Unii festivalieri sunt nemulțumiți de faptul că, la înregistrarea pe site-ul in-town.ro, de pe care pot cumpăra bilete pentru Untold, le este solicitat, în mod obligatoriu, codul numeric personal. Marius Cotor a sesizat redacției Ziar de Cluj această problemă:
„Vă scriu să vă relatez o posibilă problemă pe care am observat-o la Untold. La înregistrare (check-in online) – https://topup.in-town.ro/web – se solicită câmpul CNP (este obligatoriu).
Știam că în urmă cu ceva ani a fost o adevărată isterie legată de CNP (dacă se dă sau nu la Referendum) și am căutat pe dataprotection.ro să văd dacă găsesc Untold înregistrat. Am căutat aici: http://www.dataprotection.ro/notificare/cautari.do după Untold, In-town, In town, InTown, Dettra, dar nu am găsit nicio înregistrare. Altă chestie ciudată e că la termene și condiții în site-ul in-town.ro scrie că S.C. DETTRA ORGANIZATION SRL are proprietatea asupra www.in-town.ro, care este operator de date cu caracter personal înscris în Registrul de evidență a prelucrărilor de date cu caracter personal.
Am verificat pe dataprotection.ro (Registru notificări http://www.dataprotection.ro/?page=registru_notificari&lang=ro) și aici spune că toate notificările ulterioare celor din 1 ianuarie 2007 ar trebui să fie în registru on-line. In-town pare făcut pentru Untold și nu cred că e de dinainte de 2007.
I-am contactat pe cei de la Untold și i-am întrebat dacă au dreptul să colecteze aceste date și că în regulamentul lor de termeni și condiții (https://untold.com/static/terms-and-conditions-ro.pdf ) la pagina 17, la secțiunea «Date cu caracter personal», nu apare că se colectează CNP-ul.
Răspunsul lor a fost unul stupid: «Dacă nu vreți să faceți check-in online, să veniți cu buletinul în parc.»
Vă atașez la email și o poză cu pagina de colectare a CNP-ului.
Poate dacă mediatizați dumneavoastră aceasta problemă, se va rezolva cumva. Eu nu prea știu ce mai pot face, la Registrul de date personale spune că pot face reclamație doar la 15 zile după ce am notificat operatorul, sau poate nu am înțeles bine.”
Conform rotld.ro, domeniul in-town.ro a fost înregistrat în anul 2013 de către compania comercială Dettra Organisation SRL. Astfel, in-town.ro, creat în anul 2013, ar trebui să apară în registrul on-line de pe site-ul dataprotection.ro, ceea ce nu se întâmplă. Se ridică astfel întrebarea dacă acest site, aparținând societății Dettra Organisation SRL, are sau nu dreptul de a colecta date precum CNP-ul celor care se înregistrează pentru a cumpăra bilete pentru Untold.
În documentul Untold care se referă la termenii și condițiile generale, la capitolul 6, „Date cu caracter personal”, este specificat:
„Untold S.R.L., o societate cu răspundere limitată, cu sediul în Municipiul Cluj-Napoca, Parc Central „Simion Bărnuţiu”, Restaurant Parc, Ap. 1, Judet Cluj, înregistrată la Registrul Comerţului cu numărul J12/3105/2015, cod unic de înregistrare 35113711, prelucrează datele dumneavoastră cu caracter personal, respectiv imaginea dumneavoastră, prin intermediul mijloacelor de supraveghere video, în vederea asigurării securităţii şi pazei perimetrului evenimentului organizat de către Untold S.R.L..
Conform cerințelor Legii nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, modificată și completată, Untold are obligația de a administra în condiții de siguranță și numai pentru scopurile specificate, datele personale pe care utilizatorii Site-ului le furnizează despre ei. Datele ce urmează a fi colectate direct de la utilizatorii Site-ului se referă la: nume, prenume, email, număr de telefon, oraș, țară de proveniență, data nașterii și sex.”
Așadar, nu este stipulată obligativitatea festivalierilor de a oferi date personale precum CNP-ul.
Pentru ce folosește Untold datele personale ale festivalierilor?
Conform termenilor și condițiilor stipulate, Untold folosește datele personale ale festivalierilor pentru operațiuni de marketing. Și nu numai:
„Scopul general al colectării datelor personale este realizarea operațiunilor de marketing ale Untold: informarea utilizatorilor privind Festivalul organizate de Untold; evaluarea Produselor și Serviciilor oferite; activități de promovare a Produselor și Serviciilor. Alte scopuri sunt activitățile comerciale, de publicitate, de media, administrative.
Informațiile înregistrate sunt destinate utilizării de către Untold. Astfel, datele cu caracter personal ale utilizatorilor Site-ului vor fi controlate de către utilizatori autorizați, identificați prin numele unic de utilizator. De asemenea, Untold poate furniza datele cu caracter personal ale utilizatorilor Site-ului altor Parteneri Contractuali, în vederea realizării scopurilor prezentate mai sus, dar numai în temeiul unui angajament de confidențialitate din partea acestora, prin care garantează că aceste date sunt păstrate în siguranță și că furnizarea acestor informații personale se face conform legislației în vigoare, după cum urmează: furnizori de servicii de marketing, curierat, servicii de plată/ bancare, telemarketing sau alte servicii, asiguratori etc. De asemenea, este posibil ca, în anumite circumstanțe, să fie nevoie ca Untold să divulge datele personale către anumite autorități legale și de reglementare (inclusiv autoritățile fiscale), către contabilii, auditorii, avocații sau alți asemenea consilieri externi ai Untold. Untold va putea divulga aceste date ori de câte ori legea o impune, sau în situația în care acest demers este necesar pentru a se permite exercitarea drepturilor prevăzute de lege, pentru a acționa în justiție contra oricărei activități ilegale.
E-mailurile primite de la Untold nu pot fi considerate în nicio situație ca fiind mesaje de tip SPAM. Site-ul nu promovează SPAM-ul. Orice utilizator/client care a furnizat explicit adresa sa de email pe Site poate opta pentru ștergerea acesteia din baza de date a Untold.
Prin completarea datelor cu caracter personal în formularul de pe Site, utilizatorii Site-ului declară că acceptă necondiționat ca datele lor personale să fie incluse în baza de date a Untold și își dau acordul expres și neechivoc ca toate aceste date personale să fie stocate, utilizate și prelucrate nelimitat temporal de către Untold, afiliații și colaboratorii acestora pentru desfășurarea și/sau derularea de către Untold, afiliații și colaboratorii acestora de activități cum sunt cele menționate mai sus, fiind implementate măsuri de securitate pentru a asigura confidențialitatea informațiilor din baza de date a Untold, în conformitate cu standardele minime de securitate impuse de legislație.
De asemenea, prin acceptarea prezentelor TCG utilizatorii Site-ului își dau acordul expres și neechivoc că aceste date personale să poată fi transferate (cedate) de către Untold atât afiliaților săi precum și altei/altor entități din țară sau străinătate (Ungaria, Germania, Olanda, Marea Britanie, Austria), în vederea realizării de statistici și alte tipuri de rapoarte.”
Ce spune legea?
Noile reguli privind prelucrarea datelor personale sunt cuprinse în Decizia ANSPDCP nr. 132/2011, publicată în Monitorul Oficial nr. 929, din 28 decembrie 2011, după cum precizează site-ul avocatnet.ro:
„În introducerea actului normativ, Autoritatea Națională de Supraveghere a Prelucrării Datelor explică faptul că, deși existau și până acum reguli pentru prelucrarea datelor cu caracter personal, au fost necesare câteva completări și clarificări, întrucât instituția a sesizat că, în practică, se colectează și se prelucrează, fără o justificare temeinică, atât date personale, cât și documentele care le conțin.
Regulile pentru prelucrarea datelor cu caracter personal sunt prevăzute în Legea nr. 677/2011 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, însă prevederile legii nu fac referire expres la CNP sau la anumite date personale, ci sunt referiri generale la „date cu caracter personal”. Ori, in recenta Decizie publicata de ANSDCP sunt stabilite tocmai reguli pentru prelucrarea expresă a CNP-ului și a altor date personale, evidențiate clar în prevederi.
CNP este definit de acest act normativ ca un număr semnificativ care individualizează în mod unic o persoană fizică, constituind un instrument de verificare a stării civile a acesteia și de identificare în anumite sisteme informatice de către persoanele autorizate.
Colectarea și prelucrarea acestor date, inclusiv dezvăluirea acestora, prin efectuarea și reținerea de copii de pe cartea de identitate sau de pe documente care le conțin, sunt interzise, precizează actul normativ.
Totuși, CNP-ul unei persoane și celelalte date cu caracter personal pot fi prelucrate, însă numai cu respectarea unor reguli speciale.
Astfel, prelucrarea acestor date, inclusiv dezvăluirea către terți, se poate face numai dacă:
– persoana vizată și-a dat în mod expres consimțământul;
– prelucrarea este prevăzută în mod expres de o dispoziție legală;
– în alte cazuri, cu avizul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal și numai cu condiția instituirii unor garanții adecvate pentru respectarea drepturilor persoanelor vizate.
Ce înseamnă să îți dai consimțământul?
Potrivit precizărilor din actul normativ, în domeniul prelucrării datelor cu caracter personal, consimțământul persoanei vizate reprezintă orice manifestare de voință expresă, liberă, specifică și informată, prin care persoana vizată acceptă să fie prelucrate datele cu caracter personal care o privesc.
Consimțământul trebuie dat în mod expres, într-o formă care să permită dovedirea acestuia de către operator.
Mai mult decât atât, anterior obținerii consimțământului, operatorul are obligația de a informa persoana vizată despre:
– identitatea operatorului și a reprezentantului acestuia, daca este cazul;
– scopul în care se face prelucrarea datelor;
– informații suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor; dacă furnizarea tuturor datelor cerute este obligatorie și consecințele refuzului de a le furniza; existența drepturilor prevăzute de Legea nr. 677/2001 pentru persoana vizată, în special a dreptului de acces, de intervenție asupra datelor și de opoziție, precum și condițiile în care pot fi exercitate;
– orice alte informații a căror furnizare este impusă prin dispoziție a autorității de supraveghere, ținând seama de specificul prelucrării.
Totuși trebuie să știți că există și câteva situații în care operatorul de date nu este obligat să ofere informațiile prezentate mai sus, și anume:
– dacă prelucrarea datelor se efectuează exclusiv în scopuri jurnalistice, literare sau artistice, dacă aplicarea acestora ar da indicii asupra surselor de informare.
– dacă prelucrarea datelor se face în scopuri statistice, de cercetare istorică sau științifică, ori în orice alte situații dacă furnizarea datelor personale se dovedește imposibilă sau ar implica un efort disproporționat față de interesul legitim care ar putea fi lezat, precum și în situațiile în care înregistrarea sau dezvăluirea datelor este expres prevăzută de lege.
Care sunt garanțiile adecvate
Așa cum precizam mai sus, prelucrarea datelor personale, inclusiv dezvăluirea către terți, se poate face în anumite cazuri și numai cu avizul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, însă doar cu condiția instituirii unor garanții adecvate pentru respectarea drepturilor persoanelor vizate.
În oricare dintre aceste situații, operatorul trebuie să respecte principiul caracterului adecvat, pertinent si neexcesiv, precum și măsurile de confidențialitate și de securitate a prelucrărilor. Concret, el trebuie să instituie așa numitele garanții adecvate. Iată care sunt acestea:
– scopul prelucrării să fie determinat, explicit și legitim;
– stabilirea și aplicarea unor măsuri prin care să se asigure exercitarea drepturilor persoanelor vizate;
– durata de stocare a datelor să fie pe perioada strict necesară îndeplinirii scopului, după care datele vor fi șterse sau distruse, după caz;
– stabilirea modalităților de acces la sistemele de evidență în vederea colectării datelor, în funcție de care va stabili și va respecta măsuri tehnice și organizatorice adecvate pentru protejarea datelor;
– utilizarea datelor numai în limitele scopului stabilit;
– dezvăluirea către alți destinatari este interzisă, cu excepția situației în care există consimțământul persoanei vizate sau o prevedere legală expresă;
– desemnarea, în scris, a persoanei/persoanelor care vă vor prelucra datele și care trebuie să își asume răspunderea păstrării confidențialității acestora;
– lista conținând evidența acestor persoane va fi actualizată ori de câte ori se impune;
– numirea, în scris, a unei persoane specializate în securitatea informației care să vegheze la prelucrarea datelor, inclusiv la buna funcționare a sistemelor informatice utilizate în această activitate;
– stabilirea unui plan de securitate a informațiilor care să cuprindă, în principal, securitatea tehnică pe plan informatic și securitatea spațiilor în care se prelucrează datele, ținând cont de cerințele minime de securitate;
– stabilirea, în scris, a drepturilor și obligațiilor operatorului care transmite datele și ale operatorului care le primește.
– securitatea spațiilor în care se prelucrează datele, ținând cont de cerințele minime de securitate;
– stabilirea, în scris, a drepturilor și obligațiilor operatorului care transmite datele și ale operatorului care le primește.
Decizia mai stabilește că atât colectarea, cât și prelucrarea ulterioară a datelor cu caracter personal, inclusiv dezvăluirea acestora, obținute din documente accesibile publicului, se pot realiza de către operatori numai în condițiile prezentate mai sus.”
Dacă organizatorii Untold au sau nu dreptul de a le solicita festivalierilor date personale precum codul numeric personal este încă o întrebare, printre multe altele, la care ar trebui să răspundă instituțiile statului abilitate în acest domeniu. Instituții care ar trebui să se sesizeze de fiecare dată când legalitatea este pusă sub semnul întrebării.