Acest site foloseste Cookie-uri, conform noului Regulament de Protectie a Datelor (GDPR), pentru a va asigura cea mai buna experienta online. In esenta, Cookie-urile ne ajuta sa imbunatatim continutul de pe site, oferindu-va dvs., cititorul, o experienta online personalizata si mult mai rapida. Ele sunt folosite doar de site-ul nostru si partenerii nostri de incredere. Click AICI pentru detalii despre politica de Cookie-uri.
Acest site foloseste Cookie-uri, conform noului Regulament de Protectie a Datelor (GDPR), pentru a va asigura cea mai buna experienta online. In esenta, Cookie-urile ne ajuta sa imbunatatim continutul de pe site, oferindu-va dvs., cititorul, o experienta online personalizata si mult mai rapida. Ele sunt folosite doar de site-ul nostru si partenerii nostri de incredere. Click AICI pentru detalii despre politica de Cookie-uri. Sunt de acord cu politica de cookie
X

Autentificare cont

Tine-ma minte

Ati uitat parola? Click aici pentru a recupera user/parola

Nu aveti cont?
X

Recuperare user/parola

Te rugam sa introduci adresa de email pe care ai folosit-o la inregistrarea contului tau.

Autentificare Inregistrare cont
Portal actualizat la 24 August 2019
Contine toate actele normative din domeniu, actualizate la zi - parteneriat Legis

E-privacy in raport cu GDPR

Alexandru MATEI Raspuns oferit de
Alexandru MATEI
Avocat

Viitorul nostru digital poate fi construit numai pe incredere. Toata lumea trebuie protejata. Normele UE consolidate privind protectia datelor vor deveni realitate la 25 mai. Este un pas important inainte si suntem hotarati sa-i facem un succes pentru toata lumea (Andrus Ansip, vicepresedinte al Comisiei Europene pentru piata unica digitala, 24 ianuarie 2018)

In prezent, exista o propunere de Regulament al Parlamentului European si al Consiliului privind respectarea vietii private si protectia datelorcu caracter personal in comunicatiile electronice si de abrogare a Directivei 2002/58/CE (Regulamentul privind viata privata si comunicatiile electronice sau ePrivacy). Acest regulament care, momentan,se afla la stadiul de proiect trebuia sa se aplice odata cu GDPR (Regulamentul general privind protectia datelor cu caracter personal), respectiv din data de 25 mai 2018. In cazul in care acesta se va aplica in viitor, este necesarca operatorii de date cu caracter personalcare isi desfasoara activitatea in domeniulcomunicatiilor electronice sa se conformeze potrivit prevederilor acestuia.

ePrivacy isi propune sa asigure coerenta cu GDPR si cu securitatea juridica pentru utilizatori si intreprinderi, in egala masura actionand ca lex specialis fata de regulamentul privind protectia datelor. Ca domeniu de aplicare, vizeaza prelucrarile datelor transmise prin intermediul comunicatiilor electronice efectuate in legatura cu prestarea si utilizarea serviciilor de comunicatii electronice si in cazul informatiilor legate de echipamentele terminale ale utilizatorilor finali. Asadar, ePrivacy urmareste sa asigure confidentialitatea informatiilor care circula in mediul online, insa trebuie precizatca se aplica numai prelucrarilorce au ca obiect date transmise prin intermediul comunicatiilor electronice si care contin date cu caracter personal, deci nu orice fel de date.

Necesitatea adoptarii unui astfel de regulamentrezida din asigurarea aplicarii articolului 7 din Carta Drepturilor Fundamentale a Uniunii Europene,care protejeaza dreptul fundamental al tuturor persoanelor la respectarea vietii private si de familie, a domiciliului si a comunicatiilor acestora. In logica fireasca, asigura si aplicarea art. 8 din Carta care se refera la protectia datelor cu caracter personal. Directiva asupra confidentialitatii si comunicatiilor electronice, care la acest moment este in vigoare, nu a contribuit in mod eficient la o protectie adecvata a respectarii vietii private si a confidentialitatii comunicatiilor in UE si nu sia atins obiectivele pe deplin.

La elaborarea proiectului ePrivacy, Comisia s-a bazat pe consiliere de specialitate externa, si anume consultari specifice ale grupurilor de experti ai UE, avizul Grupului de lucru Articolul 29 ; avizul AEPD; avizul platformei REFIT; punctele de vedere ale OAREC; punctele de vedere ale ENISA si ale membrilor Retelei de cooperare in domeniul protectieiconsumatorilor.
Desi principiile protectiei datelor incepand cu momentulconceperii si ale protectiei implicite a datelor au fostcodificate prin articolul 25 din Regulamentul (UE) 2016/679, ePrivacy contine prevederi mai stricte pentru operatorii din domeniul comunicatiilor electronice si nu reduce nivelul de protectie de care beneficiaza persoanele fizice in temeiul GDPR.
n prezent, in Romania, exista prevederi referitoare la protectia datelor si protectia vietii private, si anume Legea nr. 506/2004 privind prelucrarea datelorcu caracter personal si protectia vietii private in sectorul comunicatiilor electronice. Aceasta lege transpune Directiva 2002/58/CE a Parlamentului European si a Consiliului privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice, insa cel mai probabil va fi abrogata in cazul in care ePrivacy se va aplica/

1. Costuri suplimentare de conformare cu ePrivacy
Deseori s-a pus problema costurilor cu implementarea GDPR, in special problema costurilorcu conformarea in mediul online. Fara indoiala, ePrivacy va aduce costurisuplimentare necesare conformarii, costuri care vor fi suplimentare costurilor necesare cu implementarea Regulamentului privind protectia datelor. In foarte multe cazuri, modalitatea concreta de conformare cu GDPR este obscura si diferita in functie de operator, precum si de volumul de date pe care acesta le prelucreaza, ceea ce creeaza incertitudini in randul operatorilor. Aceste incertitudini ii faceau pe operatori sa suporte costuri inutile in cautarea solutiei potrivite conformarii.

Spre exemplu, un caz neprevazut de GDPR in ceea ce priveste conformarea in mediul online, dar prevazut de ePrivacy este modalitatea obtinerii consimtamantului in ceea ce priveste identificatorii online de tip cookie. Astfel, operatorul ar putea sa centralizeze consimtamantul in software, cum ar fi browserele de internet, prin invitarea utilizatorilor sa isi aleaga setarile de confidentialitate si prin extinderea exceptiilor la regula consimtamantului privind cookie-urile. Astfel, o mare parte din intreprinderi ar fi in masura sa elimine bannerele si anunturile privind cookie-urile, ceea ce ar putea conduce la reduceri de costuri si la simplificarea considerabila a procedurii.

Asadar, ce ar putea sa faca operatorii pentru a diminua costurile cu conformarea?
Mergand pe optiunea de politica a consolidarii moderate a respectarii vietii private/confidentialitatiisisimplificare, reducand in acelasi timp povara si fara a submina obiectivele politicii, operatorii ar putea sa:
  • adopte o serie de setari tehnice corespunzatoare. Acest lucru ar insemna costurisuplimentare pentru operatorii de browsere cum ar fi Google Chrome, Mozila Firefox, Safari etc., pentru asigurarea acestor setari;
  • elimine bannerele si anunturile privind cookie-urile;
  • centralizeze softurile, pe cat posibil, in desfasurarea activitatilor operatorului;
  • reduca la minim datele cu caracter personal.
2. Prevederi speciale ale ePrivacy
Asa cum am mentionat, ePrivacy vine sa detalieze si sa completeze GDPR. Efectiv, regulamentul asigura protectia continutului comunicatiilor electronice si metadatele privind comunicatiile electronice, inclusiv continutulschimbat prin intermediulserviciilor de comunicatii electronice, cum ar fi mesajele scrise, mesajele vocale, inregistrarile video, imaginile si sunetele.

Recent aparuta, o stire in presa relata faptulca Facebook a permis unorcompanii din domeniul tehnologiei, precum Amazon, Spotify si Microsoft, sa aiba acces la mesajele private ale utilizatorilor sai, ceea ce in contextul ePrivacy, orice interferenta cu datele transmise in cadrulcomunicatiilor electronice, cum ar fi ascultarea, inregistrarea, stocarea, monitorizarea,scanarea sau alte tipuri de interceptare, supravegherea sau prelucrarea datelor transmise in cadrul comunicatiilor electronice, de catre alte persoane decat utilizatorii finali, este interzisa.

Asadar, in materie de prevederispeciale continute de regulament, sunt prevederile care limiteaza prelucrarile de date la:
  • necesitatea efectuarii transmisiei comunicatiei, pe durata de timp necesara in acest scop;
  • necesitatea mentinerii sau necesitatea restabiliriisecuritatii retelelorsiserviciilor de comunicatii electronice sau pentru a detecta defectiuni tehnice si/sau erori de transmisie a comunicatiilor electronice, pe durata de timp necesara in acest scop.
Aceste doua necesitati de prelucrare vizeaza prelucrarile datelor transmise in cadrul comunicatiilor electronice. Pentru prelucrarea metadatelor privind comunicatiile electronice, precum si pentru prelucrarea continutuluicomunicatiilor electronice, exista prevederi clare in art. 6 din ePrivacy care statueaza cand si ce anume se poate prelucra. Ceea ce este interesant este faptul ca continutul comunicatiilor electronice nu se poate prelucra decat in baza consimtamantului, fie exclusiv in scopul prestarii unui serviciu specific pentru un utilizator final, fie in cazul in care toti utilizatorii finali in cauza si-au dat consimtamantul pentru prelucrarea continutului comunicatiilor lor electronice pentru unul sau mai multe scopurispecifice care nu pot fi indeplinite prin prelucrarea unor informatii anonimizate, iar furnizorul a consultat autoritatea de supraveghere.

Trecand peste aspectele de reglementare referitoare la prelucrare, stocarea si stergerea datelor transmise in cadrul comunicatiilor electronice se vor face potrivit unor prevederi speciale. Astfel, exceptand necesitatea stocarii datelor necesare pentru executarea unui contract la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui contract, precum si atunci cand stocarea se va face in temeiul unei obligatii legale, fie prevazuta in dreptul intern, fie prevazuta in dreptul Uniunii Europene, toate datele se vor sterge.

La o prima vedere s-ar putea spune ca stergerea se va realiza de catre operator din baza de date a acestuia, insa datele suntstocate si de catre utilizatorul final in dispozitivul acestuia, iar acestea ar putea fi recuperate de catre operator prin accesarea dispozitivului acestuia. ePrivacy interzice accesarea dispozitivelor utilizatorilor finali, avand in vedere ca aceste date fac parte din sfera privata a acestora si necesita protectie in temeiul Cartei drepturilor fundamentale a Uniunii Europene si al Conventiei europene pentru apararea drepturilor omuluisi a libertatilor fundamentale. Bineinteles, cu consimtamantul persoanei vizate, accesarea dispozitivului utilizatorului final este permisa.
In ceea ce priveste stocarea metadatelor privind comunicatiile electronice, si ele vor fi sterse sau vor fi anonimizate de indata ce nu mai sunt necesare in scopul transmiterii comunicatiei. Si in acest caz operatorul ar putea sa se prevaleze de necesitatea stocarii pentru executarea unui contract, dar si de necesitatea emiterii facturii. In acest din urma caz, metadatele pot fi stocate pana la limita perioadei in care factura poate ficontestata prin lege sau pot fi initiate demersuri legale in vederea obtinerii unei plati in conformitate cu dreptul national.

Asa cum am precizat,colectarea din dispozitivele utilizatorilor finali este interzisa. Sunt insa si exceptii in care alte persoane pot colecta informatii de la echipamentele terminale ale utilizatorilor finali, si anume:
  • cand exista necesitatea de a efectua transmisia unei comunicatii electronice printr-o retea de comunicatii electronice, dar numai in acest scop;
  • in baza consimtamantului valabil exprimat de catre persoana vizata;
  • cand exista necesitatea de a furniza un serviciu alsocietatii informationale solicitat de utilizatorul final;
  • pentru masurarea audientei pe internet,cu conditia ca o astfel de masurare sa fie efectuata de catre furnizorulserviciului societatii informationale solicitat de utilizatorul final.
O situatie care necesita atentie deosebita este situatia in care colectarea informatiilor se face pentru a facilita conectarea dispozitivelor. In acestsens,sunt necesare informatii pentru conectare, informatii care de obicei sunt colectate de la persoana vizata. In acest caz este necesara informarea persoanelor vizate, informatii prevazute de art. 13 din GDPR. Trebuie precizat ca colectarea este limitata la scopul exclusiv de a stabiliconexiunea, atat timp cat este necesar, iar in lipsa acestuia, trebuie sa fie afisat un anunt clar si foarte vizibil in care se mentioneaza, cel putin, modalitatile de colectare, scopul colectarii, persoana responsabila in acest sens. In baza dreptului la stergerea datelor trebuie ca operatorulsa arate masura pe care o poate lua utilizatorul final al echipamentului terminal pentru a minimiza sau a opricolectarea informatiilor.

3. Consimtamantul potrivit ePrivacy
Exceptand situatiile in care nu este necesara obtinerea consimtamantului din partea persoanei vizate, acesta va fi obtinut potrivit GDPR, respectiv sa vizeze toate activitatile de prelucrare efectuate in acelasi scop, scop care este prevazut de ePrivacy, iar operatorul va trebui sa fie in masura sa demonstreze faptulca persoana vizata si-a dat consimtamantul pentru operatiunea de prelucrare.

Foarte important este faptul ca consimtamantul trebuie sa poata fi retras oricand de catre persoana vizata, iar acest lucru va atrage, spre deosebire de GDPR, o noua obligatie din partea operatorilor si anume sa li se reaminteasca aceasta posibilitate la intervale periodice de 6 luni, atat timp cat continua prelucrarea datelor.

4. Drepturile persoanelor vizate
In afara de drepturile prevazute de GDPR, persoanele fizice, darsicele juridice, au dreptul la controlul asupra comunicatiilor electronice. Acest dreptse poate realiza prin prezentarea si restrictionarea identificarii liniilor apelante si a celor conectate prin blocarea apelurilor primite, precum si a comunicatiilor nesolicitate, astfel:
  • utilizatorul final apelant are posibilitatea de a impiedica prezentarea identificarii liniei apelante in cazul unui anumit apel, al unei anumite conexiuni sau in mod permanent;
  • utilizatorul final apelat are posibilitatea de a impiedica prezentarea identificarii liniei apelante in cazul apelurilor primite;
  • utilizatorul final apelat are posibilitatea de a respinge apelurile primite daca prezentarea identificarii liniei apelante este impiedicata de catre utilizatorul final apelant;
  • utilizatorul final apelat are posibilitatea de a impiedica prezentarea identificarii linieiconectate catre utilizatorul final apelant;
  • blocarea apelurilor primite de la numere specifice sau de la surse anonime;
  • blocarea transferului automat al apelurilor de catre o parte terta catre echipamentul terminal al utilizatorului final;
  • nu in ultimul rand, au dreptul sa nu primeasca si sa utilizeze serviciile de comunicatii electronice pentru trimiterea de comunicatii in scopuri de marketing direct catre utilizatorii finali care sunt persoane fizice decat daca si-au dat consimtamantul in acest sens.
Reamintim faptul ca, pentru incalcarea drepturilor prevazute de GDPR, persoanele vizate pot intenta actiuni in justitie, dar, de asemenea, pot intenta actiuni in justitie si daca au fost afectate negativ de incalcari ale ePrivacy si au un intereslegitim in incetarea sau interzicerea incalcarilor presupuse
Dreptul de a intenta actiuni in justitie nu aduce atingere dreptului de a depune o plangere la o autoritate de supraveghere si dreptului de a depune o plangere la o autoritate de supraveghere.

5. Concluzii
Necesitatea sporirii dreptului la viata privata si a protectiei datelor cu caracter personal a dus la adoptarea unor norme la nivel european.
Deocamdata se aplica GDPR, insa este interesant de urmaritce se intampla cu ePrivacy avand in vedere ca pe plan european asistam la o reforma in materie de protectie a datelor. Asa cum bine stim, in data de 17 decembrie 2018, a intrat in vigoare Regulamentul (UE) 2018/1807 al Parlamentului European si al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulatie a datelor fara caracter personal prin stabilirea de norme privind cerintele de localizare a datelor, disponibilitatea datelor pentru autoritatile competente si portarea datelor pentru utilizatorii profesionisti. Asadar, ePrivacy presupune, ca parte din reforma, o revizuire majora care se transpune si prin abrogarea Directivei 2002/58/CE. Nu trebuie contestat ca preocuparea Comisiei este din ce in ce mai mare fata de circulatia datelor, fie ca sunt cu caracter personal, fie ca nu.

Newsletter portalprotectiadatelor.ro

Top 10 intrebari si raspunsuri referitoare la implementarea GDPR

Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul portalprotectiadatelor.ro si primesti cadou Raportul special "Top 10 intrebari si raspunsuri referitoare la implementarea GDPR"!

Da, doresc sa ma abonez si sa primesc informatii despre produsele, serviciile, evenimentele etc. oferite de Rentrop & Straton. Termeni si conditii de utilizare a site-ului Nota de informare

x