Noi reguli pentru protecţia datelor personale

Regulamentul 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul General privind Protecția Datelor Personale – GDPR) se referă în esență la protecția datelor cu caracter personal ale persoanelor fizice. Sunt excluse explicit de la protecția sa datele cu caracter personal ale persoanelor juridice sau întreprinderilor cu personalitate juridică. Acest drept fundamental al persoanei este garantat de art. 8 al Cartei Drepturilor Fundamentale a Uniunii Europene şi de art. 16 al Tratatului Uniunii Europene.

Domeniu de aplicare în mediul online

Datele cu caracter personal reprezintă „orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale” (Regulamentul General privind Protecția Datelor Personale – GDPR). Plecând de la această definiţie, se poate constata că aproape toate elementele de individualizare pot avea corespondent în mediul online.

Din punct de vedere teritorial, drepturile persoanelor fizice aflate pe teritoriul UE sunt protejate indiferent de locația operatorului de date, sau eventual împuternicitul său. Acest drept este nuanțat în privința bunurilor sau serviciilor care vizează persoane din Uniune, precum și în privința monitorizării comportamentului unor persoane.

Punctul 30 din expunerea de motive a Regulamentului face referire la identificatorii online ce pot fi furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alți identificatori precum etichetele de identificare prin frecvențe radio.

Principalul lucru de reținut este că identificatorii online menționați sunt considerați date cu caracter personal deoarece, în combinație cu identificatori unici, pot conduce la asocierea cu persoane fizice sau pot fi utilizați pentru crearea de profiluri ale utilizatorilor din mediul online.

Reglementări depăşite de tehnologie

În anul 2016, în cauza C 582/14 – Patrick Breyer împotriva Republicii Federale Germania, Curtea de Justiție a Uniunii Europene (CJUE) a concluzionat că adresele IP dinamice, prin intermediul cărora utilizatorii accesează pagini web a unor furnizori de servicii de comunicații electronice, reprezintă în fapt date cu caracter personal, asemenea adreselor IP statice.

Deși era în vigoare Directiva 95/46/CE a Parlamentului European și a Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, evoluția tehnologică s-a dovedit mai rapidă decât cea a reglementărilor naționale și internaționale în privinţa respectării drepturilor omului. Astfel, litigiul deschis de Patrick Breyer în legătură cu înregistrarea și stocarea de către statul german a adreselor sale IP dinamice cu prilejul consultării unor site-uri ale organismelor federale, a generat un element de noutate în ciuda existenţei unei reglementări comunitare în materie, a cărei vechime era de peste 21 de ani la acel moment.

Noutăți aduse de Regulament în mediul online

Mediul business, precum și rețelele de socializare sunt afectate în mod semnificativ de includerea identificatorilor online și a identificatorilor unici în categoria datelor cu caracter personal, urmând a ține cont de noile reglementări în domeniu. Politica de notificare a vizitatorilor asupra folosirii cookie-urilor ar putea implica cheltuieli de peste 2 miliarde de euro/an în cadrul Uniunii Europene, iar costurile pentru actualizarea unui site conform acestor prevederi sunt de aproximativ 900 de euro.

Una dintre cele mai provocatoare noutăți aduse de GDPR o reprezintă dreptul unei persoane de a nu face obiectul prelucrării automate sau creării de profil care produce efecte juridice asupra sa sau o afectează în mod similar într-o măsură semnificativă, principiu unanim aplicabil cu excepția unor situații derogatorii anume precizate în Regulament.

Copiii sunt mai vulnerabili în mediul online și pot fi mai ușor influențați de publicitatea comportamentală, cum ar fi: furnizarea mai multor anunțuri personalizate și oferirea unor jocuri online contra cost. Publicitatea comportamentală ar putea afecta în mod semnificativ o persoană în cazul în care construirea profilului se face într-un mod intruziv prin urmărirea persoanelor în diferite domenii, pe site-uri web, dispozitive și servicii.

Pentru asigurarea confidențialității datelor utilizatorilor, operatorii rețelelor sociale trebuie să aibă actualizate politicile de termeni și de confidențialitate, astfel încât să respecte procedurile impuse de Regulament.

Protecția datelor cu caracter personal se aplică pentru activități profesionale sau comerciale ale persoanelor fizice, la fel și pentru operatorii sau persoanele împuternicite de aceștia care furnizează mijloacele de prelucrare a datelor cu caracter personal pentru activități personale sau domestice.

În cazul unui magazin online, principalele date personale colectate sunt datele clienţilor care achiziționează produse sau servicii, precum și datele angajaţilor. Astfel, datele trebuie să fie colectate de magazin într-un anumit scop. Pentru o societate comercială care deține mai multe magazine online, stocarea datelor trebuie să fie partajată la fiecare magazin pentru a se evita colectarea în bloc, și astfel pentru a respecta scopurile inițiale avute în vedere – diferite de la un magazin la altul.

Dreptul la ștergerea datelor sau dreptul de a fi uitat în mediul online este consacrat expres și impune obligația operatorului de a șterge datele la solicitarea persoanei vizate. În acest caz, operatorul care a făcut publice date cu caracter personal ar trebui să aibă obligația de a informa operatorii care prelucrează respectivele date cu caracter personal să șteargă orice legături (linkuri) către datele respective sau copii ale acestora.

O noutate pentru întreprinderile digitale este dreptul la portabilitatea datelor, care poate însemna fie copierea, fie transmiterea lor dintr-un sistem informatic în altul.

Datele furnizate de o anumită persoană, pot fi împărțite în: date furnizate cu bună știință și în mod activ (ex. numele de utilizator, vârstă, date de identificare cuprinse în formulare online), respectiv date furnizate de subiect în virtutea utilizării unor anumite dispozitive sau servicii (ex. istoricul navigării pe site-uri web, date de trafic și de localizare, jurnale de activități). În schimb, nu intră în sfera de aplicare a portabilităţii datele prelucrate de operator pe baza datelor furnizate de către cel vizat (ex. profil de utilizator creat prin analiza datelor brute colectate de contoare inteligente).

Transferul datelor în afara Uniunii Europene către țări terțe sau organizații internaționale este reglementat în GDPR ca fiind posibil sub rezerva deciziei Comisiei Europene că zona de destinație asigură un nivel de protecție adecvat. În caz contrar, transferurile se pot realiza în baza unor garanții adecvate pentru persoana vizată.

Până în prezent, Comisia consideră că 11 state pot oferi un nivel adecvat de protecție a datelor personale (Andora, Argentina, Canada – pentru organizații comerciale, Insulele Feroe, Guernsey, Israel, Insula Man, Jersey, Noua Zeelandă, Elveția și Uruguay), iar între UE și Statele Unite, Acordul Internațional EU-US Privacy Shield reglementează transferurile de date cu caracter personal.

GDPR introduce conceptul de date pseudonime și încurajează această procedură tehnică în scopul creșterii securității și a confidențialității. Datele pseudonime și datele criptate pot conduce la identificarea persoanei fizice doar utilizând şi alte informații suplimentare.

Consimțământul pentru prelucrarea datelor trebuie dat fără echivoc, liber, specific, în urma unei informări a persoanei vizate și lipsit de ambiguitate. De asemenea, consimțământul poate fi retras la fel de simplu ca acordarea acestuia. Astfel de acțiuni în format electronic care arată în mod clar intenția persoanei de a-și da consimțământul pot fi: bifarea unei căsuțe când persoana vizitează o pagină web, sau alegerea setărilor tehnice pentru serviciile societății informaționale.

Consimțământul dat de minori este condiționat de împlinirea vârstei de 16 ani, iar sub acest prag este necesar acordul reprezentanților legali ai acestora. GDPR protejează acțiunile întreprinse de minori, însă operatorii au datoria de a oferi posibilități tehnice sau software de a verifica dacă reprezentanții legali ai copiilor și-au dat într-adevăr acordul.

Abstract:

Definitely 2018 is the most important year in the digital industry with the entry into force of the European Data Protection Regulation no. 2016/679. This Regulation not only will make it easier to protect personal data on the Internet for all EU residents, but also will have major implications on a global scale. It brings the latest news of personal data protection area, many of which being applicable in online environment.

Autor: Alexandru Bâzăran

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *

*
*