Reguli pe care trebuie să le respecți dacă deții un site.

Regulamentul General de Protecție a Datelor (GDPR) stabilește obligații în ceea ce privește prelucrarea datelor cu caracter personal și în mediul online, în sarcina proprietarilor de site-uri. Aceasta deoarece drepturile persoanei fizice în materie de protecție a datelor trebuie să fie respectate indiferent de modul în care sunt colectate – online, într-un sistem computerizat sau pe hârtie, într-un fișier structurat.

Politica privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal se bazează, așadar, pe Regulamentul General de Protecție a Datelor al UE (GDPR)

Vezi ce trebuie să știi despre GDPR aici.

Termenul date cu caracter personal include toate tipurile de informații obiective, subiective despre o persoană fizică care poate duce, direct sau indirect, la identificarea acestei persoane. Informațiile obiective sunt, de exemplu numele, data nașterii, numărul de telefon și adresa de e-mail, profesia, numerele cărților de credit, parole, înregistrări vocale, fotografii, număr de identificare, date de localizare. Informațiile subiective ar putea fi de exemplu opinii, declarații.

Site-urile care solicită astfel de informații trebuie să le prelucreze în deplină conformitate cu prevederile regulamentului mai sus menționat și să ofere informații despre cum vor utiliza aceste date prin intermediul politicii lor de confidențialitate.

Când este legală prelucrarea datelor cu caracter personal ale utilizatorului unui site?

Orice activitate de prelucrare a datelor mai sus exemplificate (de exemplu, simpla colectare de date cu caracter personal) trebuie să aibă o justificare legală. 

Articolul 6 din Regulament enumeră cazurile în care este legală prelucrarea datelor cu caracter personal. Conform art. 6 alin. 1 lit. a) este legală prelucrarea de date personale atunci când persoana vizată ți-a dat consimțământul în acest sens, pentru unul sau mai multe scopuri specifice. Cu alte cuvinte, oridecâteori un site colectează date cu caracter personal (inclusiv prin folosirea modulelor cookie), utilizatorul  trebuie să își dea acordul. 

Regulamentul definește acordul ca fiind o acțiune informată, oferită explicit și în mod liber de către utilizator, într-un context specific și lipsit de ambiguități.

Conform art. 7, operatorul trebuie să fie în măsură să demonstreze că persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal (alin. 1). 

În cazul în care consimţământul persoanei vizate este dat în contextul unei declaraţii scrise care se referă şi la alte aspecte, cererea privind consimţământul trebuie să fie prezentată într-o formă care o diferenţiază în mod clar de celelalte aspecte, într-o formă inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu(alin. 2). 

Persoana vizată are dreptul să îşi retragă în orice moment consimţământul. Retragerea consimţământului nu afectează legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia. Înainte de acordarea consimţământului, persoana vizată este informată cu privire la acest lucru. Retragerea consimţământului se face la fel de simplu ca acordarea acestuia (alin. 3).

Așadar, pentru a fi valabil acordat, consimțământul trebuie să îndeplinească următoarele condiții:

  • trebuie să fie liber exprimat.
  • trebuie să fie acordat în cunoștință de cauză. Utilizatorul trebuie să fie informat cu privire la prelucrarea datelor sale anterior acordării consimțământului. 
  • trebuie acordat pentru un scop specific. Dacă există mai multe scopuri pentru colectarea datelor personale, acordul trebuie obţinut pentru fiecare în parte.
  • trebuie să fie explicit și acordat printr-un act pozitiv (de exemplu, o căsuță pe care utilizatorul trebuie să o bifeze). Această reglementare elimină tipurile de consimțământ de tip acord implicit. Nu este considerat acordul utilizatorului lipsa unei acțiuni sau existența unei căsuțe pre-bifate. 
  • consimțământul poate fi retras, iar acest proces trebuie să fie cât mai simplu (de exemplu, un link pentru dezabonare la sfârșitul unui e-mail care conține un buletin informativ electronic). De îndată ce consimțământul este retras, datele cu caracter personal nu mai pot fi utilizate.

Implementarea unei politici de confidențialitate

Înainte de a obține consimțământul, operatorul oferă utilizatorului informații clare cu privire la prelucrarea datelor sale cu caracter personal în conformitate cu principiul transparenței (art. 12) și dreptul la informare al persoanei vizate (art. 13 și art. 14). 

Pe scurt, GDPR impune site-urilor implementarea unei politici de confidențialitate prin care să-și informeze utilizatorii cu privire la datele personale pe care le colectează de la aceștia și ce se întâmplă cu ele.

O politică de confidențialitate este o declarație care descrie modul în care un site colectează, gestionează și prelucrează datele cu caracter personal ale utilizatorilor/vizitatorilor site-ului. Practic, politica de confidențialitate este instrumentul prin care operatorul informează utilizatorul asupra modului și scopul în care datele sale sunt prelucrate, pentru cât timp și cu cine sunt partajate. 

Articolele 12-14 din Regulament enumeră informațiile ce trebuie furnizate utilizatorilor atunci când le sunt prelucrate datele. Așadar, declarația de confidențialitate trebuie să conțină cel puțin următoarele informații:

  • informațiile de contact ale proprietarului site-ului (aceste informații ar trebui să permită identificarea ușoară a acestuia și, de preferință, să permită diferite forme de comunicare cu acesta. De exemplu, numărul de telefon, adresa de e-mail, etc.)
  • datele de contact ale responsabilului cu protecţia datelor (dacă este cazul)
  • scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic al prelucrării (pe lângă stabilirea scopurilor prelucrării pentru care sunt destinate datele cu caracter personal, temeiul juridic relevant invocat în temeiul art. 6 trebuie specificat)
  • informații privind tipul de date care se va prelucra 
  • cine are acces la datele cu caracter personal (destinatarii datelor personale)
  • perioada de stocare sau, dacă nu este posibil, criteriile utilizate pentru determinarea acestei perioade (acest lucru este legat de cerința de minimizare a datelor din art. 5 alin. 1 lit. c) și cerința de limitare a stocării în art. 5 alin. 1 lit. e) )
  • detaliile privind transferurile către țările terțe 
  • care sunt drepturile utilizatorilor în ceea ce privește prelucrarea datelor sale – dreptul de avea acces la datele colectate, dreptul de a solicita rectificarea/ștergerea acestora sau restricționarea prelucrării, dreptul de a se opune prelucrării, precum și dreptul la portabilitatea datelor, dreptul de retragere oricând a consimțământului, dreptul de depunere a unei plângeri în fața autorităților de supraveghere (aceste informații ar trebui să cuprindă un rezumat a ceea ce implică dreptul respectiv și modul în care persoana vizată poate lua măsuri pentru a și le exercita)
  • existența unui proces automat de luare a deciziilor, inclusiv al profilării și, dacă este cazul, existența unor informații cu privire la logica utilizată, semnificația și consecințele preconizate pentru persoana vizată ale unei astfel de prelucrări.

Modulele cookie

Cookie-urile sunt fișiere de text de mici dimensiuni pe care un site îi cere browserului să le stocheze pe calculatorul sau dispozitivul utilizatorului fie pentru a eficientiza funcționarea site-ului prin salvarea preferințelor utilizatorilor fie pentru a monitoriza navigarea pe internet, pentru a crea profiluri de utilizator și pentru a afișa mesaje publicitare specifice, pe baza preferințelor utilizatorului.

Orice site care dorește să utilizeze module cookie trebuie de asemenea să ceară consimțământul înainte de a instala un astfel de fișier pe calculatorul sau dispozitivul utilizatorului. Utilizatorul trebuie să accepte explicit cookie-urile, iar consimțământul poate fi retras oricând și în mod cât mai facil.

În acord cu principiul transparenței și dreptul la informare mai sus menționate, site-ul trebuie să ofere explicații despre cum va fi utilizață informația obținută cu ajutorul cookie-urilor. Nu este suficient ca un site să informeze utilizatorii că folosește cookie-uri sau să explice cum se dezactivează. Pentru a respecta prevederile GDPR, un site trebuie să conțină informații despre cookie-urile utilizate (aceste informații pot fi incluse în politica de confidențialitate a site-ului sau în mod separat). 

În mod specific, articolul 12 impune ca toate informațiile furnizate cu privire la prelucrarea datelor cu caracter personal să fie prezentate într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu. Aceasta înseamnă că informațiile trebuie comunicate în mod eficient și succint pentru a evita supraîncărcarea cu informații (adică scurt și la obiect).

Informațiile furnizate trebuie diferențiate în mod clar de alte informații care nu se referă la confidențialitate, cum ar fi condițiile generale de utilizare (de exemplu, termenii și condițiile site-ului).

Odată ce datele au fost colectate, utilizatorul trebuie să le poată accesa ușor. Cu alte cuvinte, dacă un utilizator întreabă ce date cu caracter personal au fost colectate, operatorul este obligat să răspundă. De asemenea, utilizatorul poate cere ca aceste date să fie rectificate sau șterse, precum poate solicita restricționarea prelucrării datelor sale.

În plus, regulamentul GDPR oferă posibilitatea persoanelor vizate de a primi datele personale într-o manieră cât mai clară și structurată. Ele pot fi stocate și transmise ușor de la un operator la altul. Practic, dreptul la portarea datelor cu caracter personal este un aspect al dreptului de acces la date. 

Nu în ultimul rând, persoana vizată are posibilitatea de a se opune în orice moment prelucrării datelor sale personale, iar operatorul trebuie să înceteze imediat utilizarea acestora.

avocat Bianca Rohozneanu
Rohozneanu Bianca

Facultatea de Drept, Universitatea Babeş Bolyai, Cluj-Napoca, 2018. Master Drept European şi Comparat al Afacerilor, 2019 Date personale de contact e-mail: biancarohozneanu@stegaroiu.ro tel: +40 754 361 798

div#stuning-header .dfd-stuning-header-bg-container {background-image: url(https://stegaroiu.ro/wp-content/uploads/2021/03/stegaroiu_avocat_cluj_home.jpg);background-size: initial;background-position: top center;background-attachment: initial;background-repeat: initial;}#stuning-header div.page-title-inner {min-height: 100px;} Call Now Button