Zilele trecute, CJUE a stabilit că la categoria operatori de date personale intră și companiile care administrează pagini de fani de pe rețeaua de socializare Facebook. Asta înseamnă că firmele au și ele obligații legale față de vizitatorii paginilor lor de pe rețeaua de socializare.
„Companiile nu se vor mai putea ascunde de responsabilitatea pe care o au față de vizitatorii paginii lor de Facebook motivând ca nu au acces la datele lor. Administratorii de fan page se încadrează în parametrii în care se prelucrează datele vizitatorilor, fie ei utilizatori Facebook sau nu, prin urmare definesc scopul și mijloacele colectării, potrivit CJUE”, a spus pentru avocatnet.ro Simona Radu, associate partner, Fraud Investigation & Dispute Services, EY România.
Specialista a atras atenția că răspunderea este, totuși, comună cu Facebook, ea nu este exclusiv a firmei care administrează o pagină de pe rețeaua de socializare.
„Cu toate acestea, Curtea menționează că o responsabilitate comună a operatorilor față de vizitatori nu echivalează cu o responsabilitate egală între operatori, având în vedere că aceștia contribuie în mod diferit la activitățile de prelucrare a datelor. În atare situație, administratorii de pagină au o responsabilitate mai mare față de vizitatorii fără cont de Facebook atrași pe acea pagină, dar ale căror date sunt colectate prin intermediul cookie-urilor, prin simpla vizionare a paginii de Facebook aparținând unei companii”, a spus Simona Radu.
Înainte de orice, companiile trebuie să informeze vizitatorii paginilor lor de Facebook despre ce informații le prelucrează. De exemplu, este vorba de mai ales de cookie-uri.
„Așa cum remarcă și Curtea, pentru conformitate cu cerințele în materie de protecția datelor cu caracter personal, administratorii trebuie să publice pe paginile lor din rețelele de socializare note de informare complete cu privire la prelucrările pe care le efectuează prin pagină, inclusiv cu privire la prelucrările datelor colectate prin intermediul cookie-urilor rețelei de socializare”, a precizat, la solicitarea noastră, Costin Sandu, senior attorney at law la Schoenherr și Asociații. Astfel, notele de informare trebuie să fie ușor accesibile și scrise într-un limbaj simplu.
„Trebuie, deci, ca administratorii să identifice acele mijloace tehnice pentru a se asigura că pot publica această informare, ceea ce poate să pună unele probleme în funcție de rețeaua de socializare folosită și de facilitățile pe care le pune aceasta la dispoziție. Este interesant de văzut și cum vor aborda administratorii informațiile obținute și prelucrările efectuate dinainte de publicarea acestor note de informare”, a completat Costin Sandu, care este specializat în protecția datelor. Acesta a atras, practic, atenția că decizia CJUE se poate aplica și altor rețele de socializare (de exemplu, Instagram, LinkedIn sau Twitter), nu numai Facebook.
Ideea a fost prezentată și de Anca Atanasiu, avocat senior al practicii de data protection la Radu și Asociații SPRL | EY Law, aceasta subliniind că, „în contextul derulării activității de administrare a unei pagini profesionale de Facebook, este esențial ca operatorii economici să își reevalueze poziția pe care au adoptat-o din perspectiva protecției datelor personale și să întreprindă o serie de măsuri”. Mai precis, specialista spune că firmele ar trebui să se ocupe de:
- delimitarea activităților în cadrul cărora administratorul paginii acționează în calitate de operator asociat, atât în relația cu Facebook, cât și cu alți terți operatori;
- informarea persoanelor vizate cu privire la activitățile de prelucrare a datelor personale desfășurate prin intermediul paginii de Facebook, furnizând informații privind părțile implicate în activitățile de prelucrare și rolul acestora în etapele de prelucrare a datelor;
- alocarea rolurilor pentru a adresa solicitările venite din partea persoanelor vizate cu privire la exercitarea drepturilor acestora;
- evaluarea și stabilirea nivelului de răspundere prin raportare la activitățile de prelucrare în care administratorul acționează ca operator asociat.
Totuși, o eventuală limitare a răspunderii ar necesita încheierea unui acord, în acest sens Anca Atanasiu spunând, mai exact, că „limitarea răspunderii nu va putea avea loc, însă, în lipsa unui acord încheiat cu ceilalți operatori implicați în activitatea de prelucrare, în speță Facebook. Rămâne de văzut însă modalitatea în care Facebook va alege să își modifice termenii și condițiile de utilizare a serviciilor astfel încât acestea să respecte cerințele GDPR cu privire la activitatea operatorilor asociați”.
În fine, avocatul senior al practicii de Data Protection la Radu și Asociații SPRL | EY Law a conchis că trebuie avute în vedere și obligațiile impuse de GDPR pentru fiecare firmă care prelucrează date personale.
„În plus față de cele de mai sus, vor trebui avute în vedere și obligațiile ce revin fiecărui operator de date conform GDPR, cu privire la activitățile de prelucrare pentru care acesta decide scopul și mijloacele prelucrării în mod independent, respectiv prelucrarea legală și în siguranță a datelor personale, măsurile necesare a fi implementate și costurile aferente acestora variind de la companie la companie”, a declarat Anca Atanasiu.
Începând cu data de 25 mai 2018, UE are un cadru legal unic în materie de date personale, reprezentat de GDPR (Regulamentul general privind protecția datelor). Acesta se aplică direct tuturor statelor membre UE, deci și României, astfel că firmele care prelucrează date personale trebuie să-i respecte prevederile.
Însă de ce este importantă hotărârea CJUE pentru mediul de afaceri din România? Pentru că hotărârile CJUE conțin interpretări obligatorii pentru instanțele UE care se pot confrunta cu spețe asemănătoare. Cu alte cuvinte, dacă românii cheamă firmele în instanță pentru că acestea nu-și respectă obligațiile de protecție a datelor inclusiv în cazul paginilor administrate pe Facebook, companiile pot fi trase la răspundere.