În ceea ce privește contractele în derulare, într-o lume ideală, acestea ar trebui reașezate pe calapodul GDPR, fie prin încheierea unor contracte noi, fie prin încheierea de acte adiționale prin care să se elimine datele non-necesare sau excesive.

Totuși, la nivel practic cele de mai sus sună utopic, în condițiile în care de cele mai multe ori partenerii contractuali vor fi reticenți în a amenda contracte deja încheiate. În atare condiții, s-ar putea lua în considerare cenzurarea datelor excesive din contracte (prin „acoperirea” acestora cu un marker netransparent). Atare practici prezintă însă dezavantaje notabile, cum ar fi posibile dificultăți operaționale (legate de asumarea responsabilității deciziei privind datele care vor fi cenzurate), probleme de ordin juridic (legate de alterarea forței probante a contractului etc.).

Concluzionând, nu cred că există o soluție magică care să rezolve problematica datelor excesive din contractele deja încheiate. Recomand ca fiecare organizație să realizeze o evaluare proprie a portofoliului de contracte din perspectiva datelor excesive și să decidă, în funcție de circumstanțe, măsurile care se impun în acest context. Se vor putea lua în considerare, printre altele: natura contractelor (și anume, contracte ce implică prelucrarea unui volum mare de date), importanța contractelor pentru organizație (dacă e vorba de contracte strategice sau de importanță majoră), natura datelor prelucrate (dacă datele prelucrate excesiv sunt date speciale, cum ar fi date privind starea de sănătate, apartenența sindicală sau politică etc.).

Materialul a fost publicat pe site-ul Avocatnet https://www.avocatnet.ro/articol_49373/GDPR-Ai-inclus-mai-multe-date-personale-decat-trebuie-in-contractele-in-derulare-Ce-poti-sC483-faci.html

În primul rând, partenerii vor trebui să acorde o atenție specială minimizării datelor. Spre pildă, obiceiul inserării în contract a tuturor datelor de identificare a partenerului ar trebui să se schimbe. Cu alte cuvinte, indicarea în contract atât a codului numeric personal (CNP), cât și a seriei și numărului de buletin al partenerului contractual (în cazul în care acesta este o persoană fizică) ar putea ridica probleme de minimizare a datelor, din moment ce ambele atribute au același scop (și anume, identificarea unică a persoanei).

În sens similar, transmiterea unor date cu caracter personal către potențialul partener încă din faza de negociere a contractului (cum ar fi o listă conținând numele și prenumele unor angajați, precum și, eventual, a altor date relative la aceștia – salariu, domiciliu etc.) ar putea fi privită ca fiind excesivă, mai ales atunci când se realizează într-o fază incipientă a negocierilor.

De asemenea, în contextul încheierii contractelor comerciale, partenerii contractuali vor trebui să asigure transparența prelucrării, prin informarea adecvată a persoanelor vizate cu privire la caracteristicile prelucrării. Astfel, în exemplul de mai sus vizând transmiterea listei salariaților, chiar dacă transmiterea datelor s-ar dovedi necesară (respectându-se astfel principiul minimizării datelor), salariații vizați vor trebui, ca regulă, să fie informați cu privire la comunicarea datelor către partenerul destinatar și, eventual, cu privire la modul cum partenerul destinatar va prelucra respectivele date.

Pe de altă parte, ar fi bine să nu se uite faptul că obligația de informare nu este absolută, ci comportă anumite limitări și excepții, în special atunci când datele sunt obținute de la o altă persoană decât persoana vizată (cum ar fi de la celălalt partener contractual). Să spunem că vreau să achiziționez un imobil, iar contractul de vânzare-cumpărare menționează istoricul proprietății, deci inclusiv identitatea proprietarilor anteriori; în acest caz, nu va fi necesară informarea proprietarilor anteriori cu privire la o atare prelucrare, întrucât fie informarea este imposibil de realizat (nu am datele de contact), fie ar implica eforturi disproporționate, devenind astfel incidente prevederile art. 14 alin. (5) din GDPR.

Sigur, va fi crucial ca analiza incidenței excepțiilor să se realizeze în mod corect și obiectiv. Trebuie avute în vedere toate circumstanțele, cum ar fi natura datelor prelucrate, așteptările persoanei vizate, consecințele prelucrării pentru persoana vizată etc. În orice caz, recomand ca aplicabilitatea excepției să fie documentată în mod corespunzător.

Legat de cele de mai sus, aș mai remarca ceva: în ultimul timp, am constatat un anumit „reflex de supra-conformare” cu cerințele GDPR. Simplu spus, efectuarea de diverse acțiuni de conformare cu GDPR atunci când nu e neapărat cazul. Nu de puține ori, aceasta a condus la situații ilare și, pe alocuri, absurde. Am văzut, spre pildă, contracte comerciale nesofisticate, al căror obiect nu implica prelucrări semnificative de date cu caracter personal, având anexate clauze GDPR de informare pe trei pagini. Or, nu cred că este necesară furnizarea tuturor informațiilor la care face referire GDPR atunci când datele sunt obținute direct de la persoana vizată, iar prelucrarea se realizează de o manieră naturală raportat la obiectul contractului, conform așteptărilor pe care le-ar putea avea în mod rezonabil persoana vizată. Am în vedere, de exemplu, prelucrările datelor cu caracter personal ale semnatarilor unui contract (nume, prenume, semnătură, eventual date de contact). În astfel de cazuri, aș putea presupune în mod rezonabil că respectiva persoană cunoștea sau, după caz, trebuia să se aștepte la prelucrarea datelor de maniera respectivă și, prin urmare, ar deveni incidente prevederile GDPR potrivit cu care, atunci când datele sunt obținute direct de la persoana vizată, informarea nu este necesară atunci când respectiva persoană cunoștea respectivele informații. O poziție similară a fost exprimată, de altfel, și de autoritatea competentă din UK (ICO – Information Commissioner’s Office). Prin urmare, revine consultanților GDPR rolul de a calibra efortul de informare cu particularitățile contractului și impactul produs de acesta din perspectiva protecției vieții private, determinând astfel necesitatea realizării informării formale conform GDPR și, dacă e cazul, modul optim de realizare a acesteia.

Materialul a fost publicat pe site-ul Avocatnet https://www.avocatnet.ro/articol_49370/GDPR-Prelucrarea-datelor-in-contracte-si-informarea-persoanelor-fizice-cu-privire-la-aceasta.html