Marketing versus GDPR
Unul dintre subiectele principale ale acestui an in termeni de evaluare, conformare si masuri continue pentru viitor este Regulamentul General privind Protectia Datelor (General Data Protection Regulation, en). Regulamentul devine aplicabil peste cateva luni, incepand cu data de 25 mai 2018. Companiile care prelucreaza date cu caracter personal in diversele lor activitati, au beneficiat si inca mai au la dispozitie cateva luni pentru a asigura conformarea. Intre timp, la nivel European au fost emise mai multe documente cu rol de ghid in implementarea anumitor cerinte (altele fiind inca in lucru) iar la nivel national autoritatea competenta in domeniul protectiei datelor are in lucru anumite proiecte de acte normative legate de organizarea in vederea aplicarii Regulamentului.
Unul dintre subiectele sensibile in acest context este legat de realizarea activitatilor de marketing, si mai ales marketing direct pe cai electronice.
GDPR impune printre altele, conditii mai stricte legate de modul in care se realizeaza informarea persoanelor ale caror date cu caracter personal sunt prelucrate dar si in ceea ce priveste obtinerea consimtamantului in acest scop. Este totodata relevanta necesitatea de a stabili si comunica temeiul legal al prelucrarii, informatii explicite legate de profilare si consecinte ale acesteia, precum si necesitatea de stabilire a unei durate determinate a prelucrarii datelor.
In concret, in activitatile de marketing, printre aspectele principale care trebuie avute in vedere si implementate, se numara:
- Faptul ca intotdeauna, in prealabil, persoanele ale caror date sunt prelucrate trebuie sa primeasca informatiile minim obligatorii legate de prelucrarea datelor acestora (inclusiv temeiul juridic al prelucrarii – iar GDPR specifica inclusiv faptul ca realizarea de activitati de marketing direct poate fi incadrata pe temeiul juridic al interesului legitim; perioada in care vor fi stocate datele, drepturile conferite persoanelor in baza Regulamentului, mai ales dreptul de a retrage consimtamantul oricand, existenta unui proces decisional automatizat cum ar fi crearea de profiluri si informatii legate de logica utilizata si importanta si consecintele preconizate ale unei astfel de prelucrari pentru persoana ale carei date sunt prelucrate).
- Obtinerea consimtamantului pentru scopuri de marketing (mai ales marketing direct) trebuie sa respecte cerintele noi cu privire la exprimarea consimtamantului (inclusiv faptul ca acesta trebuie sa fie demonstrabil, sa fie solicitat intr-o forma care sa il diferentieze in mod clar de celelalte aspecte, inteligibil si usor accesibil prin utilizarea unui limbaj clar si simplu, sa fie dat in mod liber – mai ales, sa nu fie conditionat de executarea unui contract, prestarea unui serviciu, sa fie furnizata posibilitatea efectiva de a retrage consimtamantul in mod la fel de facil ca si acordarea acestuia).
- Trebuie respectate si regulile de obtinere a consimtamantului pentru scopuri de marketing direct prin comunicari electronice, respectiv prin aplicarea mecanismelor de opt in expres si opt out, alaturi de furnizarea mijloacelor efective de dezabonare.
- Un aspect deosebit de relevant in acest context este legat de viitoarea adoptare a noului Regulament in domeniul prelucrarii datelor cu caracter personal prin intermediul comunicatiilor electronice (E-privacy Regulation), care va aduce reguli semnificativ mai stricte in acest domeniu.
- Trebuie evaluat modul in care a fost obtinut consimtamantul pentru datele existente si aplicate actiuni de informare si solicitare a consimtamantului in acord cu noile cerinte (in caz contrar, datele astfel prelucrate, de exemplu pe baza de casute prebifate, sunt supuse in mod clar riscului unei prelucrari neconforme si excesive)
- Trebuie evaluate masurile de securitate aplicate datelor astfel colectate si prelucrate, inclusiv reevaluarea acestora si implementarea lor in companie.
- Aspecte logistice cum sunt cele legate de manevrarea si arhivarea cupoanelor in format hartie, precum si termenele de retentie a acestora, trebuie sa fie evaluate in vederea respectarii noilor cerinte.
- Regulamentele aferente campaniilor promotionale trebuie actualizate pentru a corespunde noilor cerinte (incluse informatiile necesare cu privire la prelucrarea datelor, exprimarea consimtamantului, etc.).
- Persoanele care realizeaza activitati de marketing trebuie instruite in vederea respectarii noilor cerinte (inclusiv in cadrul unor activitati de marketing prin call center, promotii in magazine, prin reprezentanti contractati in acest sens, etc.).
- Este necesara evaluarea activitatilor si mecanismelor de profilare din punct de vedere al riscului asupra datelor cu caracter personal si afectarii drepturilor si intereselor persoanelor ale caror date sunt prelucrate si recalibrarea acestora pentru a se conforma cerintelor si principiilor GDPR.
Evident, discutia este una deschisa in asteptarea viitoarelor reglementari si documente cu rol de ghid ce vor fi emise in acest domeniu, insa evaluarile si luarea masurilor necesare trebuie intreprinse cat mai repede posibil (in cazul in care nu au fost deja realizate) pentru a se asigura conformarea pana pe 25 mai 2018 si pe mai departe.
Un articol semnat de Laura Grigore, Senior Associate