Daniel-Mihail Şandru, Răspunderea administratorului unei pagini găzduite de o rețea socială. Calitatea de operator în sensul reglementărilor privind protecția datelor, Dreptul, 7/2019 [integral]

Daniel-Mihail Șandru, Răspunderea administratorului unei pagini găzduite pe o rețea socială. Calitatea de operator în sensul reglementărilor privind protecția datelor [Liability of the Administrator of a Page Hosted by a Social Network. Quality of Controller within the Meaning of the Regulations on Personal Data Protection], Dreptul, nr. 7/2019, p. 160-174, ISSN 1018-0435

CEEOL, EBSCO, SSRN, ECFS, GooogleScholar, HeinOnline

Daniel-Mihail Sandru – relevant activities in the field of personal data protection

21-22 martie 2019 – Conferința europeană a serviciilor financiare (ECFS 2019) / European Conference on Financial Services – ECFS 2019 organizată de Institutul de Studii Financiare, București, Asociația Centrul de Arbitraj și Mediere în Asigurări (ACAMA), București, Societatea Română de Cercetare pentru Afaceri Publice și Private, Tîrgu Mureș.

PPT: researchgate, academia.edu

citări:

Nicolae Dragoș Ploeșteanu, Carina Csiszar, Prelucrarea datelor medicale, exercitarea dreptului la liberă exprimare și protecția acestor date. Studiu de caz, RRDE, nr. 1/2020, p. 65

D.-M. Șandru, Răspunderea administratorului unei pagini găzduite de o rețea socială. Calitatea de operator în sensul reglementărilor privind protecția datelor, în revista Dreptul 07:160-174. 2019 citat în Alexandra Cerasela Pană, Aplicarea regulamentelor europene în domeniul securității cibernetice. Rolul Agenției Uniunii Europene pentru securitate cibernetică, Pandectele române, nr. 2/2020, p. 73

Cezar Tită, Dana Tită, Datele personale și internetul, în vol. Laura Nicolae-Gavrilă, Adrian Cristian Moise, Bogdan Ghidirmic (coord.), Conferința națională cercetări avansate în științe juridice, economice și administrative, Ed. Sitech, 2019, p. 93

Dreptul, nr. 7/2019

Răspunderea administratorului unei pagini găzduite de o rețea socială. Calitatea de operator în sensul reglementărilor privind protecția datelor

Prof. univ. dr. Daniel-Mihail Şandru[1]

Rezumat:

Curtea de Justiție interpretează în mod uniform dreptul Uniunii Europene prin procedura trimiterii preliminare. Rețelele sociale pun la dispoziția oricărei persoane posibilități de comunicare individuală sau în comunități. Întâlnirea dintre Curtea de Justiție și rețelele sociale nu este nouă, doar că acum instanța europeană a consolidat interpretarea noțiunii de operator în cadrul reglementărilor privind protecția datelor cu caracter personal. Administratorul unei pagini găzduite de o rețea socială este operator în sensul legislației europene. Lucrarea încearcă să coreleze principalele atribute ale operatorului cu funcțiile administratorului unei pagini găzduite de o rețea socială și să aprofundeze răspunderea acestui administrator.

Cuvinte cheie:

răspundere; operator; protecția datelor; Curtea de Justiție a Uniunii Europene; administrator pagină; rețea socială.

Context

Hotărârile Curții de Justiție a Uniunii Europene pronunțate în urma formulării unei cereri de decizie preliminară sunt obligatorii. Caracterul obligatoriu se referă la toate elementele hotărârii, însă cu precădere la dispozitiv și are efecte erga omnes, atât pentru instituțiile Uniunii Europene, cât și pentru statele membre și autoritățile ori instituțiile acestora. În cauza C-210/16,[2] Wirtschaftsakademie Schleswig-Holstein, Curtea de Justiție a Uniunii Europene (CJUE) a adus lămuriri în privința noțiunii de „operator”, noțiune centrală în privința stabilirii drepturilor și obligațiilor actorilor din sistemul instituit de reglementarea privind protecția datelor cu caracter personal.[3] Încă dinainte a de se fi pronunțat hotărârea în cauza C-210/16 am atras atenția că va fi o hotărâre importantă în privința protecției datelor în comunitățile virtuale.[4]

În definirea contextului avem în vedere trei elemente cheie: rețea socială, operator și administratorul unei pagini de rețea socială. Acestea sunt esențiale pentru a înțelege argumentele Curții de Justiție în sensul considerării unui administrator de pagină creată pe o rețea socială ca fiind operator în sensul Regulamentului general privind protecția datelor (GDPR). Rețeaua socială este construită pe o platformă de internet, un site web, care pune la dispoziția utilizatorilor, gratuit sau nu, spațiu și mijloace tehnice pentru constituirea unui site web sau a unei pagini, care funcționează în cadrul platformei, conform termenilor și condițiilor acesteia. Pentru fiecare dintre rețele sociale existente, datele utilizatorilor sunt importante și fac parte din planul de afaceri,[5] relația dintre utilizatori și societățile care oferă servicii gratuite pe internet fiind în esență de natură feudală.[6] Statisticile arată cum veniturile din publicitate au crescut în direcția on line, dar nu în orice direcție, ci cu precădere pentru Facebook și Google. Doar Facebook ar avea 20% din piața on-line de publicitate[7]. Pentru a se sublinia trecerea de la publicațiile cu un control redacțional la utilizarea rețelelor, în literatura dedicată drepturilor omului în internet se subliniază că în 2013 – 2014 publicația New York  Times avea, într-o lună, un număr de vizualizări egal cu acela dintr-o zi pe Youtube.[8] Fiecare utilizator al unei rețele sociale poate fi valorizat (”monetizat”, cu sensul de transformat în beneficii) și poate fi măsurat din punctul de vedere al activității sale în rețeaua socială[9]. Wikipedia consideră rețele sociale: Facebook, YouTube, WhatsApp, Facebook Messenger, WeChat, Instagram, QQ, QZone, Tik Tok, Sina Weibo, Twitter, Reddit, Baidu Tieba, Skype, LinkedIn, Viber, Snapchat, Line, Pinterest, Telegram, Tinder (această ordine are în vedere numărul de membrilor activi în iulie 2018).[10] În România, cele mai utilizate sunt Facebook, Google, Youtube (fără a avea date statistice relevante).[11] Punctul comun al rețelelor sociale este posibilitatea ca utilizatorii fiecăreia dintre ele, dincolo de contul propriu de membru să poată realiza o „pagină” care se poate referi la o afacere (produs), o comunitate de idei, o comunitate educațională (universitară, școlară) pe care să o administreze. Rolul de administrator se interpune între rețeaua socială și utilizatorii/ membrii paginii, având în vedere respectarea obligațiilor legilor naționale și internaționale, dar și a termenilor și condițiilor pe care le acceptă în momentul creării paginii. În fine, definiția operatorului este chiar în Regulamentul general privind protecția datelor și o vom utiliza pe aceasta întrucât este asemănătoare celei din directivă,[12] respectiv „persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern” (art. 4 pct. 7). În continuarea acestei definiții trebuie avute în vedere și obligații, precum și natura juridică definite de art. 26 GDPR în privința operatorilor asociați, noțiune care se întâlnește „în cazul în care doi sau mai mulți operatori stabilesc în comun scopurile și mijloacele de prelucrare”. Dar oare există un „în comun” atunci când una dintre părți acceptă termeni și condiții? Hotărârea nu ia în considerare posibilitatea aplicării regimului juridic de la operatorii asociați, ci doar îl consacră  operator pe administratorul paginii. Referința la operator nu are în vedere vreun criteriu prevăzut de Regulament cu privire la obligativitatea numirii responsabilului cu protecția datelor, a respectării art. 30 și art. 35. În plus, vor trebui avute în vedere Avizul nr. 1/2010 al Grupului de lucru pentru art. 29 privind conceptele de „operator” și „persoană împuternicită de către operator”,[13] care analizează pe larg conceptele fundamentale: „stabilește”, „persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism”, „care, singur sau împreună cu altele,” „stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal”. Astfel, trebuie observat că Avizul a fost urmat de Curtea de Justiție, fără să fie citat, în stabilirea cadrului factual, concret, iar nu în analiza juridică a unor documente, dând prevalență faptul că administratorul paginii de pe o rețea socială facilitează profilarea și colectarea datelor utilizatorilor. Expresia „care, singur sau împreună cu altele” este desigur foarte relevantă în context, fiind îndeplinită o condiție esențială a definiției.[14]

Cadrul factual al trimiterii Wirtschaftsakademie, C-210/16.

„Wirtschaftsakademie oferă servicii de formare prin intermediul unei pagini pentru fani găzduite de Facebook.” (pct. 14) Așadar, suntem în prezența unui operator reglementat de Regulamentul general privind protecția datelor, care are o pagină pe o rețea socială.

„Prin decizia din 3 noiembrie 2011,  [autoritatea de protecția datelor] ULD[15], în calitatea sa de autoritate de supraveghere, în sensul articolului 28 din Directiva 95/46, responsabilă cu supravegherea aplicării pe teritoriul landului Schleswig-Holstein (Germania) a dispozițiilor adoptate de Republica Federală Germania în temeiul acestei directive, a somat Wirtschaftsakademie, în conformitate cu articolul 38 alineatul (5) prima teză din BDSG, să dezactiveze pagina pentru fani pe care a creat-o pe Facebook la adresa www.facebook.com/wirtschaftsakademie, sub sancțiunea unei penalități cu titlu cominatoriu în cazul neexecutării în termenul stabilit, pentru motivul că nici Wirtschaftsakademie, nici Facebook nu informau vizitatorii paginii pentru fani că acesta din urmă colecta, cu ajutorul unor cookies, informații cu caracter personal care îi vizau și că acestea prelucrau apoi respectivele informații. Wirtschaftsakademie a introdus o reclamație împotriva acestei decizii, arătând în esență că ea nu răspundea, în raport cu dreptul aplicabil protecției datelor, nici de prelucrarea datelor efectuată de Facebook, nici de cookie-urile instalate de acesta din urmă.” Pagina amintită există și în acest moment pe rețeaua socială. În practica administrativă ulterioară intrării în vigoare a Regulamentului sunt două evidențieri pe care trebuie să le facem: în primul rând, cea mai mare amendă de până în prezent se referă la dreptul la informare care nu a fost respectat de operator,[16] iar în al doilea rând reacția autorității olandeze privind împiedicarea accesului sau acceptarea cookies ca „preț” al accesului pe un site.[17]

Contestația împotriva deciziei a fost respinsă întrucât autoritatea care a pronunțat decizia a considerat că Wirtschaftsakademie era operator pentru pagina de pe rețeaua socială. Mai mult autoritatea de protecția datelor a arătat că, „prin faptul că a creat pagina sa pentru fani, Wirtschaftsakademie aducea o contribuție activă și voluntară la colectarea de către Facebook a unor date cu caracter personal privind vizitatorii acestei pagini pentru fani, date de care ea profita prin intermediul statisticilor puse la dispoziție de acesta din urmă”. (pct. 17) Acest raționament a fost păstrat de Curtea de Justiție.

„Wirtschaftsakademie a introdus o acțiune împotriva acestei decizii la Verwaltungsgericht (Tribunalul Administrativ, Germania), susținând că prelucrarea datelor cu caracter personal efectuată de Facebook nu poate să îi fie imputată și că ea nu a însărcinat nicidecum Facebook să procedeze, în sensul articolului 11 din BDSG, la prelucrarea unor date pe care le-ar controla sau pe care le-ar putea influența. Wirtschaftsakademie deducea din aceasta că ULD ar fi trebuit să se îndrepte direct împotriva Facebook, iar nu să adopte împotriva sa decizia atacată.” (pct. 18). Această instanță a anulat decizia, considerând că nu suntem în prezența unui operator atunci când administrează o pagină pe o rețea socială. Și instanța superioară a respins apelul autorității de protecția datelor, păstrând decizia, subliniind că există o serie de măsuri care trebuie luate progresiv, pentru conformarea la legislația privind protecția datelor, iar nu desființarea paginii. În plus administratorul paginii nu prelucrează date personale în urma consultării serviciului Facebook, ci doar poate urmări statistici, care sunt excluse de la protecție. Autoritatea a atacat această decizie cu recurs, la Bundesverwaltungsgericht (Curtea Administrativă Federală, Germania) considerând „că încălcarea săvârșită de Wirtschaftsakademie se referă la faptul că aceasta a încredințat unui furnizor necorespunzător, întrucât acesta nu respectă dreptul aplicabil protecției datelor – în cazul de față, Facebook Ireland –, realizarea, găzduirea și întreținerea unui site internet. Somația adresată Wirtschaftsakademie prin decizia atacată, de a proceda la dezactivarea paginii sale pentru fani, ar viza astfel remedierea acestei încălcări, de vreme ce i-ar interzice să continue utilizarea infrastructurii Facebook ca bază tehnică a site-ului său internet.” În trimiterea preliminară formulată, însăși Bundesverwaltungsgericht a considerat că administratorul unei pagini de pe o rețea socială nu este operator în sensul reglementărilor privind protecția datelor.

Raționamentul Curții de Justiție

Codul de utilizator face identificabilă o persoană, așadar îi conferă drepturi, iar lipsa de informare, prin nerespectarea principiului transparenței protecției datelor este un alt aspect, indicat în mod direct în raționament. Se urmărește doar traseul tehnic și beneficiile operatorului și ale administratorului paginii de rețea socială. În principiu, așa cum subliniază și CJUE, „reglementarea europeană urmărește să garanteze un nivel ridicat de protecție a drepturilor și a libertăților fundamentale ale persoanelor fizice, în special a dreptului la viață privată, în privința prelucrării datelor cu caracter personal” (pct. 26, făcându-se referire la hotărârea din 11 decembrie 2014, Ryneš, C‑212/13, EU:C:2014:2428, punctul 27 și jurisprudența citată). În consecință, în pct. 28-29, Curtea a analizat definiția „operatorului” și aplicabilitatea acesteia unui administrator de pagină de pe o rețea socială, utilizând cele mai înalte standarde de protecție a persoanei vizate.

În prima premisă a raționamentului hotărârii, Curtea a reamintit jurisprudența Google Spain și Google[18] în care a definit în mod larg noțiunea de operator, întrucât numai în acest mod se realizează o protecție eficientă și completă a persoanelor în cauză.

A doua premisă  majoră a silogismului este faptul că operatorul stabilește, singur sau împreună cu alți operatori scopurile și mijloacele de prelucrare a datelor cu caracter personal.[19] Această a doua premisă este mai greu de explicat și se ridică întrebarea fundamentală: în ce măsură un administrator de pagină de rețea socială stabilește scopurile și mijloacele de prelucrare a datelor?

Pentru a răspunde la această întrebare am preluat două clauze din termenii și condițiile pe care Facebook le impune administratorilor de pagini. Astfel, în privința colectării de date de la utilizatori, se arată că: „În cazul în care colectați conținut și informații direct de la utilizatori, Pagina, Grupul sau Evenimentul dumneavoastră va specifica faptul că dumneavoastră (și nu Facebook) efectuați colectarea; în plus, veți informa utilizatorii și veți obține consimțământul acestora în legătură cu utilizarea conținutului și a informațiilor pe care le colectați. Indiferent de modul în care obțineți conținutul și informațiile de la utilizatori, aveți responsabilitatea de a obține toate permisiunile necesare pentru a reutiliza conținutul și informațiile acestora.”[20]

Din acest fragment, rezultă că administratorul paginii este operator cel puțin în privința colectării, cu atât mai mult cu cât în unele situații administratorul paginii poate solicita declinarea adevăratei identități a unui membru Facebook.[21]

Administratorul paginii are acces la funcția „Facebook Insight” și în consecință își poate adapta modalitățile de comunicare, de publicare a anunțurilor, chiar dacă funcția amintită pusă la dispoziție oferă date statistice. Mai mult, Curtea consideră că administratorul este operator chiar dacă statisticile sunt anonime întrucât prin intermediul acestuia Facebook își poate sistematiza mijloacele de profilare pe care le poate realiza cu privire la utilizatori, atât utilizatori care sunt membri Facebook, dar mai ales că se poate referi și la persoane care nu sunt membri Facebook și care nu au așteptări legitime cu privire la profilarea Facebook. Publicitatea comportamentală a făcut obiectul unui aviz al Grupului de lucru pentru Articolul 29[22]: „[p]ublicitatea comportamentală este o formă de publicitate care se întemeiază pe observarea comportamentului indivizilor de-a lungul timpului. Aceasta urmăreşte să studieze caracteristicile acestui comportament prin intermediul acţiunilor lor (vizite succesive ale site-urilor, interacţiuni, cuvinte-cheie, producere de conţinut online etc.) pentru a întocmi un profil specific şi a propune persoanelor în cauză reclame adaptate centrelor lor de interes astfel deduse”[23]

Conform explicațiilor furnizate de Grupul de lucru „Articolul 29” în acest aviz, și pe care își fundamentează concluziile Avocatul general, „[a]ceastă tehnică funcționează în mod obișnuit după cum urmează: furnizorul rețelei de publicitate depune în general un cookie persistent pe echipamentul terminal al persoanei în cauză […] prima dată când vizitează un site care conține un anunț al aceleiași rețele. Cookie-ul este o combinație scurtă alfanumerică stocată (și ulterior recuperată) pe echipamentul terminal al persoanei vizate de un furnizor de rețea […]. În cadrul publicității comportamentale, cookie-ul permite acestuia din urmă să recunoască un vizitator anterior care revine pe această pagină de internet sau consultă un alt site partener al furnizorului de rețea de publicitate. Aceste vizite repetate vor permite furnizorului de rețea să elaboreze un profil al vizitatorului, care va fi utilizat pentru a-i transmite reclame personalizate”.[24]

„Paginile pentru fani sunt conturi de utilizatori care pot fi configurate pe Facebook de particulari sau de întreprinderi. În acest scop, autorul paginii pentru fani, odată înregistrat la Facebook, poate să utilizeze platforma amenajată de acesta din urmă pentru a se prezenta utilizatorilor acestei rețele sociale, precum și persoanelor care vizitează pagina pentru fani și să difuzeze comunicări de orice natură pe piața mediei și a opiniei. Administratorii paginilor pentru fani pot obține date statistice anonime privind vizitatorii acestor pagini cu ajutorul unei funcții intitulate „Facebook Insight” puse în mod gratuit la dispoziția lor de Facebook potrivit condițiilor de utilizare care nu pot fi modificate. Aceste date sunt colectate cu ajutorul unor fișiere‑martori (denumite în continuare „cookies”) care conțin, fiecare, câte un cod de utilizator unic, active timp de doi ani și salvate de Facebook pe discul dur al calculatorului sau pe orice alt suport al vizitatorilor paginii pentru fani. Codul de utilizator, care poate stabili o legătură cu datele de conectare ale utilizatorilor înregistrați pe Facebook, este colectat și prelucrat în momentul deschiderii paginilor pentru fani. În această privință, reiese din decizia de trimitere că nici Wirtschaftsakademie, nici Facebook Ireland Ltd nu au evocat operațiunea de salvare și funcționarea acestui cookie sau prelucrarea consecutivă a datelor, cel puțin în cursul perioadei relevante pentru procedura principală.” [din fața instanței naționale].

A doua clauză din termenii și condițiile rețelei sociale, face trimite la posibilitatea negocierii în situația colectării automate a datelor: „Pagina, Grupul sau Evenimentul dumneavoastră nu va colecta conținut sau informații ale utilizatorilor și, în general, nu va accesa Facebook utilizând mijloace automatizate (cum ar fi programele bot de colectare, roboții sau programele de tip „spider” sau „scraper”) fără acordul scris din partea Facebook.”[25] Curtea de Justiție consideră că administratorul paginii încheie un contract cu Facebook. În realitate, deși există posibilitatea negocierii, aceasta se limitează în cele mai multe situații la acceptarea termenilor și condițiilor, așadar un contract de adeziune.

Răspundere

Răspunderea este foarte importantă în prezenta cauză, aspect subliniat de instanța națională germană care s-a referit la răspundere în toate cele șase întrebări formulate.[26] Curtea de Justiție a reformulat întrebările, iar în ceea ce privește calificarea unui administrator al paginii rețelei sociale ca fiind operator: „prin intermediul primei și al celei de a doua întrebări preliminare, care trebuie analizate împreună, instanța de trimitere solicită în esență să se stabilească dacă [dispozițiile din reglementarea europeană privind protecția datelor] trebuie interpretate în sensul că permit să se rețină răspunderea unui organism, în calitatea sa de administrator al unei pagini pentru fani găzduite pe o rețea socială, în cazul unei atingeri aduse normelor privitoare la protecția datelor cu caracter personal, ca urmare a alegerii de a recurge la această rețea socială pentru a difuza oferta sa de informații.” (pct. 25) Am indicat mai înainte argumentele pentru care Curtea de Justiție a ajuns la un răspuns afirmativ. În continuare vom sublinia partea din soluția Curții privind răspunderea.

În primul rând, se face referire la o răspundere a administratorului și consolidarea statutului său de operator întrucât paginile pentru fani găzduite pe Facebook pot fi vizitate și de persoane care nu sunt utilizatori ai Facebook iar vizita acestora declanșează automat prelucrarea datelor lor cu caracter personal. (pct. 41) De altfel, acest lucru este subliniat în Avizul nr. 1/2010 citat supra, unde Grupul de lucru a arătat că „mijloacele de stimulare a responsabilității pot fi proactive și reactive. În primul caz, acestea urmăresc să asigure aplicarea eficientă a măsurilor de protecție a datelor și mijloace suficiente de tragere la răspundere a operatorilor. În al doilea caz, acestea pot implica răspunderea civilă și sancțiuni, pentru a asigura compensarea oricăror prejudicii relevante și luarea unor măsuri adecvate în vederea corectării erorilor sau greșelilor.” În plus stabilirea operatorului are legătură cu legislația națională aplicabilă, uneori având importanță acest aspect, mai ales dacă operatorul este o autoritate sau organism public.

În al doilea rând, Curtea a subliniat că „existența unei responsabilităţi comune nu înseamnă în mod necesar o răspundere echivalentă a diferitor operatori vizați de o prelucrare a datelor cu caracter personal. Dimpotrivă, acești operatori pot fi implicați în diferite stadii ale acestei prelucrări și în diferite grade, astfel încât nivelul de răspundere al fiecăruia dintre ei trebuie să fie evaluat ținând seama de toate împrejurările pertinente ale speței.” (pct. 43)

Acest argument va fi interpretat în hotărâri viitoare și va fi definitoriu pentru răspunderea administratorilor de pagini pe rețele sociale. Tonul acestei fraze pare să delimiteze răspunderea propriu zisă a unui operator administrator de pagină cu cea a operatorului – rețea socială. Dar cum se face acest lucru în condițiile în care administratorii paginilor nu încheie contracte ci doar acceptă termeni și condiții, nu au acces la date personale ci doar la statistici, culpa lor fiind că atrag utilizatori pe platforme și rețelele sociale.

De altfel, nu fără temei, s-a subliniat că această hotărâre are efect doar în privința raporturilor administrator pagină – rețea socială ci pentru toate website-urile care au programe care profilează, realizează statistici etc: „deși CJUE nu o spune expres, concluzia la care se poate ajunge este aceea că o entitate este responsabilă atât pentru prelucrările de date făcute prin intermediul unui site propriu, dar și pentru prelucrările efectuate cu privire la paginile folosite și care sunt administrate de aceasta în cadrul rețelelor sociale. De asemenea, nu doar rețelele sociale ar trebui să fie luate în discuție ci, de exemplu, credem că inclusiv utilizarea unor platforme de e-commerce, comune mai multor vânzători, poate fi o situație în care considerentele CJUE să își găsească aplicarea în mod corespunzător, în ceea ce privește răspunderea solidară pentru prelucrarea datelor personale.”[27]

Măsuri tehnice și organizatorice practice pentru operator

În primul rând operatorul trebuie să ia măsuri funcționale și operaționale, atât tehnice cât și proceduri în privința respectării hotărârii Curții de Justiție. Responsabilul cu protecția datelor[28] sau operatorul trebuie să aducă disemineze aceste informații, mai ales pentru personalul direct implicat (IT, marketing, juridic). Operatorul, prin responsabilul cu protecția datelor, va trebui să realizeze primele acte, cele mai simple, respectiv citirea, înțelegerea și luarea de măsuri în funcție de termenii și condițiile pe care rețelele sociale le impun pentru realizarea paginii. Operatorul trebuie să ia măsuri ca departamentul de specialitate (comunicare, marketing) să înțeleagă și să opereze administrarea paginii de pe rețeaua socială.[29] Aceste departamente, în analiza tipurilor de date pe care operatorul le prelucrează, trebuie să cartografieze toate tipurile de date și raporturile cu rețelele sociale. Un exemplu simplu, dar practic și care poate conduce la complicații juridice este butonul „rezerva acum” care apare în cazul hotelurilor, și în care datele nici măcar nu ajungeau la hotel (administratorul paginii de pe rețeaua socială).

În al doilea rând, operatorul are obligația de respectare a art. 13-14 din Regulament, prin informarea persoanei vizate cu privire la prelucrarea datelor prin intermediul rețelelor sociale. Notificarea se va realiza pe site-ul propriu la secțiunea politici de confidențialitate în termeni cât mai preciși, indicându-se toate rețelele sociale pe care operatorul are pagini ale sale, fie că sunt pagini de comunicare, fie că sunt grupuri, fie că sunt pagini dedicate doar anumitor produse sau servicii ale operatorului. Corelativ, va trebui ca pagina de pe rețeaua socială trebuie indice în mod clar operatorul.

Operatorul trebuie să respecte principiul transparenței,[30] având în vedere Orientările privind transparenţa în Regulamentul 2016/679/UE elaborat de Grupul de lucru pentru art. 29 (GL29),[31] „transparenţa este o obligaţie atotcuprinzătoare potrivit GDPR şi se aplică în trei domenii de bază:

(1) norma juridică prin care se stabileşte informarea persoanelor vizate cu privire la prelucrarea echitabilă;

(2) cum anume operatorii de date comunică cu persoanele vizate în ceea ce priveşte drepturile lor potrivit GDPR;

(3) cum anume operatorii de date uşurează exercitarea drepturilor persoanelor vizate.”

În al treilea rând, operatorul trebuie să ia în considerare persoanele vizate care vizitează și interacționează cu paginile de pe rețelele sociale în cadrul procedurii privind respectare a art. 30 (evidența activităților de prelucrare a datelor cu caracter personal) și a art. 35 (evaluarea impactului asupra protecției datelor).[32] În cadrul registrului privind evidența activităților trebuie să se menționeze: identitatea operatorului (dar nu rețeaua socială, pentru că aceasta este un operator distinct), scopul prelucrării (marketing, comunicare, relații publice), categoria de persoane vizate (utilizatori ai paginii de pe rețelele sociale), descrierea  datelor cu caracter personal (aici trebuie introduse datele pe care rețele sociale le pun la dispoziția administratorului paginii, așa cum este cazul în statisticile „Facebook Insight”), categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale (respectiv, Facebook, LinkedIn etc), transferurile către o țară terță (mai ales ca majoritatea rețelelor sociale aparțin unor societăți stabilite în afara Uniunii Europene), termene limită pentru ștergere / distrugere (dar în această situație nu este aplicabilă) și măsurile de securitate (aici măsurile de securitate se referă în special la operatorul care deține rețeaua socială). În privința realizării evaluării impactului asupra protecției datelor, operatorul este obligat să verifice criteriile stabilite în Regulament și documentele soft-law aplicabile[33] și să individualizeze posibilele riscuri. Prin aceste proceduri, operatorul trebuie să stabilească modalitățile de respectare a drepturilor persoanelor vizate, precum și riscurile asociate.

Un exemplu de măsuri este acela luat de juridice.ro, care a realizat următoarea notificare:

„Având în vedere că, potrivit CJUE, administratorul unei pagini pentru fani pe Facebook are, împreună cu Facebook, calitatea de operator care prelucrează datele vizitatorilor paginii sale, politica de confidențialitate JURIDICE.ro este aplicabilă și paginilor Facebook administrate de noi, cu toate că nu avem acces nici la fișiere cookies utilizate de Facebook și nici nu cunoaștem identitatea persoanelor care accesează paginile Facebook administrate de noi fără să fie logați pe Facebook. Din acest motiv, vă aducem la cunoștință drepturile pe care le aveți în calitate de persoane vizate ne-logate pe Facebook și vă rugăm ca, dacă nu doriți ca Facebook să instaleze cookies în computerele dumneavoastră să dezactivați aceste elemente tehnice din browserul dumneavoastră. Vă mulțumim pentru înțelegere.”[34] Mai mult o serie de pagini administrate de juridice.ro au fost dezactivate sau au fost transferate unor persoane fizice.[35]

Impactul protecției consumatorilor

În ultimii trei ani acțiuni (reuniuni, în special) diferite au avut loc între autoritățile UE pentru protecția consumatorilor și Comisia Europeană, pe de o parte, și societățile vizate, pe de altă parte, pentru a discuta elemente cheie.[36]  Operatorii de platforme de comunicare socială au fost de acord, în mod specific, să modifice: clauzele de furnizare a serviciilor care limitează sau exclud complet răspunderea rețelelor de comunicare socială în legătură cu prestarea serviciilor; clauzele care le impun consumatorilor să renunțe la drepturile obligatorii în UE, cum ar fi dreptul de a se retrage dintr-o achiziție online; clauzele care privează consumatorii de dreptul lor de a sesiza o instanță judecătorească din statul lor membru de reședință și impun, în schimb, aplicarea legislației din California; clauza prin care platforma este eliberată de obligația de a identifica mesajele cu caracter comercial și conținutul sponsorizat. În 2019 un nou comunicat al Comisiei Europene informează că „Facebook se conformează solicitărilor Comisiei Europene și ale autorităților de protecție a consumatorilor de a-și modifica clauzele de furnizare a serviciilor și de a clarifica modul de utilizare a datelor utilizatorilor”[37] și se au în vedere următoarele măsuri: „- politica sa cu privire la limitarea răspunderii, recunoscându-și acum răspunderea în caz de neglijență, spre exemplu în cazul în care datele au fost prelucrate necorespunzător de către terți; – capacitatea sa de a modifica în mod unilateral termenele și condițiile prin limitarea acesteia la cazurile în care modificările sunt rezonabile, luând în considerare și interesul consumatorilor; – normele privind păstrarea temporară a conținutului care a fost șters de către utilizatori. Conținutul de acest tip poate fi păstrat numai în anumite cazuri – spre exemplu în scopul conformării unei cereri de executare din partea unei autorități – și pentru o perioadă de maximum 90 de zile din motive de natură tehnică; – limbajul ce clarifică dreptul de apel al utilizatorilor cărora le-a fost șters conținutul.” Toate acestea au legătură și cu răspunderea administratorului paginii de pe rețele sociale, în cazul de față Facebook, întrucât sunt elemente esențiale ale antrenării posibilei răspunderi, care se poate realiza doar dacă administratorul unei pagini de pe o rețea socială înțelege drepturile și obligațiile pe care le are atât față de utilizatori, cât și față de rețeaua socială.

Concluzii

Se poate afirma că suntem în fața unei hotărâri istorice puțin cunoscute, având în vedere reacția pe care o putem constata în adaptarea politicilor de confidențialitate publicate de operatori care administrează pagini pe rețele sociale. Hotărârea Curții de Justiție trebuie coroborată cu întreaga legislație referitoare la protecția datelor, în special cu Regulamentul general privind protecția datelor și este obligatorie de la data pronunțării. În mod esențial, administratorul paginii de pe o rețea socială este operator în sensul reglementărilor privind protecția datelor cu toate obligațiile care derivă din aceasta. Cele mai importante consecințe se referă la răspundere și pentru a o înlătura sau reduce operatorul trebuie să ia măsuri organizatorice, tehnice și să introducă proceduri privind informarea persoanelor vizate.

Bibliografie:

Alexe I, (2018), Reforma instituțională, în materia protecției datelor, la nivel european, în volumulcoordonat de Andrei Săvescu, Regulamentul general privind protecția datelor. Comentarii și explicații, Editura Hamangiu.

Alexe I., (2018) Principalele noutăți privind responsabilul cu protecția datelor, incluse în GDPR, Pandectele române nr. 1.

Ducuing Ch., Schroers J, Kindt E. J, (2018) The Wirtschaftsakademie fan page decision: a landmark on joint controllership – a challenge for supervisory authorities competences, European Data Protection Law Review, nr. 12.

Gil de Zúñiga H., Coddington M., (2018), Social Media, în Oxford Bibliographies Online, disponibil la adresa http://www.oxfordbibliographies.com/view/document/obo-9780199756841/obo-9780199756841-0105.xml

Houser K., Voss G., (2018) GDPR: The End of Google and Facebook or a New Paradigm in Data Privacy?,  Richmond Journal of Law & Technology, nr. 1

Jørgensen R.F., (2018) Human Rights and Private Actors in the Online Domain în vol. Molly K. Land, Jay D. Aronson (eds), New Technologies for Human Rights Law and Practice, Cambridge Univeristy Press.

Jotzo F., (2018) EuGH, Urteil v. 5. 6. 2018 – C-210/16 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/ Wirtschaftsakademie Schleswig-Holstein GmbH., în JuristenZeitung.

LaForgia M., Rosenberg M., Dance G., (2019) Facebook’s data deals are under criminal investigation, New York Times, 13.03.

Lomas N., Cookie walls don’t comply with GDPR, says Dutch DPA, 08.03.2019, disponibil la adresa

Pintilie C.-C., CJUE: administratorul unei „pagini pentru fani” găzduite de Facebook poate răspunde pentru prelucrările de date făcute prin intermediul platformei sociale, 06.06.2018, hotnews.ro

Robbins I., (2013), What Is the Meaning of ‘Like’?: The First Amendment Implications of Social-Media Expression, The Federal Courts Law Review.

Schneier B, (2015) Data and Goliath: The Hidden Battles to Capture Your Data and Control Your World, W. W. Norton & Company.

Șandru D.-M., Alexe I. (editori),  (2018) Legislația Uniunii Europene privind protecția datelor personale, Editura Universitară, București.

Șandru D.-M., (2018) Imposibila coexistență între protecția datelor și comunitățile virtuale? Ce urmează?, Pandectele române, nr. 1.

Șandru D.M., (2018) Principiul transparenţei în protecţia datelor cu caracter personal, Pandectele române, nr. 4.

Şandru D.-M., Călin D.-A., Banu C.-M, (2017), Aplicarea și interpretarea Directivei 95/46 de către instanțe române. Tipologii și consecințe juridice, în volumul Irina Alexe, Nicolae-Dragoş Ploeşteanu, Daniel-Mihail Şandru (coordonatori), Protecţia datelor cu caracter personal. Impactul protecţiei datelor personale asupra mediului de afaceri. Evaluări ale experienţelor româneşti şi noile provocări ale Regulamentului (UE) 679/2016, Editura Universitară, București.

Șchiopu S.-D., (2018), Obligația de păstrare a evidenței activităților de prelucrare a datelor cu caracter personal, Revista română de drept al afacerilor nr. 1.

Van Alsenoy B, (2019) Data Protection Law in the EU: Roles, Responsibilities and Liability, Intersentia.

Yang M., Ren Y.C., Adomavicius G., (2019) Understanding User-Generated Content and Customer Engagement on Facebook Business Pages, în Information Systems Research, (Forthcoming); Kelley School of Business Research Paper, nr. 18-82, disponibil la adresa https://ssrn.com/abstract=3260294.


[1] Daniel-Mihail Şandru este cercetător științific gr. I, a fondat şi coordonează Centrul de Studii de Drept European al Institutului de Cercetări Juridice „Acad. Andrei Rădulescu” al Academiei Române. Profesor universitar la Universitatea Creştină Dimitrie Cantemir şi Universitatea din Bucureşti. Judecător ad hoc la Curtea Europeană a Drepturilor Omului şi arbitru la Curtea de Arbitraj Comercial Internaţional de pe lângă Camera de Comerţ şi Industrie a României. Preşedinte al Societăţii de Ştiinţe Juridice şi al Asociaţiei Române de Drept şi Afaceri Europene. Redactor şef al Revistei române de drept european (Wolters Kluwer). Poate fi contactat la adresa mihai.sandru@csde.ro Pagina web: www.mihaisandru.ro Materialul a fost pregătit pentru Conferința europeană a serviciilor financiare (ECFS 2019) organizată de Institutul de Studii Financiare, Asociația Centrul de Arbitraj și Mediere în Asigurări (ACAMA) și Societatea Română de Cercetare pentru Afaceri Publice și Private, 21-22 martie 2019, Brașov. Lucrarea a fost finalizată la 11 aprilie 2019, dată la care au fost accesate ultima dată paginile web la care face trimitere articolul.

[2] C-210/16, Wirtschaftsakademie Schleswig-Holstein, hotărârea din 5 iunie 2018, ECLI:EU:C:2018:388. A se vedea: Charlotte Ducuing, Jessica Schroers, Els J. Kindt, The Wirtschaftsakademie fan page decision: a landmark on joint controllership – a challenge for supervisory authorities competences, European Data Protection Law Review, Volume 4, 2018-12, p. 547-553 (în continuare Ch. Ducuing, J. Schroers, E. J. Kindt,  EDPRL, 4/2018). Florian Jotzo, EuGH, Urteil v. 5. 6. 2018 – C-210/16 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/ Wirtschaftsakademie Schleswig-Holstein GmbH., JuristenZeitung (JZ), Jahrgang 73 (2018), Heft 23, s. 1154-1159.

[3] Reglementarea generală este Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) a fost publicat în Jurnalul Oficial L 119, 4.5.2016, p. 1–88. Pentru detalii, a se vedea: Daniel-Mihail Șandru, Irina Alexe (editori),  Legislația Uniunii Europene privind protecția datelor personale, Editura Universitară, 2018. Hotărârea a fost pronunțată sub imperiul Directivei însă este pe deplin aplicabilă și după 25 mai 2018, dată de la care se aplică GDPR. Directiva 95/46/CE a Parlamentului European şi a Consiliului din 24 octombrie 1995 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, JO L 281, 23.11.1995, p. 31, Ediţie specială, 13/vol. 17, p. 10. A se vedea, Irina Alexe, Constantin-Mihai Banu, De la directivă la regulament în reglementarea protecţiei datelor cu caracter personal la nivelul Uniunii Europene, în volumul Irina Alexe, Nicolae-Dragoş Ploeşteanu, Daniel-Mihail Şandru (coordonatori), Protecţia datelor cu caracter personal. Impactul protecţiei datelor personale asupra mediului de afaceri. Evaluări ale experienţelor româneşti şi noile provocări ale Regulamentului (UE) 2016/679, Editura Universitară, 2017, p. 14-40.

[4] A se vedea, pentru considerații privind rețelele sociale: Daniel-Mihail Șandru, Imposibila coexistență între protecția datelor și comunitățile virtuale? Ce urmează?, Pandectele române, nr. 1/2018, p. 22, disponibil la adresa https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3357430; a se vedea, Homero Gil de Zúñiga, Mark Coddington, Social Media, Oxford Bibliographies Online, disponibil la adresa http://www.oxfordbibliographies.com/view/document/obo-9780199756841/obo-9780199756841-0105.xml

[5] De curând a început o investigație contra Facebook, inclusiv pe latură penală, ca urmare a acestor transferuri de date ale utilizatorilor. Michael LaForgia, Matthew Rosenberg, Gabriel J.X. Dance, Facebook’s data deals are under criminal investigation, New York Times, 13.03.2019, https://www.nytimes.com/2019/03/13/technology/facebook-data-deals-investigation.html Pentru documente, a se vedea, The Associated Press (Danica Kirka, Frank Bajak, Barbara Ortutay), Facebook Used User Data as Competitive Weapon, 5 decembrie 2018, https://www.bloomberg.com/news/articles/2018-12-05/uk-parliament-releases-internal-facebook-documents; documentele publicate de un membru al Parlamentului britanic sunt disponibile la adresa https://www.parliament.uk/documents/commons-committees/culture-media-and-sport/Note-by-Chair-and-selected-documents-ordered-from-Six4Three.pdf;

[6] Pe larg: Bruce Schneier, Data and Goliath: The Hidden Battles to Capture Your Data and Control Your World, W. W. Norton & Company, 2015, p. 58.

[7] Sunt multe website-uri care conțin sfaturi sau ghiduri privind posibilitățile de realizare a publicității pe rețelele sociale, aceasta fiind ea însăși o activitate comercială în sine.

[8] Rikke Frank Jørgensen, Human Rights and Private Actors in the Online Domain în vol. Molly K. Land, Jay D. Aronson (eds), New Technologies for Human Rights Law and Practice, Cambridge Univeristy Press, 2018, p. 243-244.

[9] Fiecare utilizator devine „distribuitor”, așa cum a remarcat și Avocatul general Pedro Cruz Villalón: „din momentul în care un conținut informațional este postat pe internet, particularii se transformă imediat, voluntar sau involuntar, în distribuitori de informații prin rețele de socializare, prin comunicare electronică, prin linkuri, prin bloguri sau prin orice alte mijloace oferite de internet.” (Concluziile Avocatului general Pedro Cruz Villalón prezentate la 29 martie 2011 în cauzele conexate C-509/09 și C-161/10, par. 47) De altfel, calitatea de distribuitor inferează mult cu existența și valoarea rețelei sociale și a răspunderii administratorului de pagină.

[10] Wikipedia, ”Social media”, disponibil la adresa https://en.wikipedia.org/wiki/Social_media

[11] Kimberly Houser, Gregory Voss, GDPR: The End of Google and Facebook or a New Paradigm in Data Privacy?,  Richmond Journal of Law & Technology, nr. 1/2018 disponibil la adresa https://jolt.richmond.edu/gdpr-the-end-of-google-and-facebook-or-a-new-paradigm-in-data-privacy/; Mochen Yang, Yuqing Ching Ren, Gediminas Adomavicius, Understanding User-Generated Content and Customer Engagement on Facebook Business Pages, în Information Systems Research, (Forthcoming); Kelley School of Business Research Paper Nr. 18-82, disponibil la adresa https://ssrn.com/abstract=3260294.

[12] Am atras atenția în mai multe rânduri că Regulamentul general privind protecția datelor nu este o noutate absolută în peisajul legislativ european. A se vedea, de exemplu: Daniel-Mihail Şandru, Dragoş-Alin Călin, Constantin-Mihai Banu, Aplicarea și interpretarea Directivei 95/46 de către instanțe române. Tipologii și consecințe juridice, în volumul Irina Alexe, Nicolae-Dragoş Ploeşteanu, Daniel-Mihail Şandru (coordonatori), Protecţia datelor cu caracter personal. Impactul protecţiei datelor personale asupra mediului de afaceri. Evaluări ale experienţelor româneşti şi noile provocări ale Regulamentului (UE) 679/2016, Editura Universitară, 2017, p. 41-76.

[13] GL 169, 00264/10/RO, adoptat la 16 februarie 2010.

[14] Asupra tipologiilor relevante, a se vedea teza de doctorat în drept a lui Brendan Van Alsenoy, Regulating data protection – The allocation of responsibility and risk among actors involved in personal data processing, KU Leuven, 2016, p. 59-62 disponibilă la adresa https://lirias.kuleuven.be/retrieve/396984 și publicată în Brendan Van Alsenoy, Data Protection Law in the EU: Roles, Responsibilities and Liability, Intersentia, 2019.

[15] Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (autoritate regională independentă de protecție a datelor din Schleswig-Holstein, Germania) (denumită în continuare „ULD”), https://www.datenschutzzentrum.de/

[16] The CNIL’s restricted committee imposes a financial penalty of 50 Million euros against GOOGLE LLC 21 January 2019, disponibil la adresa https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc (inclusiv decizia integrală); de asemenea, o altă sancțiune pecuniară, în jur de 220.000 de euro, se referă la amendarea de către autoritatea poloneză de protecția datelor pentru lipsa de informare de care s-a facut vinovat un broker de date (a se vedea First fine imposed by the President of the Personal Data Protection Office, https://edpb.europa.eu/news/national-news/2019/first-fine-imposed-president-personal-data-protection-office_en).

[17] Într-o informare a autorității olandeze de protecția datelor, disponibilă în original la adresa https://autoriteitpersoonsgegevens.nl/nl/nieuws/websites-moeten-toegankelijk-blijven-bij-weigeren-tracking-cookies, se arată că politica privind cookies nu trebuie să altereze dreptul la informare, exprimare, mai precis posibilitatea accesării normale a paginilor web. A se vedea: Natasha Lomas, Cookie walls don’t comply with GDPR, says Dutch DPA, 08.03.2019, disponibil la adresa

[18] Cauza C‑131/12, Google Spain și Google, hotărârea din 13 mai 2014, EU:C:2014:317, pct. 34.

[19]În plus, de vreme ce, astfel cum prevede expres articolul 2 litera (d) din Directiva 95/46, noțiunea „operator” vizează organismul care, „singur sau împreună cu altele”, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal, această noțiune nu face trimitere în mod necesar la un organism unic și poate privi mai mulți actori care participă la această prelucrare, fiecare dintre ei fiind în acest caz supus dispozițiilor aplicabile în materie de protecție a datelor.” Cauza C-210/16, cit. supra., pct. 29.

[20] https://www.facebook.com/policies/pages_groups_events/

[21] Nu are importanță activitatea / reacția utilizatorilor pe paginile de rețele sociale, aceasta constituind obiectul altor dispute doctrinare și jurisprudențiale (Ira Robbins, What Is the Meaning of ‘Like’?: The First Amendment Implications of Social-Media Expression, The Federal Courts Law Review, 2013, p. 127; disponibil la adresa https://www.fclr.org/fclr/articles/html/2010/robbins.pdf)

[22] Irina Alexe, Reforma instituțională, în materia protecției datelor, la nivel european, în volumulcoordonat de Andrei Săvescu, Regulamentul general privind protecția datelor. Comentarii și explicații, Editura Hamangiu, 2018, p.1-11.

[23] Avizul GL 29, GL 171, nr. 2/2010 din 22 iunie 2010 privind publicitatea comportamentală online.

[24] Avizul 2/2010, p. 7. În acest sens trebuie coroborat cu Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, 17/EN, WP251rev.01, 03.10.2017.

[25] https://www.facebook.com/policies/pages_groups_events/

[26] Foarte pe scurt, asumarea răspunderii poate fi realizată și termenii menționați în acest articol: Jessica Lam, Enforcement of judgement: Update CJEU Case C-210/16, disponibil la adresa http://www.lawinfographic.com/route-enforce-eu-data-protection-rules-update-cjeu-judgement-case-c-21016/; de altfel, așa cum a fost tratată răspunderea în această hotărâre, nu poate decât să nască alte întrebări și nu e referă la soluții, care vor veni fie din partea instanțelor naționale, fie în urma altor trimiteri preliminare. Pentru o serie de întrebări, a se vedea: Ch. Ducuing, J. Schroers, E. J. Kindt, loc.cit., EDPRL, 4/2018, p. 549.

[27] Cosmin-Constantin Pintilie, CJUE: administratorul unei „pagini pentru fani” găzduite de Facebook poate răspunde pentru prelucrările de date făcute prin intermediul platformei sociale, 06.06.2018, articol disponibil la adresa https://www.hotnews.ro/stiri-specialisti_stoica_si_asociatii-22492119-cjue-administratorul-unei-pagini-pentru-fani-zduite-facebook-poate-spunde-pentru-prelucr-rile-date-cute-prin-intermediul-platformei-sociale.htm

[28] Irina Alexe, Principalele noutăți privind responsabilul cu protecția datelor, incluse în GDPR, Revista Pandectele Române nr. 1/2018,  p. 34 și urm.

[29] A se vedea, de exemplu, Politicile privind Paginile, grupurile şi evenimentele: https://www.facebook.com/policies/pages_groups_events/. De asemenea, a se vedea și „Anexa privind Operatorul Statisticilor Paginii” https://www.facebook.com/legal/terms/page_controller_addendum, precum și https://www.facebook.com/business/pages/manage#page_insights

[30] Daniel-Mihail Șandru, Principiul transparenţei în protecţia datelor cu caracter personal, Pandectele române, nr. 4/2018, p. 59 și urm.

[31] Orientări asupra transparenţei în temeiul Regulamentului 2016/679 [Guidelines on transparency under Regulation 2016/679, 17/EN, WP260 rev.01, 11 April 2018]. Documentul, în varianta de lucru, a fost tradus de Centrul pentru protecţia datelor din cadrul UMFST, Tîrgu-Mureş (https://cpd.upm.ro/)

[32] Silviu-Dorin Șchiopu, Obligația de păstrare a evidenței activităților de prelucrare a datelor cu caracter personal, Revista română de drept al afacerilor nr. 1/2018, p. 85-94.

[33] Decizia ANSPDCP nr. 174 din 18 octombrie 2018 privind lista operaţiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecţiei datelor cu caracter personal; Ghid privind Evaluarea impactului asupra protecției datelor (DPIA) și stabilirea dacă o prelucrare este „susceptibilă să genereze un risc ridicat” în sensul Regulamentului 2016/679, WP 248 rev.01; Declarația Grupului de lucru pentru Articolul 29 cu privire la rolul unei abordări bazate pe riscuri pentru cadrul legal in domeniul protecției datelor, 14/EN WP 218, adoptată în data de 30 mai 2014; Ghidul Grupului de lucru pentru Articolul 29 privind responsabilul cu protecția datelor, 16/EN WP243; Opinia Grupului de lucru pentru Articolul 29 privind limitarea scopului, 13/EN WP 203; Considerentele 75, 84, 89, 90, 91, 92, 93 din Regulament.

[34] https://www.juridice.ro/politica-de-confidentialitate

[35] A se vedea: Actualizare informare privind protecția datelor cu caracter personal JURIDICE.ro, în ce privește paginile Facebook, disponibilă la adresa https://www.juridice.ro/595686/actualizare-informare-privind-protectia-datelor-cu-caracter-personal-juridice-ro-in-ce-priveste-paginile-facebook.html, 03.08.2018, JURIDICE.ro

[36] Comisia Europeană, „Societățile care gestionează platforme de comunicare socială trebuie să facă mai mult pentru a respecta pe deplin normele UE privind protecția consumatorilor”, Bruxelles, 15 februarie 2018, disponibil la adresa http://europa.eu/rapid/press-release_IP-18-761_ro.htm

[37] https://ec.europa.eu/romania/news/20190410_facebook_clauze_furnizare_date_protectie_consumatori_ro