AM UN IMM: CUM MA POT ALINIA LA GDPR?

DEDICAȚIE

Închin acest articol unui prieten bun care de peste 25 de ani s-a dedicat promovării tehnologiei informației. Imaginea lui Romi Maier se suprapune practic cu istoria presei de IT din Romania. O presă de calitate, fără de care nu s-ar fi vorbit de o industrie IT în România. O pierdere inegalabilă pentru familie, pentru prieteni, pentru presă și pentru industrie. Drum bun, Romi, și pacea fie cu tine…


De la bun început mulți considerau IMM-urile ca victime sigure ale GDPR, prin lipsa posibilităților de investiții în softuri sofisticate de criptare și de protecție sau în ore scumpe pentru servicii de audit și consultanță… Dar ceea ce mulți nu au luat în considerare, este că de multe ori ca IMM ne putem descurca mult mai bine într-un proiect de reorganizare, investiții și aliniere.

Mărimea nu mai contează…

Regulamentul are ca principală menire schimbarea modului în care orice organizație obține și administrează datele personale. Chiar dacă majoritatea articolelor și procedurilor din Regulament au în vizor modul în care marile companii administrează datele prelucrate, micile organizații precum micro-întreprinderile sau persoanele fizice sunt obligate în egală măsură să dovedească respect pentru prelucrarea datelor personale.

GDPR se aplică organizațiilor de orice dimensiune, în cazul în care prelucrarea datelor are loc în mod regulat sau dacă procesarea include categorii speciale de date definite în articolul 9 din GDPR. Acest lucru reiese chiar din definițiile Operatorului și Procesatorului de date personale.

Conform GDPR, Art.4.7. “Operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile şi mijloacele de prelucrare a datelor cu caracter personal;

Conform Art.4.8. “Procesator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele Operatorului;

Chiar și un consultant sau o persoană fizică autorizată care procesează în mod constant și regulat date personale și date personale cu caracter special poate avea rol de operator de date personale sau de procesator, în funcție de tipul de activitate executată. Dacă există tipuri de servicii în care se stabilesc scopul și mijloacele, specialistul individual poate avea rol de operator asociat în relațiile cu clienții săi. Dacă există tipuri de activități în care specialistul individual execute doar operațiuni solicitate de clienții săi, în acest caz are rol de procesator de date personale, cu toate răspunderile care revin unei asemenea poziții.

Prelucrăm date personale? Deci nu avem încotro…

Chiar dacă nu dispunem de fondurile celor mari, ca manageri ai unei companii mici, suntem direct răspunzători de continuitatea afacerii și implicit suntem dispuși să și investim.  Într-o companie mică, ca întreprinzător suntem și sponsor și șef de proiect. Și sunt mai capabil și mai interesat să îmi aleg cea mai bună și mai eficientă echipă, care de multe ori îi include pe toți ceilalți angajați.

Sunt mai expuse companiile mici la atacuri cibernetice decât cele mijlocii sau mari? Teoretic așa ar trebui să fie, pentru că nu dispunem de infrastructura la care ceilalți au acces. Un studiu Juniper Research apreciază că peste jumătate din IMM-urile din țările UE consideră că sunt în siguranță față de atacurile cibernetice, dar jumătate din acestea au suferit o încălcare a datelor. În acest context, necesitatea de a proteja mai eficient datele cu caracter personal nu a fost niciodată mai evidentă, chiar și la nivel de IMM.

GDPR consolidează protecția informațiilor personale. Indiferent de mărime, toate companiile care își desfășoară activitatea în UE au acum obligația să colecteze, să stocheze și să utilizeze informațiile cu caracter personal într-un mod mai sigur. Deși există puține domenii în care IMM-urile sunt recunoscute ca având mai puține resurse și capacități decât întreprinderile mai mari, întreprinderile mici pot să se bucure de o anumită marjă de manevră în ceea ce privește documentația și păstrarea înregistrărilor. Gradul de libertate în acest stadiu este încă incert.

Guvernul britanic estima recent că doar 40% dintre întreprinderile cu mai puțin de 50 de angajați și doar 66% dintre firmele  cu 50-249 de persoane au fost conștiente de importanța GDPR.

 

5 motive serioase pentru aliniere

Iată cinci motive serioase pentru care IMM-urile trebuie să înțeleagă urgent acest regulament și să-și alinieze procesele cu acesta:

1. GDPR vine cu noi drepturi, deci noi obligații – În primul rând, GDPR oferă persoanelor noi drepturi asupra datelor lor personale. Teoretic, acum putem merge la o bancă sau la un supermarket ca să le cerem să ne șteargă datele din sistemele lor.  Teoretic, pentru că practice vom obține asta peste cel puțin 10 ani…

A, un drept real este acela de a cere mutarea datelor de la un furnizor de servicii la altul. Asta chiar se poate. De exemplu, mutarea dosarului de la un furnizor telco la altul. Dar asta nu înseamnă că vechiul furnizor ne va șterge datele.

2. Furnizorii sunt acum sub microscop – GDPR vine și cu noi responsabilități asupra procesatorilor de date. Dacă procesăm date în numele unui operator, trebuie să păstrăm instrucțiunile acestuia pentru a fi aliniați GDPR. Dacă fac o greșeală ca procesator, o fac pe barba mea și pot fi tras direct la răspundere.

3. Avem sau nu nevoie de DPO? – la nivel de IMM, evident că nu. Asta nu exclude recomandarea de a numi o echipa de proiect și un responsabil de proiect cu rol de coordonator. Sunt sarcini permanente, chiar și într-un IMM, precum ținerea evidențelor de procesare, consimțământ sau breșe, pe lângă ingrata sarcină de a prelua asimilarea politicilor interne în toate departamentele.

4. Angajații ca verigă slabă – studiile arată că cel puțin o treime din vulnerabilitățile datelor personale se datorează erorii personalului. Nu există nici un substitut pentru instruirea angajaților cu privire la responsabilitățile lor de bază în cadrul GDPR. În plus, asigurați-vă că specialiștii companiei dvs., cum ar fi comercianții, reprezentanții HR și membrii consiliului, primesc o instruire specifică referitoare la rolurile lor despre ceea ce trebuie să facă pentru a se conforma GDPR.

5. Trebuie să le spunem clienților ce facem cu datele lor – conform GDPR, clienții au dreptul de a fi informați – într-un limbaj clar – cu privire la ceea ce facem cu datele lor personale. Politica noastră de confidențialitate online trebuie să fie scrisă în limbaj simplu, spunând clienților despre locul unde obținem datele, ce facem cu ele și cu cine le împărțim. Dacă avem o pagină web pentru afacerea noastră, e musai să punem crezul nostru privind confidențialitatea pe site, în pagina Confidențialitate date personale.

Companiile mici sau specialiștii individuali care își asigură conformitatea GDPR beneficiază nu numai de procese de afaceri mai sigure și mai profesionale, ci și de un cert avantaj competitiv față de concurenții care nu au dat mare importanță prevederilor noului regulament. Conformitatea GDPR este o etichetă de încredere, loialitate și respect față de clienți și parteneri și față de datele personale pe care aceștia ni le încredințează.

Parte din acest conținut poate fi regăsit în articolul ”Am un IMM: cum pot deveni compatibil GDPR? ” publicat pe 16 iulie pe site-ul ittrends.ro și în revista IT Trends din iulie 2018.

Advertisements

Despre GDPR și respectul pentru interlocutor

 

 

Anca CRAHMALIUC

Anca Crahmaliuc este expert în domeniul Corporate Affairs, PR și Marketing B2B, cu experiență exhaustivă in coordonarea de activități și echipe Marketing & Communications în organizații multinaționale. Este absolventă a programului MBA dezvoltat de Tiffin University în parteneriat cu Universitatea București.

 

 

Mai există viață în marketingul B2B după 25 mai 2018?

Cu siguranță. Intrarea în funcțiune a regulamentului european referitor la protecția datelor personale nu numai că nu diminuează valoarea acțiunilor de marketing, ci o crește semnificativ din punct de vedere calitativ. Cum? Prin credibilizare și eficientizare.

Este evident că, mai ales în ultimul deceniu, evoluția amețitoare a mijloacelor electronice de comunicare a condus la o creștere exponențială a mesajelor de marketing. Multe, tot mai multe. Le citește cineva? Nu știm și nu contează. Să fie cât mai multe, adresate cât mai multor persoane. Sunt aceste persoane în grupul nostru țintă? Nu prea știm și nici nu prea contează.

Dacă sunt mulți, poate s-or și nimeri destui care să fie între cei care ne-ar putea fi potențiali clienți. Nu cumva îi spamăm? N-au decât să-și pună filtre… Și dacă nu știu să facă asta? Atunci să șteargă mesajele și gata…

Am consemnat o succesiune de posibile întrebări și răspunsuri schimbate în ultimii ani între oamenii din departamentele de vânzări și marketing dintr-o organizație din orice industrie. Vânzările sunt esențiale pentru supraviețuirea companiei. Deci, să facem cât mai multe vânzări. Eventuale obiecții ridicate timid pot fi interpretate ca o lipsă de interes pentru soarta firmei…deci nu le mai ridicăm. Și totuși….ce șanse sunt ca o persoană complet neinteresată de produsele noastre să le și cumpere? Nu cumva agresând-o cu informații nesolicitate vom genera chiar o reacție de adversitate?

Prevederile GDPR se aplică în orice situație sunt prelucrate „date cu caracter personal”. Acest lucru înseamnă că ele includ toate persoanele identificate în mod direct sau indirect, și chiar dacă ele au alocări profesionale declarate. Pe scurt, dacă dețineți numele și un număr de telefon și/sau o adresă de email ale unui contact de business, ele intră sub incidența regulilor GDPR.

Este nevoie ca orice acțiune de marketing B2B să se bazeze pe consimțământ?

Nu chiar totdeauna. Consimțământul este o bază legală pentru procesarea datelor, dar pot exista situații în care acțiuni de marketing B2B să fie justificate de „interese legitime”. Chiar și în acest caz însă, uneori, e nevoie de consimțământ pentru a respecta prevederile Privacy and Electronic Communications Regulations cunoscut și ca ePrivacy.

Când ne putem baza în acțiunile de marketing B2B pe interesul legitim?

Interesul legitim poate justifica activități de marketing B2B dacă puteți arăta că modul în care folosiți datele personale este proporționat, are impact minim asupra intimității oamenilor, iar probabilitatea ca adresanții mesajelor de marketing să fie surprinși de acțiunile dv sau chiar să obiecteze față de acestea să fie minimă – dar numai cu condiția să nu intrați sub incidența ePrivacy. GDPR nu înlocuiește ePrivacy – trebuie să respectați prevederile ambelor prevederi legislative în activitățile dv. de marketing B2B.

UE este pe cale să înlocuiască actuala lege privind ePrivacy cu noua ePrivacy Regulation (ePR). Cu toate acestea, noul ePR nu este încă aprobat și, în consecință, continuă să se aplice actualele reguli ePrivacy (cu o nouă definiție pentru consimțământ) până când noul ePR va fi finalizat.

Consimțământul implică punerea la dispoziția persoanelor a unor mijloace reale de alegere și control. Un consimțământ autentic responsabilizează persoana care îl oferă, construiește o relație bazată pe încredere și angajament și vă consolidează reputația. Oferirea consimțământului trebuie să fie evidentă și necesită o acțiune pozitivă, manifestată prin opt-in. Solicitarea consimțământului trebuie să fie proeminentă, neîngrădită de alți termeni sau condiționări, formulate concis, ușor de înțeles și utilizat de către adresant. Operatorul care cere consimțământul trebuie să-și comunice numele, scopurile și tipurile de activități de prelucrare a datelor cu caracter personal. Nu în ultimul rând, celui care a oferit consimțământul trebuie să i se garanteze posibilitatea de a-l retrage ușor, în orice moment dorește acest lucru.

Cum și cui trimitem mesaje de marketing B2B?

Comercianții individuali și unii parteneri sunt tratați ca persoane fizice așa că puteți să le trimiteți mesaje de marketing numai pe bază de consimțământ exprimat explicit sau dacă au cumpărat un produs similar de la dv în trecut și nu au activat opțiunea opt-out când le-ați oferit această posibilitate. Trebuie totuși să includeți în mesaj opțiunile de „opt-out” sau „unsubscribe”.

Puteți transmite mesaje de marketing către orice instituție publică sau privată (de exemplu pe adrese de mail de tip office@organizatie.xxx). Este, totuși, recomandabil și uzual în sensul bunelor practici de business să aveți o listă de tip „nu trimite mesaj” cuprinzând organizațiile care obiectează sau își exprimă opțiunea de opt out, și să aveți grijă să verificați că nu se regăsește în nicio campanie de marketing pe care o desfășurați.

Atunci când trimiteți pe mail mesaje de marketing către angajații oricărei organizații care au adrese de business personale (de exemplu prenume.nume@organizație.xxx) se aplică toate prevederile GDPR.

Ce se întâmplă cu telemarketingul?

Puteți apela telefonic orice organizație de la care ați obținut consimțământul în acest sens, de exemplu prin bifarea opțiunii „opt in”. De asemenea, puteți telefona la orice organizație aflată pe liste publice, cu condiția ca acestea să nu se fi opus în trecut să le contactați. Și în acest caz se impune existența unei liste de tip „nu suna”.

Regulile privind apelurile automate sunt mai stricte. Utilizarea sistemelor de apelare automată, cu redarea unui mesaj înregistrat, nu se poate face în absența unui consimțământ explicit referitor la acest tip de abordare. Consimțământul general dat pentru acțiuni de marketing sau chiar pentru apeluri directe nu acoperă apelurile automate.

În mod evident, aceste prevederi sunt de mult bun simț în business. Ce valoare poate avea un mesaj nedorit sau, și mai grav, transmis împotriva dorinței adresantului? Cu siguranță, nu numai că nu ajută vânzările sau notorietatea companiei, ci le ruinează…

…dar cu newsletter-ele?

Trimiterea de newslettere și campaniile de emailing în general sunt asimilate acțiunilor generale de marketing B2B. În consecință, procesarea datelor cu caracter personal implicate necesită acordul explicit. Procesarea este permisă pe bază de consimțământ sau o justificare legală. De exemplu, o astfel de situație se întâlnește când între cei care trimit și cei care primesc mesajele de marketing exista o relație relevantă, proporționată. Comunicarea cu clienții existenți sau persoanele pentru care se prestează anumite servicii ar putea să se desfășoare fără consimțământ.

De asemenea, dacă o companie are un interes justificat pentru a se prezenta pentru prima data în fața unor potențiali clienți (cold acquisition) o poate face prin email marketing fără consimțământ. Aceștia din urmă își pot exprima opțiunea de a nu mai primi informații prin newsletter sau email, respectiv de a nu li se folosi datele pentru scopuri de marketing. Trebuie avut în vedere că prin coroborarea articolului 95 din GDPR cu articolul 13, paragraf 1 din directive ePrivacy 2002/58 reiese că în acest moment, emailingul nu se poate realiza decât pe bază de consimțământ.

Să recapitulăm

Trebuie să le spuneți oamenilor:

  • ce faceți cu datele lor,
  • care sunt scopurile pentru care procesați datele,
  • care este baza legală care permite procesarea informațiilor
  • cât timp doriți să păstrați datele cu caracter personal
  • cu cine partajați informațiile despre ei

Dacă faceți acțiuni de marketing direct în care vă bazați pe interesul legitim, adresanții au în mod absolut dreptul de a obiecta și sunteți obligați să opriți procesarea datelor care îi privesc.

Dacă acțiunile dv de marketing se desfășoară pe bază de consimțământ, persoanele care l-au oferit au dreptul să și-l retragă în orice moment. Atunci, trebuie să opriți procesarea. În fond, GDPR este despre modul în care trebuie să ne purtăm unii cu alții. Ce ție nu-ți place, altuia nu-i face… că aproape sigur nu-i place.

GDPR va implica unele costuri suplimentare și pe partea de marketing. Pe de-altă parte, vor fi mai bine folosiți banii irosiți în construirea de baze de date nerelevante și campanii gândite strict din perspective cantitative. Rata de răspuns infimă a campaniilor de emailing sau dialogurile tensionate purtate de operatorii de telemarketing spun fără echivoc același lucru: și marketingul B2B trebuie făcut cu respect pentru interlocutor.

Acest articol a fost publicat în ”Ghidul GDPR pe Verticale” din cea de-a treia ediție a Catalogului GDPR, Iunie 2018, pag. 47-50. 

%d bloggers like this: