GDPR + Termeni si conditii

gdpr
termeni-si-conditii

(Pop Nicolae) #1

Salutare.

Ca tot este nebunia asta cu DGPR`ul ( exact cand mi-am propus sa scot un produs pe piata ), as vrea sa deschid un topic pe aceasta tema si sa adresez cateva intrebari celor care s-au lovit deja de asa ceva.

  1. Termenii si conditiile pot fi la un loc cu documentul DGPR si in momentul in care se befeaza ca este de acord sa fie amandoua luate in calcul ca le-a citit ?
  2. Cum as putea demonstra ca, clientul care si-a creat un cont si care a fost deacord cu acesti termeni si conditii si cu DGPR`ul, ar fi acceptat acele termene si conditii din momentul citirii? este posibil ca eu sa pot veni sa le modific ulterior.
  3. Daca aceste termene si conditii fac parte dintr`o aplicatie mobila, in momentul in care utilizatorul doreste sa le citeasca, aceste termene si conditii trebuie sa se afle in aplicatie (builduite impreuna cu aplicatia) sau se poate chema un url pentru afisarea lor ? ( mentionez ca e multilanguage aplicatia)
  4. La articolul 3 din Legea 677/2001, alineatul f spune : f) persoana imputernicita de catre operator - o persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autoritatile publice, institutiile si structurile teritoriale ale acestora, care prelucreaza date cu caracter personal pe seama operatorului;
    Unde se va inregistra aceasta persoana? Se cere ca aceasta persoana sa aiba vreun contract cu societatea care detine baza de date ?

Sper ca fiecare dintre voi sa acorde atentie acestui topic pentru a oferi ā€œcautatorilorā€ ca mine cat mai multe informatii utile.

Multumesc


(Ioan Albescu) #2

Salut.

Sa raspund la subiect

  1. In termeni si conditii trebuie sa ai o rubrica in care zici drepturile pe care clientii le au conform GDPR (DGPPR in romana). De exemplu Emag are o pagina separata ā€œprelucrarea datelor cu caracter personalā€ -> https://www.emag.ro/info/prelucrarea-datelor-cu-caracter-personal BCR - are politica privind confidentialitatea -> https://www.bcr.ro/ro/persoane-fizice/informatii-utile/politica-privind-confidentialitatea

Ca si solutie tehnica ai un checkbox nebifat si link catre termeni si conditii pe care clientul il poate citi. Nimeni nu il obliga sa il citeasca dar nu trebuie pre-bifat. In db tii minte ip-ul si data/ora cand omul a bifat ca a citit.

Daca vrei doua pagini separate si sa ā€œimpuiā€ citirea lor, tehnic poti vedea refererul clientului cand intra pe cele doua pagini si atunci sa ā€œactiveziā€ checkbox-ul ca a citit cele doua pagini.
2. De fiecare data cand modifici termenii si conditiile, trebuie sa iti informezi clientii si asa unii dintre ei sa poata sa refuze noile conditii.

Tehnic de ex: dupa ce ai modificat termeni si conditiile cand clientul se logheaza in cont, ii pui un baner mare in care il informezi si ii ceri iari acordul pentru noi termeni si conditii.

  1. Daca aplicatia lucreaza online poti chema un URL, daca aplicatia e facuta sa lucreze si offline, ar fi bine sa impachetezi in aplicatie termeni si conditiile.

  2. Nu sunt legist nu iti pot raspunde, dar Operatorul va fi responsabilul care trebuie sa isi ia masurile in ceea ce priveste persoana imputernicita. De cele mai multe ori va fi un contract intre operator si imputernicit. In acel contract/clauze ar trebui sa se specifice clar ce fluxuri/procese si cum imputernicitul proceseaza datele primite de la operator.


(Pop Nicolae) #3

Salut

Este vreo lege/normativa cu privire la IP data/ora la care acesta si`a creat contul ?
Cum as putea eu sa demonstrez ca omul la momentul inregistrarii a avut ultima actulizare de termene si conditii si DGPPR ?

am atasat 2 screenshoturi ale aplicatiei mele ca sa vezi despre ce este vorba. Aici as vrea sa fac link`ul + DGPPR ( pentru a le citii pe amandoua.

Mersi mult pentru unelele clarificari


(Ioan Albescu) #4

Salut.

Nu exista nici o lege. GDPR spune ca trebuie sa demonstrezi. IP-ul in Europa e si el considerat data cu caracter personal, deci trebuie sa o treci in termeni si conditii si sa spui motivul pentru ca stochezi aceasta informatie. Motive generale sunt securitate.

Tehnic pe baza IP-ului a orei si a datei (precum si portul de conectare, dar asta sunt in loguri avansate de la sysadmini) poti sa ajungi real la persoana care a avut acel ip, chiar daca ip-ul este dinamic (binenteles sunt si cazuri unde nu se poate dar nu cred ca asta e scopul discutiei).

Retinand IP-ul/(MAC-ul device-ului in cazul tau daca vrei ca aplicatia sa fie offline), data cand ultilizatorul a bifat ca a citit termeni si conditiile, asociate cu contul nou creat poti sa demonstrezi ca ai obtinut in mod real acordul acelei persoane.

Ca sa conteze aceasta intregistrare, nu trebui sa dea doar nr de telefon in cazul tau, ci sa fie double opt-in, adica pe acel numar de telefon sa trimiti un sms, un push notification cu alt cont, astfel incat sa se certifice ca aceea persoana chiar detine acel numar de telefon.

In cazul tau, cum spuneam si mai sus, ori pui totul in termeni si conditii, ori pui a doua bifa pentru conditiile privind datele personale. Omul vede cele doua si le poate consulta.