Pentru comunicare profesională JURIDICE.ro recomandă Infinit PR
TOP LEGAL
Print Friendly, PDF & Email

ePrivacy, lex specialis în raport cu GDPR

07.01.2019 | Alexandru MATEI
Alexandru Matei

Alexandru Matei

Viitorul nostru digital poate fi construit numai pe încredere. Toată lumea trebuie protejată. Normele UE consolidate privind protecția datelor vor deveni realitate la 25 mai. Este un pas important înainte și suntem hotărâți să-i facem un succes pentru toată lumea (Andrus Ansip, vicepreședinte al Comisiei Europene pentru piața unică digitală, 24 ianuarie 2018)

În prezent, există o propunere de Regulament al Parlamentului European și al Consiliului privind respectarea vieții private și protecția datelor cu caracter personal în comunicațiile electronice și de abrogare a Directivei 2002/58/CE (Regulamentul privind viața privată și comunicațiile electronice sau ePrivacy). Acest regulament care, momentan, se află la stadiul de proiect, trebuia să se aplice odată cu GDPR (Regulamentul general privind protecția datelor cu caracter personal), respectiv din data de 25 mai 2018. În cazul în care acesta se va aplica în viitor, este necesar ca operatorii de date cu caracter personal care își desfășoară activitatea în domeniul comunicațiilor electronice să se conformeze potrivit prevederilor acestuia.

ePrivacy își propune să asigure coerența cu GDPR și cu securitatea juridică pentru utilizatori și întreprinderi, în egală măsură acționând ca lex specialis față de regulamentul privind protecția datelor. Ca domeniu de aplicare, vizează prelucrările datelor transmise prin intermediul comunicațiilor electronice efectuate în legătură cu prestarea și utilizarea serviciilor de comunicații electronice și în cazul informațiilor legate de echipamentele terminale ale utilizatorilor finali. Așadar, ePrivacy urmărește să asigure confidențialitatea informațiilor care circulă în mediul online, însă trebuie precizat că se aplică numai prelucrărilor ce au ca obiect date transmise prin intermediul comunicațiilor electronice și care conțin caracter personal, deci nu orice fel de date.

Necesitatea adoptării unui astfel de regulament rezidă din asigurarea aplicării articolului 7 din Carta drepturilor fundamentale a Uniunii Europene, care protejează dreptul fundamental al tuturor persoanelor la respectarea vieții private și de familie, a domiciliului și a comunicațiilor acestora. În logică firească, asigură și aplicarea art. 8 din Cartă care se referă la protecția datelor cu caracter personal. Directiva asupra confidențialității și comunicațiilor electronice, care la acest moment este în vigoare, nu a contribuit în mod eficient la o protecție adecvată a respectării vieții private și a confidențialității comunicațiilor în UE și nu și-a atins obiectivele pe deplin.

La elaborarea proiectului ePrivacy, Comisia s-a bazat pe consiliere de specialitate externă, și anume consultări specifice ale grupurilor de experți ai UE, avizul Grupului de lucru „Articolul 29”; avizul AEPD; avizul platformei REFIT; punctele de vedere ale OAREC; punctele de vedere ale ENISA și ale membrilor Rețelei de cooperare în domeniul protecției consumatorilor.

Deși principiile protecției datelor începând cu momentul conceperii și ale protecției implicite a datelor au fost codificate prin articolul 25 din Regulamentul (UE)2016/679, ePrivacy conține prevederi mai stricte pentru operatorii din domeniul comunicațiilor electronice și nu reduce nivelul de protecție de care beneficiază persoanele fizice în temeiul GDPR.

În prezent, în România, există prevederi referitoare la protecția datelor și protecția vieții private și anume Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice. Această lege transpune Directiva 2002/58/CE a Parlamentului European și a Consiliului privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, însă cel mai probabil va fi abrogată în cazul în care ePrivacy se va aplica.

1. Costuri suplimentare de conformare cu ePrivacy

Deseori s-a pus problema costurilor cu implementarea GDPR, în special problema costurilor cu conformarea în mediul online. Fără îndoială, ePrivacy va aduce costuri suplimentare necesare conformării, costuri care vor fi suplimentare costurilor necesare cu implementarea Regulamentului privind protecția datelor. În foarte multe cazuri, modalitatea concretă de conformare cu GDPR este obscură și diferită în funcție de operator precum și de volumul de date pe care acesta le prelucrează, ceea ce creează incertitudini în rândul operatorilor. Aceste incertitudini îi făceau pe operatori să suporte costuri inutile în căutarea soluției potrivite conformării. Spre exemplu, un caz neprevăzut de GDPR în ceea ce privește conformarea în mediul online, dar prevăzut de ePrivacy este modalitatea obținerii consimțământului în ceea ce privește identificatorii online de tip cookie. Astfel, operatorul ar putea să centralizeze consimțământul în software, cum ar fi browserele de internet, prin invitarea utilizatorilor să își aleagă setările de confidențialitate și prin extinderea excepțiilor la regula consimțământului privind cookie-urile. Astfel, o mare parte din întreprinderi ar fi în măsură să elimine bannerele și anunțurile privind cookie-urile, ceea ce ar putea conduce la reduceri de costuri și la simplificarea considerabilă a procedurii.

Așadar, ce ar putea să facă operatorii pentru a diminua costurile cu conformarea?

Mergând pe opțiunea de politică a consolidării moderate a respectării vieții private/confidențialității și simplificare, reducând în același timp povara și fără a submina obiectivele politicii, operatorii ar putea să:
– adopte o serie de setări tehnice corespunzătoare. Acest lucru ar însemna costuri suplimentare pentru operatorii de browsere cum ar fi Google Chrome, Mozila Firefox, Safari, etc., pentru asigurarea acestor setări;
– elimine bannerele și anunțurile privind cookie-urile;
– centralizeze softurile, pe cât posibil, în desfășurarea activităților acestuia;
– reducă la minim datele cu caracter personal.

2. Prevederi speciale ale ePrivacy

Așa cum am menționat ePrivacy vine să detalieze și să completeze GDPR. Efectiv, regulamentul asigură protecția conținutului comunicațiilor electronice și metadatele privind comunicațiile electronice, inclusiv conținutul schimbat prin intermediul serviciilor de comunicații electronice, cum ar fi mesajele scrise, mesajele vocale, înregistrările video, imaginile și sunetele.

Recent apărută, o știre în presă relata faptul că Facebook a permis unor companii din domeniul tehnologiei, precum Amazon, Spotify şi Microsoft, să aibă acces la mesajele private ale utilizatorilor săi, ceea ce în contextul e Privacy, orice interferență cu datele transmise în cadrul comunicațiilor electronice, cum ar fi ascultarea, înregistrarea, stocarea, monitorizarea, scanarea sau alte tipuri de interceptare, supravegherea sau prelucrarea datelor transmise în cadrul comunicațiilor electronice, de către alte persoane decât utilizatorii finali, este interzisă.

Așadar, în materie de prevederi speciale conținute de regulament, sunt prevederile care limitează prelucrările de date la:
– necesitatea efectuării transmisiei comunicației, pe durata de timp necesară în acest scop;
– necesitatea mențineri sau necesitatea restabilirii securității rețelelor și serviciilor de comunicații electronice sau pentru a detecta defecțiuni tehnice și/sau erori de transmisie a comunicațiilor electronice, pe durata de timp necesară în acest scop.

Aceste două necesități de prelucrare vizează prelucrările datelor transmise în cadrul comunicațiilor electronice. Pentru prelucrarea metadatelor privind comunicațiile electronice, precum și pentru prelucrarea conținutului comunicațiilor electronice, există prevederi clare în art. 6 din ePrivacy care statuează când și ce anume se poate prelucra. Ceea ce este interesant, este faptul că conținutul comunicațiilor electronice nu se poate prelucra decât în baza consimțământului, fie exclusiv în scopul prestării unui serviciu specific pentru un utilizator final, fie în cazul în care toți utilizatorii finali în cauză și-au dat consimțământul pentru prelucrarea conținutului comunicațiilor lor electronice pentru unul sau mai multe scopuri specifice care nu pot fi îndeplinite prin prelucrarea unor informații anonimizate, iar furnizorul a consultat autoritatea de supraveghere.

Trecând peste aspectele de reglementare referitoare la prelucrare, stocarea și ștergerea datelor transmise în cadrul comunicațiilor electronice se vor face potrivit unor prevederi speciale. Astfel, exceptând necesitatea stocării datelor necesare pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract, precum și atunci când stocarea se va face în temeiul unei obligații legale, fie prevăzută în dreptul intern, fie prevăzută în dreptul Uniunii Europene, toate datele se vor șterge.

La o primă vedere s-ar putea spune că ștergerea se va realiza de către operator din baza de date a acestuia, însă datele sunt stocate și de către utilizatorul final în dispozitivul acestuia, iar acestea ar putea fi recuperate de către operator prin accesarea dispozitivului acestuia. ePrivacy interzice accesarea dispozitivelor utilizatorilor finali, având în vedere că aceste date fac parte din sfera privată a acestora și necesită protecție în temeiul Cartei drepturilor fundamentale a Uniunii Europene și a Convenției europene pentru apărarea drepturilor omului și a libertăților fundamentale. Bineînțeles, cu consimțământul persoanei vizate, accesarea dispozitivului utilizatorului final este permisă.

În ceea ce privește stocarea metadatelor privind comunicațiile electronice, și ele vor fi șterse sau vor fi anonimizate de îndată ce nu mai sunt necesare în scopul transmiterii comunicației. Și în acest caz operatorul ar putea să se prevaleze de necesitatea stocării pentru executarea unui contract, dar și de necesitatea emiterii facturii. În acest din urmă caz, metadatele pot fi stocate până la limita perioadei în care factura poate fi contestată prin lege sau pot fi inițiate demersuri legale în vederea obținerii unei plăți în conformitate cu dreptul național.

Așa cum am precizat, colectarea din dispozitivele utilizatorilor finali este interzisă. Sunt însă și excepții în care alte persoane pot colecta informații de la echipamentele terminale ale utilizatorilor finali, și anume:
– când există necesitatea de a efectua transmisia unei comunicații electronice printr-o rețea de comunicații electronice, dar numai în acest scop;
– în baza consimțământului valabil exprimat de către persoana vizată;
– când există necesitatea de a furniza un serviciu al societății informaționale solicitat de utilizatorul final;
– pentru măsurarea audienței pe internet, cu condiția ca o astfel de măsurare să fie efectuată de către furnizorul serviciului societății informaționale solicitat de utilizatorul final.

O situație care necesită atenție deosebită este situația în care colectarea informațiilor se face pentru a facilita conectarea dispozitivelor. În acest sens, sunt necesare informații pentru conectare, informații care de obicei sunt colectate de la persoana vizată. În acest caz este necesară informarea persoanelor vizate, informații prevăzute de art. 13 din GDPR. Trebuie precizat că colectarea este limitată la scopul exclusiv de a stabilii conexiunea, atât timp cât este necesar, iar în lipsa acestuia, trebuie să fie afișat un anunț clar și foarte vizibil în care se menționează, cel puțin, modalitățile de colectare, scopul colectării, persoana responsabilă în acest sens. În baza dreptului la ștergerea datelor trebuie ca operatorul să arate măsura pe care o poate lua utilizatorul final al echipamentului terminal pentru a minimiza sau a opri colectarea informațiilor.

3. Consimțământul potrivit ePrivacy

Exceptând situațiile în care nu este necesară obținerea consimțământului din partea persoanei vizate, acesta va fi obținut potrivit GDPR, respectiv să vizeze toate activitățile de prelucrare efectuate în același scop, scop care este prevăzut de ePrivacy, iar operatorul va trebuie să fie în măsură să demonstreze faptul că persoana vizată și-a dat consimțământul pentru operațiunea de prelucrare.

Foarte important este faptul că consimțământul trebuie să poată fi retras oricând de către persoana vizată, iar acest lucru va atrage, spre deosebire de GDPR, o nouă obligație din partea operatorilor și anume să li se reamintească această posibilitate la intervale periodice de 6 luni, atât timp cât continuă prelucrarea datelor.

4. Drepturile persoanelor vizate

În afară de drepturile prevăzute de GDPR, persoanele fizice, dar și cele juridice, au dreptul la controlul asupra comunicațiilor electronice.

Acest drept se poate realiza prin prezentarea și restricționarea identificării liniilor apelante și a celor conectate prin blocarea apelurilor primite precum și a comunicațiilor nesolicitate, astfel:
– utilizatorul final apelant are posibilitatea de a împiedica prezentarea identificării liniei apelante în cazul unui anumit apel, al unei anumite conexiuni sau în mod permanent;
– utilizatorul final apelat are posibilitatea de a împiedica prezentarea identificării liniei apelante în cazul apelurilor primite;
– utilizatorul final apelat are posibilitatea de a respinge apelurile primite dacă prezentarea identificării liniei apelante este împiedicată de către utilizatorul final apelant;
– utilizatorul final apelat are posibilitatea de a împiedica prezentarea identificării liniei conectate către utilizatorul final apelant;
– blocarea apelurilor primite de la numere specifice sau de la surse anonime;
– blocarea transferului automat al apelurilor de către o parte terță către echipamentul terminal al utilizatorului final;
– nu în ultimul rând, au dreptul să nu primească și să utilizeze serviciile de comunicații electronice pentru trimiterea de comunicații în scopuri de marketing direct către utilizatorii finali care sunt persoane fizice decât dacă și-au dat consimțământul în acest sens.

Reamintim faptul că pentru încălcarea drepturilor prevăzute de GDPR persoanele vizate pot intenta acțiuni în justiție dar, de asemenea, pot intenta acțiuni în justiție și dacă au fost afectate negativ de încălcări ale ePrivacy și au un interes legitim în încetarea sau interzicerea încălcărilor presupuse. Dreptul de a intenta acțiuni în justiție nu aduce atingere dreptului de a depune o plângere la o autoritate de supraveghere și dreptului de a depune o plângere la o autoritate de supraveghere.

5. Concluzii

Necesitatea sporirii dreptului la viață privată și a protecției datelor cu caracter personal a dus la adoptarea unor norme la nivel european. Deocamdată se aplică GDPR, însă este interesant de urmărit ce se întâmplă cu ePrivacy având în vedere că pe plan european asistăm la o „reformă” în materie de protecție a datelor. Așa cum bine știm, în data de 17 decembrie 2018, a intrat în vigoare Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulație a datelor fără caracter personal prin stabilirea de norme privind cerințele de localizare a datelor, disponibilitatea datelor pentru autoritățile competente și portarea datelor pentru utilizatorii profesioniști. Așadar, ePrivacy presupune, ca parte din reformă, o revizuire majoră care se transpune și prin abrogarea Directivei 2002/58/CE. Nu trebuie contestat că preocuparea Comisiei este din ce în ce mai mare față de circulația datelor, fie că sunt cu caracter personal, fie că nu.

Avocat Alexandru Matei
Senior Associate SĂVESCU & ASOCIAŢII


Aflaţi mai mult despre , , , ,
JURIDICE.ro utilizează şi recomandă SmartBill pentru facturare.

JURIDICE.ro este o platformă de exprimare. Publicăm şi opinii cu care nu suntem de acord. Publicarea nu semnifică asumarea de către noi a mesajului. Pentru a publica şi dumneavoastră pe JURIDICE.ro, vă rugăm să citiţi Politica noastră şi Condiţiile de publicare.

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important
Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile publicate sub numele real care respectă Politica JURIDICE.ro şi Condiţiile de publicare.


 Abonare newsletter | Corporate | Membership

.