Daniel Vinerean, D&B David şi Baias: Ce riscuri ascunse au deţinătorii de site-uri web din perspectiva GDPR? Două situaţii des întâlnite în practică
Păstrarea anonimităţii online este în zilele noastre un deziderat greu de îndeplinit în condiţiile în care simpla vizită a unui site web presupune, în mod aproape sigur, o prelucrare de date cu caracter personal. Mai mult, din nevoia de eficientizare a costurilor şi dorinţa de maximizare a profiturilor, mulţi deţinători de site-uri web, fie de prezentare sau e-commerce, recurg la tot felul de metode care servesc acestor scopuri, dar care, în cele din urmă îi expun unor riscuri de sancţionare pentru lipsa de conformitate din punct de vedere GDPR.
Printre metodele folosite pentru eficientizarea costurilor se numără: folosirea unor şabloane în designul site-ului (i.e. template-uri) cu scopul de a reduce cheltuielile, încorporarea unor tehnologii de urmărire sau de analiză cu scopul de a creşte încasările sau realizarea unor audituri necorespunzătoare din perspectiva protecţiei datelor cu caracter personal, tot în scopul de reduce costurile.
În ciuda beneficiului temporar pe care îl poate aduce oricare dintre acţiunile menţionate mai sus, acestea sunt inevitabil acompaniate de riscuri de sancţionare pentru lipsa de conformitate, dar mai ales pentru încălcarea prevederilor legale aplicabile în domeniul protecţiei datelor cu caracter personal, precum Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date (GDPR) sau Legea 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice (Legea E-Privacy). Şi asta pentru că toate acţiunile menţionate mai sus implică sau au un efect direct asupra datelor cu caracter personal prelucrate prin intermediul site-ului web.
Vom analiza în continuare două situaţii, mult prea des întâlnite în practică, care se pot transforma în adevărate probleme pentru deţinătorii de site-uri web, având în vedere regimurile sancţionatorii din GDPR şi Legea E-Privacy, dar care pot fi evitate în urma unui audit corespunzător şi a unui plan de (re)conformare adecvat.
- Prelucrări de date cu caracter personal contrar opţiunilor exprimate de vizitatori
Inevitabil, orice utilizator, este întâmpinat de interfaţa unei platforme de gestionare a consimţământului (Consent Management Platform sau CMP) privind tehnologiile de tip cookies sau alte tehnologii de urmărire în momentul în care accesează un site web pentru prima dată sau după o perioadă semnificativă de timp.
Prin intermediul unui CMP, ca regulă generală, utilizatorul este informat în legătură cu: (i) faptul că site-ul web pe care îl accesează foloseşte tehnologii de urmărire, precum cele de tip cookie sau pixeli de urmărire; (ii) care sunt aceste tehnologii folosite pe site-ul web pe care utilizatorul doreşte să-l acceseze; (iii) necesitatea consimţământului său pentru plasarea acestor tehnologii folosite de site-ul web, cu excepţia cookie-urilor strict necesare.
În practică însă, un număr alarmant de mare de site-uri web procedează la plasarea unor cookie-uri de măsurare sau analiză, fie în absenţa consimţământului exprimat de către utilizator, fie şi în cazul în care utilizatorul a optat doar pentru fişierele cookie strict necesare.
Cel mai des întâlnit caz este cel al lui Google,
