Aici descoperim
dreptul tehnologiei

date-4.png

Comsimțământ GDPR. Ghid complet pentru operatori

 

Oana Neghină, Consilier Juridic

Ruxandra Sava, Avocat, CIPP/E

Pe scurt

GDPR stabilește standarde ridicate pentru obținerea consimțământului. Însă, în multe cazuri nu veți avea nevoie de consimțământ. Dacă luarea consimțământului este dificilă, căutați un alt temei.

Consimțământul înseamnă a oferi persoanelor posibilitatea de a alege și a controla. Consimțământul real ar trebui să responsabilizeze indivizii, să vă construiți încrederea și implicarea și să vă îmbunătățiți reputația.

  • Verificați practicile de consimțământ și formularele de consimțământ existente. Actualizați consimțământul dacă nu întâlnește standardele GDPR.
  • Consimțământul necesită un opțiune pozitivă. Nu utilizați căsuțe pre-bifate sau alte metode prestabilite.
  • Consimțământul explicit necesită o declarație foarte clară și specifică.
  • Păstrați formularele de consimțământ separate de contracte sau termeni și condiții. 
  • Fiți specifici și minuțioși, pentru a obține consimțământul separat pentru scopuri diferite. Un consimțământ vag sau mascat nu este suficient.
  • Fiți clari și conciși.
  • Facilitați retragerea consimțământului de către persoanele vizate.
  • Păstrați dovezi ale consimțământului – cine, când, cum și ce le-ați spus oamenilor.
  • Păstrați consimțământul în curs de examinare și actualizați-l dacă intervine schimbare.
  • Evitați să cereți consimțământul pentru a prelucra o precondiție a unui serviciu.

Ar trebui să te asiguri că:

  • Consimțământul este cel mai potrivit temei pentru prelucrare.
  • Formularul de consimțământ este separat în mod clar de contract sau termeni și condiții.
  • Oamenii pot să opteze pozitiv.
  • Nu se folosesc căsuțe pre-bifate sau orice alt tip de consimțământ implicit.
  • Se foloște un limbaj clar, simplu, ușor de înțeles.
  • Se specifică de ce se solicită datele și ce se va face cu ele.
  • Oferim opțiuni distincte (“stratificate”) pentru a consimți separat de diferite scopuri sau tipuri de prelucrare.
  • Denumim organizația noastră și orice operator terț care se va baza pe consimțământ.
  • Le spunem persoanelor că își pot retrage consimțământul.
  • Ne asigurăm că persoanele pot refuza să-și dea consimțământul fără a fi în detrimentul lor.
  • Evităm ca consimțământul să fie o condiție prealabilă a unui serviciu.
  • Dacă oferim servicii online direct copiilor, solicităm consimțământul numai dacă există măsuri de verificare a vârstei, dacă au sub 16 ani, vom solicita consimțământul părinților.
  • Menținem o evidență a momentului și a modului în care am obținut consimțământul de la individ.
  • Menținem o evidență exactă a ceea ce li sa spus în acel moment.
  • Revizuim regulat consimțămintele pentru a verifica dacă relația, prelucrarea și scopurile nu s-au schimbat.
  • Avem procese în vigoare pentru a reînnoi consimțământul la intervale adecvate, inclusiv orice consimțământ parental.
  • Considerăm utilizarea unor tablouri de bord pentru confidențialitate sau a altor instrumente de gestionare a preferințelor drept o chestiune de bună practică.
  • Facilităm retragerea consimțământului în orice moment și dăm indicații despre acest lucru.
  • Acționăm în urma retragerii consimțământului cât mai curând posibil.
  • Nu sancționăm persoanele care doresc să-și retragă consimțământul.

Ce mai e nou?

GDPR stabilește un standard ridicat pentru consimțământ, dar cea mai mare schimbare este însemnătatea în practică a mecanismelor de consimțământ.

GDPR clarifică faptul că indicația consimțământului trebuie să fie lipsită de ambiguitate și să aibă o acțiune afirmativă. În mod specific interzice căsuțele pre-bifate. De asemenea, este nevoie o procedură distinctă (“granulară”) de consimțământ pentru operațiuni distincte de prelucrare. Formularele de consimțământ ar trebui să fie separate de contract și nu ar trebui, în general, să fie o condiție prealabilă pentru achiziționarea unui serviciu.

Trebuie să păstrați înregistrări clare pentru a demonstra consimțământul.

GDPR oferă un drept specific de retragere a consimțământului. Trebuie să le spuneți oamenilor despre dreptul lor de a se retrage și să le ofere modalități ușoare de retragere a consimțământului în orice moment.

Autoritățile publice, angajatorii și alte organizații aflate într-o poziție de conducere ar putea afișa mai greu un consimțământ valabil acordat.

Trebuie să revizuiți consimțămintele existente și mecanismele de consimțământ pentru a verifica dacă acestea respectă GDPR. În acest caz, nu este nevoie să obțineți un nou consimțământ.

De ce este important consimțământul?

Consimțământul este un temei pentru prelucrare, iar consimțământul explicit poate, de asemenea, să legitimizeze folosirea unor categorii speciale de date. Consimțământul poate fi, de asemenea, relevant în cazul în care individul și-a exercitat dreptul la restricție, iar consimțământul explicit poate legitima luarea automată a deciziei și transferurile de date peste hotare.

Consimțământul autentic ar trebui să pună indivizii într-o poziție de control, să construiască încredere și angajament și să vă îmbunătățească reputația.

Dacă vă bazați pe consimțământul necorespunzător sau nevalabil, acest lucru ar putea distruge încrederea și vă poate afecta reputația – și vă poate expune unor amenzi mari.

Când este potrivit consimțământul?

Consimțământul este un temei pentru prelucrare, dar există și alternative. Consimțământul nu este în mod inerent mai bun sau mai important decât aceste alternative. Dacă luarea consimțământului este dificilă, trebuie să luați în considerare utilizarea unei alternative.

Consimțământul este potrivit dacă puteți oferi oamenilor posibilitatea reală de a alege și a controla modul în care utilizați datele lor. Dar dacă nu puteți oferi o alegere reală, consimțământul nu este valabil. Dacă puteți prelucra datele cu caracter personal fără consimțământ, solicitarea consimțământului poate fi înșelătoare și nedreaptă.

Autoritățile publice, angajatorii și alte organizații aflate într-o poziție de putere asupra persoanelor ar trebui evite să se bazeze pe consimțământ, cu excepția cazului în care pot demonstra că este acordat în mod liber.

Ce reprezintă consimțământul valabil?

Consimțământul trebuie acordat în mod liber; acest lucru înseamnă a oferi oamenilor posibilitatea reală de a alege și control asupra modului în care le utilizați datele.

Consimțământul ar trebui să fie evident și să necesite o opțiune pozitivă. Formularele de consimțământ trebuie să fie evidente, separate de alți termeni și condiții, concise, ușor de înțeles și ușor de utilizat.

Consimțământul trebuie să acopere în mod specific numele operatorului, scopurile prelucrării și tipurile de activități de prelucrare.

Nu există o limită de timp stabilită pentru consimțământ. Cât durează aceasta va depinde de context. Trebuie să revizuiți și să actualizați acordul, după caz.

Cum ar trebui să obținem, să înregistrăm și să gestionăm consimțământul?

Asigurați-vă că formularul de consimțământ este evident, concis, separat de contract sau termeni și condiții și ușor de înțeles. Include:

  • Denumirea organizației dvs.; numele oricăror operatori terți care se vor baza pe consimțământ;
  • de ce solicitați datele;
  • ce veți face cu ele; și
  • faptul că persoanele fizice își pot retrage consimțământul în orice moment.

Trebuie să le cereți utilizatorilor să acționeze pozitiv. Cel mai bun mod de a opta pozitiv este de a semna un formular de consimțământ în care le explicați pentru ce anume le prelucrați datele, ce faceți cu ele și ce drepturi au.  Nu utilizați căsuțe pre-bifate, casete de renunțare sau alte setări implicite. Ori de câte ori este posibil, furnizați opțiuni separate (“stratificate”) pentru a consimți la diferite scopuri și diferite tipuri de prelucrare.

Păstrați înregistrări pentru a dovedi consimțământul – cine a consimțit, când, cum și ce li s-a spus.

Facilitați retragerea consimțământului oricând persoanele vizate aleg să o facă. Luați în considerare utilizarea instrumentelor de gestionare a preferințelor.

Păstrați consimțămintele luate și actualizați-le dacă se schimbă ceva. Revizuiți periodic consimțămintele în activitatea dumneavoastră. 

Sursa aici

 

Vrei formulare de consimțământ?



Pe scurt:

  • Acordul, pentru a fi valabil, trebuie să îndeplinească anumite condiții;
  • Compania trebuie să poată face dovada că a obținut un acord gdpr valabil;
  • Acordul trebuie acordat separat pentru fiecare scop specific al prelucrării;
  • Acordul poate fi retras la fel de ușor cum a fost dat, în orice moment și în mod gratuit, dar nu neapărat prin aceeași acțiune;
  • nevoie de consimțământul părinților pentru prelucrarea datelor copiilor sub 16 ani.

 

Ce condiții trebuie să îndeplinească consimțământul?

Acest acord gdpr trebuie să fie:

dat in mod liber

Exemplu: O aplicație mobilă de streaming muzical editare solicită utilizatorilor să aibă activată localizarea GPS pentru utilizarea serviciilor sale. Aplicația informează utilizatorii că va utiliza datele colectate în scopuri de publicitate comportamentală. Nici geolocalizarea și nici publicitatea comportamentală nu sunt necesare pentru furnizarea serviciului de streaming muzical. Întrucât utilizatorii nu pot utiliza aplicația fără a fi de acord cu această prelucrare, consimțământul nu poate fi considerat ca fiind acordat în mod liber2. trebuie să fie specificOperatorul trebuie să obțină consimțământul persoanei separat pentru fiecare activitate de prelucrare. Pentru fiecare scop, trebuie furnizate informațiile specifice cu privire la datele prelucrate. Dacă se dorește utilizarea datelor colectate în scopuri noi, trebuie obținut un nou consimțământ înainte de a prelucra datele în noile scopuri. Exemplu: „O rețea de televiziune prin cablu colectează datele personale ale abonaților, pe baza consimțământului acestora, pentru a le prezenta sugestii personalizate pentru filme. După un timp, rețeaua TV decide că ar dori să permită terților să trimită (sau să afișeze) publicitate vizată pe baza obiceiurilor de vizionare ale abonatului. Având în vedere acest nou scop, este necesar un nou consimțământ.” 

informat, adică să fie însoțit de o politica de confidențiatate (nota de informare)

 lipsit de ambiguitate

Recomandarea este să se facă uz de formulare scrise și semnate, însă, întrucât acest lucru nu este întotdeauna realist se poate apela la alternative precum declarații verbale înregistrate, răspunsuri la e-mail-uri și mesaje electronice, căsuțe cu posibilitate de bifare etc.

Însă, formularele scrise și semnate rămân cea mai bună dovadă că s-a luat un acord GDPR corect în eventualitatea unui control,

Persoanele vizate își pot retrage consimțământul în orice moment și la fel de simplu cum l-au acordat.

Pentru copiii sub 16 ani, este nevoie de consimțământul părinților.

 

Vrei formulare de consimțământ?



Pe scurt

 Consimțământul, pentru a fi valabil, trebuie să îndeplinească anumite condiții;
 Operatorul trebuie să poată face dovada că a obținut un consimțământ valabil;
 Consimțământul trebuie acordat separat pentru fiecare scop specific al prelucrării;
 Consimțământul poate fi retras la fel de ușor cum a fost dat, în orice moment și în mod gratuit, dar nu neapărat prin aceeași acțiune;
 Este nevoie de consimțământul părinților pentru prelucrarea datelor copiilor sub 16 ani.

Consimțământul este definit de Regulament drept „orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;”

Operatorul trebuie să poată face dovada că a obținut un consimțământ valabil.

Pentru a fi valabil, consimțământul trebuie să îndeplinească cumulativ următoarele condiții:

• să fie dat în mod liber;
• să fie specific;
• să fie informat;
• să fie lipsit de ambiguitate;

Consimțământul trebuie să fie dat în mod liber

Potrivit Grupului de Lucru Art. 29 , consimțământul trebuie să fie o alegere reală pentru persoana vizată. Dacă persoana nu are o alegere reală, se simte obligată să își dea consimțământul sau urmează să suporte consecințe negative dacă nu își dă acordul, consimțământul nu este valabil.

 Exemplu: O aplicație mobilă de streaming muzical editare solicită utilizatorilor să aibă activată localizarea GPS pentru utilizarea serviciilor sale. Aplicația informează utilizatorii că va utiliza datele colectate în scopuri de publicitate comportamentală. Nici geolocalizarea și nici publicitatea comportamentală nu sunt necesare pentru furnizarea serviciului de streaming muzical. Întrucât utilizatorii nu pot utiliza aplicația fără a fi de acord cu această prelucrare, consimțământul nu poate fi considerat ca fiind acordat în mod liber.

! În situația unui dezechilibru de putere, ca de exemplu, în relația angajator – angajat, consimțământul nu este valabil decât în cazuri excepționale. Prin urmare, recomandarea ar fi ca temeiul prelucrării datelor angajaților să nu fie consimțământul.

Pentru a fi liber, consimțământul trebuie acordat separat pentru fiecare scop specific al prelucrării.

Vrei formulare de consimțământ?

Consimțământul trebuie să fie specific

Operatorul trebuie să obțină consimțământul persoanei separat pentru fiecare activitate de prelucrare. Pentru fiecare scop, trebuie furnizate informațiile specifice cu privire la datele prelucrate. Dacă se dorește utilizarea datelor colectate în scopuri noi, trebuie obținut un nou consimțământ înainte de a prelucra datele în noile scopuri.

 Exemplu: „O rețea de televiziune prin cablu colectează datele personale ale abonaților, pe baza consimțământului acestora, pentru a le prezenta sugestii personalizate pentru filme. După un timp, rețeaua TV decide că ar dori să permită terților să trimită (sau să afișeze) publicitate vizată pe baza obiceiurilor de vizionare ale abonatului. Având în vedere acest nou scop, este necesar un nou consimțământ.”

Consimțământul trebuie să fie informat

Există elemente obligatorii care trebuie prezentate persoanei înainte de a i se cere consimțământul: identitatea fiecărui operator, scopul prelucrării, tipurile de date colectate, existența dreptului de retragere a consimțământului și, dacă e cazul, informații despre profilare sau decizii automate cu impact semnificativ și informații privind posibilele riscuri de transfer către state terțe UE.

Informarea trebuie să utilizeze un limbaj simplu și ușor de înțeles și trebuie să se diferențieze de termenii generali. Dacă consimțământul este obținut pe hârtie, informarea trebuie să fie distinctă față de alte documente, astfel încât să se evidențieze și să atragă atenția. Utilizarea unui mod stratificat de prezentare a informației este un aspect pe care operatorii ar trebui să îl ia în calcul.

Consimțământul trebuie să fie lipsit de ambiguitate

Recomandarea este să se facă uz de declarații scrise, însă, întrucât acest lucru nu este întotdeauna realist se poate apela la alternative precum declarații verbale înregistrate, răspunsuri la e-mail-uri și mesaje electronice, căsuțe cu posibilitate de bifare etc.
Alte aspecte privind consimțământul

GDPR obligă operatorii să se asigure că consimțământul poate fi retras la fel de ușor cum a fost dat, în orice moment și în mod gratuit, dar nu neapărat prin aceeași acțiune. Retragerea consimțământului nu trebuie să aducă prejudicii. Neîndeplinirea unui mecanism de retragere duce la eșecul validității acordului. În cazul retragerii, prelucrarea care a avut loc anterior rămâne legală, însă prelucrarea ulterioară trebuie să înceteze. Un nou consimțământ valabil este necesar.

Nu este permisă migrarea tacită din consimțământ către altă bază legală pentru procesare.

În privința copiilor, dacă aceștia au vârsta sub 16 ani, consimțământul trebuie dat sau autorizat de reprezentantul legal (de obicei, părintele). Statele membre pot reduce această vârsta la 13 ani. În funcție de riscul prelucrării, consimțământul părinților se va obține diferit: pentru activități cu risc scăzut se poate realiza o verificare pe e-mail, însă pentru cele cu risc mare, este nevoie de măsuri suplimentare. Odată ce copilul a ajuns la vârsta consimțământului digital (16 ani), un nou consimțământ este necesar direct de la subiect.

În situația în care consimțământul a fost obținut în conformitate cu Legea nr. 677/2001 este valabil dacă respectă condițiile stabilite de GDPR. Totuși, Grupul de Lucru Art. 29 avertizează că GDPR introduce standarde mult mai stricte care necesită revizuirea tuturor mecanismelor privind consimțământul și nu simpla actualizare a notelor de informare. Grupul avertizează în special operatorii care se bazează pe un consimțământ inactiv, cum este cazul colectării consimțământului prin utilizarea unor căsuțe pre-bifate.

Exemplu: Un blog transmite o dată pe săptămână newsletter abonaților. Consimțământul abonaților a fost luat în mod implicit, printr-o căsuță deja bifată. În acest caz, consimțământul nu este valabil, iar blogul ar trebui să colecteze un nou consimțământul care să îndeplinească standardele GDPR. Dacă persoanele nu își vor da consimțământul, prelucrarea va înceta.

 

 

Vrei formulare de consimțământ?



Odată cu intrarea in vigoare a GDPR, orice persoană vizată, în situația în care face o solicitare în acest sens, va trebui să fie informată cu privire la datele personale pe care organizația sau compania respectivă le deține despre ea și, mai exact, de ce și în ce mod o face.

În temeiul legislaţiei CoE (Consiliul Europei), dreptul de acces la datele proprii este recunoscut în mod explicit la articolul 8 din Convenţia 108. În temeiul dreptului UE, dreptul de acces la datele proprii este recunoscut la articolul 12 din Directiva privind protecţia datelor şi, ca drept fundamental, la articolul 8 alineatul (2) din Cartă.

În conformitate cu articolul 9 din Convenţia 108 şi articolul 13 din Directiva privind protecţia datelor, obligaţia operatorilor de a răspunde la o cerere de acces din partea persoanei vizate poate fi restricţionată ca urmare a intereselor legale prioritare ale altor entităţi.

Interesele legale prioritare pot implica interese publice, precum securitatea naţională, siguranţa publică şi urmărirea penală a infracţiunilor, precum şi interese private, care sunt imperative faţă de interesele privind protecţia datelor.

Excepţiile sau restricţiile trebuie să fie necesare într-o societate democratică şi proporţionale cu scopul urmărit. În cazuri excepţionale, de exemplu, în baza unor recomandări medicale, protecţia persoanelor vizate poate necesita în sine o restricţionare a transparenţei.

Regulamentul prevede faptul că, persoana vizată are dreptul de a obține de la operator confirmarea dacă datele personale care o privesc sunt sau nu procesate. În acest caz, pe lângă furnizarea accesului la datele cu caracter personal, persoana vizată are dreptul să primească și următoarele informații:

  • Scopul procesării;
  • Categoriile de date care sunt procesate și datele care fac obiectul prelucrării;
  • Destinatarii sau categoriile de destinatari cărora le-au fost dezvăluite sau vor fi dezvăluite datele cu caracter personal și în special destinatarii din țări terțe sau organizații internaționale;
  • Atunci când este posibil, perioada prevăzută pentru care vor fi stocate datele cu caracter personal sau, dacă nu este posibil, criteriile utilizate pentru stabilirea acestei perioade;
  • Existența dreptului de a solicita rectificarea sau ștergerea datelor cu caracter personal sau limitarea prelucrării acestora sau chiar să se opună acestei prelucrări;
  • Dreptul de a depune o plângere la Autoritate de supraveghere;
  • În cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informații disponibile cu privire la sursa acestora;
  • Existența unui proces decizional automat, inclusiv profilarea.

În practică, aceste tipuri de cereri sunt susceptibile de a constitui o sarcină administrativă substanțială pentru companii, astfel încât acestea ar trebui să ia în considerare în avans demersurile care trebuie făcute, astfel încât să fie ținute sub control astfel de solicitări.

Surse:

  • European Data Protection Law and Practice- IAPP Publicaton;
  • Manual de legislaţie europeană privind protecţia datelor- Agenţia pentru Drepturi Fundamentale a Uniunii Europene, 2014.

Mirela Niculae- Consilier juridic- Coordonator Dep. Juridic

 

VREI SĂ TE ALINIEZI LA GDPR? CONSULTĂ OFERTA NOASTRĂ AICI



Ce este Google Analytics?                                                                      

                                                                                         
Google Analytics este un serviciu freemium Google care monitorizează în timp real activitatea de pe un site sau de pe o aplicație Android sau iOS precum și un instrument de procesare a datelor colectate astfel.
Informațiile colectate prin intermediul Google Analytics sunt folosite pentru ajustarea campaniilor SEO, pentru măsurarea vânzărilor și a conversiilor , pentru îmbunătătirea ROI și pentru înțelegerea modului în care utilizatorii interacționează cu anumite pagini web sau aplicații.
Cum funcționează Google Analytics?
Google Analytics colectează informațiile prin intermediul unui fragment de cod Javascript.
De asemenea alocă fiecărui utilizator un cid sau cookie id cu ajutorul căruia Analytics recunoaște browserul.
Ce fel de informații colectează?
Analytics colectează date cum ar fi : identificatori cookie, identificatori online, adrese IP , identificatori de device, identificatori de client și date precise privind locația, informații pe care le organizează ulterior în rapoarte care prezintă detalii precum: vârsta vizitatorilor, tipul browserului web și al sistemului de operare, sursele de trafic, bounce rate, numărul de vizitatori unici și locația acestora.
Care este legătura între GDPR și Google Analytics?
Potrivit prevederilor GDPR „ Persoanele fizice pot fi asociate cu identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alți identificatori precum etichetele de identificare prin frecvențe radio. Aceștia pot lăsa urme care, în special atunci când sunt combinate cu identificatori unici și alte informații primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor ” .

Este Google Analytics aliniat la GDPR?

Google a implementat o serie de măsuri de protecție pentru a respecta standardele impuse de Regulament în calitatea sa de Procesator de date dar aceste măsuri care vor intra în vigoare de pe data de 25 mai 2018 nu îl scutește pe Operator de obligațiile legale ce îi incumbă.

Se recomandă Operatorului să:

1. Activeze funcția de anonimizare a adreselor IP.
Odată activată, aceasta funcție “ … setează ultimul octet al unei adrese IP de tipul Ipv4 precum și ultimii 80 de biți ale unei adrese Ipv6 la zero la scurt timp după ce au fost trimise către Analytics Collection Network. „

2. Ceară consimțământul utilizatorului pentru utilizarea de cookies.
În acest scop se vor aplica toate prevederile GDPR privind validitatea consimțământului.

3. Creeze un mecanism de Opt-in/ Opt-out pentru colectarea de informații prin Google Analytics
!!! Utilizatorul poate descărca de aici un add on prin intermediul căruia poate bloca automat  colectarea de informații de către Google Analytics:
https://chrome.google.com/webstore/detail/google-analytics-opt-out/fllaojicojecljbmefodhfapmkghcbnh?hl=en

4. Utilizeze setarea Data Retention pentru a controla perioada de timp în care informațiile colectate vor fi păstrate.

5. Utilizeze User deletion tool pentru a șterge date precum: User ID, Client ID, App Instance ID

Bibliografie
1. https://developers.google.com/analytics/solutions/mobile accesat la 30 aprilie 2018
2. https://www.google.com/intl/ro/analytics/features/index.html accesat la 30 aprilie 2018
3. https://privacy.google.com/businesses/adsservices/ accesat la 3 aprilie 2018
4. http://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:32016R0679&from=EN accesat la 30 aprilie 2018
5. https://privacy.google.com/businesses/compliance/#?modal_active=none accesat la 2 mai 2018
6. https://support.google.com/analytics/answer/2763052?hl=en accesat la 2 mai
7. https://support.google.com/analytics/answer/7667196?hl=en accesat la 2 mai
8. https://www.jeffalytics.com/google-analytics-gdpr/ accesat la 2 mai 2018

 

Vrei să te aliniezi la GDPR? Consultă oferta noastră aici



Acum câteva zile, in timp ce scroll-uiam de zor Facebook-ul, am primit o notificare de follow pe Instagram. Am încercat să intru să văd cine mi-a trimis invitația, dar Instagram mi-a afișat noile sale politici de confidențialitate pe care m-a îndemnat să le citesc și să le aprob. Nu aveam chef de ele la momentul acela, așa că am apăsat butonul “Later” și mi-am văzut mai departe de treabă (n.r. adică să mă delectez cu câteva instastories ). Ulterior, într-o altă zi, am primit aceeași notificare pe Instagram și de data asta chiar am stat să citesc, cel puțin în mare, noile sale politici.

Marile companii social media sunt instrumente de lansare pentru respectarea GDPR

Vă este cunoscut deja faptul că pe 25 Mai 2018 GDPR va intra în vigoare în mod oficial, iar companiile vor publica rapid instrumente, precum și modificari ale termenelor si conditiilor pentru se putea conforma noilor reguli ale GDPR.

WhatsApp și Instagram, ambele deținute de Facebook, se numără printre marile companii care dezvăluie noi caracteristici ale platformelor înainte de termenul limită care se apropie rapid.

Se schimbă limita de vârstă pentru WhatsApp

Potrivit Reuters, WhatsApp va crește vârsta minimă de utilizare a aplicației de la 13 la 16 ani în U.E. WatsApp va solicita utilizatorilor săi să confirme că au vârsta de cel puțin 16 ani în momentul când li se va cere să accepte noile temene și condiții de utilizare, precum și politica de confidențialitate, care va fi furnizată de o nouă entitate WhatsApp Ireland în următoarele săptămâni.
Nu este încă foarte clar modul în care limita de vârstă va putea fi verificată, având în vedere limitările privind colectarea datelor în cadrul companiei WhatsApp. Societatea-mamă Facebook va solicita adolescenților cu vârste cuprinse între 13 și 15 ani să desemneze un părinte sau un tutore legal pentru a le da permisiunea sa distribuie informații pe Facebook. Dacă această condiție nu se va îndeplini, atunci utilizatorii nu vor putea vedea versiunea complet personalizată a Facebook-ului.
De asemenea, WhatsApp va permite utilizatorilor să descarce un raport care să conțină detalii cu privire la datele pe care aplicația le deține cu privire la aceștia și care va fi disponibil tuturor utilizatorilor, nu doar celor care se află sub guvernarea GDPR.

Dosarele de date sunt acum accesibile

De asemenea, Instagram a anunțat că oferă utilizatorilor aceeași capacitate de descărcare a datelor dacă doresc să părăsească rețeaua. Acest lucru poate fi accesat în secțiunea “Descărcare date” din setările de confidențialitate ale aplicației.
Un purtător de cuvânt a confirmat știrea in sensul ca: “Instrumentul de descărcare a datelor este în prezent accesibil pentru toată lumea de pe web, dar accesul prin iOS și Android este încă în curs de lansare.”
Utilizatorii pot solicita să descărce toate datele de pe platformă, iar Instagram va trimite un e-mail cu un link de descărcare odată ce a reușit să strângă toată informația într-un singur loc. Intregul proces poate dura până la 48 de ore.
Astfel, ca și în cazul altor situații și a altor site-uri web, recomandarea este ca politicile de confidențialitate să fie citite și nu să dam “Agree/ Accept all” din instinct, întrucât la un moment dat, anumite situații pot fi în detrimentul nostru, iar respectiva companie să fie în deplină legalitate, odată ce are deja acceptul nostru.

Sursa: https://www.siliconrepublic.com/enterprise/whatsapp-instagram-gdpr

 



Consimtamant GDPR. Cum obtii un consimtamant valabil pentru prelucrare? (II)

 

În continuarea articolului precedent, azi discutăm despre consimțământul explicit, retragerea acestuia, consimțământul copiilor și în ce măsură consimțământul obținut pe Legea 677/2001 este valabil începând cu mai 2015.

 

COSIMȚĂMÂNTUL EXPLICIT

Consimțământul explicit este necesar numai dacă se prelucrează categorii de date sensibile (de exemplu, datele medicale, genetice, biometrice, datele care dezvăluie originea rasială, etnică, convingerile religioase, filozofice), în situația transferurilor către state terțe UE fără garanții adecvate și în situația deciziilor automate cu efect semnificativ.

O declarație scrisă semnată este cel mai bun exemplu pentru un consimțământ explicit. Alte recomandări ale Grupului de lucru sunt un proces de verificare în doi factori a consimțământului (verificare ulterioară prin e-mail, sms, telefon pentru a se asigura că acordul este explicit), utilizarea unei semnături electronice, urcarea unui document scanat semnat, înregistrarea unei declarații verbale.  Pe lângă condițiile detaliate mai sus, operatorii au obligația de a păstra evidențele pentru a demonstra că s-a luat un consimțământ valabil și că subiectul a fost informat.

ALTE ASPECTE PRIVIND CONSIMȚĂMÂNTUL 

De asemenea, GDPR obligă controlorii să se asigure că consimțământul poate fi retras la fel de ușor cum a fost dat, în orice moment și în mod gratuit, dar nu neapărat prin aceeași acțiune. Retragerea consimțământului nu trebuie să aducă prejudicii. Neîndeplinirea unui mecanism de retragere duce la eșecul validității acordului. În cazul retragerii, prelucrarea care a avut loc anterior rămâne legală, însă prelucrarea ulterioară trebuie să înceteze. Un nou consimțământ valabil este necesar. Nu este permisă migrarea tacită din consimțământ către altă bază legală pentru procesare.

În privința copiilor, dacă aceștia au vârsta sub 16 ani, consimțământul trebuie dat sau autorizat de reprezentantul legal (de obicei, părintele). Statele membre pot reduce această vârsta la 13 ani. În funcție de riscul prelucrării, consimțământul părinților se va obține diferit: pentru activități cu risc scăzut se poate realiza o verificare pe e-mail, însă pentru cele cu risc mare, este nevoie de cereri suplimentare. Odată ce copilul a ajuns la vârsta consimțământului digital (16 ani), un nou consimțământ este necesar direct de la subiect.

În situația în care consimțământul a fost obținut în conformitate cu legea 677/2001 este valabil dacă respectă condițiile stabilite de GDPR. Totuși, Grupul de Lucru avertizează că GDPR introduce standarde mult mai stricte care necesită revizuirea tutoror mecanismelor privind consimțământul și nu simpla actualizare a notelor de informare. Grupul avertizează în special operatorii care se bazează pe un consimțământ inactiv, cum este cazul colectării consimțământului prin utilizarea unor căsute pre-bifate.

SURSE

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611232

https://iapp.org/news/a/the-working-party-guidance-on-consent-is-finally-here/

 

 

 

 



Consimtamant GDPR. Cum obtii un consimtamant valabil pentru prelucrare? (I)

Ruxandra Sava, Avocat, CIPP/E

 

Cu ocazia întâlnirii din luna noiembrie 2017, Grupul de lucru Articolul29 a adoptat două ghiduri (cu privire la „Transparență” și „Consimțământ”) în vederea asigurării unei aplicări armonizate a Regulamentului General privind Protecția Datelor începând cu data de 25 mai 2018. Acestea au fost lansate în vederea consultării publice până la data de 23 ianuarie 2018.

În prezentul articol, vom rezuma aspectele relevante cuprinse în Ghidul Grupului de Lucru Articolul 29 cu privire la consimțământ.

Ce este consimțământul potrivit GDPR?

Potrivit Regulamentului, există șase temeiuri legale în baza cărora datele cu caracter personal pot fi prelucrate în mod legal: a) consimțământul; b) încheierea sau executarea unui contract; c) îndeplinirea unei obligații legale a operatorului; d) protejarea intereselor vitale ale persoanei vizate sau ale altei persoane fizice; e) îndeplinirea unei sarcini aferente unui interes public; și f) în scopul interesului legitim al operatorului sau al unei terțe.

Important de menționat este faptul că cele șase temeiuri legale se află, potrivit Regulamentului, pe poziție de egalitate. Așa cum vom arăta în cele ce urmează, obținerea unui consimțământ valabil potrivit GDPR nu este o sarcină ușoară, de aceea recomandarea noastră este să vă orientați către alte temeiuri legale, urmând să apelați la consimțământ ca ultimă variantă.

Ca să răspundem la întrebarea din subtitlu, consimțământul este unul dintre cele șase temeiuri legale în baza cărora datele cu caracter personal pot fi prelucrate legal, dar și unul dintre temeiurile în baza căruia datele personale pot fi transferate către un stat din afara Uniunii.

Consimțământul este definit în Art. 4 pct. 11 din Regulament drept orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;

Operatorul trebuie să poată face dovada că a obținut un consimțământ valabil. Totuși, obținerea acestuia nu exonerează operatorul de începlinirea celorlalte obligații pe care le are potrivit legii.

Ce condiții trebuie să îndeplinească consimțământul pentru a fi valabil potrivit GDPR?

Pentru a fi valabil, consimțământul trebuie să îndeplinească cumulativ următoarele condiții:

  1. să fie dat în mod liber;
  2. să fie specific;
  3. să fie informat;
  4. să fie lipsit de ambiguitate;

Cu privire la anumite categorii de date sensibile (de exemplu, datele medicale, genetice, biometrice, datele care dezvăluie originea rasială, etnică, convingerile religioase, filozofice), în situația transferurilor către state terțe UE fără garanții adecvate și în situația deciziilor automate cu efect semnificativ, consimțământul trebuie să îndeplinească o cerință suplimentară: să fie explicit. Consimțământul copiilor este, de asemenea, supus unor condiții suplimentare, așa cum vom arăta în cele ce urmează.

  • Consimțământul trebuie să fie dat în mod liber

Potrivit Grupului de Lucru, consimțământul trebuie să fie o alegere reală pentru persoana vizată. Dacă persoana nu are o alegere reală, se simte obligată să își dea consimțământul sau urmează să suporte consecințe negative dacă nu își dă acordul, consimțământul nu este valabil.

În situația în care consimțământul este asociat unor termeni și condiții care nu pot fi negociați sau în situația în care nu poate fi acordat sau retras fără prejudicii, vorbim despre un consimțământ nevalid.

Utilizarea unui serviciu condiționată de acordarea consimțământului este permisă doar dacă prelucrarea datelor este necesară pentru executarea respectivului contract. Grupul de Lucru precizează că această condiționare trebuie interpretată strict: “trebuie să existe o legătură directă și obiectivă între prelucrarea datelor și scopul executării contractului”.

Exemplu oferit de Grupul de Lucru:

„O aplicație pentru editarea fotografiilor solicită utilizatorilor să aibă locația GPS activată pentru utilizarea serviciilor, datele privind geolocalizarea fiind colectate în scopuri de publicitate comportamentală. Geolocalizarea nu este necesară pentru furnizarea serviciului de editare foto. Dacă utilizatorul nu poate folosi aplicația fără a fi de acord cu prelucrarea acestor date, contimțământul nu este acordat în mod liber.”

În situația unui dezechilibru de putere, ca de exemplu,  în relația angajator – angajat, consimțământul nu este valabil decât în cazuri excepționale. Prin urmare, recomandarea Grupul este ca temeiul legal de prelucrare a datelor angajaților să nu fie consimțământul.

Datele personale nu pot fi oferite drept plata pentru serviciile online gratuite, consimțământul fiind valabil numai dacă sunt puse la dispoziție servicii echivalente care nu depind de utilizarea datelor cu caracter personal, fără costuri suplimentare, subiectul având, astfel, libertatea de a alege. Similar, dacă persoana decide să își retragă consimțământul, nu sunt permise costuri suplimentare sau dezavantaje.

Pentru a fi liber, consimțământul trebuie acordat separat pentru fiecare scop specific al prelucrării.

Vrei formulare de consimțământ?

 

  • Consimțământul trebuie să fie specific

Operatorul trebuie să obțină consimțământul persoanei separat pentru fiecare activitate de prelucrare. Pentru fiecare scop, trebuie furnizate informațiile specifice cu privire la datele prelucrate. Dacă se dorește utilizarea datelor colectate în scopuri noi, trebuie obținut un nou consimțământ înainte de a prelucra datele în noile scopuri.

Exemplu oferit de Grupul de Lucru:

„O rețea de televiziune prin cablu colectează datele personale ale abonaților, pe baza consimțământului acestora, pentru a le prezenta sugestii personalizate pentru filme. După un timp, rețeaua TV decide că ar dori să permită terților să trimită (sau să afișeze) publicitate vizată pe baza obiceiurilor de vizionare ale abonatului. Având în vedere acest nou scop, este necesar un nou consimțământ.”

  • Consimțământul trebuie să fie informat

Grupul de Lucru furnizează o listă de elemente obligatorii care trebuie prezentate persoanei înainte de a i se cere consimțământul: identitatea fiecărui operator, scopul prelucrării, tipurile de date colectate, existența dreptului de retragere a consimțământului și, dacă e cazul, informații despre profilare sau decizii automate cu impact semnificativ și informații privind posibilele riscuri de transfer către state terțe UE.

Informarea trebuie să utilizeze un limbaj simplu și ușor de înțeles și trebuie să se diferențieze de termenii generali. Dacă consimțământul este obținut pe hârtie, informarea trebuie să fie distinctă față de alte documente, astfel încât să se evidențieze și să atragă atenția. Utilizarea unui mod stratificat de prezentare a informației este un aspect pe care operatorii ar trebui să îl ia în calcul.

  • Consimțământul trebuie să fie lipsit de ambiguitate

Tăcerea, inacțiunea sau căsuțele pre-bifate nu valorează consimțământ. Grupul de Lucru recomandă operatorilor să facă uz de declarații scrise, însă, întrucât acest lucru nu este întotdeauna realist se poate apela la alternative precum declarații verbale înregistrate, raspunsuri la e-mail-uri și mesaje electronice, căsuțe cu posibilitate de bifare activă. Grupul menționează că „GDPR pune la dispoziția controlorilor obligația de a dezvolta modalități de abordare a acestei probleme”.

 

Vrei formulare de consimțământ?

SURSE

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611232

https://iapp.org/news/a/the-working-party-guidance-on-consent-is-finally-here/