856.000 euro amenda GDPR

Unul dintre cei mai mari retaileri online din Finlanda, Verkkokauppa.com, a fost recent amendată de autoritatea de supraveghere națională cu o amendă deloc de neglijat: 856.000 euro (detalii aici).

Cum s-a ajuns aici: un client al retailerului finlandez s-a plâns autorității de faptul că a fost obligat să își creeze cont de utilizator pentru a cumpăra de pe site-ul acestuia.

Autoritatea de supraveghere finlandeză a demarat o investigație și a constatat că plângerea clientului a fost întemeiată, dar a mai constatat și că retailerul stoca datele personale pe o durată excesivă pentru că deliberat nu a setat o durată de stocare a acestora considerând că nu e necesar atâta vreme cât utilizatorii au posibilitatea de a șterge oricând contul și, implicit datele cu caracter personal asociate contului.

Această practică a fost considerată ca fiind contrară principiilor Regulamentului GDPR și sancționată cu o amendă considerabilă (856000 euro) al cărei cuantum a fost stabilit, printre alți factori, pe baza cifrei de afaceri a operatorului. Deși decizia poate fi atacată pe cale administrativă în fața instanțelor de judecată naționale finlandeze, comunicatul autorității din care am preluat informațiile menționează că într-o cauză similară (operatorul fusese sancționat pentru că nu a stabilit durata de stocare a datelor prelucrate în legătură cu amenzile de parcare)  instanța supremă nu a permis apelarea deciziei, astfel că amenda aplicată a rămas valabilă.

Vă veți întreba, probabil, de ce este relevantă această decizie pentru operatorii din România. Sunt cel puțin trei motive pentru care ne-am oprit asupra acesteia.

Primul, pentru că această practică este omniprezentă în piața retailerilor online din România. În documentele disponibile pe site-urile unora dintre cei mai mari retaileri online am găsit redată explicit exact practica sancționată de autoritatea finlandeză: exemplu 1: “Lansarea comenzilor se poate face doar dupa ce Clientul isi creeaza contul de Utilizator si furnizeaza in mod corect toate datele solicitate.” Și exemplu 2: “După definitivarea coșului tău de cumpărături, pentru a putea plasa comanda, este necesar să te autentifici folosind contul tău […] sau să îți creezi un cont aici.”

Al doilea, pentru că seriozitatea cu care autoritatea de supraveghere din Finlanda a tratat o practică extrem de răspândită în mediul comercianților online ne conduce cu gândul la importanța și mai ales la valoarea datelor personale colectate prin instrumente precum conturile de utilizator.

Ca orice alte date personale, datele cuprinse în conturile de utilizator trebuie prelucrate conform principiilor prevăzute de GDPR. În cazul de față este relevant principiul limitării prelucrării datelor personale în raport de scop, prevăzut în art. 5 alin. 1 lit. b – “Datele cu caracter personal sunt: (…) colectate în scopuri determinate, explicite şi legitime şi nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri (…) „. Prin urmare, dacă scopul prelucrării datelor colectate cu ocazia plasării unei comenzi unice este cumpărarea produselor din acea comandă unică, prelucrarea datelor personale colectate trebuie limitată la acest scop unic care încetează o dată cu finalizarea comenzii, cel mult o dată cu finalizarea livrării. Pe de altă parte, datele colectate prin crearea unui cont de utilizator sunt prelucrate și în alte scopuri decât cel anterior menționat, care exced scopului inițial al plasării unei comenzi  unice – exemple de scopuri ale prelucrării datelor personale colectate în urma creării contului de utilizator: urmărirea istoricului comenzilor, lansarea unor comenzi repetitive, urmărirea comportamentului cosumatorului într-o perioadă dată etc.

Prin urmare, dacă scopul utilizatorului este de a plasa o singură comandă, stocarea datelor personale ale unui utilizator pe o perioadă nedefinită (cu excepția datelor personale a căror păstrare este obligatorie în conformitate cu legislația fiscală) excede acestui scop și încalcă principiul limitării prelucrării datelor personale în raport de scopul acesteia, prevăzut de art. 5 alin. 1 lit. b din Regulament.

Al treilea, pentru că GDPR este aplicabil în toate statele membre ale Uniunii Europene, iar autoritățile de supraveghere din toate aceste state pe baza practicii lor naționale, elaborează în cadrul entității de reglementare și supraveghere la nivel european – EDPB (European Data Protection Board) ghiduri și recomandări care vor servi ulterior drept instrumente aplicabile în interpretarea și aplicarea Regulamentului oriunde la nivelul UE.

În concluzie, decizia autorităților finlandeze este un “kind reminder” pentru toti operatorii de date – magazine online de a revedea prin prisma principiilor GDPR atât politica de stocare a datelor cu caracter personal, cât și etapele pe care clienții lor sunt obligați să le parcurgă în procesul de plasare a unei comenzi, etape din care are trebui să lipsească obligativitatea creării unui cont de utilizator.