Articol

Article Icon

Curiozitati din lumea GDPR ~ partea I ~

2022-01-04 16:23:20 ["admin"]

STIATI CA?

  • GDPR si magazinele online. Pot fi folosite datele publice ale clientilor pentru a face marketing?
  • Conceptul de date cu caracter personal include orice fel de informatii, indiferent ca sunt informatii despre viata privata a persoanei sau informatii publice. Pentru a intelege, din acest punct de vedere, aplicabilitatea notiunii de date cu caracter personal vom lua urmatorul exemplu: Maria si-a achizitionat recent o geanta de la un magazin online. Ulterior achizitiei, posteaza in mod public pe reteaua de socializare Facebook o fotografie cu ea purtand respectiva geanta. Compania ii urmareste profilul si vede o oportunitate buna de marketing in a posta fotografiei Mariei si in tag-uirea numelui acesteia. Lucru pe care il si realizeaza. Desi informatiile urcate de Maria pe profilul de Facebook au devenit publice, acest lucru nu inseamna ca ele au iesit din zona de „date cu caracter personal”. O data cu caracter personal devenita publica nu da automat unda verde la prelucrare. 
  • Avea dreptul compania sa se foloseasca de datele publice personale ale Mariei pentru a-si face reclama? Raspunsul este da, in situatia in care compania si-a justificat prelucrarea recurgand la un temei legal precum consimtamantul Mariei sau interesul legitim al companiei si atata timp cat Maria a fost informata in prealabil asupra intentiei de a prelucra astfel datele sale (de a posta imaginea si de a da tag numelui). In situatia in compania nu a avut consimtamantul Mariei si nici nu s-a bazat pe alt temei legal, prelucrarea datelor personale este ilegala. In situatia in care Maria nu a fost informata corespunzator in prealabil, prelucrarea este, de asemenea, ilegala. In ambele cazuri, compania poate fi sanctionata de Autoritatea de Supraveghere. Finalitatea unei astfel de actiuni depinde, in majoritatea situatiilor, de Maria. Daca s-a suparat, Maria stie ca poate depune o plangere la Autoritatea de Supraveghere si ca aceasta va porni o investigatie, iar compania poate fi sanctionata. Si aici revenim la conceptul initial: in centrul GDPR se afla respectul fata de persoana fizica.

 

  • Firmele nu au nevoie de consimtamantul angajatilor ca sa monteze sisteme de supraveghere la locul de munca. Una dintre conditiile impuse pentru monitorizarea video sau a conversatiilor salariatilor prin Legea nr. 190/2018, act ce contine cateva reguli de aplicare cerute de Regulamentul general pentru protectia datelor (RGPD), este informarea prealabila a salariatilor. 
  • informare verbala a salariatilor cu privire la masurile de supraveghere de la birou, oricare ar fi acestea, nu poate fi suficienta. In principal, pentru ca nu poate fi dovedita. Prin urmare, informarea ar trebui sa fie scrisa
  • Una dintre celelalte conditii impuse de Legea 190 este ca angajatorul sa consulte sindicatul sau, dupa caz, reprezentantii angajatilor inainte de introducerea sistemelor de monitorizare - nu ulterior si nu simultan cu montarea acestora, ci neaparat inainte. Mai sunt si alte conditii impuse, dar nicaieri nu e precizata obligatia angajatorului de a cere permisiune angajatilor sa puna in functiune sistemele.
  • Desi Certificatul Verde contine date personale speciale, acesta nu poate intra sub protectia GDPR, intrucat „prelucrarea este necesara din motive de interes public major” (art. 9, alin. 2, lit. g GDPR) si, mai precis, „prelucrarea este necesara din motive de interes public in domeniul sanatatii publice” (art. 9, alin. 2, lit. i) GDPR). Scopul este ca interesul public si interesul privat sa ramana in echilibru, afectarea lor fiind proportionala. 
  • Comitetul European pentru protectia datelor (CEPD) si Autoritatea Europeana pentru Protectia Datelor (AEPD) au adoptat un aviz comun referitor la propunerile privind certificatul verde digital.
  • Comisarii privind protectia datelor din statele membre ale Uniunii Europene si din tarile Spatiului Economic European subliniaza necesitatea de a atenua riscurile la adresa drepturilor fundamentale ale cetatenilor si rezidentilor care ar putea recurge din emiterea certificatului verde digital, inclusiv posibilele utilizari secunde neintentionate ale acestora.
  • Presedintele AEPD  a adaugat: „Trebuie clarificat faptul ca propunerea nu permite – si nu trebuie sa aiba drept rezultat – crearea unei baze centrale de date cuprizand datele personale la nivelul UE. In plus, trebuie sa se asigure faptul ca datele cu caracter personal nu sunt prelucrate mai mult decat este strict necesar si ca accesul la aceste date si utilizarea lui nu mai sunt premise dupa incetarea pandemiei. Am subliniat intotdeauna ca masurile luate in lupta impotriva pandemiei de COVID-19 sunt temporare si este de datoria noastra sa garantam ca ele nu raman in vigoare si dupa incheierea crizei.”
  • Twitter va elimina imaginile postate pe aceasta retea sociala fara consimtamant. Twitter a spus ca imaginile sau videoclipurile cu persoane private partajate fara permisiunea lor sunt acum impotriva politicilor sale si pot fi eliminate la cerere.
  • Noua regula este o extindere a politicilor de interzicere a „doxxingului” - publicarea de informatii private, cum ar fi adresele de domiciliu, fara consimtamant. Criticii spun ca regula este prea larga si ar putea fi „folosita pentru a inabusi in mod deliberat libertatea de exprimare pe platforma”. Dar Twitter a spus ca va lua in considerare contextul in care au fost postate imaginile.
  • Inainte de a elimina imaginile sau de a lua masuri de aplicare, a spus Twitter, trebuie sa fie notificat de „persoanele ilustrate sau de un reprezentant autorizat ca nu au consimtit ca imaginea sau videoclipul lor privat sa fie partajat”.
  • In continuare, compania a spus ca isi propune sa impiedice utilizarea imaginilor si a videoclipurilor pentru „hartuirea, intimidarea si dezvaluirea identitatilor persoanelor private, ceea ce afecteaza in mod disproportionat femeile, activistii, dizidentii si membrii comunitatilor minoritare”.
  • Twitter a precizat: „Imaginile/videoclipurile care arata oameni care participa la evenimente publice – cum ar fi proteste la scara larga, evenimente sportive etc. – nu ar incalca, in general, aceasta politica.” De asemenea, politica nu se aplica personalitatilor publice din mass-media sau persoanelor fizice atunci cand imaginea si textul tweet-ului insotitor sunt partajate in interesul public sau adauga valoare discursului public.
  • Politica nu s-ar aplica nici persoanelor care fac obiectul conversatiilor publice online sau offline. Totusi, daca intentia a fost „hartuirea, intimidarea sau folosirea fricii pentru a-i reduce la tacere, putem elimina continutul, in conformitate cu politica noastra impotriva comportamentului abuziv”, au spus reprezentantii Twitter.

 

  • Clasificarea persoanelor pe baza caracteristicilor faptice (de exemplu, varsta lor) constituie „creare de profiluri”, chiar daca nu se fac deduceri pe baza acesteia.
  • „creare de profiluri” inseamna orice forma de prelucrare automata a datelor cu caracter personal care consta in utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoana fizica, in special pentru a analiza sau prevedea aspecte privind performanta la locul de munca, situatia economica, sanatatea, preferintele personale, interesele, fiabilitatea, comportamentul, locul in care se afla persoana fizica respectiva sau deplasarile acesteia;
  • Un grup de lucru din Europa a adoptat pozitia conform careia, pentru ca o activitate sa constituie „creare de profiluri”, trebuie indeplinite trei elemente:
  • sa implice o forma automata de prelucrare;
  • sa se desfasoare pe baza datelor cu caracter personal;
  • obiectivul activitatii trebuie sa fie evaluarea aspectelor personale despre o persoana fizica.
  • Grupul de lucru a remarcat ca, analizand aspectele personale ale unei persoane, o organizatie ar putea sa le evalueze, fara a face neaparat alte predictii sau deductii. In consecinta, grupul de lucru a declarat ca „evaluarea sau clasificarea simpla a persoanelor pe baza unor caracteristici precum varsta, sexul si inaltimea lor ar putea fi considerata creare de profiluri, indiferent de orice scop predictiv”.
  • Ramane de vazut daca instantele din Statele Unite vor interpreta legile de confidentialitate ale statului cu definitii similare de „creare de profiluri” in legile care vor intra in vigoare in 2023 sau daca vor constata ca pentru ca o activitate sa constituie creare de profiluri trebuie atins un anumit grad de predictie sau deducere.

                                                                                                                                                                                Av. Mihaela Bălău