Cateva informatii despre Datele cu Caracter Personal in contextul comertului electronic
Unul din criteriile de preselectie (si de a obtine certificarea TRUSTED) la Gala Premiilor eCommerce 2011 este inregistrarea la ANSPDCP. Cum am avut discutii si cu Andrei de ce e necesara aceasta, am preferat sa explicitez un pic subiectul (care este valabil, in anumite limite, si pentru ale site-uri, nu doar pentru magazinele online).
Premisa: Magazinele online colecteaza date cu caracter personal
N-ai cum altfel. Ca sa preiei comanda, sa o livrezi si sa o facturezi in mod legal, trebuie sa colectezi datele persoanei. Multe dintre magazine le folosesc, insa, si in scop de marketing, profilare etc.
Si, ca sa fim clari de la inceput, nu e nimic gresit in asta. Este absolut normal, atata vreme cat respecti conditiile impuse de lege – e vorba, in principal, de legea 677/2001.
Ok, si ce zice legea?
(aici simplific foarte mult lucrurile, va rog cititi legea pentru o analiza detaliata a prelucrarii voastre a datelor personale sau consultati un avocat)
Legea te pune sa te intrebi de ce le colectezi (scopul – in cazul nostru poate fi: facturare, livrare, marketing) si daca datele colectate pentru acest scop sunt adecvate, pertinente si neexcesive.
Am nevoie de adresa ca sa trimit produsul ? Sigur ca am.
Am nevoie de etnia persoanei ca sa-l trimit? Evident ca nu am. Etc.
Bine, am inteles asta, atunci ce trebuie sa mai fac? Pai:
- sa obtin consimntamantul persoanei vizate (Ok, il pun sa bifeze o chestie cind isi face contul)
- sa-l informez cine sunt, de ce ii colectez datele, ce date colectez si ce drepturi are – si sa le si respect (Da, parca am un Privacy Policy pe site)
- sa-i dau posibilitatea sa le corecteze (Perfect, il invat sa se logheze in contul sau)
- sa sterg datele cind nu mai sunt necesare (Bine, fac o procedura prin care daca nu mai revine pe site in xy luni, sa se stearga automat)
- sa ii dau posibilitatea sa ceara stergerea datelor (Ok, avem o adresa de email dedicata)
- sa respect niste norme minime de securitate pentru pastrarea lor ( Pai da, am auzit si eu de Wikileaks, avem parole bune, le schimbam la odata la 3 luni etc.) – aici vedeti Ordinul 52/2002.
Bine, si inregistrarea de ce trebuie ?
Pe linga faptul ca este gratuita si se poate face online, este si o oblgatie legala.
Dar noi am pus-o doar pe aceasta ca o conditie obligatorie, pentru ca trecerea prin acel formular te pune sa citesti legea si sa te gindesti ce date personale colectezi si ce faci cu ele. Si, in mod normal, sa respecti cele de mai sus.
Din experienta jurizarii in anii trecuti, conditiile mentionate mai sus nu ar fi indeplinite decit de putine magazine. Iar scopul nostru este unul predominant de educare si nu de impunere a unor criterii. Asta inseamna si ca unele din cele de mai sus ar putea sa devina criterii obligatorii in viitor (au fost criterii de diferentiere in jurizare la editiile precedente GPeC).
Doua mentiuni finale
1. Daca faceti analiza mentionata mai sus, intrebati-va daca chiar este absolut necesar sa-i ceri fiecarui utilizator sa isi faca un cont ca sa comande de la voi. Eu am atatea conturi deschise si sunt siderat de numarul de date personale cerute, astfel incit cind gasesc unul care sa NU imi ceara sa fac cont pentru (UNA BUCATA) comanda, ma face sa-l plac mai mult si sa comand de acolo (d-aia prefer booking.com, de exemplu)
2. Notificarea la autoritate nu este necesara in toate cazurile de procesare a datelor personale. Decizia 100/2007 a Autoritatii detalieaza aceste cazuri. Aceasta exceptie, insa, nu va exonereaza de respectarea celorlalte obligatii.
Daca un magazin ar folosi datele doar pentru facturare si livrare, ar putea intra in exceptia prevazuta la art 1 lit a. Doar ca magazinele stocheaza datele in cont si, dupa incheierea comenzii, folosesc datele cel putin si pentru marketing, profilare etc. si – poate cel mai important – colecteaza date personale si inainte sa iti faci un cont (Adresa de email, IP si/sau cookie).
Deci, IMHO, oricum nu scapati. :)
Autor: Bogdan Manolea, Legi-Internet
Salut,
din cate inteleg eu in lege la art 3 se definesc datele cu caracter personal: orice informatii referitoare la o persoana fizica identificata sau identificabila; o persoana identificabila este acea persoana care poate fi identificata, direct sau indirect, in mod particular prin referire la un numar de identificare ori la unul sau la mai multi factori specifici identitatii sale fizice, fiziologice, psihice, economice, culturale sau sociale;
De aici eu inteleg ca atata timp cat cer doar numele si adresa de livrare si nr de telefon acestea nu intra la datele cu caracter personal reglementate prin lege. Deci nu toate magazinele online trebuie sa notifice Autoritatea.
Daca as cere CNP, serie nr buletin, varsta, etc ar fi alta poveste.
Dacă strig către o mulțime de oameni „Andrei POPESCU” și dacă în acea mulțime există un „Andrei POPESCU” o să răspundă… deci a fost identificat.
Numai numele unei persoane dacă îl ai stocat într-o bază de date și tot trebuie să te înregistrezi.
Sa inteleg ca exista un singur Andrei Popescu in Romania ? Oricum numele nu intra in definitia datelor cu caracter personal definita de lege (vezi postul de mai sus).
Definitia art 3 trebuie citita cu atentie – (…)o persoana identificabila este acea persoana care POATE fi identificata (…)
Definitia, care este cam aceeasi prin toate UE pt ca urmeaza directiva 95/46/ec , reuneste orice informatie care POATE duce (si nu neaparat duce in toate cazurile) la identificarea unei persoane. Fie direct (cum ia exemplul eRadical), fie indirect (de ex. prin intermediul unei baze de date, publica sau nepublica, care leaga acea informatie de numele persoanei).
De aceea vor fi considerate date cu caracter personal nu doar numele, adresa sau numarul de telefon, ci inclusiv o simpla adresa de email, numarul de inmatriculare a unei masini sau chiar adresa IP. Tocmai de aceea nu vei gasi vreo enumerare exhaustiva a datelor personale.
Pentru detalii vezi Avizul 4/2007 cu privire la conceptul de date cu caracter personal al Grupului de Lucru Articolul 29 (ei discutia definitia din directiva)
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_ro.pdf
Merci Bogdan.
Raspunsul a fost mai clar decat ce am gasit pe site-ul Autoritatii.
In cazul unei firme care opereaza un magazin online si nu a stiut din varii motive ca trebuie sa notifice Autoritate (necunoasterea legii de ex ) practic in acest moment nu are nici o posibilitate sa intre in legalitate decat luand o amenda care merge pana la 100 mil dupa cum se vede la art 31. Necunoasterea legii nu e o scuza, dar sunt convins ca sunt multe cazuri.
Practic in acest moment pot sa functioneze ca si pana acum si daca sunt prinsi sa incaseze o amenda sau sa incerce sa intre in legalitate si sa incaseze o amenda. Voi ce ati alege ?
Cristi,
Teoretic, ai dreptate, desi se poate acorda si un avertisment pentru o contraventie (e in legea generala privind contraventiile).
Practic, nu prea e asa – daca ar fi asa, atunci singurul lucru care l-ar face cei de la Autoritate ar fi sa stea pe scaun si sa dea amenzi celor care vin sa se notifice. :-) Lucrul asta nu se intampla, pentru ca nu e nici in interesul lor (respectarea legii).
Daca auzeam de o asemenea practica, nu o puneam in criterii – ar fi fost aberant.
Daca cumva, prin absurd, apare vreo astfel de situatie, o scoatem din criterii. :-)