Meta tista' tiġi pproċessata d-data personali?

Tweġiba

 Il-kumpanija/organizzazzjoni tiegħek tista' tipproċessa d-data personali biss fiċ-ċirkostanzi li ġejjin:

• bil-kunsens tal-individwi kkonċernati;
• fejn hemm obbligu kuntrattwali (kuntratt bejn il-kumpanija/organizzazzjoni tiegħek u l-klijent);
• biex jiġi ssodisfat obbligu legali (stabbilit fil-leġiżlazzjoni tal-UE jew nazzjonali);
• meta l-ipproċessar huwa meħtieġ għat-twettiq ta' kompitu mwettaq fl-interess pubbliku (stabbilit fil-leġiżlazzjoni tal-UE jew dik nazzjonali);
• biex jitħarsu l-interessi vitali ta' individwu;
• għall-interessi leġittimi tal-organizzazzjoni tiegħek, imma biss wara li tkun ivverifikajt li d-drittijiet u l-libertajiet fundamentali tal-persuna li qed tipproċessa d-data tagħha mhumiex milquta b'mod serju. Jekk id-drittijiet tal-persuna jegħlbu l-interessi tiegħek, allura l-ipproċessar ma jistax isir abbażi ta' interess leġittimu. Il-valutazzjoni dwar jekk l-interessi leġittimi tal-kumpanija/organizzazzjoni tiegħek għall-ipproċessar jegħlbux dawk tal-persuni kkonċernati tiddependi miċ-ċirkostanzi individwali tal-każ.

Eżempji

Kunsens
Il-kumpanija/organizzazzjoni tiegħektoffri app tal-mużika u titlob għall-kunsens taċ-ċittadini biex tipproċessa l-preferenzi mużikali tagħhom sabiex tissuġġerixxi diski u possibbilment kunċerti mfassla apposta għalihom.

Obbligu kuntrattwali
Il-kumpanija/organizzazzjoni tiegħek tbigħ oġġetti onlajn. Inti tista' tipproċessa d-data li hija meħtieġa biex tieħu l-passi fuq it-talba tal-individwu qabel isir il-kuntratt u għat-twettiq tal-kuntratt. Għalhekk tista' tipproċessa l-isem, l-indirizz tal-kunsinna, in-numru tal-karta tal-kreditu (jekk il-ħlas se jsir bil-kard), eċċ.

Obbligu legali
Inti għandek kumpanija bl-impjegati. Sabiex tikseb il-kopertura tas-sigurtà soċjali, il-liġi tobbligak tipprovdi d-data personali (pereżempju kemm jaqilgħu fil-ġimgħa l-impjegati tiegħek) lill-awtorità rilevanti.

Interess pubbliku
Eżempju: assoċjazzjoni professjonali bħall-assoċjazzjoni tal-avukati jew il-kamra tat-tobba li tingħata awtorità uffiċjali tista' teżerċita proċeduri dixxiplinari kontra xi wħud mill-membri tagħha.

Interessi vitali ta' persuna
Sptar ikun qed jittratta pazjent wara inċident tat-traffiku serju; l-isptar m'għandhux bżonn il-kunsens tiegħu jew tagħha biex tfittex il-karta tal-identità tiegħu jew tagħha biex tivverifika jekk dik il-persuna teżistix fil-bażi ta' data tal-isptar sabiex tinstab l-istorja medika preċedenti jew biex tikkuntattja l-qraba tiegħu jew tagħha.

L-interessi leġittimi tal-organizzazzjoni tiegħek
Il-kumpanija/organizzazzjoni tiegħek timmonitorja l-użu tal-apparat tal-IT tal-impjegati tagħha biex tiżgura s-sigurtà tan-netwerk tagħha. Il-kumpanija/organizzazzjoni tiegħek tista' b'mod leġittimu tipproċessa d-data personali għal dak il-fini, biss jekk tagħżel il-metodu l-anqas intrużiv fir-rigward tal-privatezza u tad-drittijiet tal-protezzjoni tad-data tal-impjegati tagħha, pereżempju, billi tillimita l-aċċessibilità għal ċerti siti elettroniċi. (Innota li dan ma jistax isir fi Stati Membri tal-UE fejn il-liġi nazzjonali tistabbilixxi regoli aktar stretti għall-ipproċessar fil-kuntest tal-impjieg).

Referenzi

• Artikolu 6; Premessi 40, 41, 42, 43, 44, 45, 46, 47, 48, 49
• Artikolu 29 Opinjoni 06/2014 tal-Grupp ta' Ħidma dwar il-kunċett ta' interessi leġittimi tal-kontrollur tad-data skont l-Artikolu 7 tad-Direttiva 95/46/KE

Consent

Your company/organisation offers a music app and ask for citizens’ consent to process their musical preferences in order to suggest tailored songs and possible concerts to them. 

Contractual obligation
Your company/organisation sell goods online. It can process data that is necessary to take steps at the request of the individual prior to entering into the contract and for the performance of the contract. So you can process the name, delivery address, credit card number (if payment by card), etc.

Legal obligation
You own a company with employees. In order to obtain social security cover, the law obliges you to provide personal data (for example weekly income of your employees) to the relevant authority.

Public interest
Example: a professional association such as a bar association or a chamber of medical professionals vested with an official authority to do so may carry out disciplinary procedures against some of their members.

Vital interests of a person
A hospital is treating a patient after a serious road accident; the hospital doesn't need his consent to search for his ID to check whether that person exists in the hospital's database to find previous medical history or to contact his next of kin.

Your organisation’s legitimate interests
Your company/organisation ensures its network security by monitoring the use of its employees’ IT devices. Your company/organisation may legitimately process personal data for that purpose, only if the least intrusive method is chosen as regards the privacy and data protection rights of your employees, for example, by limiting the accessibility of certain websites. (Note that this can’t be done in EU Member States where national law sets out stricter rules for processing in the employment context).

• Article 6 and Recitals (40) to (49) of the GDPR
• Article 29 Working Party Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/E