Detii un magazin online? Iata 3 intrebari & raspunsuri despre GDPR
Protectia datelor cu caracter personal este un subiect pe care orice magazin online trebuie sa il aiba in vedere inainte de a incepe sa functioneze, intrucat protectia datelor persoanelor fizice in mediul online, dar si offline se bucura de un cadru legislativ strict.
Regulamentul (UE) 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date (Regulamentul general privind protectia datelor sau GDPR) se aplica operatiunilor de prelucrare a datelor cu caracter personal.
Cum stii daca magazinul tau online prelucreaza date cu caracter personal? Conform GDPR, prelucrare inseamna orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea.
In mod inevitabil, prin interactiunea cu clienti sau cu potentiali clienti (fie persoane fizice, fie persoane juridice prin reprezentantii lor persoane fizice), se va aplica GDPR si va fi necesara conformarea cu dispozitiile relevante.
Pentru a respecta cerintele impuse de GDPR, magazinul online, care are calitatea de operator de date cu caracter personal, ar trebui sa analizeze si sa raspunda mai multor intrebari, respectiv sa efectueze analize detaliate ale operatiunilor de prelucrare a datelor cu caracter personal, in functie de fiecare situatie in parte.
Iata 3 dintre intrebarile despre GDPR si principalele orientari pentru conformare:
Este necesar sa notific Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP) daca prelucrez date personale?
De la intrarea in vigoare a GDPR (25 mai 2018), dispozitiile acestui regulament se aplica direct in Romania si nu este necesara notificarea prelucrarii datelor personale la autoritate. Exista insa alte obligatii in raport cu ANSPDCP, precum notificarea urmatoarelor: numirea responsabilului cu protectia datelor (Data Protection Officer/ DPO), incalcarile de securitate, consultarea prealabila in cazul efectuarii unei evaluari de impact (Data Protection Impact Assessment/ DPIA).
Este obligatoriu sa numesc un responsabil cu protectia datelor/ DPO?
Conform GDPR, desemnarea DPO este obligatorie in urmatoarele cazuri:
prelucrarea este efectuata de o autoritate sau un organism public, cu exceptia instantelor care actioneaza in exercitiul functiei lor jurisdictionale;
activitatile principale ale operatorului sau ale persoanei imputernicite de operator constau in operatiuni de prelucrare care, prin natura, domeniul de aplicare si/sau scopurile lor, necesita o monitorizare periodica si sistematica a persoanelor vizate pe scara larga; sau
activitatile principale ale operatorului sau ale persoanei imputernicite de operator constau in prelucrarea pe scara larga a unor categorii speciale de date sau a unor date cu caracter personal privind condamnari penale si infractiuni.
Ce inseamna acest lucru pentru un magazin online? In principiu, pentru un magazin online ar putea fi incident cazul in care are loc o monitorizare periodica si sistematica a persoanelor vizate pe scara larga.
Ce inseamna monitorizare periodica si sistematica a persoanelor vizate pe scara larga? Conceptul de monitorizare periodica si sistematica nu este definit in GDPR, dar include toate formele de urmarire si profilarea pe Internet, inclusiv in scop de publicitate comportamentala, astfel cum retine si ANSPDCP. Ca exemple, astfel de cazuri sunt activitatile de marketing bazate pe date, urmarirea locatiei, spre exemplu, prin aplicatii mobile; programe de loialitate; publicitate comportamentala; monitorizarea wellness, fitness si a datelor de sanatate prin intermediul dispozitivelor portabile.
In concluzie, este nevoie de o analiza detaliata pentru a vedea daca este obligatorie desemnarea unui responsabil cu protectia datelor. Cu toate acestea, in cazul in care nu este clar daca exista o obligatie in acest sens, o buna practica este totusi numirea unui DPO.
In ce conditii pot trimite legal emailuri publicitare/ promotionale/ newslettere clientilor?
In primul rand, Legea nr. 365/2002 privind comertul electronic prevede faptul ca efectuarea de comunicari comerciale prin posta electronica (email) este interzisa, cu exceptia cazului in care destinatarul si-a exprimat in prealabil consimtamantul expres pentru a primi asemenea comunicari.
In al doilea rand, Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice prevede faptul ca este interzisa efectuarea de comunicari comerciale prin utilizarea unor sisteme automate de apelare si comunicare care nu necesita interventia unui operator uman, prin fax ori prin posta electronica sau prin orice alta metoda care foloseste serviciile de comunicatii electronice destinate publicului, cu exceptia cazului in care abonatul sau utilizatorul vizat si-a exprimat in prealabil consimtamantul expres pentru a primi asemenea comunicari. Dispozitii similare se regasesc si in Propunerea de Regulament privind respectarea vietii private si protectia datelor cu caracter personal in comunicatiile electronice si de abrogare a Directivei 2002/58/CE (Regulamentul privind viata privata si comunicatiile electronice/ E-privacy Regulation).
In alte cuvinte, comunicarile nesolicitate (cold email sau cold calling) sunt interzise – este ceea ce se cheama legile anti-spam.
O situatie speciala este aceea in care magazinul online obtine in mod direct adresa de posta electronica a unui client, cu ocazia vanzarii catre acesta a unui produs sau serviciu. In aceasta situatie magazinul online poate utiliza adresa respectiva, in scopul efectuarii de comunicari comerciale referitoare la produse sau servicii similare pe care le comercializeaza, cu conditia de a oferi in mod clar si expres clientilor posibilitatea de a se opune printr-un mijloc simplu si gratuit unei asemenea utilizari, atat la obtinerea adresei de posta electronica, cat si cu ocazia fiecarui mesaj, in cazul in care clientul nu s-a opus initial (soft opt-in).
Ca regula generala, inclusiv in lumina GDPR, trebuie obtinut consimtamantul persoanei vizate pentru marketing. Cu toate acestea, pentru marketing-ul electronic, deci in situatia in care se intentioneaza transmiterea de emailuri publicitare/ promotionale/ newslettere clientilor existenti, se poate aplica exceptia de la regula consimtamantului. Conditiile care trebuie indeplinite in acest sens sunt urmatoarele:
datele de contact sa fi fost obtinute de catre magazinul online cu ocazia unei vanzari anterioare catre acelasi client, deci sa fie vorba despre clienti existenti, iar nu potentiali clienti;
datele de contact sa fi fost obtinute in mod legal, conform GDPR – acest lucru presupune, printre altele, ca trebuie sa existe o baza legala pentru prelucrare, dintre cele prevazute de GDPR, precum consimtamant, executarea unui contract, indeplinirea unei obligatii legale, protejarea intereselor vitale ale persoanei vizate sau ale altei persoane fizice, interes legitim;
produsul/ serviciul pentru care se face publicitate apartine magazinului online insusi;
produsul/ serviciul pentru care se face publicitate este similar celui care a fost comercializat anterior acelei persoane;
clientului trebuie sa i se ofere posibilitatea in mod clar si distinct de a se opune, in mod gratuit si facil, primirii de comunicari comerciale;
dreptul de a se opune sa fie acordat la momentul colectarii datelor de contact si de fiecare data cand este trimis un mesaj (dezabonare/ unsubscribe).
Este foarte important de mentionat faptul ca aspectele precizate mai sus trebuie sa se coreleze cu GDPR, intrucat adresa de email (care reprezinta data personala) este prelucrata de catre magazinul online odata ce se transmite un mesaj pe acea adresa de email. Pe cale de consecinta, magazinul online poate:
sa transmita comunicari de marketing pe baza consimtamantului persoanei vizate – in baza art. 6 alin. (1) lit. a) din GDPR: persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice – in acest caz in scop de marketing;
sa trimita astfel de comunicari clientilor existenti daca sunt indeplinite conditiile stricte impuse de lege - in baza art. 6 alin. (1) lit. f) din GDPR: prelucrarea este necesara in scopul intereselor legitime urmarite de operator sau de o parte terta, cu exceptia cazului in care prevaleaza interesele sau drepturile si libertatile fundamentale ale persoanei vizate, care necesita protejarea datelor cu caracter personal, in special atunci cand persoana vizata este un copil.
Linia de demarcatie intre regula (consimtamant) si exceptia (lipsa consimtamantului) de mai sus este foarte fina, intrucat, pentru ca magazinul online sa se poata baza pe interesul sau legitim (art. 6 alin. (1) lit. f) din GDPR), trebuie sa efectueze testul interesului legitim/ testul de echilibru. Mai precis, este necesar sa se analizeze in ce masura interesul magazinului online prevaleaza asupra asteptarilor persoanei vizate.
In concluzie, ori de cate ori interesul legitim nu poate fi retinut conform GDPR ca baza legala a prelucrarii, este necesar consimtamantul persoanei respective pentru transmiterea comunicarilor comerciale. In mod evident, si consimtamantul trebuie sa respecte cerintele impuse de GDPR, adica sa fie exprimat in mod liber, fara constrangeri de orice fel, sa fie specific, informat, lipsit de ambiguitate si explicit, adica exprimat printr-o declaratie sau printr-o actiune fara echivoc.
Nu in ultimul rand, precizam faptul ca orice interactiune cu clientii a unui business online presupune prelucrarea datelor personale. Numai prin vanzarea unui produs magazinul online va prelucra cel putin datele de facturare ale clientilor, astfel ca indeplinirea obligatiilor legale reprezinta pilonul oricarei afaceri, oricat de mica, iar protectia datelor personale pe Internet este o preocupare majora.
Avocat titular Cabinet individual - Baroul Bucuresti
Master Dreptul afacerilor - Facultatea de Drept Universitatea din Bucuresti
Universitatea Paris I Panthéon – Sorbonne - Colegiul Juridic Franco-Roman
Facultatea de Drept - Universitatea din Bucuresti
INPPA
Accesul salariatilor in Revisal – plus si inovatie pentru actualii si fostii angajati
Influencer, Blogger, Vlogger sau Youtuber - cum intri in legalitate?
Cum investesti legal in criptomonede in Romania?
3 motive pentru care sa iti inregistrezi marca
Detii un site web? Iata 3 lucruri de avut in vedere pentru a fi in legalitate
Stimulentul de insertie – ce noutati prevede legea?
Introducerea Certificatului Verde Digital – un pasaport COVID-19?
Colaborarea persoana fizica – persoana juridica: 3 greseli frecvente
Decriptarea noului Regulament Crypto al UE: spre o legislatie durabila
Colaborarea ca freelancer si colaborarea cu freelanceri in Romania: Cum sa protejam drepturile de proprietate intelectuala
Distribui link-uri pe Internet? Cand sunt incalcate drepturile de proprietate intelectuala?
Cum este reglementat crowdfunding-ul prin platforme digitale?
Ghidul de dropshipping - Cum deschid o firma pentru vanzare online prin dropshipping?
Cum se autorizeaza business-urile care ofera cursuri online?
In ce conditii se pot face afaceri cu criptomonede in Romania?
Update – Digitalizarea companiilor - Finantare europeana pentru proiecte in sectorul IT&C: produse/servicii/aplicatii inovative
Semnatura electronica pe documentatiile de arhitectura, constructii si urbanism
Update - Fonduri nerambursabile pentru IMM, PFA, CMI si ONG afectate de COVID-19
Finantare europeana pentru proiecte in sectorul IT&C: produse/servicii/aplicatii inovative
Cine are obligatia de a depune declaratia privind beneficiarul real si care este termenul de depunere?
Platforme online - noi reguli ale Uniunii Europene pentru transparenta serviciilor de intermediere online
Now It’s Easier Doing Business in Romania – Practical Guide
Detii o firma? Iata 4 noutati pe care trebuie sa le stii pentru afacerea ta!
Cum se schimba piata muncii din Romania in era digitala?
Masuri luate de angajatori cu privire la contractul individual de munca in contextul starii de urgenta determinate de COVID-19
Dreptul contractelor digitale sau eliminarea insecuritatii juridice in furnizarea continutului/ serviciilor digitale transfrontaliere
Straini in Romania - intrebari privind regimul juridic al contractelor de munca si al dreptului de sedere pe durata starii de urgenta
Geoblocarea si geofiltrarea din perspectiva dreptului concurentei
Aplicarea regulilor de concurenta in contextul starii de urgenta
Telefon:
0737.376.247
E-mail: avocat@andreearainerlaw.ro
Copyright © Andreea Rainer - Cabinet de Avocat. Toate drepturile rezervate. || Termeni si conditii || Politica de confidentialitate