Gestionarea datelor în furnizarea de servicii online

Noi linii directoare importante de reglementare

Serviciile online au devenit o parte a vieții noastre de zi cu zi. Furnizarea de servicii online este aproape întotdeauna însoțită de un anumit grad de gestionare a datelor. Pe de o parte, furnizăm noi înșine datele atunci când decidem să folosim serviciile online și, pe de altă parte, creăm și date despre noi în timpul utilizării serviciului. Datorită naturii serviciilor online, normele generale de protecție a datelor trebuie interpretate corespunzător și adaptate la serviciile online. Recent, au apărut, de asemenea, două noi linii directoare care ar putea ajuta la interpretarea cerințelor de confidențialitate asociate cu furnizarea de servicii online. (Ambele linii directoare sunt proiecte publicate pentru consultare publică.)

furnizarea

Una dintre orientări este Regulamentul 2/2019 privind prelucrarea datelor în conformitate cu articolul 6 alineatul (1) litera (b) din GDPR emis de Comitetul European pentru Protecția Datelor (AEPD) în cadrul serviciilor online pentru persoanele vizate. s. Ghid.

Cealaltă este Designul adecvat pentru vârstă al Autorității pentru Protecția Datelor din Marea Britanie (ICO): un cod de practică pentru serviciile online.

Pentru ambele linii directoare, termenul „servicii online” este utilizat în sensul „servicii ale societății informaționale”, astfel cum este definit în Directiva 2015/1535 (a se vedea articolul 2). Serviciul societății informaționale: „orice serviciu furnizat în mod normal pentru remunerare, la distanță, prin mijloace electronice și la cererea individuală a destinatarului unui serviciu”.

1. Liniile directoare ale Comitetului european pentru protecția datelor

Articolul 6 alineatul (1) litera (b) din GDPR oferă o bază legală pentru prelucrarea datelor cu caracter personal atunci când „prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a lua măsuri la cererea persoanei vizate înainte contractul este încheiat. "

În cazul în care prelucrarea datelor este necesară pentru furnizarea serviciului solicitat de persoana vizată, este în interesul ambelor părți să aibă loc prelucrarea datelor, deoarece neprocesarea datelor ar frustra furnizarea serviciului. În practică, aplicabilitatea acestui temei legal poate, în multe cazuri, face dificilă determinarea prelucrării datelor care poate fi clasificată în temeiul acestui temei juridic și în ce măsură este necesar să ne bazăm pe un alt temei legal (în primul rând consimțământul sau interesul legitim).

Valabilitatea contractului

Una dintre condițiile prealabile pentru aplicabilitatea acestui temei juridic este existența unui contract valabil. Valabilitatea contractului poate fi evaluată pe baza legislației contractuale aplicabile. De exemplu, în conformitate cu cerințele contractelor de consum sau cu regulile speciale din contractele cu copiii.

Necesitatea și alte baze legale pentru prelucrarea datelor

Pe baza avizului AEPD, articolul 6 alineatul (1) litera (b) Nu acoperă prelucrarea datelor care nu este necesară în mod obiectiv pentru prestarea serviciului contractual, chiar dacă este altfel necesar pentru celelalte scopuri comerciale ale operatorului de date.

În acest context, AEPD face trimitere la opinia WP29 că „… dispoziția nu se aplică situațiilor în care prelucrarea nu este de fapt necesară pentru executarea unui contract, ci este impusă unilateral persoanei vizate de către operator. În plus, faptul că anumite activități de prelucrare a datelor sunt acoperite de un contract nu înseamnă automat că prelucrarea datelor este necesară pentru executarea contractului. "(Avizul 06/2014)

AEPD atrage, de asemenea, atenția asupra obligației operatorilor de date de a lua în considerare aspectele persoanei vizate medii atunci când ia în considerare necesitatea prelucrării datelor. În acest sens, este de remarcat faptul că EDPB a folosit termeni precum „părți interesate medii”, „părți interesate în mod rezonabil”. Este vorba despre modul în care acești termeni și concepte vor fi umplute cu conținut în viitor și modul în care aceste categorii pot servi drept punct de referință atunci când se aplică regulile de protecție a datelor.

Aplicabilitatea articolului 6 alineatul (1) litera (b) din GDPR

Operatorul se poate baza pe acest temei juridic numai dacă prelucrarea are loc în cadrul (sau pentru a încheia) un contract valabil cu persoana vizată., și gestionarea datelor este necesară pentru executarea contractului.

Următoarele întrebări pot ajuta la evaluarea aplicabilității temeiului juridic:

  • Ce tip de serviciu oferă operatorul de date persoanei vizate? Care sunt caracteristicile acestui serviciu?
  • Care este scopul contractului (adică conținutul și obiectul său de bază)?
  • Care sunt elementele esențiale ale unui contract?
  • Care sunt așteptările reciproce ale părților contractante cu privire la contract? Cum se face publicitate serviciului celor afectați? Pentru un utilizator mediu, având în vedere natura serviciului, se așteaptă ca managementul planificat al datelor să îndeplinească contractul?

Alte motive

Dacă, având în vedere cele de mai sus, prelucrarea datelor nu este necesară în legătură cu contractul și, prin urmare, acest temei juridic nu poate fi aplicat, atunci prelucrarea datelor poate avea loc numai dacă există un alt temei legal adecvat. În acest context, se poate pune în joc consimțământul sau un interes legitim, cu condiția, desigur, să fie îndeplinite condițiile aplicabile acestor baze legale.

Date speciale

Prelucrarea datelor specifice în conformitate cu articolul 6 alineatul (1) litera (b) din GDPR este posibilă numai dacă este îndeplinită și una dintre condițiile de la articolul 9 alineatul (2) literele (b) - (j). Dacă niciunul dintre acestea nu se aplică, prelucrarea datelor specifice este posibilă pe baza consimțământului (consimțământul explicit, articolul 9 alineatul (2) litera (a)).

Cazuri speciale

Liniile directoare discută, de asemenea, unele cazuri specifice, dar mai frecvente. Acestea includ prevenirea fraudei, gestionarea datelor pentru îmbunătățirea serviciului, utilizarea publicității comportamentale online etc. În ceea ce privește aceste tipuri de activități, EDPB concluzionează că, în general, ar trebui utilizat un temei juridic diferit, întrucât aceste activități nu sunt necesare pentru executarea contractului.

2. Ghidul ICO

Prelucrarea datelor copiilor este un domeniu în care operatorii de date trebuie să fie deosebit de atenți și precauți. Ghidul stabilește și detaliază 16 cerințe pe care operatorii de date ar trebui să le ia în considerare în legătură cu serviciile online pentru copii. Aceste cerințe sunt după cum urmează:

Anexa la ghid poate oferi, de asemenea, asistență utilă operatorilor de date, de exemplu prin intermediul șablonului de evaluare a impactului atașat.