Marketing versus GDPR

Unul dintre subiectele principale ale acestui an în termeni de evaluare, conformare și măsuri continue pentru viitor este Regulamentul General privind Protecția Datelor (General Data Protection Regulation, en). Regulamentul devine aplicabil peste câteva luni, începând cu data de 25 mai 2018. Companiile care prelucrează date cu caracter personal în diversele lor activități, au beneficiat și încă mai au la dispoziție câteva luni pentru a asigura conformarea. Între timp, la nivel European au fost emise mai multe documente cu rol de ghid în implementarea anumitor cerințe (altele fiind încă în lucru) iar la nivel național autoritatea competentă în domeniul protecției datelor are în lucru anumite proiecte de acte normative legate de organizarea în vederea aplicării Regulamentului.

Text de Laura Grigore, Senior Associate,

Unul dintre subiectele sensibile în acest context este legat de realizarea activităților de marketing, și mai ales marketing direct pe căi electronice.

GDPR impune printre altele, condiții mai stricte legate de modul în care se realizează informarea persoanelor ale căror date cu caracter personal sunt prelucrate dar și în ceea ce privește obținerea consimțământului în acest scop. Este totodată relevantă necesitatea de a stabili și comunica temeiul legal al prelucrării, informații explicite legate de profilare și consecințe ale acesteia, precum și necesitatea de stabilire a unei durate determinate a prelucrării datelor.

În concret, în activitățile de marketing, printre aspectele principale care trebuie avute în vedere și implementate, se numără:

Faptul că întotdeauna, în prealabil, persoanele ale căror date sunt prelucrate trebuie să primească informațiile minim obligatorii legate de prelucrarea datelor acestora (inclusiv temeiul juridic al prelucrării – iar GDPR specifică inclusiv faptul că realizarea de activități de marketing direct poate fi încadrată pe temeiul juridic al interesului legitim; perioada în care vor fi stocate datele, drepturile conferite persoanelor în baza Regulamentului, mai ales dreptul de a retrage consimțământul oricând, existența unui proces decizional automatizat cum ar fi crearea de profiluri și informații legate de logica utilizată și importanță și consecințele preconizate ale unei astfel de prelucrări pentru persoana ale cărei date sunt prelucrate).

Obținerea consimțământului pentru scopuri de marketing (mai ales marketing direct) trebuie să respecte cerințele noi cu privire la exprimarea consimțământului (inclusiv faptul că acesta trebuie să fie demonstrabil, să fie solicitat într-o formă care să îl diferențieze în mod clar de celelalte aspecte, inteligibil și ușor accesibil prin utilizarea unui limbaj clar și simplu, să fie dat în mod liber – mai ales, să nu fie condiționat de executarea unui contract, prestarea unui serviciu, să fie furnizată posibilitatea efectivă de a retrage consimțământul în mod la fel de facil ca și acordarea acestuia).

Trebuie respectate și regulile de obținere a consimțământului pentru scopuri de marketing direct prin comunicări electronice, respectiv prin aplicarea mecanismelor de opt în expres și opt out, alături de furnizarea mijloacelor efective de dezabonare.

Un aspect deosebit de relevant în acest context este legat de viitoarea adoptare a noului Regulament în domeniul prelucrării datelor cu caracter personal prin intermediul comunicațiilor electronice (E-privacy Regulation), care va aduce reguli semnificativ mai stricte în acest domeniu.

Trebuie evaluat modul în care a fost obținut consimțământul pentru datele existente și aplicate acțiuni de informare și solicitare a consimțământului în acord cu noile cerințe (în caz contrar, datele astfel prelucrate, de exemplu pe baza de căsuțe prebifate, sunt supuse în mod clar riscului unei prelucrări neconforme și excesive). 

Trebuie evaluate măsurile de securitate aplicate datelor astfel colectate și prelucrate, inclusiv reevaluarea acestora și implementarea lor în companie.

Aspecte logistice cum sunt cele legate de manevrarea și arhivarea cupoanelor în format hârtie, precum și termenele de retenție a acestora, trebuie să fie evaluate în vederea respectării noilor cerințe.

Regulamentele aferente campaniilor promoționale trebuie actualizate pentru a corespunde noilor cerințe (incluse informațiile necesare cu privire la prelucrarea datelor, exprimarea consimțământului etc.).

Persoanele care realizează activități de marketing trebuie instruite în vederea respectării noilor cerințe (inclusiv în cadrul unor activități de marketing prin call center, promoții în magazine, prin reprezentanți contractați în acest sens, etc.).

Este necesară evaluarea activităților și mecanismelor de profilare din punct de vedere al riscului asupra datelor cu caracter personal și afectării drepturilor și intereselor persoanelor ale căror date sunt prelucrate și recalibrarea acestora pentru a se conforma cerințelor și principiilor GDPR.

Evident, discutia este una deschisă în așteptarea viitoarelor reglementări și documente cu rol de ghid ce vor fi emise în acest domeniu, însă evaluarile și luarea măsurilor necesare trebuie demarate cât mai repede posibil (în cazul în care nu au fost deja realizate) pentru a se asigura conformarea până pe 25 mai 2018 și pe mai departe.