ZRP
Tuca Zbarcea & Asociatii

Ce riscuri ascunse au deținătorii de site-uri web din perspectiva GDPR? Două situații des întâlnite în practică

07 Iulie 2022   |   Daniel Vinerean, Avocat Senior Coordonator, D&B David și Baias

Vom analiza în continuare două situații, mult prea des întâlnite în practică, care se pot transforma în adevărate probleme pentru deținătorii de site-uri web, având în vedere regimurile sancționatorii din GDPR și Legea E-Privacy, dar care pot fi evitate în urma unui audit corespunzător și a unui plan de (re)conformare adecvat.

 
 
Păstrarea anonimității online este în zilele noastre un deziderat greu de îndeplinit în condițiile în care simpla vizită a unui site web presupune, în mod aproape sigur, o prelucrare de date cu caracter personal. Mai mult, din nevoia de eficientizare a costurilor și dorința de maximizare a profiturilor, mulți deținători de site-uri web, fie de prezentare sau e-commerce, recurg la tot felul de metode care servesc acestor scopuri, dar care, în cele din urmă îi expun unor riscuri de sancționare pentru lipsa de conformitate din punct de vedere GDPR.

Printre metodele folosite pentru eficientizarea costurilor se numără: folosirea unor șabloane în designul site-ului (i.e. template-uri) cu scopul de a reduce cheltuielile, încorporarea unor tehnologii de urmărire sau de analiză cu scopul de a crește încasările sau realizarea unor audituri necorespunzătoare din perspectiva protecției datelor cu caracter personal, tot în scopul de reduce costurile.


În ciuda beneficiului temporar pe care îl poate aduce oricare dintre acțiunile menționate mai sus, acestea sunt inevitabil acompaniate de riscuri de sancționare pentru lipsa de conformitate, dar mai ales pentru încălcarea prevederilor legale aplicabile în domeniul protecției datelor cu caracter personal, precum Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (GDPR) sau Legea 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice (Legea E-Privacy). Și asta pentru că toate acțiunile menționate mai sus implică sau au un efect direct asupra datelor cu caracter personal prelucrate prin intermediul site-ului web.

Vom analiza în continuare două situații, mult prea des întâlnite în practică, care se pot transforma în adevărate probleme pentru deținătorii de site-uri web, având în vedere regimurile sancționatorii din GDPR și Legea E-Privacy, dar care pot fi evitate în urma unui audit corespunzător și a unui plan de (re)conformare adecvat.

●    Prelucrări de date cu caracter personal contrar opțiunilor exprimate de vizitatori

Inevitabil, orice utilizator, este întâmpinat de interfața unei platforme de gestionare a consimțământului (Consent Management Platform sau CMP) privind tehnologiile de tip cookies sau alte tehnologii de urmărire în momentul în care accesează un site web pentru prima dată sau după o perioadă semnificativă de timp.
Prin intermediul unui CMP, ca regulă generală, utilizatorul este informat în legătură cu: (i) faptul că site-ul web pe care îl accesează folosește tehnologii de urmărire, precum cele de tip cookie sau pixeli de urmărire; (ii) care sunt aceste tehnologii folosite pe site-ul web pe care utilizatorul dorește să-l acceseze; (iii) necesitatea consimțământului său pentru plasarea acestor tehnologii folosite de site-ul web, cu excepția cookie-urilor strict necesare.

În practică însă, un număr alarmant de mare de site-uri web procedează la plasarea unor cookie-uri de măsurare sau analiză, fie în absența consimțământului exprimat de către utilizator, fie și în cazul în care utilizatorul a optat doar pentru fișierele cookie strict necesare.

Cel mai des întâlnit caz este cel al lui Google, respectiv al cookie-urilor sale de măsurare și analiză (i.e. Google Analytics) aproape omniprezente pe majoritatea site-urilor web accesibile din Uniunea Europeană și nu numai. Aceste cookie-uri pot fi ușor identificate prin denumirea identificatorilor lor, respectiv _ga și _gid.
Deși exista o opinie anterioară privind inexistența datelor cu caracter personal în cadrul metadatelor colectate de acest tip de fișiere cookie, o hotărâre recentă a autorității de supraveghere din Austria a stabilit exact contrariul, schimbând astfel paradigma privind fișierele cookie de analiză și statuând că metadatele cuprind date cu caracter personal. La scurt timp după hotărârea autorității din Austria, și autoritatea din Franța s-a aliniat la această opinie printr-o hotărâre de sancționare având concluzii similare.

În prezent, numeroase site-uri web din România se regăsesc în practica descrisă anterior, plasând fișiere cookie de analiză (mai ales din cele create de Google), fără a obține în prealabil consimțământul utilizatorilor care accesează site-ul web sau contrar opțiunilor exprimate de aceștia.

●    Lipsa de transparență privind tehnologiile de urmărire folosite

În situațiile în care sunt achiziționate șabloane de design pentru site-uri web, există situații în care acestea au implementate, în mod implicit (by default) de către cel care a creat șablonul, și tehnologii de urmărire despre care viitorul deținător care folosește respectivul șablon nu poate avea cunoștință în absența unor cunoștințe de specialitate sau în lipsa unui audit corespunzător.

În mod corelativ, există și situații în care echipa IT din spatele unui site web nu realizează o informare corectă a deținătorului despre tehnologiile de urmărire prezente pe respectivul site web și modul de funcționare al acestora, inclusiv existența unor prelucrări de date cu caracter personal.

Ca urmare a unor situații precum cele de mai sus, apar prelucrări de date cu caracter personal ascunse, îndeosebi prin intermediul unor pixeli de urmărire, despre care utilizatorul nu este informat și pentru care acesta nu își exprimă în prealabil consimțământul.
Trebuie reținut faptul că un „pixel de urmărire” este un program software menit să înregistreze o acțiune a unui utilizator (de exemplu, dacă utilizatorul a văzut o reclamă afișată pe site-ul web accesat), colectând totodată și alte metadate, în mod asemănător unui fișier cookie. De asemenea, trebuie avut în vedere că metadatele sunt definite în mod “crud” ca fiind date despre date, precum: momentul când au fost create, cine le-a creat, ce software / hardware a fost folosit pentru a le crea, etc.

În prezent, mai multe site-uri web din România plasează cookie-uri pe care nu le menționează în politica de cookies și în CMP, atunci când solicită consimțământul utilizatorilor, deși acestea nu intră sub categoria fișierelor cookie-urilor strict necesare. Dacă această plasare are loc cu sau fără cunoștința deținătorului site-ului web nu reprezintă o cauză justificativă din perspectiva aplicării unor sancțiuni pentru încălcarea normelor legale aplicabile în domeniul protecției datelor cu caracter personal.

Mai mult decât atât, foarte mulți deținători de site-uri web folosesc pixeli de urmărire fără a solicita consimțământul prealabil al utilizatorilor și fără a le oferi informații despre existența acestora pe site-ul web. Dacă în cazul vulnerabilităților privind securitatea cibernetică, cauza lor este adesea exterioară, în cazul riscurilor prezentate mai sus, eventualele neconformități sau chiar sancțiuni pot fi evitate prin efectuarea unui audit corespunzător din perspectiva protecției datelor cu caracter personal și prin implementarea unui plan adecvat de conformare cu prevederile din GDPR și din Legea E-Privacy.

Având în vedere faptul că în prezent se află în discuție un ghid redactat de către Comitetul European pentru Protecția Datelor privind calcularea cuantumului amenzilor aplicabile în cazul încălcării prevederilor din GDPR, reiterăm faptul că amenzile aplicabile în cazul constatării unor încălcări precum cele de mai sus se pot ridica de până la 20.000.000 euro sau, în cazul unei companii, de până la 4 % din cifra de afaceri totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare.

 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


     

    Ascunde Reclama
     
     

    POSTEAZA UN COMENTARIU


    Nume *
    Email (nu va fi publicat) *
    Comentariu *
    Cod de securitate*







    * campuri obligatorii


    Articol 197 / 17836
     

    Ascunde Reclama
     
    BREAKING NEWS
    ESENTIAL
    Cum s-a schimbat România în ultimul deceniu și ce spun expații din avocatură despre viața, oamenii și experiențele de aici | Markus Piuk, partener Schoenherr: „Din punctul meu de vedere, România are, astăzi, piața de avocatură cea mai dezvoltată în regiunea Europei de Sud-Est. Este o piață deosebit de competitivă, matură, cu firme de avocatură de afaceri ale căror servicii se pot compara, în destule cazuri, cu cele ale firmelor din țări occidentale”
    Cum lucrează echipa de zece avocați specializați și implicați în practica de Dreptul mediului de la NNDKP, ce mandate gestionează și care sunt proiectele reprezentative în care asistă clienții. Roxana Ionescu, partenerul coordonator al practicii: ‘Viziunea noastră s-a construit pe inovație încă de când domeniul era unul emergent. Pe gama aspectelor de mediu, implicarea este una specializată, iar serviciile pe care le furnizam ca firmă sunt integrate’
    EXCLUSIV | MPR Partners intră în al treilea arbitraj ICSID, cu pretenții de cca. 383 mil. €, alături de avocații biroului newyorkez Squire Patton Boggs. De cealaltă parte, lângă reclamanți stă o firmă cu 1200 de avocați și 30 de birouri pe mai multe continente
    NNDKP a asistat PepsiCo în achiziția unui pachet minoritar de acțiuni în AQUA Carpatica. Echipa de proiect, coordonată de partenerul Gabriela Cacerea
    RTPR, alături de Catalyst România în investiția în evoMAG. Alin Stanciu (Partner Catalyst România): Echipa, condusă de Alina Stăvaru, și-a demonstrat și de această dată competența și orientarea pe livrarea de soluții, în timp util
    NNDKP, alături de Isosport în achiziția Novo Tech Group, ce operează o unitate de producție la Oradea. Asistență juridică în legătură cu toate aspectele de drept românesc relevante
    Studiu Refinitiv | Sectorul fuziunilor şi achiziţiilor a frânat puternic în primul semestru al acestui an. Activitatea de M&A a scăzut cu 21 % la nivel global, iar în Europa Estică regresul a fost de 18 %. Câteva firme de avocați cu prezență la București strălucesc, însă, în clasamentele globale și europene
    Avocații Kinstellar spun că au remarcat preocuparea angajatorilor de a creiona strategii de menținere a personalului-cheie, fiind mandatați în acest sens cu elaborarea unor programe de tip Stock Option Plan sau a unor scheme de bonusare în funcție de performanțe. Activitate intensă în practica de Employment, cu mandate diverse și o echipă expusă la proiecte cu un caracter multidisciplinar
    Noul ghid al Comitetului European pentru Protecția Datelor ar putea aduce o creștere statistică a sancțiunilor, spun avocații Wolf Theiss, firmă cu o echipă dedicată proiectelor din acest domeniu | Biroul din București a asistat clienții în tranzacții complexe, care au implicat aspecte mai sofisticate de protecția datelor. Potențialii cumpărători ai unei afaceri sunt din ce în ce mai interesați să înțeleagă riscurile la care se expun din perspectiva protecției datelor și care sunt modalitățile de a se proteja
    Wolf Theiss promovează trei avocați din linia a doua care au participate la unele dintre cele mai importante tranzacţii. Brian Jardine, Managing Partner: Promovarea, recunoaștere a contribuțiilor profesionale deosebite la consolidarea poziției de lider pe piața românească a biroului din București
    LegiTeam: Reff & Associates is looking for a Senior Associate | Banking & Finance
    LegiTeam: Reff & Associates is looking for an Associate | Banking & Finance
     
    Citeste pe SeeNews Digital Network
    • BizBanker

    • BizLeader

        in curand...
    • SeeNews

      in curand...