La doar câteva zile de la termenul limită pentru aplicarea GDPR putem deja să discutăm efectele pe care le are atât în mediul online, cât și în mediul offline. Și sunt destule, nu toate pozitive.
Efectele GDPR, dincolo de teorie
În teorie, GDPR ajută populația să afle cine, cum, de ce, cât timp i se procesează datele cu caracter personal, de la banala adresă de e-mail până la mult-discutatul CNP. În teorie, GDPR ajută populația să priceapă că, așa cum a aflat că fiecare dintre noi „este cetățean european și are drepturi”, printre aceste drepturi se numără și cel de a cere ca datele să nu-i fie procesate, de a cere să vadă ce date sunt cele procesate, de a schimba furnizorul (transferând datele), de a le corecta și, desigur, de a face reclamații. Cetățeanul ar trebui să fie acum și informat, și mulțumit, și încrezător.
În realitate însă, companiile sunt terifiate de perspectiva amenzilor mari și confuze în lipsa normelor de aplicare și a unor indicații coerente de compliere, iar cetățenii n-au înțeles nimic altceva decât că primesc cam multe mailuri și că pot face reclamații.
Efectul spam: suntem bombardați cu e-mailuri – pe care le ignorăm
Considerentului 47 și al Articolului 6 din GDPR spun clar că datele personale pot fi procesate dacă există un interes legitim al companiei, care nu lezează interesele, libertățile și drepturile fundamentale ale persoanelor vizate (art. 6 alin. f), iar procesările în vederea marketingului direct pot fi considerate interes legitim (Considerentul 47).
De frica amenzilor și din neînțelegerea GDPR, foarte multe companii, chiar și cele mari, au început să trimită mailuri peste mailuri în care ne cer să ne reabonăm, să ne reconfirmăm acordurile privind procesarea datelor personale și tot așa. Ceea ce este total greșit.
Unele dintre efecte:
- supraîncărcarea inboxurilor cu mesaje inutile (și frustrarea persoanelor vizate);
- pierderea unei mari părți din datele din bazele de date (foarte puțini reconfirmă, iar companiile pierd dreptul de a folosi datele);
- comunicarea greșită către populație cu privire la GDPR (iar asta generează teamă și hipervigilență cu privire la date);
- de frica repercusiunilor, unele companii din afara UE blochează complet accesul cetățenilor UE la serviciile, produsele și site-urile lor (iar cetățenii care nu mai au acces nu sunt prea încântați).
Efectul birocratic: facem zeci de hârtii, să fim acoperiți
Din păcate, deși legea solicită companiilor, indiferent de mărime și de numărul de angajați, să poată face dovada complianței cu GDPR, nicăieri în Regulament nu scrie și cum anume și mai exact se poate face asta. Oricum am citi GDPR-ul, nu avem nimic suficient de clar.
Sunt o sumedenie de întrebări pe care nu ai cum să nu ți le pui, dacă faci efortul să citești cele peste 100 de pagini ale GDPR. Ce înseamnă „proporțional”? Proporțional față de ce și cine stabilește proporția corectă a eforturilor de compliere? Ce este aceea „scară largă”? Cam cât de… largă să fie? 1000 de persoane din toată țara se pot considera scară largă? Dar 10000 doar dintr-un oraș? Ah, dacă am întrebat omul în ce oraș este, ca să-i putem afișa conținut relevant pentru el, este sau nu geolocalizare? Ai sau n-ai nevoie de DPO (Responsabil cu protecția datelor / Ofițer însărcinat cu protecția datelor)? Dar dacă nu ai niciun angajat, că abia ai deschis firma? Ai sau nu nevoie de DPIA (Evaluarea impactului privind protecția datelor) / PIA (Privacy Impact Assesment)? Dacă nu, cum justifici că nu? Aștepți controlul și răspunzi la întrebări? Scrii ceva undeva și pui o ștampilă? Anunți pe cineva? Ce este de făcut?
Suntem o nație obișnuită cu hârțogăria. Poate hârtiile sunt inutile, dar dacă nu sunt și ne ajută dacă le avem la îndemână? Ca să ne simțim în siguranță, și noi, la WEBGROW, am ales să ne acoperim de hârtii, și asta am recomandat, cel puțin până apar alte informații, și clienților noștri. Avem un document de audit intern făcut cu legea în mână, în care ne-am mapat cât mai exact posibil procesele de date, de la colectare la ștergere / distrugere, am identificat ce date prelucrăm, pentru cine, cine prelucrează date pentru noi, cât timp le păstrăm și în ce condiții, cât de securizate sunt, ce facem dacă, prin absurd, sunt expuse și tot așa. Pe site am pus tot felul de informări și butoane și casete nebifate de-a gata care, chiar dacă sunt deosebit de enervante (am încercat să le facem să fie minim-intruzive!), sunt compliante.
Ca să-i ajutăm și pe alții cu demonstrarea preocupării față de lege, a înțelegerii ei și a ceea ce se întâmplă cu datele cu caracter personal în propria firmă, precum și ca un prim pas pentru realizarea complianței, avem și un serviciu nou, prestat din perspectiva unor oameni de IT, care lucrează încă din anul 2000 cu date cu caracter personal în condiții de siguranță și etică – mai multe detalii despre acest serviciu, aici: Vezi pachetele standard pentru complianță GDPR »
Efectul de neîncredere: populația crede că i se fură datele și că se folosesc în scopuri malefice
Câteva cazuri din poveștile trăite și auzite zilele acestea:
- o farmacistă care trebuia să proceseze CNP-ul conform legii, la eliberarea unei rețete cu regim special, încercând să explice pensionarului că așa e legea și că trebuie să dea CNP-ul ca să-și ia pastilele.
- asistenta unui medic de familie, înarmată cu pix și formular pentru pacienții adunați la ușa cabinetului, cum că aceștia sunt de acord cu procesarea datelor lor personale (nu este necesar!).
- o persoană care voia să retragă dreptul de administrare în site-ul ei în lucru firmei care i-l construiește (!!!).
- un abonat la un newsletter, care a uitat că s-a abonat cu double opt-in acum 3 ani, și care întreba, supărat: „cine v-a dat dreptul să folosiți datele mele?”
- cineva care voia să înregistreze un domeniu .ro pe numele Eu Însumi.
Toate aceste efecte absurde sunt reale, pentru că ce înseamnă de fapt această lege nu a fost comunicat oficial, iar sectorul privat a fost lăsat să se descurce cum o putea. Iar acestea sunt rezultatele.
Ce facem în continuare?
Așteptăm normele de aplicare, cuantumul amenzilor aplicabile la noi în țară, ne coafăm site-urile cu politici de confidențialitate și cookies, scriem documente de uz intern în care mapăm tot ce mișcă și este despre date cu caracter personal, ignorăm spamul care ne cere să ne reabonăm și încercăm să nu ne panicăm. Datele cu caracter personal nu vor fi mai în siguranță odată cu această lege; ele vor fi procesate până la urmă ca și înainte, doar că va dura mai mult timp să se adune iar mailuri în bazele de date, iar statul tot ne va cere CNP peste tot, pe termen lung o să primim mai puține newslettere de la firme, o să vedem mai puțină publicitate relevantă pe site-uri, o să semnăm hârtii de acord fără să le citim și viața va merge mai departe.
Și, iată aici și un infografic (în engleză) despre GDPR pentru firme »
Află mai mult despre GDPR
Motive pentru amenzi GDPR
Citește Mai Mult
Măsuri speciale de securitate GDPR
Citește Mai Mult
GDPR – efecte după intrarea în vigoare
Citește Mai Mult
Ce obligații prevede GDPR?
Citește Mai Mult
Ce drepturi prevede GDPR?
Citește Mai Mult
Ți se aplică regulile GDPR?
Citește Mai Mult
Ai auzit de GDPR?
Citește Mai Mult
Ce este și ce nu este o „breșă de securitate”
Citește Mai Mult
Schemă nemțească: plătești 977€/an pentru ceva ce probabil nu-ți trebuie
Citește Mai Mult
Ți se prelucrează ilegal datele personale?
Citește Mai Mult