Meniu Închide

GDPR – efecte după intrarea în vigoare

La doar câteva zile de la termenul limită pentru aplicarea GDPR putem deja să discutăm efectele pe care le are atât în mediul online, cât și în mediul offline. Și sunt destule, nu toate pozitive.

Efectele GDPR, dincolo de teorie

În teorie, GDPR ajută populația să afle cine, cum, de ce, cât timp i se procesează datele cu caracter personal, de la banala adresă de e-mail până la mult-discutatul CNP. În teorie, GDPR ajută populația să priceapă că, așa cum a aflat că fiecare dintre noi  „este cetățean european și are drepturi”, printre aceste drepturi se numără și cel de a cere ca datele să nu-i fie procesate, de a cere să vadă ce date sunt cele procesate, de a schimba furnizorul (transferând datele), de a le corecta și, desigur, de a face reclamații. Cetățeanul ar trebui să fie acum și informat, și mulțumit, și încrezător.

În realitate însă, companiile sunt terifiate de perspectiva amenzilor mari și confuze în lipsa normelor de aplicare și a unor indicații coerente de compliere, iar cetățenii n-au înțeles nimic altceva decât că primesc cam multe mailuri și că pot face reclamații.

Efectul spam: suntem bombardați cu e-mailuri – pe care le ignorăm

Considerentului 47 și al Articolului 6 din GDPR spun clar că datele personale pot fi procesate dacă există un interes legitim al companiei, care nu lezează interesele, libertățile și drepturile fundamentale ale persoanelor vizate (art. 6 alin. f), iar procesările în vederea marketingului direct pot fi considerate interes legitim (Considerentul 47).

De frica amenzilor și din neînțelegerea GDPR, foarte multe companii, chiar și cele mari, au început să trimită mailuri peste mailuri în care ne cer să ne reabonăm, să ne reconfirmăm acordurile privind procesarea datelor personale și tot așa. Ceea ce este total greșit.

Unele dintre efecte:

  • supraîncărcarea inboxurilor cu mesaje inutile (și frustrarea persoanelor vizate);
  • pierderea unei mari părți din datele din bazele de date (foarte puțini reconfirmă, iar companiile pierd dreptul de a folosi datele);
  • comunicarea greșită către populație cu privire la GDPR (iar asta generează teamă și hipervigilență cu privire la date);
  • de frica repercusiunilor, unele companii din afara UE blochează complet accesul cetățenilor UE la serviciile, produsele și site-urile lor (iar cetățenii care nu mai au acces nu sunt prea încântați).

Efectul birocratic: facem zeci de hârtii, să fim acoperiți

Din păcate, deși legea solicită companiilor, indiferent de mărime și de numărul de angajați, să poată face dovada complianței cu GDPR, nicăieri în Regulament nu scrie și cum anume și mai exact se poate face asta. Oricum am citi GDPR-ul, nu avem nimic suficient de clar.

Sunt o sumedenie de întrebări pe care nu ai cum să nu ți le pui, dacă faci efortul să citești cele peste 100 de pagini ale GDPR. Ce înseamnă „proporțional”? Proporțional față de ce și cine stabilește proporția corectă a eforturilor de compliere? Ce este aceea „scară largă”? Cam cât de… largă să fie? 1000 de persoane din toată țara se pot considera scară largă? Dar 10000 doar dintr-un oraș? Ah, dacă am întrebat omul în ce oraș este, ca să-i putem afișa conținut relevant pentru el, este sau nu geolocalizare? Ai sau n-ai nevoie de DPO (Responsabil cu protecția datelor / Ofițer însărcinat cu protecția datelor)? Dar dacă nu ai niciun angajat, că abia ai deschis firma? Ai sau nu nevoie de DPIA (Evaluarea impactului privind protecția datelor) / PIA (Privacy Impact Assesment)? Dacă nu, cum justifici că nu? Aștepți controlul și răspunzi la întrebări? Scrii ceva undeva și pui o ștampilă? Anunți pe cineva? Ce este de făcut?

Suntem o nație obișnuită cu hârțogăria. Poate hârtiile sunt inutile, dar dacă nu sunt și ne ajută dacă le avem la îndemână? Ca să ne simțim în siguranță, și noi, la WEBGROW, am ales să ne acoperim de hârtii, și asta am recomandat, cel puțin până apar alte informații, și clienților noștri. Avem un document de audit intern făcut cu legea în mână, în care ne-am mapat cât mai exact posibil procesele de date, de la colectare la ștergere / distrugere, am identificat ce date prelucrăm, pentru cine, cine prelucrează date pentru noi, cât timp le păstrăm și în ce condiții, cât de securizate sunt, ce facem dacă, prin absurd, sunt expuse și tot așa. Pe site am pus tot felul de informări și butoane și casete nebifate de-a gata care, chiar dacă sunt deosebit de enervante (am încercat să le facem să fie minim-intruzive!), sunt compliante.

Ca să-i ajutăm și pe alții cu demonstrarea preocupării față de lege, a înțelegerii ei și a ceea ce se întâmplă cu datele cu caracter personal în propria firmă, precum și ca un prim pas pentru realizarea complianței, avem și un serviciu nou, prestat din perspectiva unor oameni de IT, care lucrează încă din anul 2000 cu date cu caracter personal în condiții de siguranță și etică – mai multe detalii despre acest serviciu, aici: Vezi pachetele standard pentru complianță GDPR »

Efectul de neîncredere: populația crede că i se fură datele și că se folosesc în scopuri malefice

Câteva cazuri din poveștile trăite și auzite zilele acestea:

  • o farmacistă care trebuia să proceseze CNP-ul conform legii, la eliberarea unei rețete cu regim special, încercând să explice pensionarului că așa e legea și că trebuie să dea CNP-ul ca să-și ia pastilele.
  • asistenta unui medic de familie, înarmată cu pix și formular pentru pacienții adunați la ușa cabinetului, cum că aceștia sunt de acord cu procesarea datelor lor personale (nu este necesar!).
  • o persoană care voia să retragă dreptul de administrare în site-ul ei în lucru firmei care i-l construiește (!!!).
  • un abonat la un newsletter, care a uitat că s-a abonat cu double opt-in acum 3 ani, și care întreba, supărat: „cine v-a dat dreptul să folosiți datele mele?”
  • cineva care voia să înregistreze un domeniu .ro pe numele Eu Însumi.

Toate aceste efecte absurde sunt reale, pentru că ce înseamnă de fapt această lege nu a fost comunicat oficial, iar sectorul privat a fost lăsat să se descurce cum o putea. Iar acestea sunt rezultatele.

Ce facem în continuare?

Așteptăm normele de aplicare, cuantumul amenzilor aplicabile la noi în țară, ne coafăm site-urile cu politici de confidențialitate și cookies, scriem documente de uz intern în care mapăm tot ce mișcă și este despre date cu caracter personal, ignorăm spamul care ne cere să ne reabonăm și încercăm să nu ne panicăm. Datele cu caracter personal nu vor fi mai în siguranță odată cu această lege; ele vor fi procesate până la urmă ca și înainte, doar că va dura mai mult timp să se adune iar mailuri în bazele de date, iar statul tot ne va cere CNP peste tot, pe termen lung o să primim mai puține newslettere de la firme, o să vedem mai puțină publicitate relevantă pe site-uri, o să semnăm hârtii de acord fără să le citim și viața va merge mai departe.

Și, iată aici și un infografic (în engleză) despre GDPR pentru firme »

Află mai mult despre GDPR

Citește textul integral al REGULAMENTULUI (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor

Motive pentru amenzi GDPR în România în 2019

Motive pentru amenzi GDPR

Motive pentru amenzi GDPR sunt destule și era de așteptat ca cel puțin câteva firme mari și cunoscute să fie ...
Citește Mai Mult
Măsuri speciale de securitate GDPR

Măsuri speciale de securitate GDPR

Pe lângă soluțiile pe care le-am discutat în ultimele articole, poți lua și măsuri speciale de securitate GDPR. Aceste soluții, ...
Citește Mai Mult

GDPR – efecte după intrarea în vigoare

La doar câteva zile de la termenul limită pentru aplicarea GDPR putem deja să discutăm efectele pe care le are ...
Citește Mai Mult
Obligațiile operatorilor de date personale

Ce obligații prevede GDPR?

În ultimul articol din seria despre GDPR am discutat despre noile drepturi ale cetățenilor europeni. Însă la fel de importante ...
Citește Mai Mult
Ce drepturi prevede GDPR

Ce drepturi prevede GDPR?

După ce ai aflat din ultimele noastre articole ce este GDPR și cui i se aplică noile prevederi, e momentul să afli ...
Citește Mai Mult
Procesarea datelor personale

Ți se aplică regulile GDPR?

După ce ai aflat despre GDPR din ultimul nostru articol, a venit momentul să știi mai multe despre procesarea datelor ...
Citește Mai Mult
protecția datelor personale

Ai auzit de GDPR?

Protecția datelor – un drept fundamental Știai că cetățenii europeni se bucură de protecția datelor personale? Iar acest drept este ...
Citește Mai Mult

Ce este și ce nu este o „breșă de securitate”

Deși toată lumea vorbește despre ele, puțini știu ce este o breșă de securitate cu adevărat. Publicul larg a auzit ...
Citește Mai Mult

Schemă nemțească: plătești 977€/an pentru ceva ce probabil nu-ți trebuie

E plină piața românească de diverse firme care profită acum de teama de GDPR (și o exploatează prin diverse tehnici ...
Citește Mai Mult
Ți se prelucrează ilegal datele personale?

Ți se prelucrează ilegal datele personale?

Până acum am discutat despre măsurile pe care compania ta le poate lua ca să respecte noile prevederi GDPR. Dar ...
Citește Mai Mult

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Te rugăm să citești politica de confidențialitate și cookies, iar dacă ești de acord și accepți să primești comunicări pe e-mail de la WEBGROW, inclusiv comunicări comerciale, te rugăm bifează mai jos: