Pentru ca prelucrarea datelor noastre să fie legală[1], trebuie să se aplice cel puțin una dintre următoarele condiții stabilite prin Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), conform art. 6 alin. (1) lit. a)-f):
- persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
- prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
- prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
- prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
- prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
- prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil[2].
Pentru categoriile speciale de date (de exemplu, datele privind sanatatea, se aplică temeiurile de prelucrare de la art. 9 din GDPR).
[1] Cu referire strictă la art. 6 privind legalitatea prelucrării, aici.
[2] Nu se aplică în cazul prelucrării efectuate de autorități publice în îndeplinirea atribuțiilor lor, aici.
KIT GDPR Premium
Prelucrarea fără consimțământul persoanei vizate în domeniile sănătății publice
Atunci când există consimțământul persoanelor vizate, orice prelucrare a datelor se realizează în conformitate cu legea (particularitatea legalității prelucrării). Cu toate acestea, pct. (54) din Regulament înlătură necesitatea obținerii consimțământului persoanei ale cărei date sunt prelucrate, în situația în care prelucrarea este necesară din motive de interes public în domeniile sănătății publice:
Pct. (54): Prelucrarea categoriilor speciale de date cu caracter personal poate fi necesară din motive de interes public în domeniile sănătății publice, fără consimțământul persoanei vizate. O astfel de prelucrare ar trebui condiționată de măsuri adecvate și specifice destinate să protejeze drepturile și libertățile persoanelor fizice[1].
În acest context, conceptul de „sănătate publică” ar trebui interpretat astfel cum este definit în Regulamentul (CE) nr. 1338/2008 al Parlamentului European și al Consiliului, și anume toate elementele referitoare la sănătate și anume starea de sănătate, inclusiv morbiditatea sau handicapul, factorii determinanți care au efect asupra stării de sănătate, necesitățile în domeniul asistenței medicale, resursele alocate asistenței medicale, furnizarea asistenței medicale și asigurarea accesului universal la aceasta, precum și cheltuielile și sursele de finanțare în domeniul sănătății și cauzele mortalității. Această prelucrare a datelor privind sănătatea din motive de interes public nu ar trebui să ducă la prelucrarea acestor date în alte scopuri de către părți terțe, cum ar fi angajatorii sau societățile de asigurări și băncile[2].
Te-ar putea interesa și:
Deși Regulamentul prevede faptul că prelucrarea fără consimțământ (din motive de interes public în domeniile sănătății publice) trebuie să aibă la bază măsuri adecvate și specifice destinate să protejeze drepturile persoanelor fizice, este important ca la nivelul fiecărui stat aceste măsuri să fie adaptate în cadrul legal și particularizate. Simpla prevedere, la nivel international, fără a fi dublată de existența unor măsuri reale de protecție a prelucării datelor în domeniile sănătății publice, nu conferă protecție fundamentată persoanelor.
De aceea, la prelucrarea acestor date, autoritățile și instituțiile de la nivelul statului român trebuie să asigure protecție sporită. Prelucrarea datelor fără consimțământul persoanelor vizate, chiar în domeniul sănătății publice, este susceptibilă de sancționare. În atare sens, se impun măsuri de protecție sporită și o respectare temeinică a drepturilor și a libertăților persoanelor ale căror date fac obiectul prelucrării.
[1] aici.
[2] aici.
Vrei să te aliniezi la GPPR? Cum te putem ajuta:
Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici
[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]