Ca avocat, am acordat in ultima perioada consultanta clientilor pentru implementarea GDPR in business-urile online ale clientilor.
Am urmarit cate putin articolele scrise de altii pe aceasta tema, precum si implementarile aferente. Ce mi se pare insa este ca de-abia acum, dupa 25 mai se vede haosul lasat in urma de GDPR, sau …. de modul in care oamenii au interpretat si implementat GDPR-ul.
Cateva exemple spre amuzamentul (sau disperarea?) tuturor.
Negocierea unui contract presupune in epoca tehnologiei „plimbarea” drafturilor pe email. Eu iti dau varianta mea de contract, tu mi-o retransmiti modificata cu track changes si tot asa pana cadem de acord si stabilim o intalnire sa semnam.
Asta teoretic. In practica, ma suna azi dezvoltatorul de la care urmeaza sa cumpar un apartament, sa stabilim intrevederea la notar pentru semnarea actelor. Desigur, il rog sa-mi trimita draftul contractului de vanzare cumparare. Imi raspunde ferm ca „nu se mai poate de cand cu legea asta cu protectia datelor”. Ma amuz si ii spun ca da, bine, dar contractul ala contine datele mele. El insista ca nu se poate, ca sunt documente transmite online.
Ok, ce a inteles dezvoltatorul din tot GDPR-ul? Ca nu mai poate trimite drafturi de contracte (antecontracte, contracte de vanzare-cumparare etc. ) pe email. Amunzat, desigur. Sunt curioasa cum o sa-i scada vanzarile daca insista in practica asta.
Iata deci un prim exemplu de GDPR interpretat si aplicat prost. Doar nu o sa renuntam la negocierea si transmiterea contractelor pe email, in epoca tehnologiei, nu-i asa? Nu asta a fost ratiunea leguitorului european cand a edictat GDPR, desigur nu? 🙂
Raspuns pe scurt: da, e ok sa faceti schimb de documente/sa revizuiti si negociati contracte prin email in continuare. Daca vreti sa fiti ok, nu eliminati tehnologia, mai bine respectati legea – asigurati informarea cocontractantului privind prelucrarea datelor cu caracter personal, conform Regulamentului, la momentul colectarii datelor acestuia.
Ar trebui sa le citim ca si inainte. Intri pe site, citesti. Din pacate multi au inteles prost regulile privind cookie-urile in epoca GDPR asa ca au ales sa transforme paginile web in cearsafuri pe care cand intri nu vezi decat Politica de confidentialitate.
Mai amuzant este ca ownerii de pagini web nu s-au prea hotarat: unii iti afiseaza pe prima pagina cearceaful Politica de confidentialitate si un buton de „accepta”. Altii iti afiseaza acelasi cearceaf dar ai si un buton prin care poti selecta categoriile de cookie-uri pe care vrei sa le vezi. Altii afiseaza acelasi cearceaf de care nu mai poti scapa. Pana reusesti sa le inchizi pop-up-ul, mai bine parasesti site-ul.
Si atunci, cum e ok? E ok sa nu obstructionezi vizitatorului pagina web. Pune o notificare de cookie mica si eleganta si da vizitatorului posibilitatea reala sa-si aleaga ce cookie-uri vrea sa accepte.
Regulamentul spune ca ne dam consimtamantul liber, neconstransi si printr-o actiune expresa.
Cei ce ne vor datele s-au gandit ca ne putem da consimtamantul… momiti. Iata cazul Vodafone si Orange care ne imbie cu 4-5 gb moka de net daca ne dam acordul sa ne prelucreze datele in toate scopurile dorite de ei.
Iata furnizori de programe si continut online care ne promit ca vom participa la o tombola in care putem obtine acces pe viata la materialele lor educative daca ne reinoim consimtamantul.
E corect? In primul rand e amuzant. Jucatori mai din piata care au ales sa riste si sa nu forteze consimtamantul, dar sa-l momeasca, pe motiv ca… regulamentul nu interzice in mod expres asta.
Cum ar trebui sa iau consimtamantul? Liber exprimat si bine informat. Lasa utilizatorul sa bifeze o casuta daca vrea sa primeasca mesaje comerciale de la tine si nu-i promite 3 cirese si 2 mere daca face asta.
Unii ar spune ca nu mai facem, ca nu avem acordul celui caruia ii trimitem mesaj. Altii ar spune, ba dimpotriva, putem trimite orice mesaj, pentru ca datele de contact sunt publice undeva online.
Mda, datele publice undeva online nu pot fi folosite de oricine, in orice scop. Asa ca ori iei consimtamantul persoanei careia vrei sa-i scrii mesaje promotionale, ori gasesti un alt temei pentru prelucrarea datelor, conform Regulamentului (hint: consultanta un avocat!)
Adica luam CNP-ul, nu luam CNP-ul? Un fel de… „ma iubeste, nu ma iubeste…”. Marea problema este ca CNP-ul este camp obligatoriu in multe soft-uri de facturare. Si ca… uneori cand se completeaza declaratii la ANAF se cam cere.
Asa ca da, cere CNP-ul daca facturezi si ai nevoie de el, in softul de facturare de exemplu. Doar nu o fi sa ne schimbam softurile din acest motiv? 🙂
Da, stiu, asta este o discutie sensibila. Unii consultanti/avocati vor spune fix invers. Nu cere CNP-ul. Daca este necesara o dezbatere, o facem alta data.
Observ ca fiecare interpreteaza GDPR-ul cum crede de cuviinta. Au aparut desigur si multi consultanti-ciuperca-dupa-ploaie care desi nu au studii juridice se prezinta, adica se lauda in online ca sunt experti GDPR. E evident ca un om fara pregatire juridica va intelege mai greu sensul unui regulament, ratiunea legiuitorului si modalitatea corecta de implementare.
Dar fiecare client lucreaza cu consultantul pe care si-l alege. 🙂
Disclaimer: acest articol este o opinie personala, mai mult decat o opinie legala. Nu doresc sa intru in dezbateri, doresc doar sa expun si altora cum am „trait” eu GDPR-ul ca utilizator, de la intrarea in vigoare a regulamentului. Desigur, pentru ca sunt avocat nu m-am putut abtine si de la cateva consideratii juridice.