Impactul G.D.P.R. asupra aplicațiilor de carsharing

By septembrie 20, 2017Protectia Datelor Personale

Impactul G.D.P.R. asupra aplicațiilor de carsharing Uber si Taxify

 

G.D.P.R. aduce schimbări majore în modul de percepție al importanței datelor personale, astfel că ne-am propus să prezentăm impactul pe care îl va avea Regulamentul în industrii cheie.

Începem, așadar, seria de articole cu impactul G.D.P.R. asupra aplicațiilor.

Întrucât Uber și Taxify sunt printre cele mai cunoscute aplicații, articolul va cuprinde o scurtă comparație și analiză asupra politicii actuale de confidențialite folosită de cele doua companii.

Potrivit prevederilor G.D.P.R, operatorii de platforme de carsharing trebuie să precizeze care sunt categoriile de date personale colectate, scopul colectării acestora, precum și temeiul în baza căruia se colectează și procesează acestor date. În caz contrar, aceștia vor fi pasibili de aplicarea unor sancțiuni pecuniare al căror cuantum este exorbitant.

 

Din perspectiva scopului prelucrării, remarcăm că cei doi operatori – atât Uber cât și Taxify – respectă în mare parte aceste prevederi, în cuprinsul politicilor privind confidențialitatea datelor acestora fiind menționate în mod transparent toate informatiile necesare.

 

Totuși, potrivit principiului “reducerii la minimum a datelor”, care prevede că datele colectate și procesate se vor limita strict la ceea ce este necesar, în raport cu scopurile în care sunt prelucrate, Uber colectează și informații despre contactele din agenda dispozitivului dvs., respectiv numele și datele de contact, , pe lângă informațiile despre locație ș.a., aspect ce nu este în concordanță cu prevederile G.D.P.R.

Tot Uber, dintre cele două, nu precizează perioada de stocare a datelor cu caracter personal colectate sau procedura de ștergere, corectare, pseudonimizare, și nici drepturile persoanei vizate, printre care și “dreptul de a fi uitat”, dreptul de acces, opoziție și intervenție în orice moment asupra datelor cu caracter personal furnizate etc., limitându-se doar la a enumera aceste aspecte, fără a prezenta însă procedura concretă (de exemplu, exercitarea drepturilor persoanelor vizate se poate face prin transmiterea unei cereri scrise la sediul societății, datate și semnate în original de către titularul cererii).

 

Astfel, clienții oricăror tipuri de aplicații trebuie să își poată exercita următoarele drepturi privind datele lor personale :

  • Dreptul de a li se confirma, în mod gratuit, o dată pe an, dacă datele lor personale sunt sau nu prelucrate
  • Dreptul de a interveni asupra datelor transmise
  • Dreptul de a se opune asupra prelucrării datelor, pe motive întemeiate și legitime, legate de situația lor particulară ș.a.

Totodată, scopul colectării trebuie să se limiteze strict la ceea ce este necesar, pe când companiile colectează de multe ori date personale și în alte scopuri, precum:

 

  • Pentru a furniza, menține și îmbunătăți Serviciile, inclusiv, de exemplu, pentru a facilita plățile, a trimite sumare, a furniza produse și servicii pe care le solicitaţi (și a transmite informațiile asociate), a dezvolta noi caracteristici, a furniza asistență pentru Utilizatori și Șoferi, a dezvolta caracteristici de siguranță, a autentifica utilizatorii și a transmite actualizări ale produselor și mesaje administrative;
  • Pentru a efectua operațiunile interne, inclusiv, de exemplu, pentru a preveni frauda și abuzul de Servicii; a rezolva disfuncțiile de software și problemele operaționale; a efectua analiza datelor, testarea și cercetarea; a monitoriza și analiza tendințele de utilizare și activitate;
  • Pentru a vă trimite comunicări despre care considerăm că prezintă interes pentru dvs., inclusiv informații despre produsele, serviciile, promoțiile, știrile și evenimentele companiei, atunci când acest lucru este permis și respectă legislația locală; și a prelucra înscrierile la concursuri, tombole sau alte promoții și a trimite premiile câștigate;
  • Pentru a personaliza și îmbunătăți Serviciile, inclusiv pentru a furniza sau recomanda diverse opțiuni, conținuturi, conexiuni sociale, recomandări și reclame.

 

Prevederea privind posibilitatea dezactivării colectării datelor exacte despre locație reprezintă un punct forte, însă nu ar trebui să fie limitată doar la această categorie de date, ci la toate categoriile de date cu caracter personal colectate și procesate de către operator (cum ar fi informațiile despre tranzacțiile referitoare la utilizarea serviciilor companiei, distanța parcursă, data și ora la care a fost furnizat serviciul, tariful perceput, informații despre dispozitive – modelul de hardware, sistemul de operare, versiunea, și site-ul sau serviciul terț pe care l-ați utilizat înainte de a interacționa cu serviciile acestei companii).

Din punct de vedere al aplicatiei ca si software, Uber a implementat într-un mod foarte pozitiv noile principii introduse de G.D.P.R. cu privire la crearea de aplicații, și anume Privacy by design & by default, ceea ce demosntrează deschiderea companiei spre conformare.

Luând la analizat și politica de confidențialitate a aplicației Taxify, am observat că este menționată și perioada pentru care datele cu caracter personal vor fi colectate și stocate, respectiv durata în care contul este activ, ulterior acestea urmând a fi șterse – așa cum impune G.D.P.R.

Dacă ne raportăm la regula “reducerii la minimum a datelor”, Taxify colectează și procesează date personale ca: numele, numărul de telefon și adresa de email a utilizatorilor aplicației, locația (în cazul în care aplicația este activată), soluția fiind în deplină concordanță cu principiile Regulamentului, pentru că se limitează la a colecta și procesa doar datele relevante și necesare în raport cu scopurile în care sunt prelucrate.

Tot în politica de confidențialitate a celor de la Taxify, la fel,  în conformitate cu G.D.P.R., este menționată și procedura privind securitatea transmiterii datelor personale către terțe persoane, procedura de ștergere a datelor personale colectate și stocate la solicitarea persoanei vizate, precum și drepturile acesteia, respectiv: dreptul de a solicita informații despre datele personale stocate, dreptul de a stopa, corecta sau suplimenta datele cu caracter personal colectate și stocate ș.a.

 

Ambelor aplicații le lipsesc însă concepte cheie prevăzute de G.D.P.R., dintre care menționăm procedura breșelor de date, conform căreia persoana vizată trebuie să fie informată cu privire la caracteristicile încălcării procedurii și la măsurile luate în scopul evitării oricărei consecințe negative.

 

Dacă și tu ai dezvoltat o aplicație și nu știi dacă mai este legală din perspectiva Regulamentului General privind Prelucrarea Datelor ( G.D.P.R. ), contactează-ne la [email protected] și te putem ajuta în procesul de conformare.

 

 

Cristiana Deca,

Specialist în protecția datelor

Leave a Reply