.

În acest context, Curtea subliniază că organismele federale germane care furnizează servicii de comunicații electronice ar putea avea un interes legitim în a asigura, dincolo de fiecare utilizare concretă a site-urilor lor internet accesibile publicului, continuitatea funcționării propriilor site-uri.