GDPR: Politicile de confidențialitate ale site-urilor trebuie actualizate de către companii

Politicile de confidențialitate ale site-urilor companiilor trebuie actualizate pentru a respecta prevederile GDPR. Regulamentul respectiv va reprezenta, începând cu data de 25 mai 2018, cadrul legal european unic în materie de prelucrare a datelor personale, acesta fiind obligatoriu pentru toate firmele care folosesc date personale.

Regulile de informare a persoanelor fizice despre prelucrările datelor lor personale sunt mai detaliate în GDPR decât în actualul cadru legal european, în baza acestuia din urmă fiind făcute reglementările naționale în domeniu, conform autorității britanice de supraveghere a prelucrărilor de date personale (ICO).

În acest sens, ICO apreciază că sunt șanse mari ca firmele să fie nevoite să-și actualizeze politicile de confidențialitate. În principal, GDPR prevede că informațiile din politicile de confidențialitate trebuie să fie:

• concise, transparente, inteligibile, ușor accesibile;
• clare și simple, mai ales dacă sunt adresate copiilor;
• puse gratuit la dispoziția persoanelor fizice.

Cam ce acoperă o politică de confidențialitate

Atunci când se întocmește o politică de confidențialitate, trebuie ținut cont, înainte de toate, de activitatea specifică a companiei și de felul în care sunt folosite datele personale colectate prin intermediul site-urilor. Concret, există o formă-schelet pe care companiile o pot respecta la întocmirea politicilor de confidențialitate, însă aceasta trebuie adaptată de la caz la caz.

Conform unui articol publicat de firma de avocatură Davis Wright Tremaine LLP pe platforma Lexology.com, iată cam ce aspecte esențiale ar trebui să figureze într-o politică de confidențialitate:

• cine este operatorul de date personale: denumirea și informațiile de contact ale firmei care decide ce se face cu datele personale colectate, site-urile pentru care se aplică politica de confidențialitate, informațiile de contact ale responsabilului cu protecția datelor (unde este cazul);
• ce date personale sunt prelucrate: categoriile de date personale pe care le strânge sau le obține firma despre persoanele fizice (de exemplu, IP-urile dispozitivelor vizitatorilor, informațiile de localizare a vizitatorilor), inclusiv datele sensibile;
• cum au fost obținute datele personale (cele date direct de utilizatori, cele obținute indirect de la terțe entități etc.);
• din ce motive legale sunt folosite datele personale (de exemplu, interesul legitim, obligația legală sau consimțământul dat de vizitatori);
• cum sunt folosite datele personale (de exemplu, în scopuri de marketing și publicitate);
• dacă datele personale sunt împărtășite cu terțe entități (de exemplu, regii de publicitate, servicii de tip „analytics”, rețele sociale, procesatori de plăți online);
• ce se poate întâmpla dacă un vizitator nu-și dă datele personale (de exemplu, nu i se pot oferi servicii contra-cost);
• dacă vizitatorii site-ului sunt profilați;
• dacă datele personale prelucrate sunt în siguranță, așa cum impune GDPR;
• dacă vizitatorii sunt informați despre drepturile pe care le au și dacă li se oferă pârghiile necesare pentru a le exercita (de exemplu, dreptul la portarea datelor personale sau dreptul la ștergerea datelor personale).

Riscurile încălcării obligațiilor stabilite de GDPR

Spre deosebire de directivele europene, care trebuie transpuse prin legi sau ordonanțe pentru a produce efecte la nivel național, regulamentele europene se aplică direct tuturor statelor membre ale Uniunii Europene, fără ca autoritățile autohtone să facă vreo transpunere. Astfel, dispozițiile GDPR vor trebui aplicate, din data de 25 mai 2018, exact așa cum sunt, fără să fie necesare norme de aplicare.

Firmele (și celelalte entități care desfășoară activități economice) care nu vor respecta GDPR vor risca amenzi de până la 4% din cifra de afaceri mondială totală anuală aferentă exercițiului financiar anterior. Pe deasupra, autoritățile vor putea impune interdicții de prelucrare a datelor personale care se vor putea traduce chiar prin falimentul unei afaceri.

Totuși, din informațiile obținute de avocatnet.ro reiese că autoritatea română de supraveghere a prelucrărilor de date personale nu intenționează să aplice un regim sancționator drastic începând din 25 mai 2018. Mai precis, în perioada de început a aplicării GDPR, reprezentanții autorităților vor fi mai înțelegători cu firmele, însă numai dacă văd că acestea fac eforturi pentru a-și adapta businessurile la prevederile regulamentului european.

Notă: Politica de confidențialitate actualizată a site-ului avocatnet.ro poate fi găsită aici. Celelalte articole scrise de noi despre GDPR pot fi găsite aici.