Achiziţii publiceAfaceri transfrontaliereArbitrajAsigurăriBankingConcurenţăConstrucţiiContencios administrativContravenţiiCorporateCyberlawData protectionDrept civilDrept comercialDrept constituţionalDrept penalDreptul familieiDreptul munciiDreptul sportuluiDreptul UEEnergieExecutare silităFiscalitateFuziuni & AchiziţiiGamblingHealth & PharmaInfrastructurăInsolvenţăLITIGIIMedia & publicitateMedierePiaţa de capitalProcedură civilăProprietate intelectualăProtecţia consumatorilorProtecţia mediuluiTelecom
 
Cyberlaw
CărţiProfesionişti
SAVESCU & ASOCIATII
Abonare newsletter oficial JURIDICE.ro

Print Friendly, PDF & Email

Ce practici online pot atrage sancțiuni în cadrul unei investigații de protecție a datelor

27.11.2018 | Cătălina GHEORGHE
Cătălina Gheorghe

Cătălina Gheorghe

Abstract

Una dintre provocările actuale este păstrarea proporționalității și a unui echilibru între dorința de a avea un business activ în mediul online, cu o promovare organică și sistematică a serviciilor și produselor oferite, pe de-o parte, și protecția datelor cu caracter personal, pe de altă parte. Într-un mileniu ce aparține în totalitate internetului și prezenței în mediul online, este important ca dezvoltarea afacerilor să se facă cu încorporarea principiilor în vigoare chiar în mecanismele de business folosite, astfel încât să nu fie cazul punerii în practică de către autoritățile de supraveghere și control a mecanismelor de coerciție de care dispun, iar imaginea afacerii să nu aibă de suferit în urma unui eventual control.

Introducere

Odată cu intrarea în vigoare a Regulamentului (UE) 2016/679[1] al Parlamentului European și al Consiliului din 27 aprilie 2016, privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date, și de abrogare a Directivei 95/46/CE[2], denumit în continuare Regulamentul, a fost introdus principiul responsabilizării operatorilor. Astfel, una dintre cele mai notabile noutăți aduse de Regulament o reprezintă numeroasele cerințe pentru a face comercianții mai răspunzători pentru practicile privind prelucrarea datelor cu caracter personal pe care le folosesc.

Pentru a fi calificat drept operator, un comerciant trebuie să fie cel care stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal, singur sau împreună cu alții[3]. Cu alte cuvinte, el este cel care răspunde la întrebările de ce și cum are loc activitatea de prelucrare a datelor[4].

În aceste condiții, principiul responsabilizării operatorilor presupune nu numai că operatorul este responsabil pentru respectarea principiilor impuse de Regulament, dar mai ales ca acesta să fie capabil să demonstreze ulterior, dacă va fi cazul, implementarea și aplicarea corectă a prevederilor Regulamentului[5].

Prin urmare, implicațiile asumării răspunderii nu sunt numai de a răspunde în mod direct, ci și de a putea demonstra că se respectă Regulamentul și de a fi transparent cu privire la acest aspect. Printre noile responsabilități și principii se numără și:

– legalitate, echitate și transparență[6]; determinarea scopurilor[7]; reducerea la minimum a datelor[8]; exactitatea[9]; limitări legate de stocare[10]; integritate și confidențialitate[11]
– implementarea de politici de protecția datelor și de măsuri tehnice și organizatorice corespunzătoare, care să asigure că activitățile de prelucrare a datelor ale comerciantului respectă prevederile Regulamentului;
– protecția datelor începând cu momentul conceperii și protecția implicită a datelor[12];
– păstrarea evidențelor datelor cu caracter personal de către operatori și persoanele împuternicite ale acestora;
– cooperarea cu autoritățile de supraveghere a operatorilor și a persoanelor împuternicite ale acestora; efectuarea de evaluări a impactului asupra protecției datelor în cazul operațiunilor care prezintă riscuri specifice privind persoanele vizate, față de scopul și natura prelucrărilor;
– consultarea prealabilă cu autoritatea de protecție a datelor competentă în cazurile ce prezintă riscuri ridicate;
– numirea unor responsabili independenți cu protecția datelor în cazul operatorilor și persoanelor împuternicite ale acestora, atunci când au loc activități de prelucrare a unui volum mare de date[13], precum și în cazurile reglementate expres în Regulament.

Investigațiile

În cadrul unei investigații autoritățile de supraveghere și de control beneficiază de prerogativa de a verifica orice aspecte privind respectarea regulilor de prelucrare a datelor cu caracter personal. În România, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, denumită în continuare ANSPDCP, este autoritatea publică locală care are competențe în domeniu și efectuează investigații.

Prin actuala reglementare a procedurii de desfășurare a investigațiilor[14] s-a stabilit că în domeniul protecției datelor cu caracter personal, în mod asemănător altor domenii considerate de aceeași importanță, precum dreptul concurenței, investigațiile se pot desfășura inclusiv pe teren, adică la sediul operatorului sau în orice loc în care acesta își desfășoară activitatea. În vederea desfășurării unei asemenea investigații, personalul de control are atribuții extinse, care le conferă dreptul de a verifica orice document, echipament, mijloc sau suport de stocare a datelor necesare desfășurării investigației, și de a solicita în acest sens entității controlate, într-o formă completă, orice informații, înregistrări și evidențe sau lămuriri ar putea considera necesare. Scopul acordării acestor ample atribuții a fost ca autoritatea de control să dobândească astfel acces complet la întreaga activitate a operatorului controlat și la orice probatoriu necesar în acest sens, astfel ca operatorul în cauză să nu aibă posibilitatea de a-si ascunde în niciun mod eventualele practici neconforme.

Mai mult decât atât, investigațiile se pot desfășura atât cu înștiințarea entității controlate, cât și inopinat, fără anunțarea în prealabil în scris a entității controlate. În consecință, este important ca operatorii să își însușească practici conforme cu Regulamentul, pe care să le implementeze prin proceduri bine puse la punct și pe care să le aplice în mod constant în activitatea acestora, independent de anticiparea sau nu a unei investigații.

Cu toate acestea, nu întotdeauna un comerciant, chiar de bună-credință, reușește să respecte întocmai prevederile și principiile Regulamentului, de multe ori din cauza faptului că, în vederea gestionării operațiunilor curente necesare pentru promovarea activității în mediul online, sunt folosite aplicații sau programe prin intermediul cărora datele sunt divulgate sau transferate unor terți, care nu respectă principiile obligatorii în domeniu. Trebuie reținut că la acest moment ANSPDCP deține atribuțiile și competențele necesare pentru a verifica și a investiga și astfel de situații.

Folosirea de mijloace automate pentru notificarea terților

Atunci când o afacere se extinde, se naște nevoia de a lua legătura în mod direct și simultan cu toți clienții sau cu anumite grupuri de clienți, nemaiexistând timp pentru a face această operațiune manual. Piața oferă o multitudine de aplicații de profil create special pentru a răspunde tocmai acestei nevoi. Multe dintre acestea pot fi achiziționate online gratuit sau în sistem freemium[15]. Însă chiar dacă aceasta pare o soluție viabilă pentru dezvoltarea afacerii, această măsură poate să atragă sancțiuni în cazul unei investigații de protecție a datelor.

În general, regula este că prin intermediul unor asemenea aplicații sau programe se colectează date cu caracter personal. Prin urmare, comerciantul, care recurge la asemenea metode, ar trebui să fie conștient de faptul că prin folosirea acestor aplicații pentru transmiterea de notificări automate, datele cu caracter personal ale persoanelor vizate introduse în aplicația sau programul în cauză vor fi prelucrate nu numai de el, dar și de societatea care administrează aplicația/ programul în cauză, cu acordul său și în vederea efectuării unor operațiuni stabilite de el (în scopul transmiterii automate de notificări către persoane indicate de comerciant). Se creează astfel o relație de tipul operator – persoană împuternicită între comerciant și societatea terță care administrează aplicația.

Aceasta reprezintă un prim aspect ce poate atrage răspunderea comerciantului, deoarece persoanele împuternicite trebuie alese în mod riguros, ținând în special seama de caracterul adecvat al măsurilor tehnice și organizaționale, pe care acestea le iau în vederea asigurării securității datelor cu caracter personal puse la dispoziție de către operator, iar nu un terț neverificat, care este contractat doar pentru că oferă servicii online gratuite. Pentru a preîntâmpina astfel de situații, orice comerciant ar trebui în primul rând să verifice în prealabil care sunt condițiile în care se efectuează prelucrările de către administratorul aplicației sau programului în cauză. În cazul în care acestea corespund condițiilor și principiilor Regulamentului și, drept urmare, decide să contracteze acele servicii, următorul pas este informarea cât mai transparentă a persoanelor notificate în mod automat, ale căror date cu caracter personal sunt prelucrate, cu privire la terții către care sunt transmise date acestora, împreună cu informațiile esențiale aferente acestui transfer. Având în vedere că transferul datelor către terț se face înainte de comunicarea transmisă persoanelor vizate, considerăm că informarea privind posibilitatea transferului și condițiile în care prelucrează terța persoană datele trebuie făcute în momentul obținerii datelor de contact (adresă de e-mail, număr de telefon etc.), ale persoanelor în cauză în vederea folosirii ulterioare a acestora în scopul efectuării de comunicări comerciale.

Un alt aspect potențial generator de sancțiuni este faptul că, de cele mai multe ori societățile care administrează aceste aplicații nu își au sediul în state membre, fiind cu sediul în state terțe, cu preponderență în SUA.

Astfel, avem de-a face cu situația în care datele în cauză sunt transmise online în state terțe. Acesta reprezintă un motiv de îngrijorare, deoarece rutarea tehnică a pachetelor de informații pentru transmiterea acestora online, prin e-mail sau pagini de internet, implică uneori transferuri aleatorii de date între servere locate oriunde în lume. Or, față de standardele ridicate ale asigurării protecției datelor cu caracter personal impuse de Regulament, este dificil să îți dai seama cum țări terțe, care nu au aceeași abordare legislativă privind protecția datelor, ar putea îndeplini condițiile pentru a avea un nivel adecvat de protecție pentru un transfer de date[16].

Mai mult decât atât, în situația transferurilor către SUA, în cazul cărora la momentul actual este valabil Scutul de Confidențialitate UE-SUA (Privacy Shield EU-US)[17], funcționează principul conform căruia companiile din SUA cărora le este aplicabil Scutul de Confidențialitate UE-SUA își auto-certifică conformitatea cu reglementările în vigoare privind protecția datelor cu caracter personal, pentru a fi listate drept companii cărora le pot fi transferate date în condiții adecvate. În aceste condiții, este doar o chestiune de timp până când va fi rândul Scutului de Confidențialitate UE-SUA de a fi supus testului Curții de Justiție a Uniunii Europene, iar în cazul în care nu îl va trece[18], toate transferurile efectuate în baza acestuia vor fi considerate neadecvate. Iată de ce luarea în considerare încă de pe acum a unor temeiuri alternative pentru operarea unor astfel de transferuri ar fi utilă[19].

Prin urmare, este important ca operatorii să își însușească principiul răspunderii pentru transferul mai departe, și să țină cont inclusiv de destinația pe care o vor avea datele, înainte de a lua o decizie privind folosirea unor astfel de aplicații. O regulă de bază a afacerilor este că nimic nu e mai scump decât ceea ce primești pe gratis – un principiu de care ar trebui să se țină cont și în privința serviciilor online puse la dispoziție aparent gratis sau a aplicațiilor disponibile gratuit în mediul online, în cazul cărora moneda de plată este în fapt pachetul de date personale divulgate sau transmise.

Folosirea unor aplicații de profil de tip „chat online”

Ca și în cazul anterior, în practică se întâlnesc multe situații în care comercianții decid să apeleze la astfel de servicii și să implementeze în cadrul website-urilor proprii aplicații de tip chat online, prin intermediul cărora să poată contacta în timp real utilizatorii care le accesează și să discute cu aceștia, în mod preponderent anterior momentului la care acei utilizatori iau o decizie cu privire la achiziționarea serviciilor sau produselor oferite, în vederea transformării acestora în clienți.

Este evidentă valoarea pe care o pot aduce unei afaceri astfel de aplicații. Dar, ca și în cazul notificărilor automate prezentate anterior, și în acest caz valoarea adăugată vine cu riscurile aferente și, uneori, cu un preț foarte mare de plătit, în cazul unei investigații de protecție a datelor, existența unui asemenea mecanism de contactare a utilizatorilor website-ului putând ridica suspiciuni, și poate rezulta, implicit, în verificări suplimentare.

La o primă vedere nu se întâmplă nimic ce ar contraveni prevederilor legale, intenția fiind una bună și legitimă: dezvoltarea afacerii aparent fără prelucrări de date cu caracter personal – însă, desigur, lucrurile nu stau tocmai așa. Astfel, este important de reținut de către orice comerciant că simpla colectare a datelor, chiar și fără o stocare structurată ulterioară a acestora, prin intermediul unor astfel de aplicații de chat online, reprezintă deja prelucrare. Prin urmare, în asemenea cazuri, chiar dacă comerciantul în cauză nu păstrează datele într-o bază de date structurată, ci doar le colectează la momentul desfășurării conversației în cauză, operațiunea intră în categoria prelucrărilor de date cu caracter personal, fiind aplicabile prevederile legale din domeniu, inclusiv ale Regulamentului. Ca atare, trebuie să existe informarea clară și transparentă a persoanelor vizate și cu privire la acest aspect.

Mai mult decât atât, și în astfel de cazuri de obicei datele cu caracter personal introduse în aplicația de chat online sau la care aceasta are acces (spre exemplu – adresa IP a dispozitivului folosit pentru conectare de către persoana vizată) sunt prelucrate nu numai de comerciant, dar și de societatea care administrează aplicația. Astfel, și în asemenea situații se creează o relație de tipul operator – persoană împuternicită (uneori chiar de operatori asociați, în funcție de aplicație) între comerciant și societatea terță, care administrează aplicația de chat online, fiind aplicabile și în acest caz considerentele de mai sus.

Nu în ultimul rând, în practică, de multe ori comunicările ce au loc prin intermediul unei aplicații de chat online sunt doar un prim pas, iar informațiile obținute, inclusiv datele personale (de ex. adresa IP) sunt folosite ulterior pentru alte scopuri decât cele declarate sau aparente (adică oferirea de informații conform solicitării exprese a persoanelor vizate), cum ar fi cele de tip marketing direct, publicitate personalizată etc., fără ca persoanele vizate să fi fost informate de acest aspect.

Așadar, oricând are loc o astfel de prelucrare, comerciantul în calitate de operator este obligat să respecte toate responsabilitățile pe care le are conform prevederilor Regulamentului, precum și ale Directivei 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice – așa-numita Directivă E-privacy), care este de asemenea aplicabilă, în privința tuturor scopurilor de prelucrare, anterior prelucrării. Regula generală, de care ar trebui să se țină cont, este că cele mai multe forme de marketing direct necesită consimțământul exprimat în prealabil al persoanei vizate[20] (deși, desigur, nici interesul legitim nu poate fi exclus, ca temei al prelucrării în aceste cazuri, în practică folosirea legală  a acestui temei poate crea dificultăți semnificative).

Crearea unei pagini de Facebook a comerciantului

Să luăm următoarea ipoteză: un comerciant își creează o pagină de Facebook pentru promovarea serviciilor și produselor oferite de acesta în mediul online.

Paginile de Facebook pentru fani sunt conturi de utilizatori, care pot fi configurate pe Facebook de persoane private sau de comercianți. Realitatea este că, de cele mai multe ori, prin intermediul unei pagini de Facebook sunt colectate, cu ajutorul unor fișiere martor de tip cookies sau cu ajutorul diferiților algoritmi, informații cu caracter personal ale vizitatorilor paginii respective (uneori chiar fără ca acești utilizatori să aibă la rândul lor un cont personal Facebook), care sunt mai apoi prelucrate.

Un cookie sau un modul cookie este un text special, deseori codificat, trimis de un server unui navigator web și apoi trimis înapoi (nemodificat) de către navigator, de fiecare dată când se accesează acel server. Cookie-urile sunt folosite, printre altele, pentru autentificare precum și pentru urmărirea comportamentului utilizatorilor; aplicații tipice ale acestora fiind reținerea preferințelor utilizatorilor și implementarea sistemului de „coș de cumpărături”.

În acest scop, comerciantul, odată înregistrat prin intermediul Facebook, poate să utilizeze platforma pentru a se prezenta utilizatorilor acestei rețele sociale, precum și persoanelor care vizitează pagina, să intre în contact direct cu aceste persoane, respectiv să difuzeze comunicări de orice natură pe piața media și către public. Administratorii paginilor de Facebook pot obține date statistice anonime privind vizitatorii acestor pagini cu ajutorul unei funcții intitulate „Facebook Insight”, puse în mod gratuit la dispoziția lor de Facebook. Aceste date sunt colectate cu ajutorul unor  fișiere martori de tip cookies care conțin, fiecare, câte un cod de utilizator unic, și sunt active timp de doi ani și salvate de Facebook pe calculator sau pe orice alt suport al vizitatorilor paginii în cauză[21].

Prin urmare, administratorul este cel care în fapt, stabilește cu ajutorul filtrelor puse la dispoziția sa de către Facebook, care vor fi criteriile pe baza cărora trebuie să fie întocmite aceste statistici și chiar să desemneze care sunt categoriile de persoane care urmează să facă obiectul analizei de către Facebook. În consecință, administratorul paginii este cel care poate solicita obținerea – și deci prelucrarea – de date demografice privind audiența sa țintă, cum ar fi tendințe în materie de vârstă, de sex, de situația socială sau profesională, de informații privind stilul de viață și centrele de interes, precum și informații privind comportamentul de cumpărare online al vizitatorilor paginii sale, categoriile de produse sau servicii care îi interesează cel mai mult, date geografice, care să îi permită să știe care sunt zonele geografice unde să efectueze promoții speciale sau evenimente, și altele asemenea[22].

Cu alte cuvinte, în astfel de cazuri sunt prelucrate date cu caracter personal prin plasarea de fișiere tip cookies, de către Facebook, pe dispozitivul folosit de utilizator, fișiere care sunt folosite mai apoi pentru a strânge date pe dispozitivele folosite, rămânând active o perioadă determinată de timp. Aceste cookies nu sunt strânse numai în beneficiul Facebook, dar și în beneficiul administratorului paginii respective, deoarece îi permit acestuia din urmă să obțină statistici întocmite de Facebook pe baza vizitelor acestei pagini, în vederea gestionării promovării activității sale, permițându-i spre exemplu să cunoască profilul vizitatorilor, pentru a-și adapta serviciile și/sau produsele.

Consecințele juridice extrem de importante ce reies din această situație sunt următoarele:

În primul rând, Facebook Inc. și, în ceea ce privește Uniunea Europeană, Facebook Ireland au calitatea de operatori cu privire la datele cu caracter personal astfel create, deoarece stabilesc, în principal, care sunt scopurile și mijloacele de prelucrare a datelor cu caracter personal ale utilizatorilor Facebook, inclusiv ale celor care au vizitat paginile Facebook ale comerciantului în cauză.

În al doilea rând, comerciantul, care dorește să creeze o pagină de Facebook, încheie de fapt cu Facebook Ireland un contract specific, referitor la deschiderea unei astfel de pagini și subscrie în acest sens, la condițiile de utilizare a acestei pagini, inclusiv la politica în materie de cookies aferentă acesteia.

În același timp, cel mai important, comerciantul în cauză are calitatea de operator, care prelucrează datele vizitatorilor paginii sale. Aceasta deoarece participă la stabilirea parametrilor, scopurilor și mijloacelor de prelucrare a datelor personale ale vizitatorilor paginii sale.

Toate acestea au fost reținute și confirmate de Curtea de Justiție a Uniunii Europene în cauza C‑210/16, privind cererea formulată în cadrul unui litigiu între autoritatea regională de protecție a datelor din Schleswig‑Holstein, Germania, pe de o parte, și o societate de drept privat, specializată în domeniul educației, pe de altă parte, cu privire la legalitatea unei somații adresate de autoritate acesteia din urmă, prin care i se solicita dezactivarea paginii sale pentru fani, găzduite de site‑ul rețelei sociale Facebook.

Ce înseamnă toate acestea în fapt? Înseamnă că poate fi atrasă răspunderea unui comerciant care deține un cont profesional găzduit pe o rețea de socializare, în cazul unei atingeri aduse normelor privitoare la protecția datelor cu caracter personal, ca urmare a alegerii acestui comerciant de a recurge la rețeaua de socializare în cauză, pentru a-și difuza, prin intermediul acesteia, oferta sa de servicii și/sau produse. Răspunderea poate fi atrasă în comun cu operatorul rețelei de socializare (în exemplul oferit Facebook Irlanda), acești operatori putând fi implicați în stadii diferite ale prelucrării și în diferite grade, astfel încât nivelul de răspundere al fiecăruia dintre ei trebuie va fi evaluat ținând seama de toate împrejurările relevante ale situației de fapt, conform interpretării din Hotărârea pronunțată de CJUE  din cauza C-210/16, indicată mai sus.

Ca atare, orice comerciant, care își deschide o pagină de Facebook (sau pe altă rețea de socializare) pentru afacerea sa, ar trebui să aibă în vedere cele de mai sus, inclusiv obligația de a informa în mod cât mai transparent vizitatorii acesteia cu privire la modul în care sunt prelucrate datele lor cu caracter personal (având în vedere și faptul că unii vizitatori pot fi persoane care nu au un cont pe rețeaua în cauză, ca atare nu au agreat anterior politica de confidențialitate a rețelei).

Ce se poate întâmpla în urma unei investigații în cazul folosirii practicilor de tipul celor de mai sus

În cazul în care un comerciant prelucrează date cu caracter personal, prin folosirea oricăreia dintre practicile online descrise, dar fără a lua măsurile necesare pentru respectarea Regulamentului, aceasta poate fi sancționat ca urmare a unei investigații a ANSPDCP (desfășurată din oficiu sau ca urmare a unei plângeri de la o persoană vizată), prin aplicarea uneia dintre următoarele sancțiuni:

Sancțiuni contravenționale principale. Acestea sunt amenda contravențională sau avertismentul.

În cazul unei amenzi, aceasta trebuie plătită de principiu de către comerciant, dacă nu este contestată, într-un termen de cel mult 15 zile de la data înmânării, respectiv de la data comunicării procesului-verbal de constatare sau sancționare a contravenției. În caz contrar, se poate aplica o amendă cominatorie suplimentară de până la 3.000 lei /zi de întârziere. Depășirea termenului va atrage executare silită de către ANSPDCP.

Măsuri corective sau recomandări. Pe lângă amenda administrativă sau avertisment, autoritatea poate stabili și măsuri de remediere, precum și un termen de remediere, în cadrul căruia acestea să fie îndeplinite de către comerciant. Aceste măsuri cu caracter de remediere și termenul în care se pot îndeplini pot fi stabilite prin întocmirea unei anexe la procesul-verbal de constatare sau sancționare a contravenției[23]. ANSPDCP are dreptul de a relua controlul în termen de 10 zile de la data expirării termenului de remediere.

La o analiză a noilor prevederi ale procedurii de efectuare a investigațiilor[24], raportat la prevederile deja existente ale Regulamentului, observăm că vulnerabilitatea comercianților a crescut. Aceasta nu neapărat ca urmare a prerogativelor lărgite ale ANSPDCP, cât ca urmare a introducerii exprese în sfera lor de răspundere a prelucrărilor întreprinse prin terțe persoane, ca o expresie a principiului răspunderii pentru furnizorul ales de către comerciant în vederea prestării anumitor servicii. Mărirea atribuțiilor de control ale ANSPDCP prin investigații amănunțite apare astfel doar ca o consecință a obligațiilor pe care le au comercianții.

Concluzii:

Regulamentul nu trebuie privit ca un mijloc de blocare a activității economice, ci ca un imbold pentru desfășurarea acesteia cu respectarea vieții private a persoanelor fizice.

Rămâne de văzut în ce măsură autoritatea de supraveghere din România va putea implementa în fapt toate măsurile pe care le-ar putea lua în cadrul unei investigații, având în vedere în primul rând lipsa actuală generală de personal, și în al doilea rând lipsa de specialiști în tehnologia informației, care să poată verifica în concret sistemele entităților controlate și principiile de funcționare ale acestora. Această lipsă de personal și de specialiști a fost recunoscută în repetate rânduri chiar de reprezentanții ANSPDCP, dar și de alte autorități de supraveghere din alte țări membre, care se confruntă și ele la acest moment cu un deficit acut de specialiști, față de amploarea pe care a luat-o în acest moment ceea ce putem numi fenomenul „GDPR”[25].

Rămâne de văzut și care va fi direcția în care se vor îndrepta instanțele judecătorești naționale, instanțele din statele membre, respectiv Curtea de Justiție a Uniunii Europene în interpretarea anumitor practici online ale comercianților.

Menționăm în acest sens o decizie recentă a autorității franceze de supraveghere pentru protecția datelor[26], care va schimba cu siguranță în mod substanțial piața publicității online personalizate, mai ales sistemul de licitații online în timp real (realtimebiding), decizia aducând  importante clarificări  și limitări cu privire la modalitatea de obținere a consimțământului în acest domeniu, în privința părții responsabile pentru obținerea consimțământului, inclusiv în cazul folosirii unor aplicații sau platforme profesionale.

Sunt de urmărit de asemenea și deciziile ce se vor da în Regatul Unit al Marii Britanii și Irlandei de Nord, respectiv în Republica Irlanda pe același subiect, pentru soluționarea plângerilor simultane[27], ce au fost depuse împotriva Google și a altor societăți ad-tech, cu un accent deosebit pe măsurile de securitate necesare pentru implementarea unui asemenea model de business[28]


[1] Regulamentul este în vigoare din 24 mai 2016 și se aplică de la 25 mai 2018.
[2] JO L 119, 4.5.2016.
[3] Articolul 4 pct. (7) din Regulament „operator înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern”.
[4] European Data Protection, Law and Practice, Executive Editor Eduardo Ustaran CIPP/E, 2018, by the International Association of Privacy Professionals (IAPP), Mac Macmillan, pag. 78.
[5] Vezi articolul 5 alin. (2) coroborat cu art. 24 alin. (1) din Regulament.
[6] Articolul 5 pct. (1) lit. a) din Regulament.
[7] Articolul 5 pct. (1) lit. b) din Regulament.
[8] Articolul 5 pct. (1) lit. c) din Regulament.
[9] Articolul 5 pct. (1) lit. d) din Regulament.
[10] Articolul 5 pct. (1) lit. e) din Regulament.
[11] Articolul 5 pct. (1) lit. f) din Regulament.
[12] Paragraful 78 din preambulul Regulamentului.
[13] European Data Protection, Law and Practice, Executive Editor Eduardo Ustaran CIPP/E, 2018, by the International Association of Privacy Professionals (IAPP), Katie McMullan, pag. 51.
[14] Procedura de efectuare a investigațiilor, din 09.10.2018 a Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, în vigoare din 23.10.2018, Publicată în M.Of. Partea I nr. 892 din 23.10.2018.
[15] Presupune o strategie de stabilire a prețurilor prin care un produs sau un serviciu (în mod obișnuit o ofertă digitală sau o aplicație, cum ar fi software, media, jocuri sau servicii web) este oferită gratuit, dar se plătesc bani (premium) pentru caracteristici suplimentare, (online) sau bunuri fizice (offline) (din  cuvintele free – gratuit – și premium).
[16] European Data Protection, Law and Practice, Executive Editor Eduardo Ustaran CIPP/E, 2018, by the International Association of Privacy Professionals (IAPP), Eduardo Ustaran CIPP/E, pag. 216
[17] În luna august a anului 2016 a fost publicată în Jurnalul Oficial al Uniunii Europene Decizia de punere în aplicare (UE) 2016/1250 a Comisiei din 12 iulie 2016 în temeiul Directivei 95/46/CE a Parlamentului European şi a Consiliului privind caracterul adecvat al protecţiei oferite de Scutul de confidenţialitate UE-SUA.
[18] Cu atât mai mult cu cât unele din argumentele reținute prin Hotărârea Curții de Justiție a Uniunii Europene pronunțată în cauza C-362/14 Maximilian Schrems vs. Data Protection Commissioner, de invalidare Deciziei Comisiei Europene 2000/520/EC emisă în baza Directivei 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (de invalidare Safe Harbour), sunt valabile și în cazul Scutului de Confidențialitate UE-SUA (Privacy Shield).
[19] Există deja voci care pun sub semnul întrebării valabilitatea Scutului de Confidențialitate UE-SUA (Privacy Shield), inclusiv din partea Parlamentului European, care a adoptat, în data de 5 iulie 2018, o rezoluție, fără caracter obligatoriu, prin care a fost solicitată inclusiv suspendarea acestuia, pe considerentul că nu oferă destulă protecție cetățenilor europeni. La momentul redactării acestui articol încă se așteaptă ca la sfârșitul lunii noiembrie 2018 și Comisia Europeană să își exprime opinia privind Scutul de Confidențialitate, ca urmare a revizuirii anuale a acestuia.
A se vedea de exemplu: Comunicatul de presă al Comisiei Europene din data de 19 octombrie 2018, disponibil aici.
Are You Ready for the End of Privacy Shield?” de Erika Morphy, „The problem with the Privacy Shield challenges: do the challengers have legal standing?” de Gabriela Zanfir Fortuna.
[20] European Data Protection, Law and Practice, Executive Editor Eduardo Ustaran CIPP/E, 2018, by the International Association of Privacy Professionals (IAPP), Wouter Seinen, CIPP/E, pag. 300.
[21] Cauza C‑210/16 a Curții de Justiție a Uniunii Europene având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Bundesverwaltungsgericht (Curtea Administrativă Federală, Germania), Hotărârea Curții (Marea Cameră) din 5 iunie 2018, para. 15.
[22] Cauza C‑210/16 a Curții de Justiție a Uniunii Europene având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Bundesverwaltungsgericht (Curtea Administrativă Federală, Germania), Hotărârea Curții (Marea Cameră) din 5 iunie 2018, para. 37.
[23] Întocmit în condițiile art. 11 din Legea 190/2018 privind măsuri de punere în aplicare a Regulamentului
[24] Procedura de efectuare a investigațiilor, din 09.10.2018 a Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, în vigoare din 23.10.2018, Publicată în M.Of. Partea I nr. 892 din 23.10.2018.
[25] GDPR reprezintă abrevierea denumirii în limba engleză a Regulamentului – General Data Protection Regulation.
[26]La Commission nationale de l’informatique et des libertés (CNIL) – Décisionn° MED 2018-042 du 30 octobre 2018 mettant en demeure la société VECTAURY.
[27] Plângerile au fost făcute de Dr. Johnny Ryan de la Brave, browserul web privat, Jim Killock, Director Executiv al Open Rights Group, și de Michael Veale de la Colegiul Universitar din Londra. Acestea notifică autoritățile europene de reglementare în privința unei încălcări grave și persistente a datelor cu caracter personal, care afectează practic toți utilizatorii de pe internet. Pentru mai multe informații pe acest subiect sau pentru accesarea documentelor depuse a se vedea: Regulatory complaint concerning massive, web-wide data breach by Google and other “ad tech” companies under Europe’s GDPR de Johnny Ryan, 12 septembrie 2018; Announcements, Brave Insights, GDPR, Policy, Privacy, disponibil aici.
[28] A se vedea în acest sens prevederile Articolului 5 alin. (1)  lit. f) din Regulament, care prevede în mod expres că datele cu caracter personal trebuie procesate într-un mod în care să asigure securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare. În cazul în care nu poate fi respectat acest principiu, atunci datele nu pot fi prelucrate conform Regulamentului.


Avocat Cătălina Gheorghe
Markó & Udrea Attorneys-at-law


Aflaţi mai mult despre , , , , , , ,
JURIDICE.ro utilizează şi recomandă SmartBill pentru facturare.

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important
Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile publicate sub numele real care respectă Politica JURIDICE.ro şi Condiţiile de publicare.


.


Irina Maria STANCU


Oana ISPAS


Radu Slăvoiu


Livia Dianu-Buja


Ștefania Stoica


Luminița Malanciuc


Ioana-Olivia Voicu


Eduard Toma-Apostol


Florina-Lăcrămioara Drăgan