47 minute read
Specialiștii ag
Adrian Munteanu
Advertisement
Unul din subiectele despre care consider că s-a scris puțin și s-a explicat la fel de puțin îl reprezintă „evaluarea riscurilor” în accepțiunea GDPR. Astfel, despre riscuri, în GDPR, se face vorbire în două sensuri: „riscuri”…simple și „riscuri ridicate„. Regulamentul nu intră în prea multe amănunte/definiții pentru că trebuie să fie o reglementare care să reziste în timp.
O primă definiție a riscurilor o regăsim în Considerentul 75: ”Riscul pentru drepturile și libertățile persoanelor fizice, prezentând grade diferite de probabilitate de materializare și de gravitate, poate fi rezultatul unei prelucrări a datelor cu caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală. ”
Urmează apoi, în același paragraf, exemplificarea a ceea ce se înțelege prin „prejudicii de natură materială sau morală„: • discriminare; • furt sau fraudă a identității; • pierdere financiară; • compromiterea reputației; • pierderea confidențialității datelor cu caracter personal protejate prin secret profesional; • inversarea neautorizată a pseudonimizării sau la orice alt dezavantaj semnificativ de natură economică sau socială; • privare de drepturi și libertăți • împiedicarea exercitării controlului asupra datelor lor cu caracter personal; • dezvăluirea originii rasială sau etnică, opiniilor politice, religiei sau convingerilor filozofice, apartenența sindicală; • sunt prelucrate date genetice, date privind sănătatea sau date privind viața sexuală sau privind condamnările penale și infracțiunile sau măsurile de securitate conexe; • profilare : sunt evaluate aspecte de natură personală, în special analizarea sau previzionarea unor aspecte privind randamentul la locul de muncă, situația economică, starea de sănătate, preferințele sau interesele personale, fiabilitatea sau comportamentul, locația sau deplasările; • sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, în special copii; sau prelucrarea implică un volum mare de date cu caracter personal și afectează un număr larg de persoane vizate.
A doua referință este în Considerentul 76: ”Probabilitatea de a se materializa și gravitatea riscului pentru drepturile și libertățile persoanei vizate ar trebui să fie determinate în funcție de natura, domeniul de aplicare, contextul și scopurile prelucrării datelor cu caracter personal. Riscul ar trebui apreciat pe baza unei evaluări obiective prin care se stabilește dacă operațiunile de prelucrare a datelor prezintă un risc sau un risc ridicat. ”
Deși Regulamentul nu are nici o definiție pentru „riscuri ridicate”, din cele citate mai sus înțelegem că un risc devine „ridicat” în funcție de probabilitate și gravitate prin referire la natura, domeniul de aplicare, contextul și scopurile prelucrării.
Detalii explicite regăsim în Articolul 35: ”Având în vedere natura, domeniul de aplicare, contextul și scopurile prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul efectuează, înaintea prelucrării, o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal. ” Următoarea referință o găsim în Articolul 32: ”La evaluarea nivelului adecvat de securitate, se ține seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod. ” Evaluarea riscurilor nu este o activitate opțională ci obligatorie. Dacă rezultă riscuri ridicate trebuie să facem și evaluarea impactului operațiunilor de prelucrare (DPIA). Când? În 3 cazuri: (a) unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă; (b) prelucrării pe scară largă a unor categorii speciale de date, menționată la articolul 9 alineatul (1), sau a unor date cu caracter personal privind condamnări penale și infracțiuni, menționată la articolul 10; (c) unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.
Evaluarea riscurilor este o activitate obligatorie: doar așa se poate justifica alegerea ”măsurilor tehnice” conform Articolului 24: ”Ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc și se actualizează dacă este necesar. ”
În concluzie, întreaga listă din considerentul 75 devine listă de „riscuri ridicate”, în funcție de probabilitate și gravitate…
Despre transparență în contextul GDPR
Mai mult despre ”cum”, decât despre ce se comunică…
Daniel Suciu
Contextul - GDPR începe cu obiective foarte frumoase, cum ar fi în considerentul 2: „Prezentul regulament protejează drepturile și libertățile fundamentale ale persoanelor fizice și în special dreptul acestora la protecția datelor cu caracter personal.” Cu toate acestea, după cum am aflat de-a lungul istoriei noastre, intențiile bune nu sunt suficiente sau că „iadul este pavat cu intenții bune”. O vorbă alternativă este „Iadul este plin de bune intenții, dar cerul este plin de fapte bune”. Așa cum se menționează la articolul 12 din GDPR „Operatorul va lua măsurile adecvate pentru a furniza orice informații […], utilizând un limbaj clar și simplu [...]”, care sună clar și într-un limbaj simplu.
Despre limbajul clar și simplu... și măsurarea gradului de lizibilitate (sau cum s-o traduce
”readability” în română) - Dar să vedem cum GDPR a reușit să „aplice” această recomandarea în textul legii. Pentru aceasta am analizat articolul cel mai important, art. 5 –principiile GDPR, care ar trebui înțeles de oricine. Pentru obiectivitate, am utilizat metodologiile existente pentru a evalua „limbajul clar și simplu”, așa că am mers la formulele de lizibilitate, care sunt cunoscute și utilizate de mai bine de jumătate de secol (chiar dacă autorii GDPR par să nu fii conștienți de existența acestora, deși în unele țări documentele oficiale trebuie să fie evaluate conform acestora pentru a fi publicabile). https://readabilityformulas.com/ Acest site vă permite să măsurați formulele de lizibilitate pentru un exemplu de text – de preferat în limba engleză, în raport cu diferite formule și pare să ofere cele mai precise rezultate. Notă: acestea sunt cele mai exacte pentru limba engleză, dar pentru fiecare limbă sunt câteva metode care sunt cele mai potrivite. Cu toate acestea, indiferent de limbă, cel puțin pentru Europa, diferențele nu sunt uriașe și v-ar oferi un indicator bun despre lizibilitate. Rezultatele? (Deloc) surprinzător, ar fi nevoie de 19 ani de studii pentru înțelegerea lor.
Concluzia? Cum se spune pe la noi ”Fă ceea ce spune popa, nu ceea ce face popa” … Acum, citind următoarea parte, ați putea crede că mă laud ... OK, o fac puțin, dar de data aceasta, cu motive întemeiate, cred. Și promit să nu mă obișnuiesc cu asta. Așadar, am încercat să le „traduc” într-un limbaj clar și simplu. Pentru mine, a fost în mare parte o treabă distractivă, dar se pare că a fost ceea ce trebuie făcut. Acesta este rezultatul:
Ciudat este că, inițial, nu m-am gândit să-i măsor lizibilitatea, dar când am făcut-o ... .
Pentru avansați, am mai creat o variantă, dar despre care nu garantez în privința clarității ��
Principiile GDPR (aka art. 5) încep cu: (1) Datele cu caracter personal sunt: (a) prelucrate în mod legal, echitabil și transparent față de persoana vizată ("legalitate, echitate și transparență") […] Adică, mai clar și simplu:
Prima greșeală este chiar subiectul. Politica nu trebuie să se refere numai la datele prelucrate pe site, ci la toate serviciile furnizate clienților (și nu numai) și la prelucrările necesare pentru acestea; • Limbajul folosit - neadaptat audienței. Jargonul juridic este clar nerecomandat, dar acest lucru este valabil si pentru jargonul de specialitate - cum ar fi cel medical – care utilizat in exces afectează claritatea mesajului; • Lungimea si organizarea documentului pot face cel mai bun conținut complet irelevant. Nimeni cu citește un document de zeci de pagini din scoarță-n scoarță. Un sumar, un cuprins sunt de bun simț; • Consimțământul pentru Politica este greșit din principiu. Persoana vizată trebuie informată, nu este obligată și nu poate să-și dea acordul asupra multor aspecte din acest document, acestea fiind asumate de către
Operator; • Identificarea operatorului este o problemă în special pentru firmele ce fac parte dintr-un grup de companii, chiar daca sunt entități juridice diferite, acest lucru nefiind relevant pentru GDPR; • Datele prelucrate. În practică, nu este întotdeauna posibil, sau chiar util, să se enumere toate datele personale prelucrate de un operator, dar cel puțin tipurile, sursa ar ajuta. O greșeală obișnuită este că se menționează numai datele colectate direct și voluntar de la persoana vizată; • Scopul prelucrării. În primul rând, de obicei se "uită" că o înșiruire de scopuri, după o listă de date nu înseamnă transparență. Acest lucru, pe lângă clasicul motiv "de a îmbunătăți experiența vizitatorilor", întâlnit la multe afaceri online ca singur motiv, nu prezintă tocmai corectitudine și transparență; • Temeiul juridic al prelucrării. Din nou, enumerarea tuturor temeiurilor din lege nu este doar inutilă, ci chiar contraproductivă, deoarece nu demonstrează respectarea cerințelor GDPR. Trebuie identificat temeiul juridic pentru fiecare scop individual; • Dezvăluirea către alții a datelor cu caracter personal. Toată lumea se jură că nu împărtășesc datele cu entități neautorizate și evident că nu le vând.
Ceea ce "uită" să menționeze este exact ce date sunt dezvăluite, cui și pentru ce; • Transferurile de date în afara UE / SEE - riscurile și măsurile de protecție trebuie specificate, nu doar ca "măsuri corespunzătoare". Evident, dacă serviciile IT se află în Rusia, India, Turcia ... acest lucru ar trebui menționat; • Securitate / integritate și confidențialitate. Toți iau măsuri "adecvate" tehnice și organizatorice. Evident - chiar dacă site-ul lor nu are un certificat SSL/ TSL, aceștia trimit informații personale delicate pe canalele nesigure sau adresa lor de contact este pe Gmail sau Yahoo; • Modificări ale documentului. Nu este suficient să informați subiecții cu privire la necesitatea unei consultări periodice a documentului, deoarece ar putea fi supus schimbării. Modificările substanțiale trebuie să fie explicite și data ultimei schimbări ar trebui menționată de asemenea.
Multă lumea este preocupată astăzi de confidențialitatea datelor și de problema corupției. Adevărat sau fals? Din realitatea, tot de astăzi, eu am ajuns la concluzia că această afirmație este adevărată însă într-o proporție foarte mare doar la nivel declarativ. Aici câștigă detașat politicienii dar și îngrijorător de mulți manageri.
Vedem tot mai multe scandaluri naționale și internaționale legate de cele două probleme deși există reglementări și instrumente puternice cu care s-ar putea preveni, atât incidentele de securitate a datelor cât și faptele de corupție. Există Regulamentului (UE) 2016/679 (GDPR) și există standardul internațional ISO 37001 Sisteme de Management Anti-Mită.
GDPR, obstacol sau sprijin în combaterea corupției?
Ion Iordache
Implicațiile GDPR au impact puternic și în activitatea de combatere a corupției și pot da ca exemplu companiile care efectuează investigații interne anti-mită, mai ales dacă au implementat și/sau certificat un sistem de management anti-mită conform cerințelor standardului internațional ISO 37001.
O mare parte din datele colectate în aceste investigații sunt „date cu caracter personal” deoarece în timpul acestor investigații interne, emailurile, contractele și alte documente cu datele personale ale angajaților sunt, aproape întotdeauna, revizuite iar datele personale ale unor terți, cum ar fi clienții și furnizorii externi pot fi de asemenea, colectate și analizate (numele și adresele clienților, etc.).
Încălcarea cerințelor GDPR poate aduce amenzi mari operatorilor de date dar se pare că acest lucru nu-i sperie și nici măcar nu-i îngrijorează pe foarte mulți dintre ei. Mai ales pe cei care plătesc sancțiunile din banul public.
Încălcarea legilor anticorupție este o poveste lungă pentru că totul durează prea mult iar deznodământul, de regulă, nu mai are efect pentru că pagubele nu se mai recuperează. Ca parte a revizuirii Recomandării OCDE împotriva corupției din 2009, părțile interesate au fost invitate să participe la o consultare publică online în perioada 22 martie 2019 - 6 mai 2019 pe baza unui document de consultare publică. Acest document de consultare a ridicat o varietate de probleme care au apărut în ultimul deceniu de punere în aplicare și punere în aplicare a Convenției OCDE împotriva corupției.
Sunt identificate noi tendințe și provocări, asociația de afaceri antimită, TRACE International prezentând și o imagine de ansamblu asupra noilor probleme apărute datorită provocărilor prezentate de GDPR. Pe baza acestor concluzii am ales și eu subiectul articolului și vă invit să descoperiți mai multe amănunte în sursele originale prezentate în bibliografie.
În această lucrare "OECD Working
Group on Bribery Public Consultation on the Review of the 2009 OECD Anti-
Bribery Recommendation"(1), TRACE susține că "multe prevederi GDPR nu numai că facilitează ci sunt chiar în conflict direct cu elementele esențiale ale programelor de conformitate antimită, cum ar fi ”due diligence” a terților și procedurile de conformitate pentru monitorizare, investigații interne și raportare" și că unele dintre tensiunile dintre cerințele de conformitate antimită și cerințele GDPR se datorează „obiectivelor contradictorii” pe care fiecare încearcă să le realizeze.
Se consideră de către autori că este inevitabilă o oarecare tensiune între cerințele de conformitate ale unui sistem de management anti-mită bazate pe standardul internațional ISO 37001 Sisteme de Management AntiMită și cerințele de protecție a datelor cu caracter personal impuse de GDPR. E ușor de observat că primul urmărește transparența tranzacțiilor internaționale, de exemplu, expunând și dezvăluind actele de luare și dare de mită camuflate în diverse comisioane iar cel de-al doilea reglementează, restricționează și încearcă să reducă la minimum, sau chiar să interzică prelucrarea datelor cu caracter personal și să faciliteze drepturile persoanelor de a li se șterge datele, de a "fi uitate", de a obiecta sau de a restricționa prelucrarea informațiilor despre acestea; acest lucru este valabil mai ales dacă astfel de date cu caracter personal sunt sensibile sau dăunătoare, în special informațiile despre condamnările sau infracțiunile penale.
Conflictul rezultat de aici este acela că procesul de "due diligence" prin care prin care se evaluează în detaliu natura și amploarea riscului de mituire și prin care sunt ajutate organizațiile sa ia deciziile referitoare la tranzacții, proiecte, activități specifice, parteneri de afaceri specifici și personal specific, este o parte esențială a managementului anti-mită.
„Astfel de anchete sunt efectuate de companii sau de furnizorii lor de servicii de conformitate, fără supravegherea, direcția sau controlul vreunei autorități oficiale”, spune TRACE.
Concluzia este destul de tranșantă aici considerându-se că "dacă UE și alte țări cu legislație similară privind protecția datelor nu oferă o modalitate clară companiilor de a reconcilia aceste două regimuri importante, în special punctele pe care le evidențiem mai jos, ambele pot avea de suferit. "
GDPR face mai complicat procesul de "due diligence" anti-mită și poate crea dificultăți serioase companiilor care încearcă să respecte legile anticorupție și/sau cerințele sistemului de management anti-mită implementat deoarece întregul proces trebuie documentat și efectuat conform cerințelor sale.
Într-o astfel de situație, compania va trebui să descopere baza legală pentru colectarea datelor cu caracter personal iar cel mai simplu mod de a asigura o bază legală adecvată ar fi obținerea consimțământului persoanelor pe care trebuie să le verifice dar acest lucru va fi, de cele mai multe ori, imposibil de realizat.
Există cazuri în care, chiar cu riscul pierderilor unor oportunități de afaceri, companii importante din UE, datorită GDPR, au refuzat să participe la procesul de "due diligence" antimită.
Standardul ISO 37001 specifică printr-o notă de la punctul 8.2 Due diligence că "în unele situații, compania poate concluziona ca nu este necesar, nu este rezonabil sau este disproporționat sa efectueze due diligence referitoare la anumite categorii de personal sau de parteneri de afaceri. " Așa că alte companii au ales să evite prelucrarea datelor cu caracter personal sau chiar să ignore cerințele standardului în procesele lor de prevenire a actelor de luare și dare de mită; toate acestea fiind făcute, de fapt, prin reducerea rigurozității față de terți sperând, probabil, că unele incertitudini se vor soluționa odată cu timpul.
Scopul efectuării unei "due diligence" asupra unor anumite tranzacții, proiecte, activități, parteneri de afaceri sau chiar personalul unei companii este acela de a evalua in detaliu domeniul, scara și natura riscurilor de mituire mai mari decât cele considerate ca fiind scăzute, identificate ca parte a evaluării riscurilor companiei.
Compania ar putea considera utili pentru evaluare o serie de factori: partenerii de afaceri și alți terți implicați - inclusiv persoane publice oficiale, legăturile între oricare din părțile menționate anterior, competența și calificările părților implicate, reputația și locația clientului, etc.
De regulă, această evaluare înseamnă prelucrarea unui volum mare de date cu caracter personal care pot include următoarele: • identificare de bază și informații de contact; • anul sau data nașterii; • cetățenie; • calificările (instituția, perioada); • experiența profesională (compania, perioada, funcția, atribuțiile postului); • companii în proprietatea proprie și/sau participațiuni la alte companii; • indicarea faptului dacă au legătură cu oficiali guvernamentali, funcționari publici, oficiali ai partidelor politice sau candidați la funcții politice și • orice informație de fond negativă cu privire la istoricul eventualelor fapte de corupți sau încălcarea altor legi și standarde internaționale etc.
Având în vedere o prelucrare atât de extinsă a datelor cu caracter personal ca parte a procesului de due diligence au fost identificate o serie de provocări din partea GDPR care "ar necesita modificări semnificative ale programelor de conformitate anti-mită și ale documentelor de orientare privind cele mai bune practici”. Voi prezenta, pe scurt, aceste provocări pe care le găsiți detaliate în lucrarea TRACE International (1)
a. Creșterea semnificativă a costurilor
și a eforturilor de conformitate - GDPR crește semnificativ costurile de conformitate pentru tranzacțiile comerciale internaționale; de exemplu: pentru a respecta cele mai bune practici ale programelor de conformitate anti-mită o companie din afara UE va dori să efectueze "due diligence" cu parteneri terți din Uniunea Europeană și să proceseze cantități mari de date cu caracter personal cu respectarea GDPR. Dacă nu respectă cerințele GDPR riscă sancțiuni financiare considerabile.
b. Cerințe stricte privind prelucrarea datelor cu caracter personal referitoare la condamnări și
infracțiuni - Aici se atrage atenția asupra Articolului 10 din GDPR "Prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni" unde se prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni cu excepția cazului în care " se efectuează numai sub controlul unei autorități de stat sau atunci când prelucrarea este autorizată de dreptul Uniunii sau de dreptul intern care prevede garanții adecvate pentru drepturile și libertățile persoanelor vizate.„
c. Baza legală incertă pentru prelucrarea oricăror date cu caracter
personal ca parte a "due diligence" În conformitate cu Articolul 6 "Legalitatea prelucrării" din GDPR, prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre cele șase condiții enumerate în acel articol. TRACE consideră că cea mai potrivită bază pentru prelucrarea datelor cu caracter personal ca parte a "due diligence" este dată de „interesele legitime” ale companiilor dar fără ca acestea să depășească interesele, drepturile și libertățile persoanelor vizate.
Se consideră, însă, că această bază este deschisă unei provocări din partea persoanelor vizate în temeiul dreptului lor de a obiecta în temeiul articolului 21 "Dreptul la opoziție" din GDPR, care declanșează cerința ca operatorul să demonstreze "motive legitime imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță. "
d. Cerințele GDPR privind prelucrarea unor
categorii speciale de date cu caracter personal Se remarcă faptul că procedurile de "due diligence" includ, de obicei, examinarea persoanelor expuse politic, care la rândul lor necesită dezvăluirea afilierilor și pozițiilor partidelor politice. Este posibil ca astfel de informații să fie clasificate, conform GDPR, ca fiind dintr-o „categorie specială” de date cu caracter personal (în esență, date mai sensibile) a căror prelucrare este strict reglementată. Articolul 9 "Prelucrarea de categorii speciale de date cu caracter personal" din GDPR interzice printre altele "prelucrarea de date cu caracter personal care dezvăluie ....opiniile politice" cu unele excepții; în unele cazuri, companiile se pot baza pe excepția Articolului 9 pentru situația când "prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de către persoana vizată”; cu toate acestea, aplicabilitatea acestuia ar necesita probabil o analiză de la caz la caz.
e. Alte obligații GDPR care necesită modificări
ale proceselor de "due diligence" - GDPR conține numeroase alte cerințe care nu au făcut parte din cele mai bune practici pentru procesele de "due diligence" anti-mită cum ar fi: principiile de minimizare a datelor și de limitare a scopului, care impun companiilor să justifice domeniul de aplicare al datelor cu caracter personal colectate ca parte "due diligence" anti-mită și să restrângă acest domeniu doar la ceea ce este necesar și proporțional cu scopul clar definit; notificări de prelucrare a datelor către fiecare persoană vizată ale cărei date sunt prelucrate ca parte a "due diligence" anti-mită.
Închei cu concluzia că dacă nu se vor emite îndrumări cu privire la modul în care companiile pot implementa și executa programe de conformitate cu cele mai bune practici anti-mită, în conformitate cu GDPR, multe dintre incertitudinile și provocările evidențiate mai sus vor rămâne.
Sursa: (1) OECD Working Group on Bribery Public Consultation on the Review of the 2009 OECD Anti-Bribery Recommendation
ePR vs. GDPR
ePR vs. GDPR
Radu Crahmaliuc
Având în vedere relația strânsă dintre Regulamentului general privind protecția datelor (GDPR) și Regulamentului privind confidențialitatea electronică (ePR) s-a intenționat ca ePR să intre în vigoare în aceeași zi cu GDPR în 25 mai 2018. Cu toate acestea, datorită unor multiple activități de lobby și deliberare, proiectul ePR a fost publicat prea târziu (ianuarie 2017) pentru a fi adoptat la timp. UE s-a concentrat în mare măsură pe GDPR și, ca atare, adopția Regulamentului privind confidențialitatea electronică s-a amânat într-o primă fază, pentru a doua jumătate a anului 2019, după care au tot apărut alte amânări.
Pe 10 ianuarie 2017 Comisia Europeană a adoptat documentul ”Propunere de regulament al Parlamentului European și al Consiliului privind respectarea vieții private și protecția datelor cu caracter personal în comunicațiile electronice și de abrogare a Directivei 2002/58 / CE (Regulamentul privind confidențialitatea și comunicațiile electronice)”.
Deși toată lumea spera că revizuirea propunerii de regulament va evolua destul de repede, din diferite motive adopția unei versiuni finale, care să fie aprobată de toată lumea, a tot întârziat. În 10 februarie 2021 Comitetul Reprezentativ Permanent a adoptat o versiune pe care a pus-o la dispoziția delegațiilor ca mandat de negociere cu Parlamentul European (Sursa: https://data.consilium.europa.eu). Indiferent când se va ajunge la o formulă finală, toată lumea este interesată în ce măsură noul Regulament ePR va veni în completarea actualei formule a GDPR și care vor fi aspectele care nu țin de protecția datelor personale.
Principiile directoare
Pentru a defini relația generală dintre GDPR și ePR, actuala propunere de regulament supune discuției următoarele principii directoare:
Unele prevederi ale ePR completează
GDPR: caz în care se presupune că ePR poate veni cu reguli care asemănătoare cu cele din GDPR, dar și cu aspecte care nu se încadrează în același domeniu (de exemplu, valabilitatea reglementărilor privind comunicarea nesolicitată și pentru persoanele juridice). Dar asta poate însemna și că nu se va aplica nicio altă regulă de protecție a confidențialității comunicațiilor electronice, în cazul în care un astfel de articol ePR este absent.
Alte prevederi ePR particularizează
GDPR: situație în care ePR funcționează ca ”lex specialis”, ceea ce înseamnă că ori de câte ori normele ePR și GDPR tratează același subiect, se aplică ePR.
În același timp, este important să ne dăm seama că, pe lângă protecția datelor cu caracter personal, protecția datelor de comunicații electronice reflectă în legislația secundară dreptul la respectarea comunicațiilor prevăzut la articolul 7 din Carta dreptului fundamental al Uniunea Europeană. În recomandările sale Președinția subliniază că obiectivul general ar trebui să nu fie scăderea nivelului de protecție a drepturilor fundamentale, astfel cum este stabilit de GDPR, precum și a Directivei 2002/58 / CE privind confidențialitatea și comunicațiile electronice, astfel cum a fost modificată prin Directiva 2009/136 / CE, ținând cont de faptul că e-PR este propus ca ”lex specialis” pentru GDPR în ceea ce privește prelucrarea datelor cu caracter personal.
În ceea ce privește datele persoanelor juridice, GDPR nu se aplică, cu excepția cazului în care e-PR prevede în mod specific acest lucru. Acesta este cazul referitor la definiția consimțământului.
Până aici lucrurile par simple, dar implicațiile viitorului Regulament ePR pentru GDPR așa cum îl înțelegem și îl aplicăm acum sunt mult mai complexe, așa că merită să facem o analiză pe textul propunerii, ca să vedem care sunt perspectivele, articol cu articol, ce e nou față de veghea Directivă ePrivacy din 2002 și cum susține sau afectează ePR prevederile GDPR.
De ce e important Regulamentul ePR pentru GDPR?
Regulamentul prevede că „datele comunicațiilor electronice ar trebui definite într-un mod suficient de larg și neutru din punct de vedere tehnologic, astfel încât să cuprindă orice informații referitoare la conținutul transmis sau schimbat ... și informațiile referitoare la un utilizator final al serviciilor de comunicații electronice procesate pentru scopuri de transmitere, distribuire sau permiterea schimbului de conținut de comunicații electronice; inclusiv date pentru a urmări și identifica sursa și destinația unei comunicații, locația geografică și data, ora, durata și tipul de comunicare.
Comunicațiile sunt protejate indiferent dacă datele sunt transmise prin cablu, radio, metode optice sau electromagnetice. Asta înseamnă că datele de comunicație trimise prin sateliți, cabluri, rețele fixe și sisteme de cabluri de electricitate intră sub incidența Regulamentului ePrivacy.
E clar de înțeles că, indiferent de modalitatea sau tehnologia de transmitere a acestor comunicații, există o mare probabilitate ca printre datele transmise să fie și date cu caracter personal, generale sau speciale, ceea ce ne aduce în domeniul de aplicare al GDPR.
Toate aceste date comunicate ar trebui să rămână întotdeauna confidențiale și orice interferență cu comunicarea acestor date, fie direct de către un om, fie prin procese automate, fără acordul utilizatorului, este interzisă. Interferența în acest context poate apărea în orice moment în timpul transferului acelor date sau metadate, inclusiv în timpul transmiterii acestora și la destinație. De exemplu, ascultarea apelurilor, scanarea mesajelor electronice, monitorizarea site-urilor web vizitate și monitorizarea interacțiunilor dintre utilizatori constituie o încălcare a regulamentului ePR și în momentul când ne referim l date personale, în completare și la încălcarea GDPR.
Ultima actualizare oficială a Directivei ePrivacy din 2002 s-a făcut în 2009. De atunci, modul în care comunicăm electronic a crescut și s-a schimbat masiv, iar noul regulament este conceput pentru a ține seama de acest lucru și pentru a se asigura că confidențialitatea este menținută.
Din perspectiva GDPR există mai multe aspecte cheie: Servicii de comunicare și metadate Astăzi, comunicațiile online se caracterizează prin servicii ”over the top” pe care le folosim în fiecare zi, de multe ori fără să ne dăm seama că asta facem. Astfel de servicii se află în partea superioară a serviciilor oferite de furnizorul de rețea. Să ne gândim la Skype, WhatsApp, Facebook Messenger sau chiar la serviciile TV pe Internet. Directiva intenționează să aducă aceste servicii în sfera normelor UE de protecție a vieții private, pentru a ne asigura că acestea sunt supuse acelorași norme de confidențialitate a comunicațiilor ca și furnizorii tradiționali de telecomunicații.
Noul Regulament ePR ar trebui să impună controale de confidențialitate atât pentru conținutul comunicațiilor, cât și pentru „metadatele” asociate, adică ora unui apel sau locația, ceea ce din punctul de vedere al GDPR poate conduce la identificarea noastră ca persoană… Noul regulament ePR va impune ca, în cazul în care utilizatorii nu își dau consimțământul pentru stocare, aceste metadate să fie anonimizate sau șterse în mod obligatoriu.
Cookie-uri – Un subiect foarte controversat din perspectiva actualei legislații în care regulile referitoare la cookie-uri în vechea directivă sunt destul de ambigue, iar GDPR impune reguli ”dure” de obținere și dovedire a consimțământului. În prezent, majoritatea site-urilor publice și a browserelor au ca setări implicite acceptarea tuturor cookie-urilor, iar ”continuarea navigării presupune acceptarea implicită” a colectării de cookie-uri. Dacă pentru deținătorii siteurilor asta se poate aranja prin introducerea butoanelor auxiliare de refuz sau a posibilității de alegere a tipurilor de cookie-uri colectate, pentru furnizorii de software care permit recuperarea și prezentarea informațiilor pe Internet ar trebui să se impună obligația de a configura software-ul în așa fel, încât browserele să ofere opțiunea de a împiedica terții să stocheze informații pe echipamentul terminal; acest lucru este adesea prezentat ca „respingerea cookie-urilor terților”. Noua reglementare își propune să faciliteze setările browserului pentru a permite acceptarea generală sau refuzul de urmărire a cookie-urilor și a altor identificatori și va clarifica faptul categoriile de cookies acceptate.
Internetul ”obiectelor” și rețelele
publice de Wi-Fi – Avalanșa de date transmise și obținute prin intermediul tuturor echipamentelor conectate la Internet impune adoptarea unor măsuri clare, în condițiile în care toate statisticile arată că aceste tipuri de conexiuni sunt cele mai expuse atacurilor malițioase. Din această perspectivă, regulamentul ePR prevede că: „Transmiterea comunicațiilor de la mașină la mașină implică transmiterea de semnale printro rețea și, prin urmare, constituie de obicei un serviciu de comunicații electronice și pentru a promova un Internet al obiectelor de încredere și sigur pe piața unică digitală, este necesar să se clarifice faptul că prezentul regulament ar trebui să se aplice transmiterii comunicațiilor de la mașină la mașină.„ Totodată, Rețelele publice fără fir accesibile publicului de tipul „hotspot Wi-Fi”, vor fi, de asemenea, supuse reglementării, indiferent de locația lor, de furnizor sau de metoda în care este asigutat serviciul respectiv. Rețelele private, care nu sunt accesibile publicului, nu sunt supuse Regulamentului ePR.
Marketingul și spam-ul - Regulamentul definește marketingul direct ca pe ”orice formă de publicitate prin care o persoană fizică sau juridică trimite comunicări de marketing direct către unul sau mai mulți utilizatori finali, identificați sau identificabili, care utilizează servicii de comunicații electronice. În plus, ePR s-ar putea să ia în considerare și comunicările trimise de partidele politice sau mesajele trimise de diferite organizații non-profit pentru a sprijini scopurile organizației.
Privind comunicarea nesolicitată prin canale precum e-mail, SMS, MMS, mesagerie instantanee, Bluetooth și mașini de apel automat, orice astfel de comunicare va fi interzisă în lipsa probării unui consimțământ clar, chiar și dacă vizează persoanele juridice, ceea ce nu intra în sfera GDPR. Rămâne de văzut modul în care legile naționale vor întări sau for simplifica aceste reguli. Există țări europene unde se consideră că persoanele ar putea fi protejate fie în mod implicit, fie prin listele existente de tipul „nu apelează” care sunt configurate pentru a preveni comercializarea apelurilor telefonice. Apelurile telefonice de marketing vor trebui identificate printr-un prefix obligatoriu - în primul rând pentru ca utilizatorii să aibă o idee clară de la cine primesc comunicări dacă doresc să își retragă consimțământul pentru acea companie.
Chiar dacă din perspectiva GDPR consimțământul implicit nu este recunoscut, Regulamentul preia una dintre regulile de bază privind consimțământul statutate de GDPR, precizând că este „justificat să se solicite consimțământul utilizatorului final înainte de expedierea comunicărilor comerciale în scopuri de marketing direct, pentru a asigura o protecție efectivă a persoanele împotriva intruziunii în viața lor privată, precum și interesul legitim al persoanelor juridice. " În fine, în concordanță cu GDPR nu este nevoie de consimțământ atunci când operatorii de date comunică prin email cu persoane sau instituții care sunt deja clienți, pe baza unor relații existente, dar numai pentru domeniul de activitate respectiv și dacă sunt respectate cerințele de comunicare către persoanele vizate impuse de GDPR, precum existența posibilității de renunțare la acest tip de comunicări.
Hai să le luăm pe rând: 1.Scopul și domeniul de aplicare ePR particularizează și completează GDPR
Chiar din Articolul 1 (1) se menționează că ce este statutat de GDPR privind protecția persoanelor fizice rămâne valabil și pentru ePR: ”Prezentul regulament stabilește norme privind protecția drepturilor și libertăților fundamentale ale persoanelor fizice și juridice în furnizarea și utilizarea serviciilor de comunicații electronice, în special drepturile la respectarea vieții private și a comunicațiilor și la protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal”. În plus, în aliniatul (1.a.) se arată că: ”Prezentul regulament stabilește norme privind protecția drepturilor și libertăților fundamentale ale persoanelor juridice în furnizarea și utilizarea serviciilor de comunicații electronice, în special drepturile acestora la respectarea comunicațiilor”, ceea ce evident, nu intră în sfera GDPR.
În plus, alin. (2): ”Libera circulație a datelor de comunicații electronice și a serviciilor de comunicații electronice în cadrul Uniunii nu este restricționată și nici interzisă din motive legate de respectarea vieții private și a comunicațiilor persoanelor fizice și protecția persoanelor fizice în ceea ce privește prelucrarea datelor personale și pentru protecția comunicațiilor persoanelor juridice”. Poziționarea față de GDPR, care ar fi trebuit să fie fratele geamăn al regulamentului ePR, dar care s-a născut cu mult înainte, reiese clar din alin.(3): ”Dispozițiile prezentului regulament particularizează și completează
Regulamentul (UE) 2016/679 prin stabilirea unor norme specifice în scopurile menționate la alineatele (1) (2). ” În articolul 2 (1) privitor la Domeniul de aplicare material, se specifică cui se aplică regulamentul: ”(a) prelucrarea conținutului de comunicații electronice și a metadatelor de comunicații electronice efectuate în legătură cu furnizarea și utilizarea serviciilor de comunicații electronice; (b) informații despre echipamentele terminale ale utilizatorilor finali. (c) oferirea unui director public al utilizatorilor finali ai serviciilor de comunicații electronice; (d) trimiterea de comunicări de marketing direct către utilizatorii finali. ” Iată activitățile de marketing direct sunt recunoscute atât pentru importanța comunicării, cât și în privința recunoașterii drepturilor individuale de a nu accepta mesajele nedorite, ceea ce în vechea Directivă nu era diferențiat la nivel de domeniu material.
Printre activitățile neincluse în domeniul de aplicare material prezentate în alineatul (2), pentru analiza noastră contează litera (d), care se referă la acele activități, ”inclusiv activități de prelucrare a datelor”, ale autorităților competente în scopul prevenirii, anchetei, depistării sau urmăririi penale a infracțiunilor sau executării de sancțiuni penale, inclusiv protecția și prevenirea amenințărilor la adresa securității publice.
În articolul 3 care se referă la domeniul de aplicare teritorial, prin care se arată că Regulamentul se aplică atât pentru (a) furnizarea de servicii de comunicații electronice către utilizatorii finali aflați în Uniune, cât și pentru (aa) prelucrarea conținutului de comunicații electronice și a metadatelor de comunicații electronice ale utilizatorilor finali aflați în Uniune, (c) protecția informațiilor privind echipamentele terminale ale utilizatorilor finali care se află în Uniune, dar și pentru (cb) oferirea de directoare accesibile publicului pentru utilizatorii finali ai serviciilor de comunicații electronice care se află în Uniune și (cc) trimiterea de comunicări de marketing direct către utilizatorii finali aflați în Uniune.
Interesant aici este că ePR preia modelul GDPR de globalizare a operatorilor din afara UE care au persoane vizate în UE prin alineatul (2) care precizează că în cazul în care ”furnizorul unui serviciu de comunicații electronice, furnizorul unui director public sau o persoană care utilizează servicii de comunicații electronice pentru a trimite comunicații de marketing direct sau o persoană care utilizează capacități de procesare și stocare sau colectează informații procesate de sau emise de sau stocate în echipamentul terminal al utilizatorilor finali nu este stabilit în Uniune, acesta desemnează în scris, în termen de o lună de la începerea activităților sale, un reprezentant în Uniune și îl comunică autorității de supraveghere competente. ” Ca o completare care cu siguranță va deschide calea multor excepții, într-o completare a alineatului (2) se spune că: ”cerințele prevăzute la alineatul (2) nu se aplică în cazul în care activitățile enumerate la alineatul (1) sunt ocazionale și este puțin probabil să genereze un risc pentru drepturile fundamentale ale utilizatorilor finali, ținând seama de natura, contextul, domeniul de aplicare și scopul acestor activități. ”
2. Definițiile preluate în parte din GDPR, cu excepția Procesării
Complementaritatea cu GDPR se menține și la articolul 4 de definiții, unde încă de la primul alineat se face precizarea: ”În sensul prezentului regulament, se aplică următoarele definiții: (a) definițiile din Regulamentul (UE) 2016/679; ” . În plus, sunt preluate o serie de definiții privitoare la: (b) „rețele de comunicații electronice”, „serviciu de comunicații electronice”, „serviciu de comunicații interpersonale”, „serviciu de comunicații interpersonale pe bază de număr”, „serviciu de comunicații interpersonale independent de număr”, „utilizator final” și „apelare” din Directiva (UE) 2018/1972, (c) definiția „echipamentului terminal” din Directiva 2008/63 /CE a Comisiei, precum și (d) definiția „serviciului societății informaționale” din Directiva (UE) 2015/1535. ”
Ca o adăugare la extinderea domeniului material în alin. (2a) se precizează că definiția „prelucrării” menționată la articolul 4 alineatul (2) din Regulamentul 2016/679 nu se limitează la prelucrarea datelor cu caracter personal.
73
Dintre definițiile nou apărute în ePR și specifice pentru comunicațiile electronice aș menționa pentru importanța termenilor explicați la alin (3): ”(a) „date de comunicații electronice” înseamnă conținut de comunicații electronice și metadate de comunicații electronice; (b) „conținut de comunicații electronice” înseamnă conținutul schimbat prin intermediul serviciilor de comunicații electronice, cum ar fi text, voce, videoclipuri, imagini și sunet; (c) „metadate ale comunicațiilor electronice” înseamnă date prelucrate prin intermediul serviciilor de comunicații electronice în scopul transmiterii, distribuirii sau schimbului de conținut al comunicațiilor electronice; inclusiv datele utilizate pentru urmărirea și identificarea sursei și destinației unei comunicații, date privind locația dispozitivului generate în contextul furnizării de servicii de comunicații electronice, precum și data, ora, durata și tipul comunicării; (e) „mesaj electronic” înseamnă orice mesaj care conține informații precum text, voce, video, sunet sau imagine trimise printr-o rețea de comunicații electronice care pot fi stocate în rețea sau în facilități de calcul conexe sau în echipamentul terminal al destinatarului său , inclusiv e-mail, SMS, MMS și aplicații și tehnici echivalente funcțional; (f)„comunicări de marketing direct” înseamnă orice formă de publicitate, scrisă sau orală, trimisă printr-un serviciu de comunicații electronice disponibil public direct unuia sau mai multor utilizatori finali specifici, inclusiv plasarea apelurilor voce-voce, utilizarea de sisteme automate de apelare și comunicare cu sau fără interacțiune umană, mesaj electronic etc.; (j)„date de localizare” înseamnă date prelucrate prin intermediul unei rețele sau servicii de comunicații electronice, care indică poziția geografică a echipamentului terminal al unui utilizator al unui serviciu de comunicații electronice disponibil public. ”
3. Noțiunea de consimțământ este nouă pentru ePrivacy, fiind evident preluată din GDPR
În articolul 4a care se referă la Consimțământ, se arată că ”(1) Dispozițiile privind consimțământul prevăzute de Regulamentul (UE) 2016/679 / se aplică persoanelor fizice și, mutatis mutandis, persoanelor juridice. ” Regulamentul ePR vine în continuare cu o serie de precizări, printre care cele mai importante pentru punerea în aplicare în tandem cu GDPR se numără următoarele: ”(2). Fără a aduce atingere alineatului (1), acolo unde este posibil și fezabil din punct de vedere tehnic, în sensul articolului 8 alineatul (1) litera (b), consimțământul poate fi exprimat prin utilizarea setărilor tehnice corespunzătoare ale unei aplicații software care permite accesul la internet plasat pe piața”, adică prin setările implicite ale unui browser. ”(2aa) Consimțământul exprimat direct de un utilizator final în conformitate cu alineatul (2) va prevala asupra setărilor software-ului. Orice consimțământ solicitat și dat de un utilizator final unui serviciu va fi implementat direct, fără nicio întârziere suplimentară, de către aplicațiile terminalului utilizatorului final, inclusiv în cazul în care stocarea informațiilor sau accesul informațiilor deja stocate în echipamentul terminal este permis. ” Cu toate acestea, ca excepție poate apărea situația în care ”(2a) dacă furnizorul nu este capabil să identifice o persoană vizată, protocolul tehnic care arată că a fost dat consimțământul de la echipamentul terminal trebuie să fie suficient pentru a demonstra consimțământul utilizatorului final în conformitate cu articolul 8 alineatul (1) litera (b)”; asta ar putea da bătăi de cap unor furnizori de servicii online care se bazează exclusiv pe setările aplicațiilor. În fine, ”(3) Utilizatorilor finali care au consimțit la prelucrarea datelor de comunicații electronice în conformitate cu prezentul regulament li se reamintesc posibilitatea de a-și retrage consimțământul la intervale periodice de [nu mai mult de 12 luni], atâta timp cât prelucrarea continuă, cu excepția cazului în care utilizatorul final solicită să nu primească astfel de memento-uri. ” Teoretic sună bine, dar asta va trebui să se regăsească atât în informările operatorilor către clienți, cât și în controalele care urmăresc respectarea intervalelor periodice de reamintire, precum și în procedurile de documentare și demonstrare a solicitărilor de a nu se trimite astfel de mesaje de atenționare.
4. Confidențialitatea, o cerință implicită pentru ePR
În articolul 5 referitor la Confidențialitatea datelor de comunicații electronice se arată foarte clar că: ”Datele de comunicații electronice trebuie să fie confidențiale. Orice interferență cu datele de comunicații electronice, inclusiv ascultarea, atingerea, stocarea, monitorizarea, scanarea sau alte tipuri de interceptare, supraveghere și prelucrare a datelor de comunicații electronice, de către oricine altul decât utilizatorii finali în cauză, este interzisă, cu excepția cazului în care acest lucru este permis de Regulament.
Ținând cont și de extinderea domeniului de aplicare și la persoanele juridice, e lesne de înțeles că de multe ori confidențialitatea datelor de business care pot fi devoalate accidental sau interceptate intenționat este mult mai importantă decât identitatea sau datele de contact ale unor persoane care oricum apar pe cărțile de vizită sau chiar pe site-urile organizațiilor.
5. Când e permisă prelucrarea datelor de comunicații electronice
Regulile generale de prelucrare descrise în articolul 6 aliniamentul (1) din ePR sunt completate cu o serie de specificații care întăresc rolul
consimțământului în furnizarea de servicii de comunicații electronice: ”Articolul 6a [art. Precedent 6 (3)] Prelucrarea permisă a conținutului comunicațiilor electronice (a) în scopul furnizării unui serviciu solicitat de un utilizator final pentru uz pur individual, în cazul în care utilizatorul final solicitant și-a dat consimțământul și în cazul în care prelucrarea solicitată nu afectează în mod negativ drepturile și interesele fundamentale ale altei persoane în cauză; (b) dacă toți utilizatorii finali în cauză și-au dat consimțământul pentru prelucrarea conținutului lor de comunicații electronice pentru unul sau mai multe scopuri specificate.
Dacă precizările de mai sus sunt cât se poate de normale în contextul adoptării regulilor de consimțământ din GDPR, un interes deosebit pentru extensia preocupărilor GDPR privitoare la prelucrarea critică a unor date sau expunerea persoanelor vizate printr-un nou tip de prelucrare, regulamentul ePR face și el apel la principiile analizei de impact: ”(2) Înainte de prelucrarea în conformitate cu alineatul (1) litera (b), furnizorul efectuează o evaluare a impactului asupra protecției datelor asupra impactului operațiunilor de prelucrare preconizate asupra protecției datelor de comunicații electronice și, dacă este necesar, se consultă cu autoritatea de supraveghere în conformitate cu Articolul 36 alineatul (1) din Regulamentul (UE) 2016/679” .
Tot ca o completare la GDPR poate fi văzută și prelucrarea permisă a metadatelor de comunicații electronice, numai dacă: ”(a) este necesar în scopul gestionării rețelei sau al optimizării rețelei sau pentru a îndeplini cerințele tehnice de calitate a serviciilor în conformitate cu Directiva (UE) 2018/1972 sau Regulamentul (UE) 2015/212020; (b) este necesar pentru executarea unui contract de servicii de comunicații electronice la care utilizatorul final este parte sau, dacă este necesar, pentru facturarea, calcularea plăților de interconectare, detectarea sau oprirea utilizării abuzive sau abuzive a comunicațiilor electronice sau a abonamentului la acestea Servicii; (c) utilizatorul final în cauză și-a dat consimțământul pentru prelucrarea metadatelor de comunicații pentru unul sau mai multe scopuri specificate; (d) este necesar pentru a proteja interesul vital al unei persoane fizice; (e) în ceea ce privește metadatele care constituie date de localizare, este necesar în scopuri de cercetare științifică sau istorică sau în scopuri statistice, cu condiția ca: (i) astfel de date sunt pseudonimizate; (ii). prelucrarea nu a putut fi efectuată prin prelucrarea informațiilor care sunt făcute anonime, iar datele despre locație sunt șterse sau anonimizate atunci când nu mai sunt necesare pentru îndeplinirea scopului; (iii) datele de localizare nu sunt utilizate pentru a determina natura sau caracteristicile unui utilizator final sau pentru a construi un profil al unui utilizator final. (f) în legătură cu alte metadate decât datele de localizare, este necesar în scopuri de cercetare științifică sau istorică sau în scopuri statistice, cu condiția ca o astfel de prelucrare să fie în conformitate cu legislația Uniunii sau a statelor membre și să facă obiectul unor garanții adecvate, inclusiv criptarea și pseudonimizarea protejează drepturile fundamentale și interesul utilizatorilor finali și este în conformitate cu articolul 6 alineatul (6) și cu articolul 89 alineatele (1), (2) și (4) din Regulamentul (UE) 2016/679. ” Nu vi se pare că aceste cerințe aduc puțin cu cele pentru stabilirea temeiului legal al prelucrării, adică articolul 6 din GDPR?
O altă precizare importantă este că: ”(2) Fără a aduce atingere articolului 6 alineatul (3), metadatele de comunicații electronice prelucrate în conformitate cu alineatul (1) litera (e) nu vor fi partajate de furnizor cu niciun terț, cu excepția cazului în care acestea au fost făcute anonime. ” Drepturile și condițiile de prelucrare a acestor metadate de complică și mai mult prin prevederile articolului 6c, unde se arată că (1) dacă prelucrarea se face în alt scop decât cel pentru care metadatele au fost colectate, furnizorul trebuie să ia în considerare, printre altele:
”(a) orice legătură între scopurile pentru care au fost colectate metadatele comunicațiilor electronice și scopurile prelucrării ulterioare prevăzute; (b) contextul în care au fost colectate metadatele comunicațiilor electronice, în special în ceea ce privește relația dintre utilizatorii finali în cauză și furnizor; (c) natura metadatelor de comunicații electronice, precum și modalitățile de prelucrare ulterioară prevăzută, în special în cazul în care aceste date sau prelucrarea ulterioară intenționată ar putea dezvălui categorii de date, în conformitate cu articolele 9 sau 10 din Regulamentul (UE) 2016 / 679; (d) posibilele consecințe ale procesării ulterioare preconizate pentru utilizatorii finali; (e) existența unor garanții adecvate, cum ar fi criptarea și pseudonimizarea. ”
6. Retenția și ștergerea datelor
Mergând pe linia bine-cunoscutelor principii din GDPR, Regulamentul ePR are un articol 7 dedicat stocării și ștergerea datelor de comunicații electronice: (1). Furnizorul serviciului de comunicații electronice șterge conținutul comunicațiilor electronice sau face ca aceste date să fie anonime atunci când nu mai sunt necesare în scopul prelucrării în conformitate cu articolul 6 alineatul (1) și articolul 6a alineatul (1). (2). Fără a aduce atingere articolului 6 alineatul (1) literele (b), (c) și (d), literele (c), (d), (e), (f), articolului 6b litera (g), articolul 6c și articolele 8 (1) literele (b) - (g), furnizorul serviciului de comunicații electronice șterge metadatele comunicațiilor electronice sau face ca aceste date să fie anonime atunci când nu mai sunt necesare în scopul furnizării unui serviciu de comunicații electronice. (3) În cazul în care prelucrarea metadatelor de comunicații electronice are loc în scopul facturării în conformitate cu articolul 6b alineatul (1) litera (b), metadatele relevante pot fi păstrate până la sfârșitul perioadei în care un proiect de lege poate fi contestat în mod legal sau se poate efectua o plată în conformitate cu legislația națională. ”
7. Protecția informațiilor
Un alt capitol important din ePR este cel referitor la protecția informațiilor despre echipamentele terminale ale utilizatorilor finali. Prevederile articolului 8 ar putea afecta considerabil industria aplicațiilor pentru marketingul direct și transmisia de newslettere care furniza de regulă informații despre terminalele și sistemele de operare folosite de cei care deschid mesajele respective. Cu ce ne ajută aceste informații pentru scopurile noastre de promovare prin marketing direct?
Dar iată ce zice articolul 8 (1) din ePR: ”Utilizarea capacităților de procesare și stocare a echipamentelor terminale și colectarea de informații de la echipamentele terminale ale utilizatorilor finali, inclusiv despre software-ul și hardware-ul său, altele decât de către utilizatorul final în cauză, sunt interzise, cu excepția următoarelor motive: (a) este necesar numai pentru furnizarea unui serviciu de comunicații electronice; sau (b) utilizatorul final și-a dat consimțământul; sau (c) este strict necesar pentru furnizarea unui serviciu solicitat în mod specific de către utilizatorul final; sau (d) dacă este necesară exclusiv pentru măsurarea audienței, cu condiția ca această măsurare să fie efectuată de către furnizorul serviciului solicitat de utilizatorul final, sau de o terță parte, sau de către terți împreună în numele sau împreună cu furnizorul serviciului solicitat, cu condiția ca, dacă este cazul, să fie îndeplinite condițiile prevăzute la articolele 26 sau 28 din Regulamentul (UE) 2016/679; sau (da) este necesară menținerea sau restabilirea securității serviciilor societății informaționale sau a echipamentelor terminale ale utilizatorului final, prevenirea fraudei sau prevenirea sau detectarea defecțiunilor tehnice pe durata necesară în acest scop; sau (e) este necesară o actualizare software, cu condiția ca: (i) o astfel de actualizare este necesară din motive de securitate și nu modifică în niciun fel setările de confidențialitate alese de utilizatorul final, (ii) utilizatorul final este informat în prealabil de fiecare dată când se instalează o actualizare și (iii) utilizatorului final i se oferă posibilitatea de a amâna sau opri instalarea automată a acestor actualizări; sau (f) este necesar să se localizeze echipamentele terminale atunci când un utilizator final face o comunicare de urgență fie către numărul unic de urgență european „112”, fie către un număr național de urgență, în conformitate cu articolul 13 alineatul (3). ” Prin aliniatele ulterioare Regulamentul ePR precizează că anumite condiții de prelucrare ar putea impune respectarea unor cerințe GDPR, precum prelucrarea intenționata ce ar putea dezvălui anumite categorii de date, în conformitate cu articolul 9 sau 10 din GDPR, partajarea de date cu terții doar în condițiile îndeplinirii articolului 28 din GDPR, cerința de afișare a unei notificări clare care să informeze cel puțin modalitățile de colectare, scopul acesteia, persoana responsabilă de aceasta și celelalte informații solicitate la Articolul 13 din GDPR sau colectarea de informații condiționată de aplicarea măsurilor tehnice și organizatorice adecvate pentru a asigura un nivel de securitate adecvat riscurilor, astfel cum se prevede la articolul 32 din GDPR.
8. Importanța reglementării comunicărilor de marketing direct nesolicitate
Implicațiile GDPR și ePR pentru activitățile de marketing sunt foarte importante, în special din perspectiva respectării drepturilor persoanei vizate sau clientului și a evitării pericolului de reclamare a unor mesaje sau tipuri de servicii nesolicitate. Prin articolul 16 din ePR se arată că ”persoanelor fizice sau juridice li se interzice utilizarea serviciilor de comunicații electronice în scopul trimiterii de comunicări de marketing direct către utilizatorii finali care sunt persoane fizice, cu excepția cazului în care și-au dat acordul prealabil. ” Ceea ce ne trimite iarăși la condițiile de obținere a consimțământului impuse de GDPR.
Mai mult de atât, păstrând spiritul vechii Directive din 2002, alineatul (2) ne relevă un mare secret: putem face comunicări de marketing fără a solicita consimțământ, doar dacă respectăm câteva condiții clare: •Comunicările să fie trimise doar către clienții activi, persoane fizice și juridice cu care există o oarecare continuitate în relațiile de business, cum ar fi achiziționarea unui produs sau a unui serviciu; •Comunicările să fie limitate doar la domeniul în care se înscriu relațiile cu clientul respectiv. Cu alte cuvinte, nu putem trimite mesaje comerciale despre o nouă gamă de confecții unui client care cumpără de la noi în mod frecvent produse de curățenie… Echipele de vânzări vor putea să planifice în continuare campanii de ”cross-selling” între clienții de la diferite categorii de produse, dar cu condiția obținerii și demonstrării existenței unui consimțământ pentru acest nou domeniu de comunicare. •Destinatarilor trebuie să li se ofere ”în mod clar și distinct posibilitatea de a obiecta, gratuit și într-un mod ușor, la o astfel de utilizare; ” •Dreptul de a obiecta sau de a renunța la primirea de mesaje de marketing direct trebuie comunicat încă de la început clientului și de fiecare dată când se trimite un mesaj, prin acea posibilitate de ”dezabonare”.
Deși pare clar și ușor, din experiențele legate de alinierea la GDPR a reieșit că este destul de dificil să asiguri condițiile tehnice și organizatorice necesare pentru punerea în practică a acestor condiții, existând multe cazuri de sancțiuni pentru trimiterea de mesaje nedorite sau pentru nerespectarea dorinței clientului de a nu mai primi mesaje comerciale.
Aici ePR vine cu o precizare care personal cred că va fi destul de greu de transpus în practică. Conform alineatului (2a), ”statele membre pot prevedea prin lege o perioadă de timp stabilită, după ce a avut loc vânzarea produsului sau serviciului, în cadrul căreia o persoană fizică sau juridică poate utiliza datele de contact ale utilizatorului final care este o persoană fizică în scopuri de marketing direct”…
Printre cerințele preluate din regulile de informare pentru persoanele vizate impuse de GDPR (Articolele 13 și 14), aliniatul (6) precizează că: ”Orice persoană fizică sau juridică care utilizează servicii de comunicații electronice pentru a trimite comunicări de marketing direct trebuie, de fiecare dată când este trimisă o comunicare de marketing direct: (a) să își dezvăluie identitatea și să utilizeze adrese sau numere efective de returnare; (b) informează utilizatorii finali cu privire la natura de marketing a comunicării și identitatea și datele de contact ale persoanei juridice sau fizice în numele căreia este trimisă comunicarea de marketing direct; (d) oferă în mod clar și distinct utilizatorilor finali care sunt persoane fizice un mijloc de a obiecta sau de a-și retrage consimțământul, gratuit, în orice moment și într-o manieră ușoară și eficientă, pentru a primi alte comunicări de marketing direct și trebuie să furnizați informațiile necesare în acest scop. Acest mijloc va fi dat și în momentul colectării detaliilor de contact conform paragrafului 2. ” Dacă furnizorul de servicii de marketing direct va respecta aceste reguli privind informarea, clientului ar trebui să îi fie la fel de ușor să își retragă sau să își dea consimțământul.
9. Amenințarea sancțiunilor folosită ca argument pentru aliniere
Așa cum comentam și mai sus, nu este un lucru nou ca puterea exemplelor asociate cu amenzi importante să fie folosită ca argument în favoarea conformității unor reguli. GDPR a mizat pe asta în eforturile de sensibilizare și de creștere a responsabilității operatorilor de date personale.
Preluând valoarea sancțiunilor din GDPR, noul regulament ePR precizează în articolul 23 referitor la condițiile generale pentru impunerea amenzilor administrative: ”(1). Articolul 83 din Regulamentul (UE) 2016/679 se aplică mutatis mutandis încălcărilor prezentului regulament. ”
Printre tipurile de încălcări supuse unor amenzi administrative până la 10 000 000 EUR sau, 2% din cifra de afaceri anuală totală a anului financiar precedent se numără: • respectarea obligațiilor oricărei persoane juridice sau fizice care prelucrează date de comunicații electronice în conformitate cu art. 8; • obligațiile furnizorilor de directoare accesibile publicului în conformitate cu articolul 15; • obligațiile oricărei persoane juridice sau fizice care utilizează servicii de comunicații electronice în conformitate cu articolul 16.
În fine, cei pasibili de a încasa valoarea maximă a sancțiunilor administrative de până la 20 000 000 EUR sau, în cazul unei întreprinderi, până la 4% din cifra de afaceri anuală, sunt cei care nu vor respecta condițiile de prelucrarea permisă a datelor de comunicații electronice, termenele de ștergere în conformitate cu articolele 5, 6 și 7, precum și nerespectarea unui ordin emis de o autoritate de supraveghere menționată la articolul 18.
Când va intra în vigoare noul Regulament ePR?
Conform textului propunerii din Februarie 2021, în articolul 27 privind abrogarea, se specifică faptul că ”(1) Directiva 2002/58 / CE se abrogă cu efect de la [1 august 2022] și că (2) Trimiterile la directiva abrogată se interpretează ca trimiteri la prezentul regulament. ” În articolul 29 privind intrarea în vigoare și aplicarea se menționează că ”(1) Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene și că (2) Prezentul regulament se aplică efectiv după 24 de luni de la data intrării în vigoare a prezentului regulament”.
În lipsa altor surse de informații, din această propunere am putea înțelege că semnarea finală a Regulamentului ePR ar fi prevăzută undeva în prima decadă a lunii iulie 2022, iar intrarea efectivă în vigoare ar putea avea loc pe 1 august 2024…
