Cateva consecinte mai subtile ale Regulamentului General privind Protectia Datelor Personale

Cateva consecinte mai subtile ale Regulamentului General privind Protectia Datelor Personale protectia datelorgdprmarketing direct

Mai sunt doar 2 luni pana la intrarea in vigoare, la 25 mai, a celui mai important act normativ cu care o firma din Europa s-a intersectat probabil in toata activitatea ei – Regulamentul UE nr. 679/2016, cunoscut drept Regulamentul General privind Protectia Datelor Personale (GDPR), un act normativ care prevede sanctiuni de pana la 20 de milioane de euro sau 4% din cifra de afaceri.
Necesitatea protectiei datelor personale a aparut pe fondul exploziei comertului online - companiile au colectat cantitati uriase de informatii personale despre clientii lor si, fara un cadru de reglementare, exista oricand pericolul ca aceste informatii sa fie folosite in scopuri negative si discriminatorii. De aici nevoia de confidentialitate si protectie.

Iar GDPR exact asta a facut – a stabilit masuri concrete care ofera confidentialitate si protectie, plecand de la un principiu simplu: datele personale apartin individului, sunt un bun al acestuia, ca urmare ele nu pot fi folosite decat cu acordul posesorului lor, in conditiile si in scopul acceptate de acesta.

Prin noile prevederi, conceptul de “date personale” devine atat de larg incat orice firma care lucreaza cu astfel de date – fie ca e vorba despre datele angajatilor sau ale clientilor – devine instantaneu subiect al Regulamentului.

Chiar si o mica firma, care isi pastreaza lista de clienti intr-un fisier pe calculator sau pe un stick de memorie, intra sub incidenta GDPR. In cazul in care datele clientilor ajung in mainile unor terte persoane, nu are nici o relevanta ca firma care nu le-a protejat corespunzator este una mare sau mica.

O consecinta importanta este ca GDPR va afecta in mod semnificativ activitatea firmelor de marketing direct, adica a acelor firme care trimit oferte promotionale prin posta clasica sau prin utilizarea serviciilor de comunicatii electronice, in principal prin e-mail. Concret, cand se mai pot prelucra datele personale pentru marketing direct?

Ca regula generala, datele colectate de catre companii vor putea fi prelucrate in scopuri de marketing direct in doua situatii:

1. cand companiile au obtinut acordul persoanei vizate;
2. cand companiile reusesc sa demonstreze ca au un interes legitim pentru aceasta prelucrare (de exemplu, in cazul transmiterii cataloagelor de produse prin posta catre clienti existenti).

In ambele situatii, companiile vor fi obligate sa informeze persoana vizata foarte exact si in mod transparent despre scopul in care vor fi folosite datele, durata pentru care vor fi pastrate si despre dreptul acesteia de a se opune oricand prelucrarii datelor personale colectate. Iar redactarea acestei informari trebuie facuta intr-un limbaj simplu si clar, care sa poata fi usor inteles.

Acest ultim aspect este important in practica, avand in vedere ca un studiu recent realizat de catre SAS, una dintre cele mai mari companii producatoare de software din lume, a aratat ca 56% din cei chestionati, odata informati despre posibilitatea de a refuza procesarea datelor, au avut tendinta sa isi protejeze datele personale, mai degraba decat sa permita procesarea lor.

Foarte important este si ca datele colectate cu ocazia diverselor campanii promotionale nu vor putea fi folosite pentru marketing direct prin mijloace electronice decat daca persoana vizata si-a dat inca de la inceput acordul pentru utilizarea lor in acest scop.

Mai clar, daca datele au fost colectate cu un alt scop in timpul campaniei promotionale, iar ulterior compania decide sa le foloseasca in scopuri de marketing direct si cere acordul prin email, aceasta se va considera o incalcare a GDPR, pentru ca solicitarea acordului e tot o forma de marketing direct, pentru care compania nu avea consimtamantul. Astfel, in acest caz, prelucrarea datelor este nelegala si poate atrage amenzi uriase pentru companii.