GDPR – protectia datelor cu caracter personal, bloggerii si afilierea

GDPR data protection

Cum ne afecteaza activitatea intrarea in vigoare a GDPR anul viitor

Am fost miercuri la o intalnire organizata de Cristi cu unele dintre cele mai bune avocate de proprietate intelectuala si protectia datelor cu caracter personal din Romania, doamnele Ana Maria Baciu, Cosmina Simion si Roxana Ionescu de la NNDKP pentru a discuta despre cum ne afecteaza activitatea intrarea in vigoare a GDPR anul viitor.

Prezentarea, tinuta de Roxana Ionescu – specialista in Protectia datelor cu caracter personal, a fost prezentata si live pe contul lui Cristi de Facebook.

Ce este GDPR si cui i se aplica?

Pentru cei care nu au urmarit subiectul, GDPR reprezinta un regulament aplicabil tuturor statelor din UE si care impune un set unic de reguli ce au ca scop apararea dreptului la viata privata in privinta prelucrarii datelor cu caracter personal, dar si uniformizarea legislatiei la nivelul Uniunii Europene.

Partea buna e ca dracul nu e atat de negru pe cat am crezut. Partea rea e ca amenzile sunt usturatoare iar acum nu mai conteaza unde ai hostingul sau pe ce platforma tii datele, esti direct raspunzator in cazul in care se intampla sa ai plangeri. Amenzile pot ajunge la 4% din cifra de afaceri sau 20.000.000 de euro.

Incepand din mai 2018 absolut toate site-urile vor trebui sa aiba grija cum jongleaza cu datele pe care le colecteaza. Si cand zic toate site-urile, ma refer la cele care au 1 unic vizitator, ma refer la cele hostate pe WordPress.com, la cele facute pe Wix.com sau pe alte platforme gratuite sau self-hosted.

Pentru inceput ar trebui ca fiecare sa isi realizeze 3 pagini distincte, cu termeni clari, usor de inteles despre: Politica de Cookies (cu descrierea fiecarui tip de cookie si cu ce ajuta utilizarea acelui cookie), Politica de Confidentialitate a datelor (cum sunt protejate ele) si o pagina cu Termeni si conditii de functionare si de utilizare a site-ului (inclusiv care sunt conditiile prin care cineva poate comenta pe site, poate cere stergerea datelor etc.). Cele trei pagini trebuie sa fie afisate la loc vizibil.

Din ce am inteles, partea buna e ca s-a mers cumva pe aprobarea implicita a colectarii datelor tocmai prin continuarea utilizarii site-ului. Doar in anumite cazuri va fi nevoie de acordul explicit. Si aici intervine partea nasoala pentru afiliere.

Daca pentru colectarea adresei de mail, IP-ul, a numelui, se poate considera acord implicit prin utilizarea site-ului, in cazul in care in acelasi comentariu ofera informatii despre: viata sexuala, starea de sanatate, originea rasiala / etnica trebuie sa cerem acordul explicit. De asemenea, trebuie sa cereti acordul lor pentru adoptarea unor decizii pe baza unor prelucrari automate, inclusiv activitati de profilare (art. 22  alin. (1) GDPR); transferul datelor personale in state carora nu li s-a recunoscut un nivel de protectie adecvat (art. 49 alin. (1) a) GDPR). Asa ca atentie si la platformele de marketing externe pe care le utilizati.

Insa, chiar si daca foloseste site-ul, tot trebuie sa-i afisam la prima interactiune cu site-ul dintr-o zi, la loc vizibil (preferabil cu buton de accept) cele trei documente de mai sus. Pentru a ne proteja, ar trebui sa adaugam chiar si la formularul de comentarii o bifa prin care cel care comenteaza recunoaste ca a citit cele 3 documente (avand link-uri catre cele 3 politici). Iar fara acea bifa sa nu fie lasat sa comenteze.

Daca acum dupa ce ai dat click pe butonul de accept pentru politica de cookies, dupa intrarea in vigoare trebuie sa o afisam de fiecare data cand vizitatorul acceseaza site-ul nostru (la prima accesare pe zi).

Sa presupunem ca cineva indreptatit vine la voi cu rugamintea de a-i sterge comentariul, link-ul lasat, adresa de mail etc. Aveti libertatea de a alege daca i le stergeti (in cazul in care nu furnizeaza date de identificare in ele) sau nu. In cazul unor cereri repetate, puteti inclusiv sa taxati fiecare operatiune pe care o realizati.

Cartografierea prelucrarilor de date cu caracter personal in GDPR – Cand si cum se face

De asemenea, exista articolul 30 din GDPR care prevede obligatia de a cartografia prelucrarile de date cu caracter personal efectuate pentru companiile cu mai mult de 250 angajati. Ca orice lege, are si scapari, iar cei care prelucreaza date pentru activitati de profilare/marketing online (implicit si afliatii) vor fi nevoiti sa tina un registru special cu aceste operatiuni. Este suficient un excel / word tinut bine pe un calculator dar trebuie sa existe.

Obligatia de cartografiere este necesara si in cazul in care prelucrarea pe care o efectueaza operatorul este susceptibila de a genera un risc pentru drepturile si libertatile persoanelor vizate, prelucrarea nu este ocazionala sau prelucrarea include categorii speciale de date sau date cu caracter personal referitoare la condamnari penale si infractiuni.

Respectiva evidenta a activitatilor de prelucrare va cuprinde urmatoarele informatii (sursa):

  • Numele si datele de contact ale operatorului si, dupa caz, ale operatorului asociat, ale reprezentantului operatorului si ale responsabilului cu protectia datelor;
  • Scopurile prelucrarii;
  • Descrierea categoriilor de persoane vizate si a categoriilor de date cu caracter personal;
  • Categoriile de destinatari carora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din tari terte sau organizatii internationale;
  • Daca este cazul, transferurile de date cu caracter personal catre o tara terta sau o organizatie internationala, inclusiv identificarea tarii terte sau a organizatiei internationale respective si, in cazul transferurilor mentionate la articolul 49, alineatul (1), al doilea paragraf, documentatia care dovedeste existenta unor garantii adecvate;
  • Acolo unde este posibil, termenele-limita preconizate pentru stergerea diferitelor categorii de date;
  • Acolo unde este posibil, o descriere generala a masurilor tehnice si organizatorice de securitate.
  • Evidenta se va pastra in scris, inclusiv in format electronic.

La cerere, operatorul sau persoana imputernicita de acesta, precum si, dupa caz, reprezentantul operatorului sau al persoanei imputernicite de operator vor pune evidentele la dispozitia autoritatii de supraveghere.

Notificarea autoritatii in cazul incalcarii securitatii datelor cu caracter personal – Cand si unde se face

In cazul in care are loc o incalcare a securitatii datelor cu caracter personal, aveti obligatia de a notifica acest lucru autoritatii competente, fara intarzieri nejustificate si, daca este posibil, in termen de cel mult 72 de ore de la data la care ati luat cunostinta de aceasta.

Asigurati-va ca ati implementat o procedura care sa permita in primul rand identificarea unei astfel de incalcari a securitatii si, ulterior, comunicarea in cel mai scurt timp cu persoanele insarcinate cu notificarea incalcarii. In cazul bloggerilor aceasta persoana poate fi tot bloggerul doar ca regulamentul mentioneaza ca NU pot fi cumulate functiile. Asa ca ne aflam noi, ca bloggeri / marketeri freelanceri, undeva la limita legalitatii.

Notificarea se face catre Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (www.dataprotection.ro) prin intermediul formularului online.

In cazul in care aveti site-uri pentru copii sau daca aveti comentatori copii, trebuie sa stiti ca prevederile din GDPR sunt mult mai aspre si ar trebui cititi cu atentie textele regulamentului.

Sper sa nu-mi fi scapat nimic important din discutia de miercuri. Cert e ca o sa citesc cu atentie tot regulamentul si o sa urmaresc cu atentie subiectul in perioada urmatoare.

Discussion

  1. Ionut
    • Razvan

Leave a Reply