interviu de Marian Costache
In ultima luna am trait cu totii un soi de psihoza, pe fondul intrarii in vigoare a noului regulament de protectie a datelor personale. Pentru ca lumea nu se termina cu asta, si pentru ca din punctul nostru de vedere trebuie vazute oportunitatile din schimbarile de-acum, am stat de vorba cu Serban Popa – Managing Partner Unity Solutions, Consultant GDPR.
Ce lucruri sunt prost intelese din perspectiva noului GDPR?
Avand in vedere aceasta ultima perioada, destul de incarcata, datorata intrarii in vigoare a noului GDPR, ne gandim la multiplele aspecte pe care o organizatie, din domeniile Marketing si Comunicare, le-a intalnit, organizatie care si-a pus oricum multe intrebari in ultima vreme.
Un prim fapt negativ a fost intarzierea abordarii noului regulament, tinand cont ca el a fost emis in 2016, iar de abia in ultimele 3-4 saptamani multiple entitati juridice, organizatii, au tinut cont de faptul ca trebuie sa faca o adaptare a zonei operatiunile interne sau ca trebuie sa faca anumite schimbari.
Ce s-a intamplat efectiv?
In primul rand, toata lumea a solicitat in dreapta si-n stanga informatii asupra a ceea ce ar trebui sa faca si au inceput sa aplice diverse metode de comunicare legate de aceste schimbari. Primul aspect gresit, din punctul meu de vedere, a fost faptul ca s-a plecat de la o premisa in care nu s-au analizat la baza procesele organizationale. Nu s-au observat cu atentie care sunt procesele principale in care sunt colectate si procesate sau eventual transferate datele cu caracter personal. Nu s-a realizat, de asemenea, care este cumulul acestor date cu caracter personal si cum se obtin acestea de la clienti, de la potentialii clienti, furnizori, parteneri, de la utilizatorii site-urilor noastre, etc..
Acest lucru are un impact deosebit pentru ca a aplica adaptari sau corectii, legate de implementarea regulamentului GDPR, aceasta nu poate fi facuta in baza unui template cules de pe internet, ci a unui mod de lucru adaptat specificului, scopului activitatii in sine. De asemenea, au existat multiple dispute asupra temeiului legal, asa cum specifica regulamentul GDPR, pe baza caruia colectezi, prelucrezi si eventual transferi aceste date.
De multe ori avem o baza legala, avem un contract, pe baza caruia efectuam o anumita activitate, un anumit proces de business. Acesta este primul temei legal pe care ar trebui sa-l identificam ca si scop originar al colectarii, prelucrarii si eventual transferului. Binenteles ca mai pot interveni si alte temeiuri legale, dupa cum este o cerinta a unei legi, cea pentru spalarea banilor de exemplu, sau anumite raportari catre entitati de reglementare.
In mediul finaciar, BNR-ul sau Ministerul Finantelor sau alte entitati pot solicita date specifice despre clientii unei organizatii. Deci ne bazam pe un temei legal dat de o lege. Abia ultimul temei juridic de prelucrare, pe care ar trebui sa-l luam in considerare, este consimtamantul subiectului vizat, individului pe care-l avem in fata noastra atunci cand purtam o anumita discutie. Consimtamantul inseamna de fapt libera alegere a acelui individ ca ne incredinteaza acele date, astfel incat ulterior sa desfasuram in favoarea lui o anumita activitate.
Consimtamantul este un element extrem de important in relatia cu potentialul client. In primul rand trebuie sa definim ce facem cu acele date, pe care dorim sa le colectam. Un exemplu clar, mai ales in zona de Marketing, este posibilitatea de a trimite newsletter-e, acele informari despre serviciile si produsele mele, care nu au neaparat o baza legala sau o legatura cu un contract pe care-l desfasor cu acel client. Sa intelegem ca aici este o diferentiere destul de bine conturata, impusa de GDPR. Pot desfasura anumite activitati cu datele colectate si eventual procesate si transferate, in baza contractului pe care il am. Deci am un temei legal contractual. In acelasi timp sunt anumite activitati, anumite servicii pe care pot sa le promovez, fie ale mele ca organizatie dar pot fi si altele, ale anumitor parteneri, care nu sunt incluse in contractul meu. De aceea va trebui sa ma asigur ca potentialul client, clientul sau utilizatorul imi da acordul sa folosesc datele lui, pentru acel tip de activitate.
Va trebui sa tinem cont in acelasi timp, ca orice organizatie, ca avem angajati si ca avem acordul lor ca sa prelucram aceste date. Sunt foarte multe astfel de date. Pornind de la CV-uri, care intra in colectarea mea in momentul in care nu am inca o un contract de munca cu subiectul vizat. Nu am un contract, am doar un potential candidat la o anumita pozitie in scopul inchiderii unui contract. Se aduna astfel un cumul extraordinar de mare de date cu caracter personal. Din perspectiva unui angajat sau a unui potential angajat, trebuie sa avem grija sa luam un consimtamant (pentru aspectele de notificare ulterioara), prima data cand vine candidatul la noi, iar ulterior, in momentul in care devine angajatul nostru, sa-l informam care sunt acele prelucrari pe care le fac cu acele date pe care le preiau.
Si sunt multiple, ganditi-va la bonurile de masa, care inca au un CNP, de asemenea cardurile de combustibil si putem continua aceasta tema destul de mult. Putem sa mergem la discutii legate de supravegherea video in cadrul unei organizatii si cat putem sa facem si care este acceptul pe care angajatul trebuie sa ni-l acorde.
Nu uitati, de asemenea, dreptul la imagine. Orice cetatean, persoana fizica, are dreptul sa ne dea acceptul de a folosi imaginea sa, fotografie sau video, dar in acelasi timp poate sa restrictioneze accesul la aceste informatii. Poate sa ne dea dreptul sa le publicam doar intern si nu pe Facebook-ul, Twitter-ul sau Instagram-ul companiei. Deci si aici trebuie sa avem o grija
Cine a castigat si cine a pierdut, de pe urma intrarii in vigoare a noului GDPR?
Avand in vedere ca regulamentul a intrat deja in vigoare as vrea sa ne uitam putin ce-am castigat, ce-am pierdut, cine a castigat si cine a pierdut.
Categoric, orice organizatie, care a inceput cel putin acest proces, a avut de castigat. Procesul in sine de a face o evidenta a datelor pe care le culegem, o cartografiere a lor, si o intelegere mai buna a tuturor proceselor pe care le avem in cadrul organizatiei, reprezinta beneficii pentru noi. Transparenta pe care o avem nu numai cu potentialii clienti, clienti, candidati, dar si cu angajatii proprii este foarte importanta.
Am vazut totodata cum putem optimiza. Aceasta optimizare ne aduce o securitate in procesele interne, in protejarea activitatii pe care o desfasuram, fata de potentialii competitori dar in acelasi timp trebuie sa tinem cont ca vom castiga increderea angajatilor. Angajatii vor vedea ca pe noi ne preocupa acele date pe care ni le acorda. Totodata vom castiga si increderea clientilor. Acestia vor vedea ca tratam cu seriozitate orice aspect de reglementare care ne schimba metoda si operatiunile pe care le aveam pana de curand. De asemenea vor vedea ca intr-o proportie foarte mare conteaza opinia lor. Au drepturi si de asemenea au obligatii. Au obligatia sa-si corecteze datele, sa ne atraga atentia cand depasim anumite zone ale confidentialitatii, detaliate in contracte.
Astfel, orice companie, care a trecut macar pragul evaluarii interne, a inventariat masurile pe care trebuie sa le intreprinda, pentru a corecta eventualele decalaje, ca sa ajunga la o maturitate semnificativa in privinta regulamentului GDPR, a castigat. Si mai ales, va castiga!
Va trebui sa tinem cont ca exista si anumite companii care exploateaza momentul. Sunt acei winner-i de ocazie, care vor incerca sa faciliteze acumularea de informatii, pe acest moment cand toata lumea isi da consimtamantul. Au posibilitatea acum sa capteze clienti noi si o vor face, fara a avea neaparat un scop precis, un scop imediat, sau un scop pe o durata relativ scurta.
Spun durata pentru ca si GDPR-ul impune ca orice data pe care o colectez sa aiba o perioada de retentie. Nu pot ca pe termen lung, pe 50 de ani daca-mi doresc, sa colectez date despre voi, clientii mei. Trebuie sa existe o perioada justa, acomodata cu operatiile pe care le desfasor.
Cine sunt cei care au pierdut dupa intrarea in vigoare a noului GDPR?
Probabil ca perdanti suntem fiecare dintre noi care conducem o afacere si care in ultimii doi ani, de cand a fost emis acest regulament, nu ne-am gandit sa ne adaptam. Poate ca am avut o baza de newsletter, o baza in care informam clientii dar nu aveam o capacitate de double-opt-in in care sa validam identitatea si faptul ca acel client ne-a dat prin propria vointa informatiile despre el.
De ce perdanti?! Pentru ca am pierdut posibilitatea sa folosim acele date si n-am avut grija sa luam acel consimtamant, in timp util. Suntem perdanti pentru ca in loc sa aducem rapid inovatia, adusa in cadrul organizatiei, catre clientii nostri, acum o vom face mult mai greu si cu un efort financiar mai mare. O vom putea face atunci cand ii vizitam si vom incerca sa reluam dreptul de a informa fiecare client in parte, mult mai dificil si la momente distincte in timp.
Cine mai sunt perdantii? Acele companii care nu vad o oportunitate in GDPR, o oportunitate de-a se imbunatati, de a creste securitatea, o oportunitate de a scoate alte produse, alte metode de a comunica, de a oferi publicitate, de a oferi inovatie.
Perdanti sunt de asemenea cei care nu vad o oportunitate in GDPR, de a creste business-ul, de a afla mai multe despre potentialii clienti, prin intermediul portabilitatii datelor. Ganditi-va ca aveti deja un client care are un istoric pe care l-a desfasurat poate cu un alt concurrent de-al dvs. Ganditi-va ce-ar insemna sa vina deja la dvs. cu un istoric bine documentat despre datele colectate despre concurentul dvs.. Acel client are un drept statutat de catre regulamentul GDPR, de a prelua acele informatii.
Avand in vedere toate astea, cum va fi lumea acum, dupa intrarea in vigoare a noului regulament?
Am inceput sa aplicam GDPR-ul, trebuie sa ne gandim si care pot fi repercusiunile pe care le putem avea din partea autoritatilor. Regulamentul este extrem de strict in aceasta privinta, autoritatea va putea veni sa ne verifice sa vada care a fost evaluarea si care au fost masurile pe care le-am intreprins. In cazul in care nu am facut nimic, ar putea sa ne aplice anumite amenzi. N-as vrea sa mentionez din start ca toti dintre noi vom fi sub directa implicare a autoritatii si ca vom plati 20 de milioane sau 4% din cifra de afaceri, ca amenda. Nu trebuie sa ne gandim pana acolo, dar este suficient sa ne gandim ca autoritatea poate sa aplice totusi anumite amenzi.
In acelasi timp, insa, primele lucruri pe care le va face autoritatea nu vor include poate neaparat amenda. In primul rand ne va solicita sa ne conformam si ne va sfatui cum sa facem aceasta conformare. Acest lucru, insa, nu se va putea face intr-un ritm pe care ni-l dorim noi, ci va fi impus intr-un timp extrem de scurt. O a doua masura pe care autoritatea o poate lua este solicitarea intreruperii activitatii principale, prin care colectam, prelucram sau transferam acele date, pana la remedierea tuturor aspectelor neconforme detectate. Acest lucru, in mare parte dintre organizatiile noastre, inseamna oprirea in totalitate a activitatii si imposibilitatea de a mai interactiona cu clientii nostri. Ceea ce poate insemna o pierdere substantiala, sau poate chiar falimentul, in cazuri extreme.
Trebuie sa ne gandim de asemenea ca autoritatea este, in sine, mai mult sau mai putin pregatita pentru aceste masuri. Vor veni intr-o prima faza, si vor tatona. Ne vor incerca sa vada daca suntem pregatiti. Avem un responsabil, pentru datele cu caracter personal, deja nominalizat? Este acest responsabil in masura sa raspunda asupra activitatilor noastre interne? Sunt angajatii instruiti asupra a ceea ce inseamna GDPR-ul si cum sa interactioneze? Avem temeiul legal, pe diverse operatiuni, sau consimtamantul, acolo unde este cazul, de la clienti sau potentialii clienti? Acestea vor fi primele teme de discutie.
Trebuie sa ne gandim de asemenea si ca vom avea de a face, in activitatea noastra de cetatean, cu multiple autoritati ale statului, autoritati care se adapteaza mult mai greu la schimbare. Categoric aceste autoritati, ca vorbim de Fisc, ca vorbim de Politie, sau despre o institutie medicala, nu vor avea intelegerea deplina asupra confidentialitatii datelor cu caracter personal si poate nu le vor trata cu aceeasi seriozitate, cu care un antreprenor le va trata in mediul privat.
Maturitatea pe acest regulament va creste, totusi, de la o zi la alta. Va creste, in primul rand, datorita interactiunilor dintre organizatii. Prin aceasta presiune simultana, pe care o vom pune intre noi, pe care cetateanul de rand o va pune asupra companiei, pe care cetateanul de rand o va pune catre functionarul de la ANAF, sau ca o intrebare sub forma de gluma catre politist, maturitatea va creste.
Impactul GDPR-ului nu-l vom vedea astazi, nu-l vom vedea nici peste sase luni. Nu vom vedea poate nici ca nivelul de spam pe telefonul nostru va scadea instant. Dar probabil, cu trecerea timpului, astfel de aspecte vor avea un impact asupra activitatii zilnice si poate spam-ul va scadea iar datelor, pe care le vom oferi catre anumite administratii publice, li se va da atentia cuvenita.
Ce-ar trebui sa aiba companiile, pe post de To do List, in aceasta perioada?
Dupa cum spuneam am ajuns la momentul in care regulamentul GDPR este aplicabil. Haideti sa sumarizam impreuna care este acel To do list, pe care trebuie sa-l urmarim de-acum incolo.
In primul rand evaluarea proceselor, cartografierea datelor, intelegerea decalajelor pe care le avem pe fiecare dintre ele, pe fiecare proces in parte, si luarea masurilor necesare, astfel incat pas cu pas, luna de la luna, vom lua anumite masuri ca sa crestem maturitatea conformitatii la regulamentul GDPR, in cadrul organizatiei pe care o conducem. Trebuie totodata sa incepem sa ne uitam la acele tehnologii prin care comunicam cu clientii si cu potentialii clienti.
Zona de Marketing si Comunicare are un impact direct asupra clientilor. Ganditi-va ca toate aceste interactiuni ale zonei Media se creaza prin intermediul unor site-uri sau prin intermediul unor tool-uri de Social Media, sau prin intermediul unor ecrane digitale, etc.. Totdeauna trebuie sa ne gandim daca transferam imaginea anumitor persoane, cu acordul lor, daca colectam un anumit feedback cu consimtamantul celor care ni-l ofera, daca transmitem in mod sistematic informari despre produse, despre servicii, ale noastre sau ale clientilor nostri, catre subiecti vizati de la care am preluat consimtamantul. In acelasi timp trebuie sa ne gandim la un aspect extrem de important in media, respectiv cercetarea de piata.
Cercetarea de piata este importanta deoarece fiecare om din media se bazeaza pe anumite criterii, cand target-eaza anumiti subiecti, anumite categorii din piata si se bazeaza pe o colectare de date. De fiecare data trebuie sa ne gandim ce tipuri de date ajung la noi. Daca acele date ne duc sa identificam persoana de la care au venit, daca am avut consimtamantul persoanei respective, catre cel care a colectat acele date dar inclusiv catre destinatarul final, compania media.
Deci sunt multiple aspecte in zona de Media, in zona de Publicitate, pentru care ar trebui sa ne gandim cum desfasuram acele procese, si daca avem temeiul legal, si daca datele noastre sunt sigure, si pe ce perioada le detinem.
Categorii:Antreprenori, Interviu, News, Online, Opinii, Uncategorized
Trebuie să fii autentificat pentru a publica un comentariu.