Aici descoperim
dreptul tehnologiei

jbareham_180405_1777_facebook_0003.0-1200x800.jpg

Pe data de 6 februarie, Bundeskartellamt („Biroul Federal pentru Concurență” din Germania, German Federal Cartel Office – “FCO”) a decis că Facebook a abuzat de poziția sa dominantă prin exploatarea datelor personale și combinarea neconformă a datelor cu caracter personal colectate de la utilizatori.  FCO a impus restricții de amploare asupra prelucrării datelor utilizatorilor Facebook, inclusiv cerința ca Facebook să obțină „consimțământul voluntar” de la utilizatori înainte de a utiliza astfel de date. Pe de o parte, decizia este văzută ca o abordare inovativă pentru protecția consumatorului, însă unele voci se întreabă dacă nu cumva hotărârea depășește limitele dreptului concurenței.

 

Situația premisă

Utilizatorii care doresc să se alăture Facebook trebuie să accepte termenii și condițiile. Printre altele, acești Termeni și Condiții permit Facebook să colecteze date despre utilizatorii săi, inclusiv colectarea de date despre utilizatori atunci când aceștia nu se află pe Facebook, ci pe alte site-uri. Facebook colectează, de asemenea, date prin intermediul serviciilor deținute de Facebook, precum WhatsApp și Instagram, precum și prin intermediul unor site-uri terțe care au încorporate instrumente de afaceri Facebook (diverse pluginuri, API, extensii). Atunci când un utilizator interacționează cu aceste servicii, datele sunt transmise către Facebook și combinate cu celelalte date din contul de utilizator al utilizatorului Facebook pentru crearea unui profil. Este posibil ca mulți utilizatori să nu fie conștienți de acest lucru.

 

Context

Ancheta a fost începută de FCO în martie 2016. Înainte de anchetă, în Germania au existat nemulțumiri cu privier la faptul că Facebook a ignorat de facto o hotărâre a unei instanțe de apel și nu a adus Termenii și Condițiile în conformitate cu legislația privind protecția datelor. Mai multe autorități pentru protecția datelor și grupuri pentru drepturile consumatorilor au contestat Termenii și Condițiile Facebook. Nicio inițiativă nu a avut succes în cele din urmă. În plus, în acest moment, sancțiunile prevăzute de GDPR nu au motivat în mod suficient Facebook să-și adapteze termenii și condițiile. În consecință, a existat o presiune politică imensă care a impulsionat FCO să utilizeze arsenalul său puternic de sancțiuni în temeiul legii concurenței împotriva Facebook. Rezultatul a fost decizia din 6 februarie a FCO. În decizia sa, FCO a hotărât că măsura în care Facebook colectează și combină datele utilizatorilor constituie un abuz de poziție dominantă în conformitate cu articolul 19 din Legea privind concurența în Germania. S-a constatat că Facebook are o poziție dominantă pe piața germană a rețelelor sociale. Conform FCO, această piață exclude alte rețele de socializare, cum ar fi LinkedIn, Snapchat, YouTube și Twitter, deoarece acestea oferă doar bucăți din serviciile unei rețele sociale private precum Facebook. Pentru slabilirea poziției dominante s-au luat în calcul barierele considerabile la intrarea pe piață a unei noi rețele de socializare, precum și cota de piață de peste 80% a rețelei de socializere Facebook.

 

Te-ar putea interesa și:

 

Potrivit FCO, folosirea și punerea în aplicare de către Facebook a Termenilor și Condițiilor sale încalcă legile germane privind protecția datelor și reprezintă un abuz de poziție dominantă în legislației concurenței. Având în vedere legislația privind protecția datelor, acești Termeni sunt considerați ca exploatând utilizatorilor. FCO și-a întemeiat această aprecieze analizând două decizii ale Curții Federale de Justiție din Germania. Aceste decizii au stabilit că nu numai prețurile excesive, dar și clauzele contractuale necorespunzătoare pot constitui un abuz de poziție dominantă. Curtea de Justiție a hotărât, de asemenea, că clauzele generale de drept civil ar trebui aplicate pentru a elimina dezechilibrul puterilor de negociere în cazurile în care o parte contractantă este atât de puternică încât poate să dicteze condițiile contractului, celeilalte părți lipsindu-i autonomia contractuală. Potrivit FCO, Termenii și condițiile Facebook nu au cauzat daune financiare utilizatorilor. În schimb, prejudiciul a fost clasificat drept „pierderea controlului” de către utilizatori. Utilizatorii nu au putut să determine, să conștientizeze și să controleze în mod liber modul în care datele lor personale sunt utilizate și combinate din diferite surse de către Facebook.

 

 

 

Evaluare generală

În mai multe documente de lucru, FCO, în ultimii 5 ani, a evidențiat problematicile piețelor digitale online, observând, printer altele, că Facebook deține o poziție dominantă pe piața online a rețelelor de socializare. FCO consider că datele cu caracter personal sunt relevante pentru dobândirea unui avantaj economic și, în consecință, a unei poziții dominante, deoarece datele cu caracter personal permit monetizarea platformei prin vânzarea de publicitate online. Internetul funcționează prin publicitate targhetată, care funcționează pe procesarea datelor cu caracter personal. FCO a menționat în trecere că abuzul Facebook ar împiedica  concurenții care nu reușesc să dețină o bază de date asemănătoare, subliniind faptul că datele cu caracter personal sunt un factor decisiv în concurență.

 

Te-ar putea interesa și:

 

Exploatare sau o situație win-win?

FCO a statuat în decizia sa din 6 februarie că colectarea, combinarea și utilizarea datelor de către Facebook exploatează utilizatorii privați, deoarece această utilizare depășește ceea ce este necesar pentru ca Facebook să opereze platforma.  Facebook este oferit gratuit utilizatorilor privați. Întreaga platformă este finanțată de reclame. Este îndeobște cunoscut faptul că utilizatorii de internet detestă reclamele cu excepția situațiilor în care este deosebit de relevantă în momentul în care este afișată. De exemplu, o persoană care planifică o primă excursie la schi poate aprecia un anunț pentru anvelope de zăpadă la acel moment, dar nu va aprecia un anunț pentru costume de înot. Pentru a genera valoare reclamei pentru consumatori  (costuri mai mici de căutare și de livitare), o platformă trebuie să știe cât mai multe despre utilizatori pentru a oferi acestora reclame relevante intereselor. Prin urmare, colectarea și combinarea datelor de către Facebook prin intermediul serviciilor externe atinge acest scop: cunoașterea utilizatorilor, profilarea și targhetarea prin reclame. Cu cât este mai relevant un anunț pentru un utilizator, cu atât este mai probabil să se convertească într-o tranzacție, iar agenții de publicitate, în consecință, sunt dispuși să plătească mai mult. Calitatea anunțurilor permite astfel platformei să afișeze mai puține anunțuri și să extindă platforma. Având în vedere aceste considerente, o întrebare apare: exploatează Facebook utilizatorii sau îi ajută, prin intermediul reclamelor, să ajungă la informația pe care o caută?

 

Care este legătura dintre poziția dominant și abuz?

FCO a încercat să stabilească o astfel de legătură între poziția dominantă pe piață și un eventual abuz, susținând că, în virtutea poziției sale dominante, Facebook a forțat utilizatorii să accepte colectarea și transferul de date din surse externe către profilurile lor de Facebook. FCO a subliniat, de asemenea, că utilizatorii nu sunt conștienți de faptul că Facebook colectează și combină date din mai multe surse. Combinarea datelor conduce la efecte pe care utilizatorii de Facebook nu le pot prevedea și datorită dezechilibrului de putere dintre Facebook și utilizatori, aceștia din urmă nu pot au opțiunea de a evita combinarea datelor. Pentru Facebook, datele au o valoare economică imensă. Din punctul de vedere al FCO, abuzul de poziție dominantă constă în utilizarea prin încălcarea legislației privind protecția datelor a acestor date cu caracter personal în vederea obținerii unui avantaj economic prin creșterea popularității platformei, a dependenței față de ea, clientul final (agentul de publicitate) devenind dependent de acest serviciu. Potrivit FCO, acest lucru lucru se reflectă și în creșterea rapidă a cifrei de afaceri pe care Facebook a reușit să o genereze în ultimii ani în dauna concurenților.


[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]

Surse: https://www.bundeskartellamt.de

Lexology



black-vintage-car-clipart-1200x1200.jpg

Ați putea ghici cine află despre dvs. următoarele lucruri?

  • unde locuiți;
  • unde lucrați;
  • la ce școală merg copiii dvs.;
  • religia dvs.;
  • cât de des vizitați medicul,
  • dacă respectați limita de viteză;
  • toate contactele de pe telefon;
  • detalii despre toate apelurile telefonice, mesajele;
  • ce posturi de radio ascultați; și
  • dacă ați plecat de la sala de fitness în această dimineață și ați făcut o cafea și un croissant

Majoritatea oamenilor ar spune că telefonul lor, dar câți oameni ar spune “mașina”?

Autovehiculele moderne sunt pline de setări care fac viața mai ușoară și mai sigură, cum ar fi controlul direcției, sistemul de control al vitezei de croazieră, sistemele de navigație și media. Toate aceste facilități au ca rezultat generarea unor cantități enorme de date (pe care unele estimări le pun la 25Gb de date pe oră – echivalentul a 125.000 de documente Word sau 100 de ore de video). În funcție de natura tehnologiei utilizate în automobilul dvs. modern, aceste informații sensibile ar putea fi accesibile sau puse la dispoziția mai multor părți interesate, inclusiv producătorului, operatorilor de rețele mobile, furnizorilor de sisteme auto sau furnizorilor de servicii de cloud pentru stocarea datelor.

Aceste date sunt importante și sunt de interes pentru multe părți – pentru a le pune în context, un studiu recent din martie 2018 realizat de McKinsey & Company estimează că industria conectivității auto poate valora între 450 și 750 de miliarde de dolari în întreaga lume până în 2030.

Este îngrijorător că nu există un cadru juridic specific la nivel european care să reglementeze protecția datelor colectate de la vehicule.

Toate datele colectate care constituie “date personale” (de exemplu, numele, adresa, numărul de telefon, locația GPS și datele biometrice) sunt supuse noii legislații GDPR . În conformitate cu GDPR, există șase temeiuri pentru prelucrarea datelor personale, cel mai utilizat fiind consimțământul persoanei vizate.

Când ați achiziționat mașina, v-ați dat consimțământul pentru stocarea și prelucrarea datelor dvs.?

Colectarea datelor de către mașina dvs. nu este doar un alt exemplu de ingerință a Big Brother – este mai mult de atât.

Majoritatea companiilor colectează date cu scopul declarat de a menține și de a îmbunătăți serviciile furnizate sau de a dezvolta noi servicii. Există, fără îndoială, împrejurări în care oamenii ar prefera ca datele automobilelor să fie puse la dispoziția poliției și accesate de aceasta (în cadrul competențelor prevăzute de legislația națională). La începutul acestui an, poliția din Irlanda a reușit, să utilizeze datele despre locație de la un Nissan Qashqai pentru a urmări deplasarea lui Mark Hennessy în timp ce o răpea pe Justine Valdez .

În SUA, tehnologia este utilizată în mod obișnuit în mașini de către autoritățile de aplicare a legii, ceea ce dă naștere la preocupări majore privind protecția datelor. De exemplu, într-un caz, un șofer a activat accidental sistemul SOS al mașinii în timp ce discuta despre o afacere cu droguri. Personalul call-center a ascultat discuția, apoi a informat poliția locală care l-a arestat ulterior pe conducătorul auto. În acest caz, în timp ce primul gând este că arestarea unui traficant de droguri este în mod evident un lucru bun, vi se pare în regulă faptul că operatorii call-center ai producătorului de automobile ar putea asculta discuțiile dvs. private în timp ce vă aflați în mașină, dacă ați activat accidental sistemul de urgență? Poate că acesta este un preț care merită să fie plătit pentru siguranță știind că, dacă ați suferit un accident, ajutorul va fi la îndemână.

Ce părere aveți despre colectarea datelor de către mașina dvs.? V-ați bucura să fie utilizate pentru a vă prezenta conținut și anunțuri personalizate?

De exemplu, dacă autovehiculul dvs. urmează să rămână fără motorină/ benzină, v-ar plăcea să vă informeze că există o stație de alimentare în apropiere (indicații de orientare) și că veți obține o reducere cu 5% a combustibilului dacă veți merge acolo? În această “tranzacție”, stația de alimentare plătește, probabil, producătorului de automobile o anumită taxă pentru afișarea anunțului, dvs. veți obține o reducere a prețului benzinei/motorinei și stația ar beneficia și de alte achiziții ale dvs. (cum ar fi o cafea) în timp ce alimentați automobilul. Este o situație în care toate părțile au de câștigat sau este cu adevărat terifiant?

În cele din urmă, este clar că într-o lume curajoasă a mașinilor conectate, nimeni nu știe exact spre ce ne îndreptăm. Cu toate acestea, dintr-o perspectivă juridică, proprietarii de mașini trebuie să fie informați cu privire la toate datele personale colectate și la modul în care vor fi utilizate – fără acestea, producătorii se expun investigațiilor autorităților de supraveghere și reclamațiilor din partea clienților.

https://www.lexology.com/library/detail.aspx?g=0e462f17-e2fd-47b3-9396-d69fef19025f&utm_source=Lexology+Daily+Newsfeed&utm_medium=HTML+email+-+Body+-+General+section&utm_campaign=Lexology+subscriber+daily+feed&utm_content=Lexology+Daily+Newsfeed+2018-11-12&utm_term=

 


hacking-3112539_1920-1200x675.png

Ce sunt categoriile speciale de date?

Categoriile speciale de date conțin date personale considerate sensibile și necesită o protecție sporită, conform GDPR.

Pentru a prelucra în mod legal categorii speciale de date, trebuie să identificați un temei, potrivit articolului 6, și o condiție separată pentru prelucrarea datelor sensibile în conformitate cu articolul 9.

Ce condiții trebuie să îndeplinească prelucrarea categoriilor speciale de date?

Condițiile sunt prevăzute de articolul 9 alineatul (2) din GDPR:

“(a) persoana vizată a dat un consimțământ explicit petru prelucrarea datelor cu caracter personal, pentru unul sau mai multe scopuri specifice, cu excepția cazului în care legislația Uniunii sau a statului membru prevede că interdicția menționată la alineatul (1) nu poate fi ridicată de persoana vizată;

(b) prelucrarea este necesară în scopul îndeplinirii obligațiilor și exercitării anumitor drepturi ale operatorului sau ale persoanei vizate în domeniul ocupării forței de muncă și securității sociale, în măsura în care este autorizat de legislația Uniunii sau a statelor membre sau de o convenție colectivă în temeiul legislației statelor membre, care prevede garanții adecvate pentru drepturile fundamentale și interesele persoanei vizate;

(c) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale unei alte persoane fizice în cazul în care persoana vizată nu este capabilă din punct de vedere fizic sau legal să-și dea consimțământul;

(d) prelucrarea se desfășoară în cadrul activităților normale, cu garanții adecvate, de către o fundație, o asociație sau orice altă organizație nonprofit cu scop politic, filosofic, religios sau sindical și cu condiția ca prelucrarea să vizeze exclusiv membri sau foști membri ai organizației sau persoane care intră în contact periodic cu aceasta în legătură cu scopurile sale, și ca datele să nu fie divulgate fără consimțământul persoanelor vizate;

(e) prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod evident de către persoana vizată;

(f) prelucrarea este necesară pentru stabilirea, exercitarea sau apărarea unor  revendicări legale sau ori de câte ori instanțele acționează în calitatea lor judiciară;

(g) prelucrarea este necesară din motive de interes public, pe baza legislației Uniunii sau a statului membru, și este proporțională cu scopul urmărit, respectă esența dreptului la protecția datelor și prevede măsuri adecvate și specifice pentru a proteja drepturile fundamentale și interesele persoanei vizate;

(h) prelucrarea este necesară în cadrul medicinii muncii sau preventive, pentru evaluarea capacității de muncă a angajatului, diagnostic medical, furnizarea de îngrijiri medicale sau tratamente ori gestionarea sistemelor și serviciilor de sănătate sau de asistență socială în temeiul legislației Uniunii sau al statelor membre, în temeiul unui contract cu un profesionist în domeniul sănătății și sub rezerva condițiilor și garanțiilor menționate la alineatul (3);

(i) prelucrarea este necesară din motive de interes public în domeniul sănătății publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea unor standarde ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau a dispozitivelor medicale, bazată pe legislația Uniunii sau a statului membru care prevede măsuri adecvate și specifice pentru a proteja drepturile și libertățile persoanei vizate, în special secretul profesional;

(j) prelucrarea este necesară în scopul arhivării în interes public, în scopuri de cercetare științifică sau istorică sau în scopuri statistice în conformitate cu articolul 89 alineatul (1).”

 

Cum ne dăm seama că prelucrăm date sensibile?

Trebuie să alegeți un temei legal, exact în același mod ca și pentru prelucrarea altor categorii de date cu caracter personal, dar va trebui să îndepliniți și o condiție specifică, potrivit articolului 9 din GDPR, deoarece categoriile speciale de date necesită o protecție sporită. De exemplu, acestea conțin informații despre persoana fizică, referitoare la:

  • rasă;
  • origine etnică;
  • orientare politică;
  • religie;
  • apartenența la sindicate;
  • genetică;
  • biometrie (în cazul utilizării în scopuri de identificare);
  • sănătate;
  • viața sexuală; sau
  • orientarea sexuală.

Acest tip de date ar putea crea riscuri semnificative pentru drepturile și libertățile fundamentale ale unei persoane, de exemplu punându-le în pericol de discriminare.

 

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/special-category-data/


date-4.png

Comsimțământ GDPR. Ghid complet pentru operatori

 

Oana Neghină, Consilier Juridic

Ruxandra Sava, Avocat, CIPP/E

Pe scurt

GDPR stabilește standarde ridicate pentru obținerea consimțământului. Însă, în multe cazuri nu veți avea nevoie de consimțământ. Dacă luarea consimțământului este dificilă, căutați un alt temei.

Consimțământul înseamnă a oferi persoanelor posibilitatea de a alege și a controla. Consimțământul real ar trebui să responsabilizeze indivizii, să vă construiți încrederea și implicarea și să vă îmbunătățiți reputația.

  • Verificați practicile de consimțământ și formularele de consimțământ existente. Actualizați consimțământul dacă nu întâlnește standardele GDPR.
  • Consimțământul necesită un opțiune pozitivă. Nu utilizați căsuțe pre-bifate sau alte metode prestabilite.
  • Consimțământul explicit necesită o declarație foarte clară și specifică.
  • Păstrați formularele de consimțământ separate de contracte sau termeni și condiții. 
  • Fiți specifici și minuțioși, pentru a obține consimțământul separat pentru scopuri diferite. Un consimțământ vag sau mascat nu este suficient.
  • Fiți clari și conciși.
  • Facilitați retragerea consimțământului de către persoanele vizate.
  • Păstrați dovezi ale consimțământului – cine, când, cum și ce le-ați spus oamenilor.
  • Păstrați consimțământul în curs de examinare și actualizați-l dacă intervine schimbare.
  • Evitați să cereți consimțământul pentru a prelucra o precondiție a unui serviciu.

Ar trebui să te asiguri că:

  • Consimțământul este cel mai potrivit temei pentru prelucrare.
  • Formularul de consimțământ este separat în mod clar de contract sau termeni și condiții.
  • Oamenii pot să opteze pozitiv.
  • Nu se folosesc căsuțe pre-bifate sau orice alt tip de consimțământ implicit.
  • Se foloște un limbaj clar, simplu, ușor de înțeles.
  • Se specifică de ce se solicită datele și ce se va face cu ele.
  • Oferim opțiuni distincte (“stratificate”) pentru a consimți separat de diferite scopuri sau tipuri de prelucrare.
  • Denumim organizația noastră și orice operator terț care se va baza pe consimțământ.
  • Le spunem persoanelor că își pot retrage consimțământul.
  • Ne asigurăm că persoanele pot refuza să-și dea consimțământul fără a fi în detrimentul lor.
  • Evităm ca consimțământul să fie o condiție prealabilă a unui serviciu.
  • Dacă oferim servicii online direct copiilor, solicităm consimțământul numai dacă există măsuri de verificare a vârstei, dacă au sub 16 ani, vom solicita consimțământul părinților.
  • Menținem o evidență a momentului și a modului în care am obținut consimțământul de la individ.
  • Menținem o evidență exactă a ceea ce li sa spus în acel moment.
  • Revizuim regulat consimțămintele pentru a verifica dacă relația, prelucrarea și scopurile nu s-au schimbat.
  • Avem procese în vigoare pentru a reînnoi consimțământul la intervale adecvate, inclusiv orice consimțământ parental.
  • Considerăm utilizarea unor tablouri de bord pentru confidențialitate sau a altor instrumente de gestionare a preferințelor drept o chestiune de bună practică.
  • Facilităm retragerea consimțământului în orice moment și dăm indicații despre acest lucru.
  • Acționăm în urma retragerii consimțământului cât mai curând posibil.
  • Nu sancționăm persoanele care doresc să-și retragă consimțământul.

Ce mai e nou?

GDPR stabilește un standard ridicat pentru consimțământ, dar cea mai mare schimbare este însemnătatea în practică a mecanismelor de consimțământ.

GDPR clarifică faptul că indicația consimțământului trebuie să fie lipsită de ambiguitate și să aibă o acțiune afirmativă. În mod specific interzice căsuțele pre-bifate. De asemenea, este nevoie o procedură distinctă (“granulară”) de consimțământ pentru operațiuni distincte de prelucrare. Formularele de consimțământ ar trebui să fie separate de contract și nu ar trebui, în general, să fie o condiție prealabilă pentru achiziționarea unui serviciu.

Trebuie să păstrați înregistrări clare pentru a demonstra consimțământul.

GDPR oferă un drept specific de retragere a consimțământului. Trebuie să le spuneți oamenilor despre dreptul lor de a se retrage și să le ofere modalități ușoare de retragere a consimțământului în orice moment.

Autoritățile publice, angajatorii și alte organizații aflate într-o poziție de conducere ar putea afișa mai greu un consimțământ valabil acordat.

Trebuie să revizuiți consimțămintele existente și mecanismele de consimțământ pentru a verifica dacă acestea respectă GDPR. În acest caz, nu este nevoie să obțineți un nou consimțământ.

De ce este important consimțământul?

Consimțământul este un temei pentru prelucrare, iar consimțământul explicit poate, de asemenea, să legitimizeze folosirea unor categorii speciale de date. Consimțământul poate fi, de asemenea, relevant în cazul în care individul și-a exercitat dreptul la restricție, iar consimțământul explicit poate legitima luarea automată a deciziei și transferurile de date peste hotare.

Consimțământul autentic ar trebui să pună indivizii într-o poziție de control, să construiască încredere și angajament și să vă îmbunătățească reputația.

Dacă vă bazați pe consimțământul necorespunzător sau nevalabil, acest lucru ar putea distruge încrederea și vă poate afecta reputația – și vă poate expune unor amenzi mari.

Când este potrivit consimțământul?

Consimțământul este un temei pentru prelucrare, dar există și alternative. Consimțământul nu este în mod inerent mai bun sau mai important decât aceste alternative. Dacă luarea consimțământului este dificilă, trebuie să luați în considerare utilizarea unei alternative.

Consimțământul este potrivit dacă puteți oferi oamenilor posibilitatea reală de a alege și a controla modul în care utilizați datele lor. Dar dacă nu puteți oferi o alegere reală, consimțământul nu este valabil. Dacă puteți prelucra datele cu caracter personal fără consimțământ, solicitarea consimțământului poate fi înșelătoare și nedreaptă.

Autoritățile publice, angajatorii și alte organizații aflate într-o poziție de putere asupra persoanelor ar trebui evite să se bazeze pe consimțământ, cu excepția cazului în care pot demonstra că este acordat în mod liber.

Ce reprezintă consimțământul valabil?

Consimțământul trebuie acordat în mod liber; acest lucru înseamnă a oferi oamenilor posibilitatea reală de a alege și control asupra modului în care le utilizați datele.

Consimțământul ar trebui să fie evident și să necesite o opțiune pozitivă. Formularele de consimțământ trebuie să fie evidente, separate de alți termeni și condiții, concise, ușor de înțeles și ușor de utilizat.

Consimțământul trebuie să acopere în mod specific numele operatorului, scopurile prelucrării și tipurile de activități de prelucrare.

Nu există o limită de timp stabilită pentru consimțământ. Cât durează aceasta va depinde de context. Trebuie să revizuiți și să actualizați acordul, după caz.

Cum ar trebui să obținem, să înregistrăm și să gestionăm consimțământul?

Asigurați-vă că formularul de consimțământ este evident, concis, separat de contract sau termeni și condiții și ușor de înțeles. Include:

  • Denumirea organizației dvs.; numele oricăror operatori terți care se vor baza pe consimțământ;
  • de ce solicitați datele;
  • ce veți face cu ele; și
  • faptul că persoanele fizice își pot retrage consimțământul în orice moment.

Trebuie să le cereți utilizatorilor să acționeze pozitiv. Cel mai bun mod de a opta pozitiv este de a semna un formular de consimțământ în care le explicați pentru ce anume le prelucrați datele, ce faceți cu ele și ce drepturi au.  Nu utilizați căsuțe pre-bifate, casete de renunțare sau alte setări implicite. Ori de câte ori este posibil, furnizați opțiuni separate (“stratificate”) pentru a consimți la diferite scopuri și diferite tipuri de prelucrare.

Păstrați înregistrări pentru a dovedi consimțământul – cine a consimțit, când, cum și ce li s-a spus.

Facilitați retragerea consimțământului oricând persoanele vizate aleg să o facă. Luați în considerare utilizarea instrumentelor de gestionare a preferințelor.

Păstrați consimțămintele luate și actualizați-le dacă se schimbă ceva. Revizuiți periodic consimțămintele în activitatea dumneavoastră. 

Sursa aici

 

Vrei formulare de consimțământ?



Nu există un termen-limită al consimțământului. În general, odată ce acesta este valabil, el nu are termen de expirare și datele pot fi prelucrate până când persoana își va retrage consimțământul.

Cu toate acestea, dacă consimțământul a fost dat în scopul unei campanii care a avut o scurtă perioadă, acesta nu este suficient pentru companii ulterioare odată ce campania inițială a încetat. De exemplu, consimțământul pentru mesaje despre un produs care va fi lansat nu este valabil pentru alte produse care vor fi lansate anul următor.

De asemenea, dacă un client și-a dat consimțământul odată ce s-a abonat la un serviciu, consimțământul va expira atunci când acesta va renunța la serviciu. Organizația nu ar trebui să se bazeze pe consimțământ pentru a recâștiga clientul.

GDPR obligă operatorii să se asigure că consimțământul poate fi retras la fel de ușor cum a fost dat, în orice moment și în mod gratuit, dar nu neapărat prin aceeași acțiune. Retragerea consimțământului nu trebuie să aducă prejudicii. Neîndeplinirea unui mecanism de retragere duce la eșecul validității acordului. În cazul retragerii, prelucrarea care a avut loc anterior rămâne legală, însă prelucrarea ulterioară trebuie să înceteze. Un nou consimțământ valabil este necesar.

 

 



Pe scurt:

  • Acordul, pentru a fi valabil, trebuie să îndeplinească anumite condiții;
  • Compania trebuie să poată face dovada că a obținut un acord gdpr valabil;
  • Acordul trebuie acordat separat pentru fiecare scop specific al prelucrării;
  • Acordul poate fi retras la fel de ușor cum a fost dat, în orice moment și în mod gratuit, dar nu neapărat prin aceeași acțiune;
  • nevoie de consimțământul părinților pentru prelucrarea datelor copiilor sub 16 ani.

 

Ce condiții trebuie să îndeplinească consimțământul?

Acest acord gdpr trebuie să fie:

dat in mod liber

Exemplu: O aplicație mobilă de streaming muzical editare solicită utilizatorilor să aibă activată localizarea GPS pentru utilizarea serviciilor sale. Aplicația informează utilizatorii că va utiliza datele colectate în scopuri de publicitate comportamentală. Nici geolocalizarea și nici publicitatea comportamentală nu sunt necesare pentru furnizarea serviciului de streaming muzical. Întrucât utilizatorii nu pot utiliza aplicația fără a fi de acord cu această prelucrare, consimțământul nu poate fi considerat ca fiind acordat în mod liber2. trebuie să fie specificOperatorul trebuie să obțină consimțământul persoanei separat pentru fiecare activitate de prelucrare. Pentru fiecare scop, trebuie furnizate informațiile specifice cu privire la datele prelucrate. Dacă se dorește utilizarea datelor colectate în scopuri noi, trebuie obținut un nou consimțământ înainte de a prelucra datele în noile scopuri. Exemplu: „O rețea de televiziune prin cablu colectează datele personale ale abonaților, pe baza consimțământului acestora, pentru a le prezenta sugestii personalizate pentru filme. După un timp, rețeaua TV decide că ar dori să permită terților să trimită (sau să afișeze) publicitate vizată pe baza obiceiurilor de vizionare ale abonatului. Având în vedere acest nou scop, este necesar un nou consimțământ.” 

informat, adică să fie însoțit de o politica de confidențiatate (nota de informare)

 lipsit de ambiguitate

Recomandarea este să se facă uz de formulare scrise și semnate, însă, întrucât acest lucru nu este întotdeauna realist se poate apela la alternative precum declarații verbale înregistrate, răspunsuri la e-mail-uri și mesaje electronice, căsuțe cu posibilitate de bifare etc.

Însă, formularele scrise și semnate rămân cea mai bună dovadă că s-a luat un acord GDPR corect în eventualitatea unui control,

Persoanele vizate își pot retrage consimțământul în orice moment și la fel de simplu cum l-au acordat.

Pentru copiii sub 16 ani, este nevoie de consimțământul părinților.



Pe scurt

 Consimțământul, pentru a fi valabil, trebuie să îndeplinească anumite condiții;
 Operatorul trebuie să poată face dovada că a obținut un consimțământ valabil;
 Consimțământul trebuie acordat separat pentru fiecare scop specific al prelucrării;
 Consimțământul poate fi retras la fel de ușor cum a fost dat, în orice moment și în mod gratuit, dar nu neapărat prin aceeași acțiune;
 Este nevoie de consimțământul părinților pentru prelucrarea datelor copiilor sub 16 ani.

Consimțământul este definit de Regulament drept „orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;”

Operatorul trebuie să poată face dovada că a obținut un consimțământ valabil.

Pentru a fi valabil, consimțământul trebuie să îndeplinească cumulativ următoarele condiții:

• să fie dat în mod liber;
• să fie specific;
• să fie informat;
• să fie lipsit de ambiguitate;

Consimțământul trebuie să fie dat în mod liber

Potrivit Grupului de Lucru Art. 29 , consimțământul trebuie să fie o alegere reală pentru persoana vizată. Dacă persoana nu are o alegere reală, se simte obligată să își dea consimțământul sau urmează să suporte consecințe negative dacă nu își dă acordul, consimțământul nu este valabil.

 Exemplu: O aplicație mobilă de streaming muzical editare solicită utilizatorilor să aibă activată localizarea GPS pentru utilizarea serviciilor sale. Aplicația informează utilizatorii că va utiliza datele colectate în scopuri de publicitate comportamentală. Nici geolocalizarea și nici publicitatea comportamentală nu sunt necesare pentru furnizarea serviciului de streaming muzical. Întrucât utilizatorii nu pot utiliza aplicația fără a fi de acord cu această prelucrare, consimțământul nu poate fi considerat ca fiind acordat în mod liber.

! În situația unui dezechilibru de putere, ca de exemplu, în relația angajator – angajat, consimțământul nu este valabil decât în cazuri excepționale. Prin urmare, recomandarea ar fi ca temeiul prelucrării datelor angajaților să nu fie consimțământul.

Pentru a fi liber, consimțământul trebuie acordat separat pentru fiecare scop specific al prelucrării.

Consimțământul trebuie să fie specific

Operatorul trebuie să obțină consimțământul persoanei separat pentru fiecare activitate de prelucrare. Pentru fiecare scop, trebuie furnizate informațiile specifice cu privire la datele prelucrate. Dacă se dorește utilizarea datelor colectate în scopuri noi, trebuie obținut un nou consimțământ înainte de a prelucra datele în noile scopuri.

 Exemplu: „O rețea de televiziune prin cablu colectează datele personale ale abonaților, pe baza consimțământului acestora, pentru a le prezenta sugestii personalizate pentru filme. După un timp, rețeaua TV decide că ar dori să permită terților să trimită (sau să afișeze) publicitate vizată pe baza obiceiurilor de vizionare ale abonatului. Având în vedere acest nou scop, este necesar un nou consimțământ.”

Consimțământul trebuie să fie informat

Există elemente obligatorii care trebuie prezentate persoanei înainte de a i se cere consimțământul: identitatea fiecărui operator, scopul prelucrării, tipurile de date colectate, existența dreptului de retragere a consimțământului și, dacă e cazul, informații despre profilare sau decizii automate cu impact semnificativ și informații privind posibilele riscuri de transfer către state terțe UE.

Informarea trebuie să utilizeze un limbaj simplu și ușor de înțeles și trebuie să se diferențieze de termenii generali. Dacă consimțământul este obținut pe hârtie, informarea trebuie să fie distinctă față de alte documente, astfel încât să se evidențieze și să atragă atenția. Utilizarea unui mod stratificat de prezentare a informației este un aspect pe care operatorii ar trebui să îl ia în calcul.

Consimțământul trebuie să fie lipsit de ambiguitate

Recomandarea este să se facă uz de declarații scrise, însă, întrucât acest lucru nu este întotdeauna realist se poate apela la alternative precum declarații verbale înregistrate, răspunsuri la e-mail-uri și mesaje electronice, căsuțe cu posibilitate de bifare etc.
Alte aspecte privind consimțământul

GDPR obligă operatorii să se asigure că consimțământul poate fi retras la fel de ușor cum a fost dat, în orice moment și în mod gratuit, dar nu neapărat prin aceeași acțiune. Retragerea consimțământului nu trebuie să aducă prejudicii. Neîndeplinirea unui mecanism de retragere duce la eșecul validității acordului. În cazul retragerii, prelucrarea care a avut loc anterior rămâne legală, însă prelucrarea ulterioară trebuie să înceteze. Un nou consimțământ valabil este necesar.

Nu este permisă migrarea tacită din consimțământ către altă bază legală pentru procesare.

În privința copiilor, dacă aceștia au vârsta sub 16 ani, consimțământul trebuie dat sau autorizat de reprezentantul legal (de obicei, părintele). Statele membre pot reduce această vârsta la 13 ani. În funcție de riscul prelucrării, consimțământul părinților se va obține diferit: pentru activități cu risc scăzut se poate realiza o verificare pe e-mail, însă pentru cele cu risc mare, este nevoie de măsuri suplimentare. Odată ce copilul a ajuns la vârsta consimțământului digital (16 ani), un nou consimțământ este necesar direct de la subiect.

În situația în care consimțământul a fost obținut în conformitate cu Legea nr. 677/2001 este valabil dacă respectă condițiile stabilite de GDPR. Totuși, Grupul de Lucru Art. 29 avertizează că GDPR introduce standarde mult mai stricte care necesită revizuirea tuturor mecanismelor privind consimțământul și nu simpla actualizare a notelor de informare. Grupul avertizează în special operatorii care se bazează pe un consimțământ inactiv, cum este cazul colectării consimțământului prin utilizarea unor căsuțe pre-bifate.

Exemplu: Un blog transmite o dată pe săptămână newsletter abonaților. Consimțământul abonaților a fost luat în mod implicit, printr-o căsuță deja bifată. În acest caz, consimțământul nu este valabil, iar blogul ar trebui să colecteze un nou consimțământul care să îndeplinească standardele GDPR. Dacă persoanele nu își vor da consimțământul, prelucrarea va înceta.



Odată cu intrarea in vigoare a GDPR, orice persoană vizată, în situația în care face o solicitare în acest sens, va trebui să fie informată cu privire la datele personale pe care organizația sau compania respectivă le deține despre ea și, mai exact, de ce și în ce mod o face.

În temeiul legislaţiei CoE (Consiliul Europei), dreptul de acces la datele proprii este recunoscut în mod explicit la articolul 8 din Convenţia 108. În temeiul dreptului UE, dreptul de acces la datele proprii este recunoscut la articolul 12 din Directiva privind protecţia datelor şi, ca drept fundamental, la articolul 8 alineatul (2) din Cartă.

În conformitate cu articolul 9 din Convenţia 108 şi articolul 13 din Directiva privind protecţia datelor, obligaţia operatorilor de a răspunde la o cerere de acces din partea persoanei vizate poate fi restricţionată ca urmare a intereselor legale prioritare ale altor entităţi.

Interesele legale prioritare pot implica interese publice, precum securitatea naţională, siguranţa publică şi urmărirea penală a infracţiunilor, precum şi interese private, care sunt imperative faţă de interesele privind protecţia datelor.

Excepţiile sau restricţiile trebuie să fie necesare într-o societate democratică şi proporţionale cu scopul urmărit. În cazuri excepţionale, de exemplu, în baza unor recomandări medicale, protecţia persoanelor vizate poate necesita în sine o restricţionare a transparenţei.

 

Regulamentul prevede faptul că, persoana vizată are dreptul de a obține de la operator confirmarea dacă datele personale care o privesc sunt sau nu procesate. În acest caz, pe lângă furnizarea accesului la datele cu caracter personal, persoana vizată are dreptul să primească și următoarele informații:

  • Scopul procesării;
  • Categoriile de date care sunt procesate și datele care fac obiectul prelucrării;
  • Destinatarii sau categoriile de destinatari cărora le-au fost dezvăluite sau vor fi dezvăluite datele cu caracter personal și în special destinatarii din țări terțe sau organizații internaționale;
  • Atunci când este posibil, perioada prevăzută pentru care vor fi stocate datele cu caracter personal sau, dacă nu este posibil, criteriile utilizate pentru stabilirea acestei perioade;
  • Existența dreptului de a solicita rectificarea sau ștergerea datelor cu caracter personal sau limitarea prelucrării acestora sau chiar să se opună acestei prelucrări;
  • Dreptul de a depune o plângere la Autoritate de supraveghere;
  • În cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informații disponibile cu privire la sursa acestora;
  • Existența unui proces decizional automat, inclusiv profilarea.

În practică, aceste tipuri de cereri sunt susceptibile de a constitui o sarcină administrativă substanțială pentru companii, astfel încât acestea ar trebui să ia în considerare în avans demersurile care trebuie făcute, astfel încât să fie ținute sub control astfel de solicitări.

Surse:

  • European Data Protection Law and Practice- IAPP Publicaton;
  • Manual de legislaţie europeană privind protecţia datelor- Agenţia pentru Drepturi Fundamentale a Uniunii Europene, 2014.

Mirela Niculae- Consilier juridic- Coordonator Dep. Juridic



Ce este Google Analytics?                                                                      

                                                                                         
Google Analytics este un serviciu freemium Google care monitorizează în timp real activitatea de pe un site sau de pe o aplicație Android sau iOS precum și un instrument de procesare a datelor colectate astfel.
Informațiile colectate prin intermediul Google Analytics sunt folosite pentru ajustarea campaniilor SEO, pentru măsurarea vânzărilor și a conversiilor , pentru îmbunătătirea ROI și pentru înțelegerea modului în care utilizatorii interacționează cu anumite pagini web sau aplicații.
Cum funcționează Google Analytics?
Google Analytics colectează informațiile prin intermediul unui fragment de cod Javascript.
De asemenea alocă fiecărui utilizator un cid sau cookie id cu ajutorul căruia Analytics recunoaște browserul.
Ce fel de informații colectează?
Analytics colectează date cum ar fi : identificatori cookie, identificatori online, adrese IP , identificatori de device, identificatori de client și date precise privind locația, informații pe care le organizează ulterior în rapoarte care prezintă detalii precum: vârsta vizitatorilor, tipul browserului web și al sistemului de operare, sursele de trafic, bounce rate, numărul de vizitatori unici și locația acestora.


Care este legătura între GDPR și Google Analytics?
Potrivit prevederilor GDPR „ Persoanele fizice pot fi asociate cu identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alți identificatori precum etichetele de identificare prin frecvențe radio. Aceștia pot lăsa urme care, în special atunci când sunt combinate cu identificatori unici și alte informații primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor ” .

Este Google Analytics aliniat la GDPR?

Google a implementat o serie de măsuri de protecție pentru a respecta standardele impuse de Regulament în calitatea sa de Procesator de date dar aceste măsuri care vor intra în vigoare de pe data de 25 mai 2018 nu îl scutește pe Operator de obligațiile legale ce îi incumbă.

Se recomandă Operatorului să:

1. Activeze funcția de anonimizare a adreselor IP.
Odată activată, aceasta funcție “ … setează ultimul octet al unei adrese IP de tipul Ipv4 precum și ultimii 80 de biți ale unei adrese Ipv6 la zero la scurt timp după ce au fost trimise către Analytics Collection Network. „

2. Ceară consimțământul utilizatorului pentru utilizarea de cookies.
În acest scop se vor aplica toate prevederile GDPR privind validitatea consimțământului.

3. Creeze un mecanism de Opt-in/ Opt-out pentru colectarea de informații prin Google Analytics
!!! Utilizatorul poate descărca de aici un add on prin intermediul căruia poate bloca automat  colectarea de informații de către Google Analytics:
https://chrome.google.com/webstore/detail/google-analytics-opt-out/fllaojicojecljbmefodhfapmkghcbnh?hl=en

4. Utilizeze setarea Data Retention pentru a controla perioada de timp în care informațiile colectate vor fi păstrate.

5. Utilizeze User deletion tool pentru a șterge date precum: User ID, Client ID, App Instance ID

Bibliografie
1. https://developers.google.com/analytics/solutions/mobile accesat la 30 aprilie 2018
2. https://www.google.com/intl/ro/analytics/features/index.html accesat la 30 aprilie 2018
3. https://privacy.google.com/businesses/adsservices/ accesat la 3 aprilie 2018
4. http://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:32016R0679&from=EN accesat la 30 aprilie 2018
5. https://privacy.google.com/businesses/compliance/#?modal_active=none accesat la 2 mai 2018
6. https://support.google.com/analytics/answer/2763052?hl=en accesat la 2 mai
7. https://support.google.com/analytics/answer/7667196?hl=en accesat la 2 mai
8. https://www.jeffalytics.com/google-analytics-gdpr/ accesat la 2 mai 2018



Acum câteva zile, in timp ce scroll-uiam de zor Facebook-ul, am primit o notificare de follow pe Instagram. Am încercat să intru să văd cine mi-a trimis invitația, dar Instagram mi-a afișat noile sale politici de confidențialitate pe care m-a îndemnat să le citesc și să le aprob. Nu aveam chef de ele la momentul acela, așa că am apăsat butonul “Later” și mi-am văzut mai departe de treabă (n.r. adică să mă delectez cu câteva instastories ). Ulterior, într-o altă zi, am primit aceeași notificare pe Instagram și de data asta chiar am stat să citesc, cel puțin în mare, noile sale politici.

Marile companii social media sunt instrumente de lansare pentru respectarea GDPR

Vă este cunoscut deja faptul că pe 25 Mai 2018 GDPR va intra în vigoare în mod oficial, iar companiile vor publica rapid instrumente, precum și modificari ale termenelor si conditiilor pentru se putea conforma noilor reguli ale GDPR.

WhatsApp și Instagram, ambele deținute de Facebook, se numără printre marile companii care dezvăluie noi caracteristici ale platformelor înainte de termenul limită care se apropie rapid.

Se schimbă limita de vârstă pentru WhatsApp

Potrivit Reuters, WhatsApp va crește vârsta minimă de utilizare a aplicației de la 13 la 16 ani în U.E. WatsApp va solicita utilizatorilor săi să confirme că au vârsta de cel puțin 16 ani în momentul când li se va cere să accepte noile temene și condiții de utilizare, precum și politica de confidențialitate, care va fi furnizată de o nouă entitate WhatsApp Ireland în următoarele săptămâni.
Nu este încă foarte clar modul în care limita de vârstă va putea fi verificată, având în vedere limitările privind colectarea datelor în cadrul companiei WhatsApp. Societatea-mamă Facebook va solicita adolescenților cu vârste cuprinse între 13 și 15 ani să desemneze un părinte sau un tutore legal pentru a le da permisiunea sa distribuie informații pe Facebook. Dacă această condiție nu se va îndeplini, atunci utilizatorii nu vor putea vedea versiunea complet personalizată a Facebook-ului.
De asemenea, WhatsApp va permite utilizatorilor să descarce un raport care să conțină detalii cu privire la datele pe care aplicația le deține cu privire la aceștia și care va fi disponibil tuturor utilizatorilor, nu doar celor care se află sub guvernarea GDPR.

Dosarele de date sunt acum accesibile

De asemenea, Instagram a anunțat că oferă utilizatorilor aceeași capacitate de descărcare a datelor dacă doresc să părăsească rețeaua. Acest lucru poate fi accesat în secțiunea “Descărcare date” din setările de confidențialitate ale aplicației.
Un purtător de cuvânt a confirmat știrea in sensul ca: “Instrumentul de descărcare a datelor este în prezent accesibil pentru toată lumea de pe web, dar accesul prin iOS și Android este încă în curs de lansare.”
Utilizatorii pot solicita să descărce toate datele de pe platformă, iar Instagram va trimite un e-mail cu un link de descărcare odată ce a reușit să strângă toată informația într-un singur loc. Intregul proces poate dura până la 48 de ore.
Astfel, ca și în cazul altor situații și a altor site-uri web, recomandarea este ca politicile de confidențialitate să fie citite și nu să dam “Agree/ Accept all” din instinct, întrucât la un moment dat, anumite situații pot fi în detrimentul nostru, iar respectiva companie să fie în deplină legalitate, odată ce are deja acceptul nostru.

Sursa: https://www.siliconrepublic.com/enterprise/whatsapp-instagram-gdpr

 


arhive-consimtamant-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord