Înainte de instalarea unor cookie-uri sau a altor tehnologii similare pe echipamentul terminal, utilizatorii de internet trebuie să își dea consimțământul activ. La vizitarea unui site web, utilizatorii de internet trebuie să fie informați și să își dea consimțământul înainte de instalarea cookie-urilor și a altor tehnologii similare.
Informarea și consimțământul nu sunt necesare în cazurile prevăzute de art. 4 alin. (6) din Legea nr. 506/2004:
- atunci când instalarea cookie-urilor și a altor tehnologii similare este realizată exclusiv în scopul efectuării transmisiei unei comunicări printr-o rețea de comunicații electronice; și
- atunci când instalarea cookie-urilor și a altor tehnologii similare sunt strict necesare pentru furnizarea unui serviciu informațional solicitat de către utilizator (e.g., cookie-urile necesare funcționării unui site).
În celelalte cazuri, informarea utilizatorului și consimțământul sunt obligatorii.
Cookie-uri. Care sunt provocările în ceea ce privește protecția datelor?
Atunci când navighează pe web sau utilizează aplicații mobile, utilizatorii de internet sunt urmăriți din ce în ce mai mult de diferiți actori (editori de servicii, agenții de publicitate, rețele sociale etc.) care le analizează navigarea pe internet și comportamentul online, în special pentru a le oferi publicitate direcționată sau servicii personalizate. Această urmărire se realizează prin diverse instrumente de tracking, din care fac parte și cookie-urile.
Legea se aplică indiferent de tipul de terminal utilizat: calculatoare, smartphone-uri, tablete digitale și console de jocuri video conectate la Internet, precum și orice alte echipamente terminale conectate la o rețea de telecomunicații deschisă publicului.
Două tipuri de tehnologii de urmărire
Din punct de vedere juridic, există două tipuri de tehnologii de urmărire (i.e. cookies), unul care nu necesită informarea și consimțământul utilizatorilor și alt tip care necesită informarea și consimțământul.
Tehnologii de urmărire și cookie-uri care nu necesită informare și consimțământ
Astfel cum am menționat și la începutul articolului, informarea și consimțământul nu sunt necesare în cazurile prevăzute de art. 4 alin. (6) din Legea nr. 506/2004:
- atunci când instalarea cookie-urilor și a altor tehnologii similare este realizată exclusiv în scopul efectuării transmisiei unei comunicări printr-o rețea de comunicații electronice; și
- atunci când instalarea cookie-urilor și a altor tehnologii similare sunt strict necesare pentru furnizarea unui serviciu informațional solicitat de către utilizator (e.g., cookie-urile necesare funcționării unui site).
Tehnologii de urmărire și cookie-uri care necesită informare și consimțământ
Cu excepția cazurilor prezentate anterior, toate cookie-urile și tehnologiile de urmărire sunt supuse obligativității obținerii consimțământului și a informării utilizatorilor. De exemplu, vor fi supuse acestor condiții de informare și consimțământ tehnologiile pentru afișarea de publicitate personalizată și nepersonalizată, pentru măsurarea audienței, pentru partajarea unor funcții pe rețelele sociale, cum este de exemplu Facebook Pixel. În absența consimțământului (sau în cazul unui refuz din partea utilizatorului), aceste tehnologii de urmărire nu pot fi depozitate pe terminalul utilizatorului.
Cum obțin un consimțământ valabil al utilizatorului?
- Informează utilizatorul în mod complet
O informare trebuie să fie scrisă într-un limbaj simplu și ușor de înțeles și cuprindă:
- Scopurile utilizării modulelor cookies și a altor tehnologii similare, tipul de cookie, durata de stocare;
- Orice alte informații obligatorii în conformitate cu Regulamentul GDPR.
Recomandăm modelul de informare regăsit în KIT-ul GDPR pentru implementare la următoarea adresă.
2. Permite utilizatorului să își dea consimțământul prin intermediul unei acțiuni clare
Tăcerea, inacțiunea, inclusiv prin simpla continuare a navigării sau căsuțele prebifate nu reprezintă consimțământ în conformitate cu legislația actuală. În schimb, bifarea unei căsuțe de consimțământ (care nu a fost bifată by default) este un exemplu de consimțământ valabil conform legii. Autoritățile de supraveghere recomandă ca practicile de colectare a consimțământului să nu fie înșelătoare: butoane decolorate, bare de defilare („slide bar”) dificile de înțeles.
3. Implementează un consimțământ specific, în funcție de scop
Permiteți utilizatorului să facă o alegere în funcție de scop: se recomandă să se permită utilizatorului să își dea consimțământul în mod independent și specific pentru fiecare scop, de exemplu prin intermediul casetelor de selectare. Este posibil să se propună utilizatorului să consimtă la nivel global la un set de scopuri, prin integrarea, de exemplu, a butoanelor „acceptați totul” sau „refuzați totul”, dar numai dacă toate scopurile au fost prezentate în prealabil.
4. Respectarea alegerilor utilizatorului
De exemplu, în stadiul primului nivel de informații (i.e. în fereastra pop-up de informare și consimțământ), utilizatorii pot avea posibilitatea de a alege între două butoane prezentate la același nivel și pe același format, pe care sunt scrise respectiv „acceptați toate” și „refuzați totul”. Alegerile utilizatorului trebuie, în principiu, să fie păstrate în timpul navigării pe site. Autoritățile de supraveghere recomandă ca alegerea exprimată de utilizatori, fie că este vorba de un consimțământ sau de un refuz, să fie înregistrată astfel încât să nu le solicite din nou pentru o anumită perioadă de timp. O perioadă de șase luni, atât pentru consimțământ, cât și pentru refuz, este, în general, adecvată.
5. Permteți utilizatorului să se răzgândească
Utilizatorul trebuie să aibă posibilitatea de a-și retrage consimțământul în orice moment, de exemplu cu un link în subsol sau un alt mecanism de gestionare a cookie-urilor accesibil în orice moment al serviciului în cauză.
***
Articol tradus din limba franceză de pe site-ul CNIL și adaptat la legislația română de Ruxandra SAVA. Pentru orice inadvertențe între versiunea în română și versiunea în franceză, versiunea în franceză va avea prioritate. Pentru implementarea GDPR pentru magazine online, recomandăm soluția disponibilă aici.