Necesitatea prelucrării pentru încheierea sau derularea unui contract în contextul deciziei autorității Irlandeze împotriva Instagram

Problematica utilizării temeiului legal descris în articolul 6(1)(b) al GDPR reprezintă o discuție actuală între specialiștii care susțin că determinarea înțelesului termenului „necesar” în contextul unui contract se poate face doar printr-o interpretare generală și cei care susțin că această interpretare poate fi valabilă doar în cel mai restrâns cadru posibil totodată existând o varietate de argumente referitoare la diferitele interpretări ale tarilor cu privire la prevederile legale pentru regimul contractelor.

Aceeași problematică a fost pusă recent în discuție între grupul de companii Meta, autoritățile pentru protecția datelor din Irlanda, Germania, Finlanda, Italia, Franța, Olanda, precum și EDPB în decizia autorității Irlandeze împotriva Instagram din dată de 02.09.2022.

Autoritatea Irlandeză pentru protecția datelor Vs Meta Platforms Ireland Limited

 În dată de 17 Iulie 2019 autoritatea Irlandeză pentru protecția datelor a fost informată cu privire la o breșă de date cu caracter personal originand din publicarea datelor de contact de către Instagram a profilelor creator/business în codul html al versiunii de browser, astfel încât 20% din toți utilizatorii acestui tip de profil ar fi fost afectați, o parte din aceștia fiind minori.

Pe parcursul investigației, autoritatea a abordat și temeiul legal pentru care publicarea acestor informații, în special în cazul minorilor, reprezenta o activitate de procesare a datelor cu caracter personal obligatorie la acea dată. În acest scop au fost analizate cele două temeiuri legale declarate de către Meta, și anume Art. 6(1)(b) privind necesitatea prelucrării pentru realizarea unui contract și Art. 6(1)(f) privind interesul legitim al operatorului.

Operatorul susține că prelucrarea în cauza ar fi necesară în conformitate cu Termenii și Condițiile generale ale platformei, iar în particular necesitatea decurge din nevoia de a avea canale adiționale de comunicare între conturile creator/business și clienții. Operatorul de asemenea justifică procesarea acestor date în contextul utilizatorilor minori pentru a le proteja interesele și drepturile fundamentale la comunicare și la creerea unei afaceri.

În urmă investigației demarate, autoritatea Irlandeză pentru protecția datelor a confirmat acest punct de vedere al operatorului susțînând că deși activitatea de procesare specifică în cauza nu este menționată că o clauză în Termenii și Condițiile platformei, această mențiune specifică nu este obligatorie atât timp cât prelucrarea este într-adevăr necesară pentru derularea contractului.

Această analiză inițială succintă și lipsită de argumente detaliate referitoare la realitatea necesității obiective a prelucrării au determinat autoritățile din Irlanda, Germania, Finlanda, Italia, Franța și Olanda să conteste acest punct de vedere iar, întrucât un consens între aceste autorități nu a putut fi posibil ,decizia finală a fost luată de către EDPB care a analizat în profunzime investigația inițială a autorității Irlandeze.

Analiza EDPB

În centrul analizei realizate de EDPB este tocmai conceptul de „necesitate” în contextul prelucrării datelor de contact de către operator. Această necesitate face o trimitere către jurisprudența CJUE (Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde v Rīgas păšvaldības SIA ‘Rīgas satiksme’ (Case C-13/16, judgement delivered on 4 May 2017, ECLI:EU:C:2017:336) :

„În ceea ce privește condiția privind necesitatea prelucrării datelor, trebuie amintit că derogările de la principiul protecției datelor cu caracter personal și restrângerile impuse acestuia trebuie să fie efectuate în limitele strictului necesar (Hotărârea din 9 noiembrie 2010, Volker und Markus Schecke și Eifert, C-92/09 și C-93/09, EU:C:2010:662, punctul 86, Hotărârea din 7 noiembrie 2013, IPI, C-473/12, EU:C:2013:715, punctul 39, precum și Hotărârea din 11 decembrie 2014, Ryneš, C-212/13, EU:C:2014:2428, punctul 28).”

Astfel încât termenul “necesar” are un înțeles general în legislația Europeană, interpretarea acestuia trebuind făcută restrictiv ci nu extensiv așa cum sugera operatorul în propria argumentare. Operatorul susținând că soluția colectării și a publicării respectivelor date de contact (inclusiv ale minorilor) reprezenta o măsură necesară, acest tip de prelucrare fiind un produs al timpului în care a fost dezvoltat  si reflectând necesitatea căilor adiționale de contact ale afacerilor „tradiționale”. Bineînțeles, această interpretare fiind în contradicție cu jurisprudența Curții de Justiție Europeană nu poate fi considerată valida.

Deși EDPB nu contesta faptul că necesitatea prelucrării pe baza contractuală poate fi aplicabilă chiar dacă prelucrarea în cauza nu este specific menționată în contract, acest fapt nu este suficient pentru a justifică bazarea prelucrării datelor în cadrul acestei activității pe temeiul legal descris în Art. 6(1)(b) al GDPR. Condițiile aplicări acestui temei legal în contextul serviciilor online sunt descrise în orientarea EDPB 2/2019, care subliniază importantă așteptărilor utilizatorilor atunci când vine vorba despre prelucrariile pe baza contractuală.

Luând în considerare informațiile oferite utilizatorilor minori cu privire la Termenii și Condițiile platformei cât și lipsa informațiilor specifice cu privire la conturile business/creator, EDPB a constatat faptul că publicarea datelor de contact a utilizatorilor minori nu ar fi putut fi prevăzută de către aceștia în mod rezonabil. Mai mult, operatorul a omis acordarea unei atenții sporite prelucrării datelor minorilor în conformitate cu considerentul 38 al GDPR (operatorul avea posibilitatea de a restricționa publicarea datelor de contact utlizitorilor minori, aceștia fiind indentificați în baza de date).

Un alt aspect esențial descris în orientarea EDPB 2/2019 este verificariea alternativelor mai puțîn intruzive pentru realizarea prelucrării, acest aspect reprezintă un punct de cotitură într-o astfel de evaluare întrucât identificarea unor măsuri rezonabile cu un impact mai mic asupra drepturilor fundamentale ale utilizatorului va duce la invalidarea necesității prelucrării. Această tematică a fost abordată și de către CJUE în repetate rânduri, aceasta susținând în Scheke, că la examinarea necesității prelucrării datelor cu caracter personal, organul legislativ trebuia să ia în considerare măsuri alternative, mai puțîn intruzive. (cauzele conexate C-92/09 și C-93/09, Volker und Markus Schecke GbR și Hartmut Eifert împotriva Land Hessen, 9. noiembrie 2010). Acest lucru a fost reiterat de CJUE în cauza Rīgas , unde a susținut că:

 „În ceea ce privește condiția privind necesitatea prelucrării datelor, trebuie amintit că derogările de la principiul protecției datelor cu caracter personal și restrângerile impuse acestuia trebuie să fie efectuate în limitele strictului necesar”.

 CJUE, Cauza C-13/16, Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde împotriva Rīgas păšvaldības SIA ‘Rīgas satiksme’, alineatul 30. Trebuie să se efectueze un test strict de necesitate în ceea ce privește limitările referitoare la exercitare dreptului la viață privată și la protecția datelor cu caracter personal cu privire la prelucrarea datelor cu caracter personal.

Întrucât acest tip de evaluare a unor metode mai puțîn intruzive de a duce la capăt scopul prelucrării nu a fost efectuată (în urmă investigației Meta a susținut că au fost informați și conștienți de faptul că un număr semnificativ de utilizatori ar fi preferat comunicarea prin mesaje directe prin intermediul platformei decât prin metodele „tradiționale”) conform atât condițiilor descrise în orientarea EDPB 2/2019 dar și a Jurisprudenței CJUE , EDPB decis faptul că autoritatea Irlandeză nu a analizat în mod corect problematica necesității și utilizării temeiului legal descris în Art.6(1)(b) al GDPR , astfel că utilizarea acestuia a fost efectuată în mod eronat, nefiind aplicabil în speță descrisă.

Concluzii

Din moment ce verificarea aplicabilității temeiului legal descris în Art.6(1)(b) al GDPR implică o analiză obiectivă și fundamentală a naturii contractului în relație cu prelucrarea și necesitatea acesteia, evaluarea acestei problematici rămâne la fel de versatilă precum tipul de contract încheiat în fiecare situație în parte, cu toate acestea punctele cheie și principiile rămân evidente, cu atât mai mult în urmă deliberărilor prezentate în investigația asupra bresei de date cu caracter personal din cadrul Instagram.

Cadrul restrâns al necesității contractuale trebuie interpretat că atare, iar o completare la cele analizate atât de către EDPB cât și de autoritățile pentru protecția datelor din Europa poate fi făcută prin referirea la avizul 6/2014 al  WP29:

 „Articolul 7 litera (b) se aplică numai la ceea ce este necesar pentru executarea unui contract. Acesta nu se aplică tuturor celorlalte acțiuni viitoare declanșate de nerespectare sau oricăror altor incidente în executarea unui contract.”

Astfel că orice prelucrări derivate din îmbunătățirea performanței clauzelor existente precum și cele derivate din neexecutarea contractului, nu pot fi descrise că fiind necesare în mod esențial pentru contractul încheiat datorită interpretării restrictive ale termenului necesar precum și a condițiilor premergătoare impuse de acest termen.

Impactul unei implementări eronate a temeiului legal pentru o organizație, precum cea observată în situația Instagram, poate fi extrem de costisitoare pentru operator din cauza invalidării legalității prelucrării până în acel punct. Un temei legal eronat selectat duce la o lipsa de justificare a prelucrării precum și a activităților conexe derulate pentru setul de date colectat în baza acestui temei făcând întreagă activitate de prelucrare a datelor cu caracter personal până în acel punct, în esență, lipsită de legalitate.

Sancțiunile pentru o astfel de abatere pot include, în completarea unei amenzi de o valoare semnificativă, ștergerea datelor ori a produselor dezvoltate cu ajutorul datelor cu caracter personal (algoritmi, AI, etc.) chiar și impunerea unor măsuri de supraveghere și verificare periodică din partea autorității. Acest tip de abateri sunt observate într-o multitudine de produse online din cauza unei extensive interpretări a necesității contractuale pe baza Termenilor și condițiilor, însă având în vedere nouă atenție sporită a autorităților cu privire la platformele online și temeiurile prelucrării ale acestora, o analiză a acestui temei bazat pe noul context oferit, în baza orientării 2/2019 a EDPB este o măsură de siguranță prudență care ar trebui să fie implementată de fiecare operator.

Pentru consultanta si intrebari legate de protectia datelor cu caracter personal ne puteti contacta la office@decalex.ro.

Acest articol a fost redactat de:

Alexandru BORLAN | Senior Privacy & Data Protection Consultant la Decalex