GDPR: Ce se întâmplă cu contractele intuitu personae și cum s-ar aplica principiul minimizării datelor. Dar în cazul contractelor aflate în derulare?

Prin natura lor, contractele intuitu personae pot include mai multe date cu caracter personal decât în mod tipic (e.g. date referitoare la calificările profesionale, caracteristicile personale, experiența, situația de fapt a persoanei). Cu toate acestea, principiul minimizării datelor reprezintă o importantă limitare în acest context. Va fi crucial să se insereze în contract doar acele date necesare dovedirii caracterului intuitu personae al contractului. Dacă este posibil, ar fi bine să se indice în contract doar aspecte de ordin generic, iar detaliile sau, după caz, documentele-suport să fie păstrate separat, ca bază pentru cele indicate în contract. Să spunem că un angajator decide (benevol) să acorde un ajutor social salariaților cu probleme grave de sănătate (lor sau membrilor familiilor acestora). În acest caz, în vederea acordării ajutorului, cu siguranță, angajatorul va intra în posesia unor documente cu informații extrem de sensibile (și anume, date privind starea de sănătate). În acest caz, recomand ca în contractul de acordare a ajutorului social să se descrie generic starea de fapt (și anume, problemele de sănătate cu care se confruntă angajatul/ membrul familiei acestuia), iar documentele-suport să fie arhivate distinct.

În ceea ce privește contractele în derulare, într-o lume ideală, acestea ar trebui reașezate pe calapodul GDPR, fie prin încheierea unor contracte noi, fie prin încheierea de acte adiționale prin care să se elimine datele non-necesare sau excesive.

Totuși, la nivel practic cele de mai sus sună utopic, în condițiile în care de cele mai multe ori partenerii contractuali vor fi reticenți în a amenda contracte deja încheiate. În atare condiții, s-ar putea lua în considerare cenzurarea datelor excesive din contracte (prin „acoperirea” acestora cu un marker netransparent). Atare practici prezintă însă dezavantaje notabile, cum ar fi posibile dificultăți operaționale (legate de asumarea responsabilității deciziei privind datele care vor fi cenzurate), probleme de ordin juridic (legate de alterarea forței probante a contractului etc.).

Concluzionând, nu cred că există o soluție magică care să rezolve problematica datelor excesive din contractele deja încheiate. Recomand ca fiecare organizație să realizeze o evaluare proprie a portofoliului de contracte din perspectiva datelor excesive și să decidă, în funcție de circumstanțe, măsurile care se impun în acest context. Se vor putea lua în considerare, printre altele: natura contractelor (și anume, contracte ce implică prelucrarea unui volum mare de date), importanța contractelor pentru organizație (dacă e vorba de contracte strategice sau de importanță majoră), natura datelor prelucrate (dacă datele prelucrate excesiv sunt date speciale, cum ar fi date privind starea de sănătate, apartenența sindicală sau politică etc.).

Materialul a fost publicat pe site-ul Avocatnet https://www.avocatnet.ro/articol_49373/GDPR-Ai-inclus-mai-multe-date-personale-decat-trebuie-in-contractele-in-derulare-Ce-poti-sC483-faci.html