Η επεξεργασία δεδομένων στη βάση της εκτέλεσης σύμβασης
Συμβουλές της λετονικής αρχής προστασίας δεδομένων για την ορθή εφαρμογή της νομικής βάσης του άρθρου 6 παρ.1β’ ΓΚΠΔ
Όπως είναι γνωστό, μια από τις νομικές βάσεις για την επεξεργασία προσωπικών δεδομένων είναι η εκτέλεση μιας σύμβασης. Ωστόσο, η ορθή επίκληση της βάσης αυτή απαιτεί την κατανόηση των περιπτώσεων στις οποίες η επεξεργασία είναι πραγματικά αναγκαία για τον σκοπό αυτό.
Τα προσωπικά δεδομένα μπορούν να τύχουν επεξεργασίας εάν είναι αναγκαία:
α. για την εκτέλεση σύμβασης στην οποία είμαστε συμβαλλόμενο μέρος
β. για τη λήψη μέτρων κατ’ αίτησή μας πριν από τη σύναψη σύμβασης
Η εποπτική αρχή έχει παρατηρήσει πως πολλοί φορείς εφαρμόζουν τη νομική βάση αυτή σε πράξεις επεξεργασίας, οι οποίες μολονότι συνδέονται με τη συναφθείσα σύμβαση υπερβαίνουν το πεδίο εφαρμογής της νομικής βάσης. Σκοπός του παρόντος είναι να εξηγηθεί το σε ποιες περιπτώσεις είναι κατάλληλη η νομική βάση της εκτέλεσης σύμβασης και σε ποιες περιπτώσεις οι υπεύθυνοι επεξεργασίας θα πρέπει να αναζητούν άλλη νομική βάση.
Η εκτέλεση σύμβασης μπορεί να χρησιμοποιηθεί ως νομική βάση όταν:
α. ένα πρόσωπο έχει σύμβαση με μια επιχείρηση και τα δεδομένα πρέπει να τύχουν επεξεργασίας, προκειμένου να εκπληρωθούν οι συμβατικές υποχρεώσεις της επιχείρησης (πχ. ένα ηλεκτρονικό κατάστημα χρειάζεται την ταχυδρομική διεύθυνση του πελάτη, προκειμένου να του παραδώσει τα προϊόντα με ταχυμεταφορά),
β. ένα πρόσωπο έχει σύμβαση με μια επιχείρηση και τα δεδομένα πρέπει να τύχουν επεξεργασίας, προκειμένου να εκπληρωθούν οι υποχρεώσεις του προσώπου αυτού προς την επιχείρηση (πχ. ένας πελάτης παραγγέλνει μια νέα τηλεόραση από ένα ηλεκτρονικό κατάστημα και το κατάστημα επεξεργάζεται τα δεδομένα πληρωμής αυτού, προκειμένου να πληρωθεί για την αγορά του προϊόντος),
β. δεν υπάρχει σύμβαση, το πρόσωπο όμως έχει ζητήσει κάποιες ενέργειες που θα μπορούσαν να οδηγήσουν στη σύμβαση αυτή (πχ. κάποιος προτίθεται να κάνει ταξιδιωτική ασφάλιση, αλλά θέλει να μάθει πόσο θα του κοστίσει, οπότε υποβάλλει δεδομένα του στον ασφαλιστή προκειμένου να λάβει την απάντηση)
Η επεξεργασία πρέπει να είναι αναγκαία για την εκτέλεση της σύμβασης
Όταν η επεξεργασία βασίζεται στην εκτέλεση μιας σύμβασης, αυτό που πρέπει να θυμόμαστε είναι πως η νομική βάση αυτή ερμηνεύεται στενά. Προϋπόθεση για την εφαρμογή της είναι η επεξεργασία να αποτελεί αναπόσπαστο μέρος της εκτέλεσης της σύμβασης. Αυτό που θα πρέπει ειδικότερα να τεκμηριώνεται είναι:
α. Ότι η σύμβαση δεν μπορεί να εκτελεστεί ή να συναφθεί χωρίς την επεξεργασία αυτή,
β. Ότι δεν υπάρχουν άλλα ηπιότερα για την ιδιωτικότητα των προσώπων μέσα, τα οποία θα επέτρεπαν την εκτέλεση ή σύναψη της σύμβασης.
Επιπλέον, η επίκληση της νομικής βάσης αυτής πρέπει να γίνεται κατόπιν αξιολόγησης όχι μόνο από τη σκοπιά του υπευθύνου επεξεργασίας, αλλά και αφού ληφθούν υπόψιν τα δικαιώματα του ατόμου, ως υποκειμένου των δεδομένων, ειδικά το κατά πόσον θα μπορούσε αυτό να αναμένει ευλόγως πως τα προσωπικά δεδομένα του θα τύχουν επεξεργασίας ως μέρος της σύμβασης.
Ταυτόχρονα, η επεξεργασία που είναι ευλόγως αναμενόμενη και αναγκαία για την εκπλήρωση μιας συμβατικής σχέσης μπορεί να καλύπτεται από αυτή τη νομική βάση, ακόμη και αν αυτή δεν αποσκοπεί ευθέως στην εκπλήρωση μιας συμβατικής υποχρέωσης.
Για παράδειγμα, όταν έχουμε συνάψει συμβόλαιο με κάποιον πάροχο τηλεπικοινωνιακών υπηρεσιών με μηνιαίο συμβόλαιο και καθυστερούμε την πληρωμή ενός λογαριασμού, ο υπεύθυνος επεξεργασίας θα επεξεργαστεί τα προσωπικά δεδομένα μας προκειμένου να μας στείλει υπενθύμιση. Οι υπενθυμίσεις αυτές είναι αναγκαίες για τη διασφάλιση της έγκαιρης πληρωμής, αλλά και την υποβοήθηση του πελάτη στην εκπλήρωση των όρων του συμβολαίου. Μια τέτοια επεξεργασία μπορεί να θεμελιωθεί στην εκτέλεση σύμβασης.
Η συμμόρφωση με τους όρους της εγγύησης μπορεί επίσης να αποτελεί μέρος της σύμβασης, συνεπώς η εκτέλεσή της μπορεί να απαιτεί τη διατήρηση ορισμένων προσωπικών δεδομένων μετά την πώληση των αγαθών. Και αυτή η επεξεργασία μπορεί να θεμελιωθεί στην εκτέλεση της σύμβασης.
Επεξεργασία κατόπιν αιτήματος του υποκειμένου των δεδομένων πριν τη σύναψη της σύμβασης
Σε κάποιες περιπτώσεις τα εμπλεκόμενα μέρη δεν συνδέονται συμβατικώς, το ένα εξ αυτών όμως υποβάλει ένα αίτημα προς τον υπεύθυνο επεξεργασίας, το οποίο σχετίζεται με την πιθανή σύναψη σύμβασης. Η επεξεργασία δεδομένων είναι αναγκαία για την ικανοποίηση του αιτήματος αυτού. Για παράδειγμα, όταν ένα πρόσωπο έρχεται σε επαφή με μια επιχείρηση ζητώντας να λάβει πληροφορίες σχετικά με τις παρεχόμενες υπηρεσίες ή να λάβει μια προσωποποιημένη προσφορά, τότε η νομική βάση αυτή μπορεί να εφαρμοστεί.
Για την εφαρμογή αυτή, πρέπει να είναι σαφές πως η επεξεργασία πραγματοποιείται επειδή το υποκείμενο τη ζήτησε. Αντίθετα, η νομική βάση αυτή δεν μπορεί να εφαρμοστεί όταν η επιχείρηση ενεργεί με δική της πρωτοβουλία ή κατόπιν αιτήματος τρίτου μέρους. Συναφώς, η νομική βάση αυτή δεν εφαρμόζεται σε περιπτώσεις όπου το πρόσωπο έχει ζητήσει τη σύναψη σύμβασης, ο νόμος ωστόσο υποχρεώνει τον υπεύθυνο επεξεργασίας να ταυτοποιήσει το υποκείμενο πριν συμβληθεί μαζί του. Στην περίπτωση αυτή, η επεξεργασία πραγματοποιείται σε συμμόρφωση με έννομη υποχρέωση και όχι επειδή το ζήτησε ο πελάτης.
Η εφαρμογή άλλων νομικών βάσεων
Η επεξεργασία δεδομένων που πραγματοποιείται για την προώθηση των εμπορικών δραστηριοτήτων της επιχείρησης ή για άλλους σκοπούς που δεν συνδέονται με την εκτέλεση της σύμβασης (ανεξαρτήτως του ότι τα δεδομένα συλλέχθηκαν στο πλαίσιο της σύμβασης) δεν μπορεί να θεωρηθεί αναγκαία για την εκτέλεση μιας σύμβασης. Στην περίπτωση αυτή, θα τύχουν εφαρμογής άλλες νομικές βάσεις όπως το έννομο συμφέρον, η έννομη υποχρέωση ή η συγκατάθεση του υποκειμένου.
Για παράδειγμα, μια εταιρεία θέλει να πραγματοποιήσει έρευνα σε πελάτες σχετικά με τις παρασχεθείσες υπηρεσίες της μετά την εγκατάσταση οικιακών συσκευών, υποστηρίζοντας πως η νομική βάση για την απαιτούμενη επεξεργασία δεδομένων είναι η εκτέλεση σύμβασης. Μολονότι η έρευνα αυτή αφορά τις δραστηριότητες της εταιρείας στο πλαίσιο μιας συγκεκριμένης σύμβασης που έχει προηγηθεί, η νομική βάση για την επεξεργασία αυτή θα πρέπει να είναι η συγκατάθεση του πελάτη και όχι η εκτέλεση της σύμβασης Τούτο διότι η έρευνα πραγματοποιείται για την εξυπηρέτηση των συμφερόντων της εταιρείας και τη βελτίωση των υπηρεσιών της και δεν σχετίζεται με την εκτέλεση της σύμβασης.
Οι φορείς οφείλουν να καθορίζουν τους σκοπούς και τις κατάλληλες νομικές βάσεις για την επεξεργασία πριν από την έναρξη της επεξεργασίας. Κατά τη σύναψη μιας σύμβασης, ο υπεύθυνος επεξεργασίας οφείλει να ενημερώσει τον αντισυμβαλλόμενο ότι τα προσωπικά δεδομένα του που θα συλλεγούν για την εκτέλεση της σύμβασης ενδέχεται να χρησιμοποιηθούν και για άλλους σκοπούς, τόσο κατά τη διάρκεια εκτέλεσης της σύμβασης, όσο και για τον χρόνο μετά τη λήξη αυτής.
Για παράδειγμα, ένα ηλεκτρονικό κατάστημα έχει συμπεριλάβει στην Πολιτική Προστασίας Προσωπικών Δεδομένων που έχει αναρτήσει στον ιστότοπό του πως, σύμφωνα με τη νομική υποχρέωση που του επιβάλλει η φορολογική νομοθεσία, τα δεδομένα αγοράς (στα οποία περιλαμβάνονται και στοιχεία που αναγράφονται στο παραστατικό) θα πρέπει να διατηρηθούν για συγκεκριμένη χρονική περίοδο μετά την εκτέλεση της σύμβασης. Το ίδιο ηλεκτρονικό κατάστημα έχει αναφέρει ότι οι πληροφορίες σχετικά με τη συναλλαγή διατηρούνται για συγκεκριμένη χρονική περίοδο με βάση το έννομο συμφέρον της επιχείρησης στο να διασφαλίσει τη διευθέτηση τυχόν αντιδικίας που θα μπορούσε να προκύψει σχετικά με την εκτέλεση της σύμβασης.