Implicațiile Brexit asupra GDPR

Deși incertitudinea este cuvântul de ordine în ceea ce privește ieșirea Marii Britanii din Uniunea Europeana la 31 octombrie 2019, autoritatea de supraveghere a datelor personale din Regatul Unit, Information Commissioner’s Office, desfășoară campanii de informare a operatorilor de date britanici pentru clarificarea modului în care Brexit-ul va afecta prelucrările de date personale ale cetățeniilor UE efectuate de aceștia, în special în care ieșirea din Uniune nu se va face prin intermediul unui acord UE – UK.

In eventualitatea unui Brexit fără acord, cele mai mari provocări le vor avea de înfruntat operatorii de date din Marea Britanie, urmând ca aceștia sa fie considerați după 31 octombrie operatori de date non-UE.

Care va fi legislația aplicabilă după Brexit?

GDPR este un regulament al Uniunii Europene. Aceasta înseamnă că a devenit un act normativ aplicabil în toate statele membre ale UE (inclusiv în Marea Britanie), inclusiv în statele Spațiului Economic European – SEE.

Când Marea Britanie va ieși din UE, GDPR UE nu va mai fi aplicabil în mod direct în Marea Britanie. Cu toate acestea, guvernul britanic va menține GDPR în legislația Regatului Unit, cu modificările necesare pentru a-și adapta dispozițiile pentru Marea Britanie („GDPR UK”).

Principiile, drepturile și obligațiile cheie vor rămâne aceleași. Cu toate acestea, există implicații pentru regulile privind transferurile de date cu caracter personal între Marea Britanie și SEE.

Guvernul britanic intenționează ca GDPR-ul Regatului Unit să se aplice și operatorilor de date personale și împuterniciților acestora cu sediul în afara Regatului Unit, dacă activitățile lor de procesare se referă fie la oferirea de bunuri sau servicii persoanelor fizice din Marea Britanie, fie la monitorizarea comportamentului persoanelor fizice din Marea Britanie.

Există, de asemenea, implicații pentru operatorii de date personale din Marea Britanie care au un sediu si în SEE, sau au clienți în SEE sau monitorizează persoanele din SEE. GDPR UE se va aplica în continuare pentru aceste prelucrări de date personale, dar modul în care operatorii britanici interacționează cu autoritățile europene pentru protecția datelor se va schimba.

Transferurile de date intre Marea Britanie si SEE după Brexit

Autoritatea Europeana de Protecție a Datelor (EDPB) a emis încă din 12 februarie 2019 o informare cu privire la modul în care se vor putea efectua transferuri de date din SEE în Marea Britanie, după ieșirea din UE fără acord.

In lipsa unui acord pentru Brexit, Regatul Unit va deveni o țară terță începând cu 31 octombrie 2019. Acest lucru înseamnă că transferurile de date personale în Marea Britanie trebuie să se bazeze pe unul dintre următoarele instrumente:

  •  Clauze contractuale standard sau ad-hoc de protecție a datelor 
  •  Reguli corporatiste obligatorii
  •  Coduri de conduită și mecanisme de certificare
  •  Derogări ce pot fi utilizate numai în absența clauzelor standard de protecție a datelor sau a unei alte garanții alternative adecvate.

Efectele Brexit-ului asupra cerințelor de conformitate cu GDPR

In situația unui operator de date personale cu sediul în Marea Britanie care nu are o sucursală, birou sau altă unitate într-un stat al UE sau SEE, dar care ofera bunuri sau servicii persoanelor fizice din SEE sau monitorizează comportamentul indivizilor aflați în SEE, atunci acest operator britanic va trebui totuși să respecte GDPR cu privire la această prelucrare chiar și după ce Marea Britanie va părăsi UE.

Întrucât operatorii de date britanici vor fi considerați non-SEE după Brexit, GDPR prevede obligația de desemnare a unui reprezentant în SEE. Acest reprezentant va trebui să fie înființat într-un stat UE sau SEE în care sunt localizate unele dintre persoanele ale căror date personale pe care le prelucrați în acest mod. Operatorii britanici vor trebui să autorizeze, în scris, reprezentantul, să acționeze în numele lor cu privire la respectarea cerințelor GDPR și să gestioneze relațiile cu autoritățile de supraveghere sau persoanele vizate în acest sens. Reprezentantul poate fi o persoană fizică sau o companie sau organizație înființată în SEE și trebuie să poată reprezenta operatorul britanic cu privire la toate obligațiile pe care le are în baza GDPR (de exemplu, o societate de consultanță).

Operatorii britanici vor fi obligați să furnizeze persoanelor cu domiciliul în SEE ale căror date personale le prelucrează, datele de contact ale reprezentantului desemnat. Acest lucru se poate face prin includerea lor în politica de confidențialitate sau în notele de informare furnizate persoanelor fizice atunci când sunt colectate datele lor. De asemenea, datele reprezentantului trebuiesc făcute ușor accesibil autorităților de supraveghere – de exemplu, publicându-l pe site-ul web. Numirea reprezentantului trebuie să fie făcută obligatoriu în scris și ar trebui să stabilească termenii relației operatorului cu acesta. Desemnarea unui reprezentant nu afectează propria responsabilitate sau răspundere a operatorului în ceea ce privește respectarea cerințelor GDPR.

Amendă GDPR de 400 000 EUR: încălcarea securității datelor și nerespectarea duratei de păstrare

Autoritatea franceza de supraveghere a datelor personale – CNIL a dispus amendarea companiei SERGIC cu suma de 400.000 EUR pentru protecția insuficientă a datelor personale ale utilizatorilor site-ului său web și pentru modul necorespunzător de stocare a acestor date.

Prin decizia CNIL nr. SAN – 2019-005 din 28 mai 2019, s-a reținut faptul ca societatea SERGIC este specializată în dezvoltarea imobiliară, cumpărarea, vânzarea, închirierea și administrarea proprietăților. În scopul desfășurării activității sale, a creat și gestionat site-ul http://www.sergic.com. Prin intermediul acestui site, compania permite clienților încărcarea și descărcarea de documente justificative necesare pentru constituirea dosarului lor.

Sursa amenzii: plângerea unui utilizator

În august 2018, CNIL a primit o plângere din partea unui utilizator al site-ului, care a declarat că poate accesa, din spațiul sau personal de pe site, documentele salvate de alți utilizatori prin modificarea ușoară a adresei URL afișate în browser.
Un control la distanta, efectuat de autoritate la 7 septembrie 2018, a constatat că documentele transmise de către solicitanți pentru închiriere au fost accesibile în mod liber, fără autentificare prealabilă. Aceste documente includeau copii ale cărților de identitate, declarațiilor fiscale, certificatelor eliberate de fondul de alocații familiale, hotărâri de divorț, extrase de cont sau alte documente bancare.

Chiar în ziua controlului, CNIL a alertat compania asupra acestui incident de securitate și a încălcării în consecință a regulilor de prelucrare a datelor cu caracter personal.
Câteva zile mai târziu, s-a efectuat un control la sediul companiei. Cu această ocazie, a devenit evident că societatea era conștientă de vulnerabilitate încă din martie 2018 și că, dacă ar fi inițiat dezvoltări informatice pentru a o corecta, deficienta putea fi înlăturată complet pana la data controlului.

Doua încălcări ale GDPR

In primul rând, CNIL a constatat că societatea SERGIC nu și-a îndeplinit obligația de a asigura securitatea datelor personale ale utilizatorilor site-ului său, prevăzută la articolul 32 din GDPR.
Compania nu a avut o procedură de autentificare a utilizatorului pentru site, pentru a se asigura că persoanele care accesează documentele au avut acest drept, chiar dacă era de așteptat o astfel de măsură elementară. Acest eșec a fost agravat, pe de o parte, de natura datelor puse la dispoziție și, pe de altă parte, de lipsa de diligență a societății în corectarea acesteia: vulnerabilitatea nu a fost corectată definitiv decât după 6 luni și nu au fost luate măsuri de urgență pentru a limita impactul vulnerabilității.

In al doilea rând, autoritatea a constatat faptul că societatea a păstrat în baza sa activă de date toate documentele transmise de către candidați, fără o limitare a duratei de păstrare.

Concluzii

In motivarea sancțiunii, CNIL a reamintit că, în principiu, perioada de păstrare a datelor cu caracter personal trebuie să fie stabilită în funcție de scopul prelucrării.
Atunci când acest scop (de exemplu, gestionarea cererilor utilizatorilor) este atins și că nici un alt scop nu justifică păstrarea datelor în baza activă, datele trebuie fie șterse, fie arhivate, dacă retenția este necesară pentru respectarea cerințelor legale sau pentru eventuale litigii. În acest caz, datele trebuie plasate în arhivare intermediară, de exemplu într-o bază de date separată. Din nou, durata acestei arhivări trebuie să fie limitată la ceea ce este strict necesar.

Pentru stabilirea cuantumului amenzii, autoritatea a luat în considerare gravitatea încălcărilor, lipsa de diligență a societății în abordarea vulnerabilității și faptul că documentele astfel accesibile au relevat aspecte foarte intime ale vieții oamenilor. De asemenea, a ținut cont și de mărimea companiei și de situația sa financiară.

Textul complet al deciziei, in limba franceza, poate fi consultat AICI

Sursa informațiilor: https://www.cnil.fr

De ce trebuie șterse datele personale

Autoritatea daneză pentru protecția datelor Datatilsynet a aplicat recent prima sa amendă pentru încălcarea GDPR de către compania de taxi Taxa 4 × 35 (Taxa), pentru păstrarea anumitor date ale clienților pentru mai mult timp decât era necesar.

Încălcarea principiului minimizării datelor personale

Autoritatea daneza a constatat că societatea Taxa nu a respectat principiul minimizării datelor GDPR prin reținerea datelor cu caracter personal mult timp după limita de reținere preconizată pentru astfel de categorii de date. Taxa a eliminat numele și adresele clienților după doi ani de reținere, dar au păstrat numerele de telefon ale clienților pentru încă trei ani. Taxa a susținut că numerele de telefon au reprezentat o parte esențială a bazei sale de date IT și, prin urmare, nu au putut fi șterse în același timp.

Autoritatea de protecție a datelor nu a fost de acord cu justificarea că o dificultate în cadrul sistemului informatic al unei companii poate justifica o astfel de încălcare gravă a confidențialității datelor. În plus, încercările de anonimizare ale datelor deținute de Taxa erau insuficiente. Anonimizarea datelor presupune ca societățile să facă imposibilă conectarea anumitor informații astfel încât sa nu poată fi identificata o persoană fizica. În ciuda ștergerii numelor clienților de la Taxa, informațiile ce au rămas în sistemul său informatic pot totuși sa identifice persoanele vizate prin numerele de telefon.

Care este relevanța sancțiunii?

Autoritatea din Danemarca a aplicat o amendă de 1,2 milioane de coroane, adică aproximativ 160,754 EUR. Aceasta reprezintă aproximativ 2,8% din cifra de afaceri anuală a companiei, ceea ce demonstrează, în esență, disponibilitatea autorităților de supraveghere ale UE de a se apropia de plafonul anual de 4% anual al cifrei de afaceri globale impus de GDPR. Anterior GDPR, o astfel de amendă în Danemarca nu ar fi depășit 25.000 de coroane (aproximativ 3.350 de euro). Această amenda consistenta  este legata de cantitatea mare de date despre clienți de care compania nu a mai avut nevoie, ci a păstrat-o prea mult timp – și anume numere de telefon personale conectate la nouă milioane de călătorii de taxi. Decizia autorității stabilește, de asemenea, și un precedent, in sensul că limitările organizaționale ale procedurilor și aplicațiilor IT nu pot fi recunoscute ca fiind un motiv legitim de a supra-păstra datele cu caracter personal. Companiile care se confruntă cu astfel de limitări sunt nevoite să exploreze alte soluții pentru a diminua riscurile, de exemplu înlocuirea numerelor de telefon și a informațiilor cu identificatori aleatorii pentru a anonimiza în mod eficient datele personale mai vechi.

Sancțiunea autorității daneze este prima impusă în aceasta țară pentru nerespectarea cerințelor GDPR, după cum tot prima a fost și amenda din Polonia pentru încălcarea articolului 14 din GDPR – aproape 220 000 EUR pentru nerespectarea de către o companie a informării persoanelor vizate cu privire la modul în care prelucrează datele lor personale,  sau amenda-record aplicata în Franța gigantului Google, despre care am scris pe larg anterior.

Este evident că această listă de „prime sancțiuni” este într-o continua creștere, în condițiile în care autoritățile de reglementare din UE vor folosi, fără îndoială, practica recentă ca element definitoriu pentru viitoarele controale și sancțiuni. Operatorii de date personale sunt nevoiți astfel să țină seama de sancțiunile aplicate în întreaga UE pentru a aprecia consecințele încălcării GDPR și a începe să adopte măsuri tehnice și organizatorice de protecție a datelor personale.

De ce chiar avem nevoie de GDPR: bazele publice de date

Existența companiilor care extrag informații din bazele de date publice și ulterior le vând sau revând, într-o formă sau alta, publicului larg, nu reprezintă nicio noutate. Activitatea acestor companii se desfășoară în cea mai mare parte în mediul online, prin intermediul diferitelor site-uri și portale, nefiind afectate (până acum) de legislația europeană privind protecția datelor personale.

Probabil că v-ați confruntat de numeroase ori cu diverse solicitări cu caracter comercial, provenite de la persoane ce justifică deținerea datelor dumneavoastră cu caracter personal ca fiind preluate din baze de date publice. Sau poate ați fost puși în situația de a cumpăra chiar de la aceste societăți părți din aceste baze de date, pentru diverse activități de marketing. Credeți că doar pentru faptul ca ele provin din registre publice, avem voie sa le folosim asa cum vrem? Think again.

Ce s-a întâmplat?

In 26 martie 2019, Autoritatea de supraveghere a prelucrării datelor personale din Polonia (UODO) a amendat o companie poloneza cu suma de 200.000 euro pentru încălcarea obligației de informare a persoanelor fizice vizate. Compania în cauza prelucra datele a peste 6 milioane de persoane, date colectate în majoritate din Registrul Electronic Central al Activităților Economice din Polonia, echivalentul Registrului Comerțului din Romania. Prin decizia de sancționare, s-a reținut în esență faptul ca, deși acele informații proveneau din surse publice, compania amendata le folosea pentru activități comerciale, fapt ce generează obligațiile prevazute de GDPR în sarcina operatorului de date personale.

Autoritatea a verificat nerespectarea obligației de informare cu privire la persoanele fizice care desfășoară activități economice. Aceste persoane sunt atât antreprenorii care desfășoară în prezent o astfel de activitate, sau au suspendat-o, precum și antreprenorii care au desfășurat o astfel de activitate în trecut. Operatorul de date personale și-a îndeplinit obligația de informare furnizând informațiile cerute de art. 14 alin. (1) – (3) din GDPR numai în privința persoanelor ale căror adrese de e-mail le-a avut la dispoziție. În cazul celorlalte persoane, operatorul nu a respectat obligația de informare – așa cum s-a explicat în cursul investigației – din cauza costurilor operaționale ridicate. Prin urmare, s-a rezumat la a prezenta o clauză de informare numai pe site-ul său web.

Ce a generat amenda?

În cazul de față, compania a prelucrat, printre alte tipuri de date, și adresele poștale și numerele de telefon ale persoanelor vizate. Prin urmare, compania ar fi putut respecta obligația de a furniza informații persoanelor ale căror date sunt prelucrate prin folosirea oricărei modalități de contact. Compania și-a justificat nerespectarea obligației de informare prin costurile disproporționate generate de transmiterea prin postă a  unei informări scrise către toate persoanele vizate, însă Autoritatea nu a luat în seamă aceste afirmații, motivând că existau și alte modalități de aducere la îndeplinire a obligației (n.r. prin telefon).

Importanța acestei decizii de sancționare este subliniată și de modul în care s-a făcut comunicarea publică a acesteia. Comitetul European pentru Protecția Datelor (EDPB) a publicat în mod direct comunicatul de presă aferent, lăsând să se întrevadă aplicabilitatea la nivelul întregii Uniuni Europene a concluziilor autorității poloneze. 

Ce trebuie să reținem?

  • Indiferent de sursa datelor personale, folosirea lor în scopuri comerciale fără respectarea cerințelor GDPR va duce la sancțiuni din partea autorităților competente;
  • Obligația de informare prevazută de articolul 14 GDPR, cunoscută în practica drept informarea din sursa indirectă, trebuie îndeplinită indiferent de costurile pe care aceasta le-ar putea genera;
  • Nu este suficientă o informare efectuată exclusiv prin afișarea pe site-ul propriu, aceasta fiind practic doar o completare a informării adresate individual fiecărei persoane fizice vizate.

 

Textul complet al comunicatului de presă (în limba engleză): https://edpb.europa.eu/news/national-news/2019/first-fine-imposed-president-personal-data-protection-office_en

Datele personale și marketingul intre companii

Se aplică GDPR  în cazul activităților de marketing între companii?

Da. GDPR se aplică ori de câte ori prelucrați date cu caracter personal. Aceasta înseamnă că, dacă puteți identifica o persoană fizica fie direct, fie indirect, GDPR se va aplica – deși acționați în calitate profesională. De exemplu, dacă aveți numele și numărul unui contact de afaceri sau o adresa de e-mail de tipul nume.prenume@companie.com, se va aplica GDPR în privința acestor date personale. In schimb, GDPR se aplică pentru cărțile de vizita care circula libere numai în măsura în care intenționați să arhivați informațiile conținute sau să introduceți acele date într-un sistem informatic.

GDPR ne obligă să luăm consimțământ pentru marketing?

Nu întotdeauna. Consimțământul este unul dintre temeiurile legale pentru prelucrarea datelor personale, dar există alternative. În special, poate fi folosit cu succes temeiul legal al interesului legitim al operatorului de date personale pentru a justifica o parte din marketingul de afaceri. Cu toate acestea, uneori veți avea nevoie de consimțământul persoanei fizice vizate pentru a vă asigura că respectați legislația privind protecția vieții private în sectorul comunicațiilor electronice (Legea 506/2004). 

Când ne putem baza pe interesul legitim pentru marketing?

Vă puteți baza pe interesul legitim al activităților de marketing în măsura în care puteți sa faceți dovada faptului că modul în care folosiți datele persoanelor fizice vizate este proporțional cu scopul urmărit, ca are un impact minim asupra vieții private a persoanelor fizice, iar destinatarii comunicărilor în scop de marketing vor putea întotdeauna să se opună la aceste prelucrări de date în scopuri de marketing.

Care sunt regulile pentru email-uri sau SMS-uri de marketing?

Persoanele fizice având calitatea de comercianții  (PFA, II și IF), precum și anumite asocieri fără personalitate juridică, sunt tratate de GDPR ca persoane fizice, astfel încât puteți sa le trimiteți mesaje SMS sau e-mail fie dacă au consimțit în mod expres, fie dacă au cumpărat un produs similar în trecut și nu s-au opus la mesajele de marketing la acel moment. Trebuie să includeți în corpul mesajului posibilitatea de oprire sau dezabonare.

Puteți în schimb sa trimiteți comunicări de marketing prin e-mail sau SMS către orice persoană juridică (societăți, ONG-uri, etc), cu păstrarea dreptului acesteia de a vă solicita încetarea acestor transmisiuni. 

Care sunt regulile privind apelurile telefonice de marketing?

Puteți apela orice persoana fizica sau juridica care fi v-a furnizat direct datele de contact în acest scop sau a consimțit în mod special la apelurile dvs. – de exemplu, bifând o căsuță de înscriere. De asemenea, puteți efectua apeluri telefonice către orice număr făcut public, dar numai dacă acesta nu s-a opus apelurilor dvs. în trecut.

Normele privind apelurile telefonice automate sunt mai stricte. Nu trebuie să efectuați un apel de marketing automatizat – adică un apel efectuat de un sistem de apelare automată care redă un mesaj înregistrat – cu excepția cazului în care compania a consimțit în mod expres să primească acest tip de apel de la dvs. Consimțământul general pentru marketing sau chiar consimțământul pentru apelurile obișnuite nu este suficient – trebuie să acopere în mod specific apelurile automate.

Cum luăm un consimțământ?

Consimțământul trebuie acordat în mod liber; acest lucru înseamnă a oferi persoanelor vizate o alegere reală în permanență și un control asupra modului în care le utilizați datele. Consimțământul trebuie să fie explicit și necesită o acțiune pozitivă din partea persoanei vizate. Solicitările de aprobare trebuie să fie clare, prezentate separat de alte informații (de exemplu, nu în cadrul unor termeni și condiții), concise și ușor de înțeles și ușor de utilizat. Consimțământul trebuie să indice în mod specific numele operatorului, datele de  contact ale DPO-ului, scopul prelucrării și tipurile de activități de prelucrare.

Cel mai important, trebuie să vă asigurați că persoanele vizate pot să-și retragă consimțământul oricând aleg să facă acest lucru.

Ce altceva ar trebui să mai luăm în considerare?

Trebuie să comunicați persoanelor vizate detalii despre ce anume faceți cu informațiile pe care le dețineți. Acestea includ scopurile dvs. pentru prelucrarea datelor personale, temeiul legal de prelucrare, cât timp doriți să păstrați datele și cui or fi transmise datele personale. Obligația operatorului de informare a persoanelor vizate se transpune într-un drept sine qua non al acestora din urmă, fiind expres reglementată de articolul 13 GDPR și sancționată pentru neîndeplinire cu amenda maximă prevazută la articolul 83 alin. 5 GDPR.

Dacă vă bazați pe interesul legitim pentru marketingul direct, dreptul persoanei de a se opune este absolut și trebuie să opriți prelucrarea atunci când cineva formulează o opoziție. 

Dacă vă bazați pe consimțământ, nu există posibilitatea persoanei de a se opune ca atare, însă aceasta are dreptul să-și retragă consimțământul în orice moment. Trebuie să opriți prelucrarea datelor atunci când cineva își retrage consimțământul.