Ce înseamnă GDPR pentru bloggeri, în special pentru cei care lucrează singuri și nu au alte companii în spate? Am povestit deja ce este GDPR, iar în contextul discuției despre General Data Protection Regulation de la Bruxelles, au apărut întrebări și legate de proprietarii de bloguri și site-uri aflați atunci în sală.

 

Foto: © Sbphotos 17 | Dreamstime

Am adunat câteva întrebări și am primit răspunsuri de la Roxana Ionescu, partener NNDKP, pe care am urmărit-o atunci la evenimentul Data Protection Conference. Din cauza acestor nelămuriri a fost organizat oficial și evenimentul GDPR for bloggers, care are loc mâine, 8 noiembrie, de la 7 seara la Qreators by iQuos, în bulevartul Aviatorilor nr. 8A. Dacă aveți timp să mergeți, înscrieți-vă la evenimentul de pe Facebook. Vom afla și mai multe răspunsuri atunci.

Ce înseamnă GDPR

Context. Regulamentul General privind Protecția Datelor (GDPR) reprezintă cea mai mare schimbare adusă la nivelul legilor legate de protecția datelor din ultimii 20 de ani, iar când acesta va intra în vigoare pe 25 mai 2018 urmează să înapoieze cetățenilor europeni controlul asupra datelor personale. Cu toate acestea, impactul nu va fi resimțit doar pe teritoriul Europei, deoarece Regulamentul va avea implicații pentru companiile din întreaga lume ce dețin date ale unor cetățeni din comunitate. Este un nou set de reguli care reglementează confidențialitatea și securitatea datelor cu caracter personal, stabilite de către Comisia Europeană (o explicație simplă).

Ce înseamnă GDPR pentru bloggeri?

Întâi de toate, am lămurit mai exact ce înseamnă date cu caracter personal. Pe scurt, sunt acele date care identifică sau fac o persoană identificabilă (de exemplu, prin raportare la un număr deidentificare, ori la factori specifici identității sale fizice, fiziologice, psihice, economice, culturale sau sociale). Am stabilit astfel că datele cu caracter sensibil sunt acele date care, prin raportare la posibilul impact al utilizării / dezvăluirii acestora, pot prezenta riscuri speciale pentru persoane. Exemple de asemenea date includ datele de sănătate, date privind originea rasială sau etnică. Date privind convingerile politice sau religioase, etc. De regulă, este vorba de date ce pot fundamenta măsuri discriminatorii. Pe legea actuală sunt, de asemenea, considerate date sensibile date de identificare generală (de ex., seria și numărul cărții de identitate, codul numeric personal) și date privind fapte penale și contravenții.

În multe cazuri, calificarea unei date ca fiind cu caracter personal depinde de context. Dacă vorbim despre un bărbat având numărul 47 la picior în București, este puțin probabil ca mărimea să fie considerată dată cu caracter personal. Dar dacă vorbim de aceeași dată în contextul angajaților unei societăți unde numai un bărbat are măsura 47 la picior, atunci acea dată devine dată cu caracter personal, pentru că permite identificarea exactă a persoanei.

Numele, emailul și adresa de IP sunt considerate  date cu caracter personal atât de legea actuală, cât și de GDPR. Dacă în cazul numelui și adresei de email, această calificare a fost acceptată relativ facil, lucrurile au stat diferit în ceea ce privește adresa IP. Astfel, mult după aplicarea Directivei privind Protecția Datelor 95/46/CE (transpusă la noi prin Legea nr. 677/2001), se contesta calificarea adresei IP ca și dată cu caracter personal. Dar acest lucru a fost tranșat atât în cadrul unor procese soluționate de instanțele române, cât și europene.

Deși adresa IP nu identifică direct persoana în cauză, această dată combinată cu altele permite crearea unui profil relativ clar al persoanelor în mediul online. De exemplu, facilitează urmărirea preferințelor la vizitarea website-urilor care mijlocește activitățile de publicitate comportamentală. Cu adoptarea GDPR, lucrurile sunt și mai clare, făcându-se referire expresă la adresa IP ca dată cu caracter personal.

Faza nasoală pentru bloggeri și proprietari de site-uri este că GPDR nu diferențiază între firme mici, ale căror activități nu antrenează un risc semnificativ raportat la volumul de date utilizat, și firme mari, care au la dispoziție resurse semnificative pentru adresarea cerințelor în domeniu. Ambelor categorii li se aplică, în principiu, aceleași cerințe privind asigurarea unui temei legitim pentru prelucrare, prelucrarea datelor neexcesive raportat la scop, asigurarea actualizării și ștergerii datelor, stabilirii duratelor de stocare.

Cele mai importante cerințe GDPR pentru un blog sunt:

– afișarea termenilor și a condițiilor, prin care se detaliază modul în care poate fi accesat și utilizat site-ul;
– afișarea politicii de confidențialitate, prin care este detaliat modul în care sunt folosite datele cu caracter personal colectate prin intermediul site-ului (GDPR impune anumite elemente minime ale acestei informări);
– afișarea politicii de utilizare a cookie-urilor însoțită de un banner ce trebuie să anunțe existența lor la prima accesare a site-ului;

Teoretic, Termenii și Condițiile asigură stabilirea drepturilor și obligațiilor persoanelor raportat la conținutul site-ului și este un mijloc foarte important pentru deliminarea răspunderii blogger-ului. Politicile de confidențialitate și de utillizare a cookie-urilor sunt menite să asigure transparență privind ce se întâmplă cu datele persoanelor. Persoana care vizitează site-ul, optează să se aboneze la newsletter, la feed etc trebuie să își poată controla în mod rezonabil datele, inclusiv prin exercitarea drepturilor stabilite prin GDPR (de exemplu dreptul de acces, ștergere, restrictionare, etc.).

Bloggerul nu trebuie să renunțe la comentarii, dar trebuie să se asigure că persoanele care comentează sunt informate cu privire la modul în care sunt prelucrate datele lor. Trebuie, de asemenea, să se asigure că poate proteja aceste date din punct de vedere al securității și că poate da curs solicitărilor persoanelor privind o eventuală accesare a datelor, rectificare (dacă apar date eronate) sau chiar ștergere.

Atunci când persoanele comentează pe un blog, asumându-și respectarea Termenilor și Condițiilor aplicabile site-ului, se poate considera că prelucrarea se face în temeiul executării unui contract (respectiv, a T&Cs). Conform GDPR, acest temei de utilizare a datelor trebuie identificat și menționat expres în cadrul politicii de confidențialitate.

Eu mai am multe întrebări nelămurite în privința GDPR pentru bloguri, de exemplu, dacă voi fi obligat să angajez la firmă un Data Compliance Officer, cum se anunță pentru firmele mari. Probabil voi fi tot eu pe această funcție. De-asta aștept cu interes evenimentul de mâine.