GDPR: Vânzarea datelor personale în scop comercial e legală, dar folosirea lor se face doar în anumite condiții

De când a intrat în vigoare Regulamentul general privind protecția datelor (GDPR), încălcarea acestuia poate atrage amenzi foarte ridicate pentru companiile în cauză: până la 4% din cifra de afaceri. Măsurile care trebuie luate pentru a se evita o astfel de sancțiune sunt variate și vizează activități diverse.

Printre aceste activități acoperite de GDPR există și practica vânzării datelor personale în scop comercial. Mai exact, datele personale sunt vândute unor parteneri comerciali, astfel încât aceștia să trimită comunicări comerciale (newsletter de informare despre produse sau servicii, oferte speciale etc.).

Am vorbit cu Andreea Lisievici, avocat și partener la PrivacyOne (cabinet specializat în consultanță juridică în legatură cu protecția datelor personale), despre acestă practică a vânzării datelor personale în scop comercial și despre aspectele juridice care caracterizează o astfel de vânzare. Conform specialistei, există două mari chestiuni de care trebuie să țină cont vânzătorii și cumpărătorii de date personale: vânzarea în sine și folosirea datelor ulterior cumpărării.

Vânzarea de date personale trebuie văzută ca orice altă vânzare, fiind legală, în sine. Totuși, trebuie luat în considerare faptul că vânzarea, perfectată prin contract, are efecte doar între cumpărător și vânzător, nefiind opozabilă persoanelor ale căror date sunt vândute sau autorității de supraveghere (la noi, vorbim de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal).

Cu alte cuvinte, persoanele ale căror date sunt vândute nu au nicio obligație apărută în temeiul contractului dintre vânzătorul și cumpărătorul de date personale. Astfel, cel mai important aspect este cum vor fi utilizate datele achiziționate de către cumpărător.

Pentru comunicări comerciale, trebuie obținut iar consimțământul

În ceea ce privește utilizarea acelor date achiziționate, cumpărătorul trebuie să aibă un temei pentru folosirea lor. În concret, dacă va dori să trimită comunicări comerciale, precum un newsletter de informare despre produse sau servicii, va trebui, conform Legii 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, să beneficieze de consimțământul persoanei vizate.

Iar acel consimțământ trebuie să respecte anumite standarde: trebuie să fie liber, specific, informat și lipsit de ambiguitate (fie că este declaratie sau acțiune neechivocă), nefiind dat în „alb” (astfel cum reiese din GDPR, care guvernează calitatea consimțământului). În concret, atunci când este solicitat consimțământul, solicitarea va conține două elemente: identitatea operatorului care se bazează pe acel consimțământ și scopul prelucrării datelor.

Acest lucru înseamnă că operatorul care solicită consimțământul, pentru a beneficia de un consimțământ valid, trebuie să fie același care va trimite comunicările comerciale.

Cu alte cuvinte, dacă o companie beneficiază de consimțământ, în vederea trimiterii de comunicări comerciale pentru ea însăși, iar, ulterior, vinde datele persoanei vizate unei alte companii, compania din urmă nu se va putea baza pe consimțământul dat vânzătorului, întrucât nu este identificată expres.

Astfel, practica prin care se solicită consimțământul pentru trimiterea de comunicări comerciale (și) de la partenerii comerciali ai unei companii nu este conformă cu GDPR.

În orice caz, trebuie reținut că indicarea companiilor menționată mai sus nu se aplică entităților care au acces la date în virtutea calității de împuterniciți pentru prelucrarea datelor (de exemplu, furnizorul soluției de trimitere de e-mail-uri).

Astfel, oricând se fac vânzări de date personale, în scop comercial, cumpărătorii trebuie să rețină că simpla vânzare a datelor personale nu le va da dreptul acestora să le utilizeze în scop comercial. Mai departe, ei trebuie să beneficieze de un consimțământ expres în sensul primirii de comunicări comerciale, care să vizeze acea companie cumpărătoare.

În caz contrar, apare riscul încălcării GDPR și a consecințelor unei astfel de încălcări: sancțiuni de până la 4% din cifra de afaceri.

Începând din 25 mai 2018, GDPR este cadrul legal unic european în materie de prelucrări de date personale. Asta înseamnă că orice firmă care prelucrează date personale, inclusiv companiile românești, trebuie să-i respecte prevederile.