Începand cu 25 mai 2018 devine aplicabil Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului – privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogarea Directivei 95/46/CE (denumit în continuare “Regulamentul” sau „GDPR”, fiind una dintre cele mai mari schimbari legislative la nivelul UE din ultimii 20 de ani.
Concepte GDPR:
- dreptul la modificarea, restricționarea, portabilitatea și stergerea (anonimizarea) datelor personale;
- informarea detaliata a persoanelor vizate;
- existența unui consimțământ explicit și granular al persoanelor pentru prelucrarea datelor acestora;
- măsuri adecvate de securitate IT
- notificarea autorității în cazul breselor de securitate în maxim 72 de ore de la conștientizarea acestuia
Ce sunt cookie-urile?
Cookies reprezinta un fisier de mici dimensiuni, in general alcatuit din litere si cifre (codificat), trimis de un server unui navigator web si apoi trimis inapoi (nemodificat) de catre navigator, de fiecare data cand acceseaza acel server.
Cookie-urile sunt create atunci cand browserul folosit de catre un utilizator afiseaza un anumit site web. Site-ul web transmite informatii catre browserul, iar acesta creeaza un fisier text. De fiecare data cand utilizatorul acceseaza din nou respectivul site web, browserul acceseaza si transmite acest fisier catre serverul web unde este gazduit site-ul respectiv. Altfel spus, cookie-ul poate fi vazut ca un card de identificare a utilizatorului de Internet, care anunta site-ul web de fiecare data cand utilizatorul se intoarce pe respectivul site.
Scopul utilizarii cookie-urilor
Cookie-urile pot asigura o interactiune mai rapida si mai usoara intre utilizatori si site-urile web. Spre exemplu, in momentul autentificarii unui utilizator pe un anumit site web, datele de autentificare sunt stocate intr-un cookie; ulterior, utilizatorul poate accesa respectivul site fara sa fie nevoie sa se autentifice din nou.
In alte cazuri, cookie-urile pot fi utilizate pentru stocarea de informatii referitoare la activitatile desfasurate de utilizator pe o anumita pagina web, astfel incat acesta sa isi poata relua usor respectivele activitati la o accesare ulterioara a site-ului. Cookie-urile spun serverului ce pagini trebuie sa arate utilizatorului, astfel incat acesta sa nu fie nevoit sa isi aminteasca acest lucru sau sa navigheze intregul site de la inceput. Astfel, cookie-urile pot fi asimilate unor „semne de carte” care ii spun utilizatorului exact unde a ramas in cadrul unui site web.
Este important de mentionat faptul ca site-urile web din Romania au obligatia de a specifica in mod public daca folosesc cookie-uri si in ce scop.
Ce tipuri de cookie-uri utilizam?
Cookie-uri specifice unei sesiuni online
Paginile web nu au memorie. Un utilizator care navigheaza de la o pagina web la alta va fi considerat de catre site-ul web drept un nou utilizator. Cookie-urile specifice unei sesiuni stocheaza un identificator care permite utilizatorului sa treaca de la o pagina web la alta fara sa fie nevoie sa introduca de fiecare data informatiile de identificare (nume de utilizator, parola, etc). Cookie-urile specifice unei sesiuni sunt stocate in memoria calculatorului utilizatorului doar pe durata unei sesiuni de navigare pe Internet si sunt sterse in mod automat in momentul in care browser-ul este inchis. Pot deveni inaccesibile si daca sesiunea a fost inactiva pentru o anumita perioada de timp (de regula, 20 de minute).
Cookie-uri permanente, persistente sau stocate
Cookie-urile persistente sunt stocate la nivelul calculatorului utilizatorului si nu sunt sterse atunci cand sesiunea de navigare este inchisa. Aceste cookie-uri pot retine preferintele utilizatorului pentru un anumit site web, astfel incat acestea sa poata fi utilizate in cadrul altor sesiuni de navigare pe Internet.
Pe langa informatiile de autentificare, cookie-urile persistente pot retine si detalii referitoare la limba si tema selectate pe un anumit site web, preferinte privind meniul unui site, pagini favorite in interiorul unui site, etc. Atunci cand utilizatorul acceseaza un site pentru prima data, acesta este prezentat in modul implicit. Ulterior, utilizatorul selecteaza o serie de preferinte, care sunt apoi retinute de catre cookie-uri si folosite atunci cand utilizatorul acceseaza din nou site-ul. Spre exemplu, un site web isi ofera continutul in mai multe limbi. La prima vizita, utilizatorul selecteaza limba engleza, iar site-ul retine aceasta preferinta intr-un cookie. Atunci cand utilizatorul viziteaza din nou site-ul respectiv, continutul va fi afisat automat in limba engleza.
Cookie-uri flash
Daca utilizatorul are Adobe Flash instalat pe calculator, mici fisiere pot fi stocate in memoria respectivului calculator de catre site-uri web care contin elemente Flash (cum ar fi clipuri video). Aceste fisiere sunt cunoscute sub numele de „local shared objects” sau „cookie-uri flash” si pot fi utilizate pentru aceleasi scopuri ca si cookie-urile obisnuite.
Cookie-urile din perspectiva securitatii informatice si protectiei vietii private
Desi cookie-urile sunt stocate in memoria calculatorului utilizatorului de Internet, ele nu pot accesa/citi alte informatii aflate in respectivul calculator. Cookie-urile nu sunt virusi. Ele sunt doar mici fisiere text; nu sunt compilate sub forma de cod si nu pot fi executate. Astfel, nu se pot auto-copia, nu se pot raspandi in alte retele pentru a genera actiuni si nu pot fi folosite pentru raspandirea de virusi.
Legislatie privind cookie-urile
Legislatie privind utilizarea cookie-urile din perspectiva Uniuni Europene si a Romaniei.
Uniunea Europeneana reglementeaza prin Directiva 2002/58/CE privind prelucrarea datelor personale si protejarea confidentialitatii in sectorul comunicatiilor electronice, modificata prin Directiva 2009/136/CE, prevede ca:
„Art.5 – (3) Statele membre se asigura ca stocarea de informatii sau dobandirea accesului la informatiile deja stocate in echipamentul terminal al unui abonat sau utilizator este permisa doar cu conditia ca abonatul sau utilizatorul in cauza sa isi fi dat acordul, dupa ce a primit informatii clare si complete, in conformitate cu Directiva 95/46/CE, inter alia, cu privire la scopurile prelucrarii. Aceasta nu impiedica stocarea sau accesul tehnic cu unicul scop de a efectua transmisia comunicarii printr-o retea de comunicatii electronice sau in cazul in care acest lucru este strict necesar in vederea furnizarii de catre furnizor a unui serviciu al societatii informationale cerut in mod expres de catre abonat sau utilizator.”
Aceste prevederi au fost transpuse in legislatia nationala in Legea nr.506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice, cu modificarile si completarile ulterioare:
„Art.4 – (5) Stocarea de informatii sau obtinerea accesului la informatia stocata in echipamentul terminal al unui abonat ori utilizator este permisa numai cu indeplinirea in mod cumulativ a urmatoarelor conditii:
(a) abonatul sau utilizatorul in cauza si-a exprimat acordul;
(b) abonatului sau utilizatorului in cauza i s-au furnizat, anterior exprimarii acordului, in conformitate cu prevederile art. 12 din Legea nr. 677/2001, cu modificarile si completarile ulterioare, informatii clare si complete care:
- sa fie expuse intr-un limbaj usor de inteles si sa fie usor accesibile abonatului sau utilizatorului;
- sa includa mentiuni cu privire la scopul procesarii informatiilor stocate de abonat sau utilizator ori informatiilor la care acesta are acces.
In cazul in care furnizorul permite unor terti stocarea sau accesul la informatii stocate in echipamentul terminal al abonatului ori utilizatorului, informarea in concordanta cu pct. (i) si (ii) va include scopul general al procesarii acestor informatii de catre terti si modul in care abonatul sau utilizatorul poate folosi setarile aplicatiei de navigare pe internet ori alte tehnologii similare pentru a sterge informatiile stocate sau pentru a refuza accesul tertilor la aceste informatii.
(51) Acordul prevazut la alin. (5) lit. a) poate fi dat si prin utilizarea setarilor aplicatiei de navigare pe internet sau a altor tehnologii similare prin intermediul carora se poate considera ca abonatul ori utilizatorul si-a exprimat acordul.
(6) Prevederile alin. (5) nu aduc atingere posibilitatii de a efectua stocarea sau accesul tehnic la informatia stocata in urmatoarele cazuri:
- atunci cand aceste operatiuni sunt realizate exclusiv in scopul efectuarii transmisiei unei comunicari printr-o retea de comunicatii electronice;
- atunci cand aceste operatiuni sunt strict necesare in vederea furnizarii unui serviciu al societatii informationale, solicitat in mod expres de catre abonat sau utilizator.”
Gestionarea, dezactivarea si stergerea cookie-urilor
Informatii detaliate referitoare la modalitatile de gestionare, dezactivare si stergere a cookie-urilor pentru cele mai importante browsere sunt detaliate mai jos:
Internet Explorer
Pentru a sterge modulele cookie din Internet Explorer:
- Deschideti Internet Explorer pentru desktop;
- Atingeti sau faceti clic pe butonul Instrumente, indicati spre Siguranta, apoi atingeti sau faceti clic pe Stergere istoric navigare;
- Bifati caseta de selectare Module cookie, apoi atingeti sau faceti clic pe Stergere;
Pentru a bloca sau a permite module cookie:
- Deschideti Internet Explorer pentru desktop.
- Atingeti sau faceti clic pe butonul Instrumente, apoi atingeti sau faceti clic pe Optiuni internet.
- Atingeti sau faceti clic pe fila Confidentialitate, apoi, sub Setari, mutati glisorul in partea de sus pentru a bloca toate modulele cookie sau in partea de jos, pentru a permite toate modulele cookie, apoi atingeti sau faceti clic pe OK.
Daca blocati modulele cookie, se poate ca anumite pagini sa nu se afiseze corect.
Mozila Firefox
- In partea de sus a ferestrei Firefox, clic pe butonul Firefox (meniul Unelte in Windows XP) si apoi clic pe Optiuni in partea de sus a ferestrei Firefox, clic pe meniul Unelte si selectati Optiuni…;
- Selectati panoul Confidentialitate;
- Setati Firefox va: cu optiunea Folosi setari personalizate pentru istoric;
- Bifati casuta Accepta cookie-uri de la saituri pentru activarea cookie-urilor si debifati-o pentru dezactivarea acestora;
Alegeti durata de stocare permisa a cookie-urilor:
- Pastrati pana: cand expira: Fiecare cookie va fi stearsa atunci cand ajunge la data expirarii, care este setata de saitul care a emis-o;
- Pastrati pana: cand inchid Firefox: Cookie-urile stocate in calculator vor fi sterse atunci cand Firefox este inchis;
- Pastrati pana: intreaba de fiecare data: Afiseaza un mesaj de fiecare data cand un sait incearca sa trimita o cookie si va intreaba daca doriti sa o stocati sau nu;
- Clic pe OK pentru a inchide fereastra Optiuni;
Google Chrome
Pentru a controla setarile privind cookie-urile din Google Chrome parcurgeti urmatoarele etape:
- Dati clic pe meniul Chrome Chrome menu in bara de instrumente a browserului;
- Selectati Setari;
- Dati clic pe Afisati setarile avansate;
- In sectiunea „Confidentialitate”, dati clic pe butonul Setari privind continutul;
- In sectiunea „Cookie-uri”, puteti modifica setari pentru cookie-uri.
Definiții GDPR
Persoana vizată
Persoana vizată este o persoană fizică. Exemple de persoane vizate pot fi: candidați, studenți, angajați, persoane de contact etc.
Date personale
Datele cu caracter personal reprezintă informații care, prin ele însele sau cu ajutorul cărora, împreună cu alte informații, pot conduce la identificarea unei persoane fizice.
Exemple de date personale: nume, fotografie, adresă de e-mail, număr de telefon, detalii bancare, postări pe siteuri de socializare, informații medicale, adresa IP sau o combinație a datelor care identifică direct sau indirect persoana respectivă.
Date personale sensibile
GDPR menționează datele personale sensibile ca fiind "categorii speciale de date cu caracter personal". Printre categoriile speciale de date se includ originea rasială sau etnică, afilierile și opiniile politice, credințele religioase sau filosofice, apartenența la sindicate, orientarea sexuală și detalii privind sănătatea, date genetice și biometrice.
Datele cu caracter personal referitoare la anchete în curs sau condamnările penale și infracțiunile nu sunt incluse, dar se impun măsuri de protecție suplimentare pentru prelucrarea acestora.
Operator de date personale (Data Controller)
Orice organizație, persoană sau organism care determină scopurile și mijloacele de prelucrare a datelor cu caracter personal, controlează datele și este responsabilă pentru aceasta, singură sau în comun.
Exemple atunci când Operatorul este o persoană fizică: medicii de familie, farmaciștii și politicienii, atunci când păstrează date personale despre pacienții, clienții, constituenții lor etc.
Împuternicit (Data processor)
Un împuternicit procesează datele în numele unui operator.
Exemplele: companii care ofera servicii de calcul al salariilor, firmele de contabilitate, contabili și companiile de cercetare de piață.
Responsabilul cu protecţia datelor - DPO
Numirea unui responsabil cu protecția datelor (DPO) este obligatorie dacă:
- prelucrarea este efectuată de o autoritate publică;
- activitățile de bază ale unui operator/ împuternicit necesită fie monitorizarea regulată și sistematică a persoanelor vizate pe scară largă, fie constă în prelucrarea unor categorii speciale de date sau date privind condamnările penale;
- instituția are mai mult de 250 angajați.
Responsabilitatea (accountability)
Responsabilitatea este capacitatea instituției (operatorului de date) de a demonstra conformitatea cu regulile GDPR. Regulamentul stipulează, în mod explicit, că aceasta este răspunderea organizației. Pentru a demonstra conformitatea, trebuie implementate măsuri tehnice și organizatorice adecvate. Cele mai bune practici, cum ar fi evaluările impactului asupra vieții private și asigurarea protecției datelor începând cu momentul conceperii (privacy by design), sunt acum cerute din punct de vedere legal în anumite circumstanțe.
Consimțământul
Consimțământul este încuvințarea "liberă, specifică, informată și lipsită de ambiguitate" din partea unei persoane, prin care aceasta își exprimă acordul privind prelucrarea datelor sale personale pentru unul sau mai multe scopuri, fie printr-o declarație, fie printr-o acțiune afirmativă clară.
Acțiunea afirmativă sau opțiunea pozitivă înseamnă că în acest caz consimțământul nu poate fi dedus din tăcere, căsuțe pre-bifate sau inacțiune. De asemenea, trebuie să fie separat de termeni și condiții și să existe o posibilitate simpla de a fi retras.
Consimțămintele existente nu trebuie să fie actualizate automat în pregătirea pentru GDPR, dar trebuie să respecte standardul GDPR pentru a fi specific, granulare, clare, opt-in, documentate corespunzătoare și ușor de retras.
Consimțământul nu este necesar a fi obținut în condițiile în care între organizație și persona ale cărei date sunt colectate există un contract între părți, datele respective fiind necesare pentru întocmirea acestuia. De asemenea, datele personale pot fi colectate/ procesate, fără consimțământ prealabil, dacă există o prevedere legală prin care operatorul de date este obligat să le dețină. Exemple: contractul de studii, contractul de muncă, legea contabilității etc.
Evaluarea impactului asupra vieții private (PIA)
GDPR impune o nouă obligație operatorilor și procesatorilor de date, care trebuie să efectueze o evaluare a impactului asupra protecției datelor (cunoscută și ca evaluare a impactului asupra vieții private sau PIA) înainte de a efectua orice prelucrare cu risc specific de confidențialitate datorită naturii, motivului sau scopului colectării/ procesării.
Procesarea datelor cu caracter personal
Procesarea constă în orice operațiune efectuată asupra datelor personale cum ar fi crearea, colectarea, stocarea, vizualizarea, transportul, utilizarea, modificarea, transferul, ștergerea etc., prin mijloace automatizate sau nu.
Profilarea
Profilarea constă în orice formă de prelucrare automată a datelor cu caracter personal, destinată evaluării anumitor aspecte personale referitoare la o persoană, analizării sau predicției, în special a performanței persoanei la locul de muncă, situației economice, locației, sănătății, preferințelor personale, fidelității sau comportamentului.
Dreptul de acces
Este dreptul persoanei vizate de a obține, de la operator, la cerere, anumite informații referitoare la prelucrarea datelor sale cu caracter personal.
Aria geografică
Domeniul de aplicare teritorial al GDPR include Spațiul Economic European (SEE - toate cele 28 de state membre ale UE), Islanda, Lichtenstein și Norvegia și nu include Elveția.
Terți
O terță parte este orice persoană fizică sau juridică (autoritate publică, agenție sau orice alt organism), în afară de persoana vizată, operatorul, împuternicitul și persoanele care, sub directa autoritate a operatorului sau a împuternicitului, sunt autorizate să proceseze datele.
Transferul
Transferul de date cu caracter personal către țări din afara SEE sau către organizații internaționale este supus unor restricții. Ca și în cazul Directivei privind protecția datelor, datele nu trebuie transportate fizic pentru a fi considerat că sunt transferate. Vizualizarea datelor găzduite într-o altă locație ar reprezenta un transfer în sensul GDPR.
Legislatie
Directiva europeană 95/46/EC, care reglementează prelucrarea datelor cu caracter personal în UE, este înlocuită de GDPR de la 25 mai 2018. Directiva a introdus standarde minime, care au fost implementate prin legislație separată de către fiecare stat membru UE. Acest lucru a oferit statelor membre opțiunea de a extinde domeniul de aplicare a directivei sau de a menține standardele înalte preexistente sau de a decide să nu profite din plin de derogări, ceea ce explică de ce s-au aplicat diferite standarde de protecție a datelor în spațiul european.
Directiva poate fi găsită online la adresa: http://ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-46_part1_en.pdf
Regulamentul general privind protecția datelor (GDPR) a fost adoptat ca Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016.
Spre deosebire de Directiva privind protecția datelor, GDPR se va aplica direct în fiecare stat membru UE, fără a fi nevoie de o legislație de punere în aplicare și va crea un cadru în care să se poată stabili norme mai detaliate. Acest lucru armonizează legislația din Europa.
Regulamentul poate fi găsit online la adresa: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32016R0679
Directiva e-Privacy a fost adoptată pentru prima dată ca Directiva 2002/58/EC a Parlamentului European și a Consiliului. În prezent, controlează drepturile de confidențialitate aplicate tehnologiei și conținutului de comunicații electronice.
Directiva poate fi găsită online la adresa: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32002L0058:en:HTML
După adoptarea GDPR, directiva e-Privacy va fi revizuită pentru a respecta GDPR și va aborda inovațiile tehnologice create de la ultima modificare a directivei din 2009. Un proiect de propunere al regulamentului intitulat "Regulamentul privind confidențialitatea și comunicațiile electronice" a fost lansat la 10 ianuarie 2017. Regulamentul va fi aplicabil oricărui furnizor de servicii de comunicații electronice sau oricărei entități care prelucrează date de comunicații electronice. Aceasta va influența modul în care organizațiile interacționează electronic cu cetățenii UE, inclusiv urmărirea utilizatorilor, colectarea de date în dispozitivele utilizatorilor și marketingul direct.
Proiectul de regulament și documentele aferente pot fi găsite online la adresa: https://ec.europa.eu/digital-single-market/en/news/proposal-regulation-privacy-and-electroniccommunications
EDPS
Autoritatea Europeană pentru Protecția Datelor (EDPS) a fost înființată în 2004, cu scopul de a se asigura că instituțiile și organismele UE respectă dreptul persoanelor la viața privată atunci când prelucrează datele cu caracter personal. În funcțiile sale principale, EDPS (1) supraveghează prelucrarea datelor cu caracter personal de către administrația UE, pentru a asigura conformitatea cu regulile de confidențialitate, pentru a gestiona plângerile și pentru a efectua anchete; și (2) consiliază instituțiile și organismele UE cu privire la toate aspectele legate de prelucrarea datelor cu caracter personal și de politicile și legislația conexe.
Grupul de lucru "Articolul 29"
Grupul de lucru "Articolul 29" ("A29WP") este un organism non-reglementator pentru protecția datelor. Funcția sa principală este de a oferi consultanță experților și de a face recomandări statelor membre și publicului cu privire la protecția datelor și prelucrarea datelor cu caracter personal. Organismul în sine este format din reprezentanți ai autorităților naționale din domeniul protecției datelor ale UE, Autorității Europene pentru Protecția Datelor ("EDPS") și Comisiei Europene. Acesta a fost transformat în "Comitetul european pentru protecția datelor" ("EDPB") în cadrul GDPR.
EDPB
Consiliul European pentru Protecția Datelor va înlocui Grupul de lucru "Articolul 29", iar funcțiile sale vor include asigurarea consecvenței în aplicarea GDPR, consilierea Comisiei Europene, emiterea de coduri de practică și recomandări, acreditarea organismelor de certificare și emiterea de avize cu privire la proiecte pentru decizii ale autorităților de supraveghere.
DPA/ Autoritatea de supraveghere
Autoritățile naționale de protecție a datelor (“DPA”) sunt însărcinate cu protecția vieții private și a datelor cu caracter personal. Fiecare stat membru a desemnat un organism DPA care să pună în aplicare și să aplice legea locală privind protecția datelor și să ofere îndrumare. DPA au competențe semnificative de executare, inclusiv capacitatea de a da amenzi substanțiale.