Despre GDPR și respectul pentru interlocutor

Articol publicat pe siteul cloud☁mania în data de  10 Iulie 2018. Autor: Anca Crahmaliuc

Anca CRAHMALIUC

 

Anca Crahmaliuc este expert în domeniul Corporate Affairs, PR și Marketing B2B, cu experiență exhaustivă in coordonarea de activități și echipe Marketing & Communications în organizații multinaționale. Este absolventă a programului MBA dezvoltat de Tiffin University în parteneriat cu Universitatea București.

Mai există viață în marketingul B2B după 25 mai 2018?

Cu siguranță. Intrarea în funcțiune a regulamentului european referitor la protecția datelor personale nu numai că nu diminuează valoarea acțiunilor de marketing, ci o crește semnificativ din punct de vedere calitativ. Cum? Prin credibilizare și eficientizare.

Este evident că, mai ales în ultimul deceniu, evoluția amețitoare a mijloacelor electronice de comunicare a condus la o creștere exponențială a mesajelor de marketing. Multe, tot mai multe. Le citește cineva? Nu știm și nu contează. Să fie cât mai multe, adresate cât mai multor persoane. Sunt aceste persoane în grupul nostru țintă? Nu prea știm și nici nu prea contează.

Dacă sunt mulți, poate s-or și nimeri destui care să fie între cei care ne-ar putea fi potențiali clienți. Nu cumva îi spamăm? N-au decât să-și pună filtre… Și dacă nu știu să facă asta? Atunci să șteargă mesajele și gata…

Am consemnat o succesiune de posibile întrebări și răspunsuri schimbate în ultimii ani între oamenii din departamentele de vânzări și marketing dintr-o organizație din orice industrie. Vânzările sunt esențiale pentru supraviețuirea companiei. Deci, să facem cât mai multe vânzări. Eventuale obiecții ridicate timid pot fi interpretate ca o lipsă de interes pentru soarta firmei…deci nu le mai ridicăm. Și totuși….ce șanse sunt ca o persoană complet neinteresată de produsele noastre să le și cumpere? Nu cumva agresând-o cu informații nesolicitate vom genera chiar o reacție de adversitate?

Prevederile GDPR se aplică în orice situație sunt prelucrate „date cu caracter personal”. Acest lucru înseamnă că ele includ toate persoanele identificate în mod direct sau indirect, și chiar dacă ele au alocări profesionale declarate. Pe scurt, dacă dețineți numele și un număr de telefon și/sau o adresă de email ale unui contact de business, ele intră sub incidența regulilor GDPR.

Este nevoie ca orice acțiune de marketing B2B să se bazeze pe consimțământ?

Nu chiar totdeauna. Consimțământul este o bază legală pentru procesarea datelor, dar pot exista situații în care acțiuni de marketing B2B să fie justificate de „interese legitime”. Chiar și în acest caz însă, uneori, e nevoie de consimțământ pentru a respecta prevederile Privacy and Electronic Communications Regulations cunoscut și ca ePrivacy.

Când ne putem baza în acțiunile de marketing B2B pe interesul legitim?

Interesul legitim poate justifica activități de marketing B2B dacă puteți arăta că modul în care folosiți datele personale este proporționat, are impact minim asupra intimității oamenilor, iar probabilitatea ca adresanții mesajelor de marketing să fie surprinși de acțiunile dv sau chiar să obiecteze față de acestea să fie minimă – dar numai cu condiția să nu intrați sub incidența ePrivacy. GDPR nu înlocuiește ePrivacy – trebuie să respectați prevederile ambelor prevederi legislative în activitățile dv. de marketing B2B.

UE este pe cale să înlocuiască actuala lege privind ePrivacy cu noua ePrivacy Regulation (ePR). Cu toate acestea, noul ePR nu este încă aprobat și, în consecință, continuă să se aplice actualele reguli ePrivacy (cu o nouă definiție pentru consimțământ) până când noul ePR va fi finalizat.

Consimțământul implică punerea la dispoziția persoanelor a unor mijloace reale de alegere și control. Un consimțământ autentic responsabilizează persoana care îl oferă, construiește o relație bazată pe încredere și angajament și vă consolidează reputația. Oferirea consimțământului trebuie să fie evidentă și necesită o acțiune pozitivă, manifestată prin opt-in. Solicitarea consimțământului trebuie să fie proeminentă, neîngrădită de alți termeni sau condiționări, formulate concis, ușor de înțeles și utilizat de către adresant. Operatorul care cere consimțământul trebuie să-și comunice numele, scopurile și tipurile de activități de prelucrare a datelor cu caracter personal. Nu în ultimul rând, celui care a oferit consimțământul trebuie să i se garanteze posibilitatea de a-l retrage ușor, în orice moment dorește acest lucru.

Cum și cui trimitem mesaje de marketing B2B?

Comercianții individuali și unii parteneri sunt tratați ca persoane fizice așa că puteți să le trimiteți mesaje de marketing numai pe bază de consimțământ exprimat explicit sau dacă au cumpărat un produs similar de la dv în trecut și nu au activat opțiunea opt-out când le-ați oferit această posibilitate. Trebuie totuși să includeți în mesaj opțiunile de „opt-out” sau „unsubscribe”.

Puteți transmite mesaje de marketing către orice instituție publică sau privată (de exemplu pe adrese de mail de tip office@organizatie.xxx). Este, totuși, recomandabil și uzual în sensul bunelor practici de business să aveți o listă de tip „nu trimite mesaj” cuprinzând organizațiile care obiectează sau își exprimă opțiunea de opt out, și să aveți grijă să verificați că nu se regăsește în nicio campanie de marketing pe care o desfășurați.

Atunci când trimiteți pe mail mesaje de marketing către angajații oricărei organizații care au adrese de business personale (de exemplu prenume.nume@organizație.xxx) se aplică toate prevederile GDPR.

Ce se întâmplă cu telemarketingul?

Puteți apela telefonic orice organizație de la care ați obținut consimțământul în acest sens, de exemplu prin bifarea opțiunii „opt in”. De asemenea, puteți telefona la orice organizație aflată pe liste publice, cu condiția ca acestea să nu se fi opus în trecut să le contactați. Și în acest caz se impune existența unei liste de tip „nu suna”.

Regulile privind apelurile automate sunt mai stricte. Utilizarea sistemelor de apelare automată, cu redarea unui mesaj înregistrat, nu se poate face în absența unui consimțământ explicit referitor la acest tip de abordare. Consimțământul general dat pentru acțiuni de marketing sau chiar pentru apeluri directe nu acoperă apelurile automate.

În mod evident, aceste prevederi sunt de mult bun simț în business. Ce valoare poate avea un mesaj nedorit sau, și mai grav, transmis împotriva dorinței adresantului? Cu siguranță, nu numai că nu ajută vânzările sau notorietatea companiei, ci le ruinează…

…dar cu newsletter-ele?

Trimiterea de newslettere și campaniile de emailing în general sunt asimilate acțiunilor generale de marketing B2B. În consecință, procesarea datelor cu caracter personal implicate necesită acordul explicit. Procesarea este permisă pe bază de consimțământ sau o justificare legală. De exemplu, o astfel de situație se întâlnește când între cei care trimit și cei care primesc mesajele de marketing exista o relație relevantă, proporționată. Comunicarea cu clienții existenți sau persoanele pentru care se prestează anumite servicii ar putea să se desfășoare fără consimțământ.

De asemenea, dacă o companie are un interes justificat pentru a se prezenta pentru prima data în fața unor potențiali clienți (cold acquisition) o poate face prin email marketing fără consimțământ. Aceștia din urmă își pot exprima opțiunea de a nu mai primi informații prin newsletter sau email, respectiv de a nu li se folosi datele pentru scopuri de marketing. Trebuie avut în vedere că prin coroborarea articolului 95 din GDPR cu articolul 13, paragraf 1 din directive ePrivacy 2002/58 reiese că în acest moment, emailingul nu se poate realiza decât pe bază de consimțământ.

Să recapitulăm

Trebuie să le spuneți oamenilor:

  • ce faceți cu datele lor,
  • care sunt scopurile pentru care procesați datele,
  • care este baza legală care permite procesarea informațiilor
  • cât timp doriți să păstrați datele cu caracter personal
  • cu cine partajați informațiile despre ei

Dacă faceți acțiuni de marketing direct în care vă bazați pe interesul legitim, adresanții au în mod absolut dreptul de a obiecta și sunteți obligați să opriți procesarea datelor care îi privesc.

Dacă acțiunile dv de marketing se desfășoară pe bază de consimțământ, persoanele care l-au oferit au dreptul să și-l retragă în orice moment. Atunci, trebuie să opriți procesarea. În fond, GDPR este despre modul în care trebuie să ne purtăm unii cu alții. Ce ție nu-ți place, altuia nu-i face… că aproape sigur nu-i place.

GDPR va implica unele costuri suplimentare și pe partea de marketing. Pe de-altă parte, vor fi mai bine folosiți banii irosiți în construirea de baze de date nerelevante și campanii gândite strict din perspective cantitative. Rata de răspuns infimă a campaniilor de emailing sau dialogurile tensionate purtate de operatorii de telemarketing spun fără echivoc același lucru: și marketingul B2B trebuie făcut cu respect pentru interlocutor.

Acest articol a fost publicat în ”Ghidul GDPR pe Verticale” din cea de-a treia ediție a Catalogului GDPR, Iunie 2018, pag. 47-50. 

Advertisements

A APĂRUT EDIȚIA A TREIA A CATALOGULUI GDPR

 

Articol publicat pe siteul cloud☁mania în data de  19 Iunie 2018. Autor: Radu Crahmaliuc

Trustul de presă AGORA Group și inițiativa publică GDPR READY anunță publicarea celei de-a treia ediții a Catalogului GDPR – primul proiect editorial din România care combină un Ghid practic de implementare GDPR cu oferte de servicii și soluții pentru asigurarea conformității cu prevederile GDPR. Actuala ediție a Catalogului GDPR este dedicată soluțiilor specific pentru diferite epartamentesau verticale industriale.

Ceea ce se întâmplă la aproape o lună după intrarea în vigoare a noului Regulament EU 2016/ 679 demonstrează că piața românească nu este încă pregătită pentru importanța momentului. Departamentele de HR nu sunt conștiente de rolul lor de operator de date senzitive. Oamenii de marketing nu știu ce să facă cu vechile baze de date. Forțele de vânzări nu sunt instruite pentru introducerea prospecților în CRM.  Foarte puține contracte conțin clauze explicite de confidențialitate a datelor personale. Majoritatea site-urilor comerciale condiționează consimțământul clienților de accesul la conținut. Firmele mici habar nu au ce e de făcut.

Câteva constatări după momentul 25 mai:

  • Inexistența unei Politici elementare de IT la nivelul unor organizații mijlocii și mari. Chiar și acolo unde există niște norme interne, acestea nu se aplica.
  • O mare harababură privind procesarea, păstrarea și transferul datelor la nivelul departamentelor de resurse umane și a ecosistemului de parteneri care procesează datele angajaților.
  • Lipsa unei strategii clare privitoare la transparență în echipele de marketing. Se copiază și se aplică șabloane culese de pe site-uri, fără a se înțelege esența principiilor GDPR.
  • Lipsa de interes a unor manageri de departamente – altele decât HR, FINANCIAR, Juridic, IT – care cred ca ei nu au nicio responsabilitate și că e treaba altora să își bata capul cu asta…
  • Inexistența unei percepții reale privitoare la rolul pozitiv al GDPR pentru schimbarea și transformarea în bine a unei organizații. Oamenii nu au viziune de ansamblu pentru șansele lor în business, închistați fiind de necunoaștere, neînțelegere si preluarea inadecvată a unor “sfaturi de bine”. ”GDPR nu e pentru noi”, ”Nimeni nu e fericit cu GDPR-ul acesta” sau ”Suntem prea mici ca să ni se întâmple ceva” sunt expresii des întâlnite în piață.

Prin ”GHIDUL GDPR PE VERTICALE” vrem să vă oferim câteva elemente despre activitățile concrete pe care trebuie să le abordăm în funcție de problemele specifice și provocările cu care se confruntă departamentele cheie dintr-o companie, precum resursele umane, marketingul și vânzările,  de la maparea proceselor de business și a datelor, la analizele de impact și de risc și adoptarea strategiei de protecție pe termen lung și crearea unei culturi GDPR la nivel de organizație.

>> CITIȚI AICI CATALOGUL GDPR ONLINE!

Printre subiectele abordate în cadrul acestui Ghid sub forma a 25 de întrebări și răspunsuri despre B2B, IMM, HR, Marketing, Data Centere, Distribuție, ISO 27001 și Cultura GDPR pot fi menționate:

  • Ce înseamnă GDPR pentru B2B
  • Ce trebuie să facă o companie IMM pentru asigurarea conformității
  • Importanța GDPR pentru resursele umane și administrarea relațiilor cu angajații
  • Care sunt fluxurile de date în ecosistemele HR
  • Provocări pentru marketingul direct sub GDPR
  • Elemente de referință pentru o nouă strategie de marketing
  • Cum scăpăm de miturile legate de obligativitatea consimțământului
  • Impactul GDPR asupra furnizorilor de servicii datacenter și Cloud
  • Cum ne ajută standardul ISO27001 la implementarea mai ușoară a GDPR
  • Care sunt noile reguli privitoare la supravegherea video
  • Cultura GDPR și importanța pentru păstrarea conformității pe termen lung.

Ca și la edițiile anterioare, Ghidul este însoțit de recomandările unor specialiști din diferite domenii, care în actualul ghid vorbesc despre:

  • Dana Cristina MATACHE –”Aplicarea GDPR pentru departamentele de resurse umane și recrutare”
  • Tudor GALOS -”Cei 7 ani de acasă în politica de Cookies
  • Anca CRAHMALIUC –”Despre GDPR și respectul pentru interlocutor
  • Iulian MATACHE –”Provocări aduse de datele cu caracter personal in industria telecom
  • Dan Cristian MATEI –”ISO 27001 – un sprijin real pentru conformitatea  GDPR/RGPD
  • Daniel SUCIU –”Rolul și problemele departamentului IT în implementarea GDPR
  • Ion IORDACHE –”Australia, o țară non-UE conștientizează impactul GDPR asupra mediului său de afaceri

A doua secțiune este Catalogul de oferte pentru asigurarea conformității GDPR promovate de vendori, integratori și distribuitori de soluții și servicii de tehnologia informației.

Le mulțumim partenerilor de la AXIS Communications, BENTO, BINBOX, High Tech Systems & Software, Romsym Data, Star Storage, Tryamm, Veritas și Zitec pentru că au participat alături de noi la acest proiect.

Publicarea Catalogului GDPR face parte din inițiativa GDPR Ready  care reunește o mare diversitate de proiecte și activități menite să ajute operatorii și procesatorii de date personale din România:

  • Articole GDPR Explicitat – serie de 15 articole publicate în secțiunea GDPR Ready de pe site-ul cloud☁mania
  • Ghidul de orientare rapidădin Catalogul GDPR Ready – octombrie 2017
  • Ghidul de implementare GDPRdin Catalogul GDPR Practic – martie 2018
  • Broșuri și eBook-uri
  • Studii de piață și analize
  • Grup de discuții GDPR Readype LinkedIn
  • Parteneriate media
  • Organizare Evenimente GDPR
  • Moderare paneluri GDPR
  • Ședințe de instruire GDPR pentru organizații
  • Recomandări și consiliere companii de IT ”Let’s talk about GDPR”

Ca o concluzie la o lună după 25 mai, aș puncta faptul ca dincolo de inexistenta unor tehnologii adecvate care pot rezolva o bună parte din vulnerabilitățile de prelucrare și stocare a datelor cu caracter personal, principala frână în adopția GDPR sunt oamenii, care nu sunt învățați sa respecte niște norme și proceduri elementare. Și plecând de la aceasta, nu atingerea unor condiții de conformitate GDPR va fi principala problemă în orice companie, ci păstrarea acestora pe termen lung…

A APĂRUT CATALOGUL GDPR PRACTIC: PREMIERĂ PENTRU ROMÂNIA

Articol publicat pe siteul cloud☁mania în data de  06 Martie 2018: Autor: Radu Crahmaliuc

Trustul de presă AGORA Group și platforma de knowledge cloudmania anunță publicarea Catalogului GDPR PRACTIC  – primul proiect editorial din România care combină un Ghid practic de implementare GDPR cu oferte de servicii și soluții pentru asigurarea conformității cu prevederile GDPR. Catalogul GDPR Practic este al doilea Catalog GDPR după cel apărut în Octombrie 2017 și se înscrie în seria de ghiduri ”Catalog Cloud Computing Romania”, ajunsă la a 8-a ediție.  

 

Regulamentul EU 2016 – 679 reprezintă cea mai importantă modificare a legislației privind protecția datelor personale în UE și la nivel global. 2018 va fi un an cu multă agitație, cu implicații majore nu numai pentru zona de IT, ci și pentru organizațiile guvernamentale și operatorii de date din orice industrie. Căci, până la urmă, toți suntem operatori și procesatori de date și toți ne vom supune acelorași reguli.

Cu șase luni înainte de intrarea în vigoare a GDPR piața românească era destul de conștientă de importanța momentului. Peste 64% dintre operatorii de date nu făcuseră un plan de implementare,  72% nu organizaseră instructaje GDPR interne, iar 89% nu începuseră reevaluarea contractelor cu furnizorii și clienții.

Pornind de la această realitate și văzând succesul cu care a fost primit primul Catalog GDPR Ready în octombrie 2017, am decis să continăm susținerea operatorilor de date din România, făcând ceva mai mult decât o simplă sensibilizare și conștientizare. În acest spirit, a doua ediție a Catalogului GDPR este dedicată proceselor și soluțiilor de protecție a datelor personale, cu focalizare pe aspectele practice ale implementării procesului de conformitate GDPR.

Ca și ediția precedentă, Catalogul GDPR Practic e format din două părți:

  • GHIDUL DE IMPLEMENTARE GDPR – bazat pe o serie de recomandări de abordare practică a unui proiect de implementare GDPR;
  • Un CATALOG DE OFERTE pentru soluții compatibile GDPR, servicii de consultanță, audit și certificare disponibile la ora actuală pe piața din România.

 

Catalogul poate fi citit online la adresa: https://issuu.com/agoramedia/docs/catalog_cloud_2018_ed_8_gdpr

 

”Ghidul de implementare GDPR” conține 50 de întrebări și răspunsuri ce abordează probleme concrete ale unui proiect de implementare GDPR precum și o serie de valoroase recomandări pentru operatorii și procesatorii locali oferite de specialiști GDPR cu o bogată experiență în protecția și confidențialitatea datelor personale. Printre subiectele de larg interes care sunt discutate în acest Ghid amintim:

  • Ce este un proiect GDPR?
  • Care sunt fazele unui proces de implementare?
  • Cum alegem un DPO?
  • Cum facem maparea datelor?
  • Care sunt rolurile operatorilor și procesatorilor?
  • Avem nevoie de o analiza de impact?
  • Cît de importanță este Analiza de risc?
  • Cum gestionăm managementul incidentelor?
  • Cine, când și cui raportează?
  • Cum se face transferul internațional de date?

Ghidul este însoțit de recomandările unor specialiști din diferite domenii, precum servicii juridice – Andreea Lisievici și Dana Cristina Matache, soluții și management IT – Fernanda Velter și Yugo Neumorni sau servicii de consultanță: Tudor Galoș. Desigur că un astfel de ghid nu poate aborda în extenso toate procedurile și nici nu ne propunem să oferim rețete. Ghidul prezintă esența proceselor absolut necesare într-un proiect de implementare, care indiferent de ordinea abordării trebuie făcute. Și trebuie făcute bine. Căci atingerea conformității GDPR nu este un examen pentru a dovedi faptul că suntem în stare să asigurăm protecția datelor personale.  Nu este o barieră de depășit.  Este o țintă către un nivel superior de organizare și funcționare. GDPR este un certificat de încredere pe viață. Pe tot ciclul de viață al unui proces de business.

A doua secțiune este Catalogul de oferte pentru asigurarea conformității GDPR promovate de vendori, integratori și distribuitori de soluții și servicii de securitatea informației, pachete de servicii asigurate de case de avocatură, companii de consultanță și firme specializate în instruire și certificări. Le mulțumim partenerilor de la ASBIS, Brinel, Deloitte, ESET, Essensys Software, IBM, Ingram Micro, Kingston Technology, Privacy One, Q-EAST Software, Romsym Data, Tryamm, Veritas și Zitec  pentru că au participat alături de noi la acest proiect.

Publicarea Catalogului GDPR face parte din inițiativa GDPR Ready  care reunește o mare diversitate de proiecte și activități menite să ajute operatorii și procesatorii de date personale din România:

  • Articole GDPR Explicitat – serie de 15 articole publicate pe site-ul cloud☁mania
  • Ghidul de orientare rapidă din Catalogul GDPR Ready – octombrie 2017
  • Ghidul de implementare GDPR din Catalogul GDPR Practic – martie 2018
  • Broșuri și eBook-uri
  • Studii de piață și analize
  • Grup de discuții GDPR Ready pe LinkedIn
  • Parteneriate media
  • Organizare Evenimente GDPR
  • Moderare paneluri GDPR
  • Ședințe de instruire GDPR pentru organizații
  • Recomandări și consiliere companii de IT ”Let’s talk about GDPR”

 

Inițiativa GDPR Ready!  își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018. Pentru operatorii și procesatorii de date personale obținerea conformității GDPR la nivel organizațional presupune un proces extrem de complex ce începe cu înțelegerea datelor senzitive și a locației lor, accesului la date și procesele de business în care se utilizează. Prin GDPR Ready! aveți acces la toate resursele necesare pentru înțelegerea implicațiilor noilor prevederi ale acestui Regulament, evaluarea acțiunilor care se impun la nivel de organizație și punerea lor în practică sub cele mai bune auspicii.

A APĂRUT PRIMUL CATALOG GDPR DIN ROMÂNIA

Articol publicat pe siteul cloud☁mania în data de  21 Octombrie 2017. Autor: Radu Crahmaliuc

Trustul de presă AGORA Group și platforma de knowledge cloud☁mania anunță publicarea Catalogului GDPR Ready – primul proiect editorial din România dedicat prezentării ofertelor de servicii și soluții pentru asigurarea conformității cu prevederile GDPR. Catalogul GDPR Ready face parte din seria de ghiduri ”Catalog Cloud Computing Romania”, ajunsă la a 7-a ediție și este o componentă esențială a inițiativei ”GDPR Ready!”

Faceți click pe coperta pentru a citi Catalogul GDPR online!

Din mai 2016 când Parlamentul European a aprobat Regulamentul EU 2016 – 679, GDPR a devenit cuvântul de ordine în toate mediile de business, tehnologice și sociale. Noul Regulament reprezintă cea mai importantă modificare a legislației privind protecția datelor personale în UE și la nivel global. 2018 va fi un an cu multă agitație, cu implicații majore nu numai pentru zona de IT, ci și pentru organizațiile guvernamentale și operatorii de date din orice industrie. Căci, până la urmă, toți suntem procesatori de date și toți ne vom supune acelorași reguli.

Deși este prin excelență tehnologică, industria IT este unul dintre domeniile în care realizarea conformității cu noul Regulament poate ridica cele mai mari probleme. Marea majoritate a companiilor sunt conștiente de importanța strategică a alinierii la prevederile GDPR, dar foarte puține sunt cu adevărat pregătite de acțiune. Ce au de făcut furnizorii de Cloud pentru a oferi servicii conforme cu GDPR? Dar operatorii de centre de date? Dar companiile de eCommerce și procesatorii de plăți online? Dar firmele de distribuție, canalele de reselleri și retailerii IT? Dar casele de software și ofertanții de servicii de call-center, consultanță, instruire și mentenanță? Există desigur multe lucruri comune pentru toate aceste domenii IT, dar și o multitudine de aspecte particulare.

Pe asta ne-am bazat când ne-am decis ca cea de-a 7 ediție a Catalogului Cloud Computing România să fie dedicată GDPR. Plecând de la vidul de cunoaștere și de coordonare din industria IT, am simțit nevoia editării unui Catalog GDPR Ready care să deservească și să ofere recomandări generale pentru operatorii de date din orice industrie. Catalogul GDPR Ready, este structurat în două părți:

  • Ghidul de orientare rapidă
  • Catalogul recomandărilor de soluții și servicii pentru asigurarea conformității GDPR.

”Ghidul de orientare rapidă” conține 60 de întrebări și răspunsuri structurate astfel încât să asigure o imagine de ansamblu asupra principalelor modificări prezentate de regulament, precum și a zonelor critice pe care trebuie să le cunoaștem în momentul pregătirii conformității, dar vine și cu o serie de recomandări oferite de experți internaționali, asociații guvernamentale și profesionale, precum și firme de analiză și cercetare.  Principalele Capitole acoperite de seria de întrebări despre conformitate se referă la:

  • Importanța GDPR
  • Scurt istoric al protecției datelor personale
  • Principiile GDPR
  • Drepturile persoanelor vizate
  • Protecția datelor personale
  • Evaluarea impactului
  • Transferul internațional de date
  • Asigurarea conformității
  • Notificarea breșelor de securitate și penalitățile aplicate

Ghidul este însoțit de recomandările unor experți care s-au referit la principalele direcții de acțiune pentru furnizorii de Cloud: Bart von Buitenen – managing partner White Wire, Ian Moyse – sales director Natterbox și Board member Cloud Industry Forum, Lucia Ștefan – manager consultant Archiva Ltd (UK) și Attle Skjekkeland – vicepreședinte AIIM Europe, precum și recomandările Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), CERT.RO, ANSII + câțiva dintre membrii săi și IDC Romania.

A doua secțiune este Catalogul recomandările concrete legate de asigurarea conformității GDPR oferite de vendori, integratori și distribuitori de soluții și servicii de securitatea informației, pachete de servicii asigurate de case de avocatură, companii de consultanță și firme specializate în instruire și certificări. Le mulțumim partenerilor de la ALEF Distribution, Archiva Ltd., ASBIS, AxelSoft, Commvault, Info World, IXIA, Omega Trust, Provision, Relational, Romsym Data, RQM Certification, Star Storage, Tryamm și Zitec  pentru că au participat alături de noi la acest proiect.

Publicarea Catalogului GDPR face parte din inițiativa GDPR Ready care reunește o mare diversitate de proiecte și activități menite să ajute operatorii și procesatorii de date din România:

  • Articole GDPR Explicitat – serie de 15 articole publicate pe site-ul cloud☁mania
  • Ghidul de orientare rapidă din Catalogul GDPR
  • Broșuri și eBook-uri
  • Studii de piață și analize
  • Parteneriate media
  • Organizare Evenimente GDPR
  • Moderare paneluri GDPR
  • Ședințe de instruire
  • Recomandări și consiliere companii de IT

GDPR zice că organizațiile trebuie să fie conforme chiar începând cu data 25 mai 2018. Dacă vă gândiți că până atunci mai este suficient tip pentru a demara activitățile de implementare a măsurilor necesare pentru asigurarea conformității GDPR, trebuie să țineți cont de faptul că durata medie a unui proces poate fi de PATRU – CINCI luni, în funcție de mărimea organizației și a tipului de date personale procesat. E TIMPUL SĂ TRECEM LA ACȚIUNE CHIAR ACUM! Au mai rămas 215 zile!

GDPR – UN STATUS DUPĂ 100 DE ZILE

Articol publicat pe siteul cloud☁mania în data de  12 Septembrie 2018. Autor: Radu Crahmaliuc

Au trecut 100 de zile de la data luată ca reper pentru intrarea efectivă în vigoare a Regulamentului UE 679/ 2016. Pentru cei mai scrupuloși, ei bine, la data publicării acestui articol  sunt exact 110 zile, dar de ce să stricăm frumusețe de titlu… Important este ce s-a mai întâmplat în aceste 100++ zile…

Graba strică treaba și ne canibalizează bazele de date

Ei bine, încercând să păstrăm o ordine cronologică, primul fenomen cu care ne-am confruntat cu toții încă de prin 20 mai a fost abundența de mesaje de opt-in menite să asigure continuitatea livrării unor mesaje sub pălăria consimțământului. Ideea nu a fost rea și laudă celor care s-au gândit la asta. Nefericită a fost de cele mai multe ori forma sub care s-a ajuns să se solicite asta, chiar și în mult situații în care nu era nevoie de consimțământ. În lipsa unor ghidaje clare, bazate pe un desfășurător de acțiuni și a unei agende de derulare în timp, fiecare a făcut ce a știut, ce i s-a spus, sau cum s-a priceput. A fost un test dur, care dacă ar fi să presupunem că se urmează în continuare regulile, ar trebui să conducă la canibalizarea bazelor de date cu prospecți. Regula zice clar că dacă nu ți se răspunde la solicitarea de confirmare a consimțământului, persoana vizată trebuie trecută pe lista celor care nu sunt de acord cu aceasta.

Am păstrat câteva mesaje din acea perioadă, ca exemplu viu pentru cursurile de GDPR pentru oamenii de marketing. Evident, fără menționarea surselor… Din curiozitate, am făcut și câteva teste interactive, doar cu operatorii din România. La unele mesaje am răspuns, la altele am cerut unsubscribe, iar la altele nu am dat nici-un răspuns, propunându-mi să urmăresc comportamentul în timp. Spre lauda operatorilor, 98% din teste au fost reușite, demonstrând că există oameni care chiar se preocupă de răspunsurile persoanelor vizate. Recunosc, nu am făcut încă nicio solicitare de acces la date, deși aș fi avut motive să testez și viteza de răspuns la solicitările persoanei vizate. Nu mă grăbesc cu asta. Oamenii au nevoie de timp, și acolo unde s-a început un proiect de aliniere GDPR lucrurile nu pot fi făcute peste noapte…

Spre deosebire de multe atitudini din social – media, eu nu mă grăbesc să dau cu barda și acolo unde este nevoie intervin cu blândețea sfatului. Sunt de părere că oamenii care chiar încearcă să schimbe lucrurile trebuie lăsați să lucreze și nu să ii arătăm cu degetul că au făcut totul intern sau că au apelat la unul și la altul. Fiecare a acționat cum a crezut de cuviință, atunci când a avut un management care a fost sensibilizat în legătură cu subiectul. Chiar și cu lipsuri sau mici greșeli, orice pas înainte este un plus și este destul vreme pentru subtilități teoretice. Importantă este reacția oamenilor, a celor care trebuie să asimileze și să pună în aplicare politicile GDPR.

Ghidul GDPR pe verticale

Pentru a face ca mesajele esențiale să ajungă la cât mai mulți oameni, inițiativa GDPR Ready a publicat seria de Ghiduri reunite sub forma Cataloagelor GDPR, apărute în noiembrie 2017 și martie 2018 ca rod al colaborării cu Agora Group. la începutul lunii Iunie a apărut cea de-a treia ediție a Catalogului GDPR – dedicată unor probleme mai specifice ridicate de GDPR pentru micile companii sau diferitele departamente cu rol de operator de date personale. Prin ”GHIDUL GDPR PE VERTICALE” am adus în discuție câteva elemente generale și particulare despre provocările cu care se confruntă departamente cheie dintr-o companie, precum resursele umane, marketingul și vânzările sau echipa IT,  de la maparea proceselor de business și a datelor, la analiza de impact și de risc și adoptarea strategiei de protecție pe termen lung și crearea unei culturi GDPR la nivel de organizație. Ca și la edițiile anterioare, Ghidul este însoțit de recomandările unor specialiști din diferite domenii, ale căror opinii ați avut ocazia să le citiți sau  le veți citi în următoarele zile, sub forma unor articole dedicate.

>> CITIȚI AICI CATALOGUL GDPR ONLINE!

Cu ocazia anunțării apariției Catalogului, la aproape o lună după data de 25 mai, am făcut și o primă analiză bazată pe situațiile întâlnite în piață, din care reieșea că organizațiile din România nu erau încă pregătite pentru importanța momentului. Principalele constatări de la acea vreme se refereau

la cele mai des întâlnite situații posibil generatoare de riscuri pentru datele personale:
1. Inexistenta unei Politici elementare de IT la nivelul unor organizații mijlocii si mari. Chiar si acolo unde există niște norme și politici interne, acestea nu se aplică.
2. Harababura privind procesarea, păstrarea si transferul datelor la nivelul departamentelor de resurse umane și a ecosistemului de parteneri care procesează datele angajaților.
3. Lipsa unei strategii clare privitoare la transparență în echipele de marketing. Se copiază si se aplică șabloane culese de pe Internet, fără a se înțelege esența principiilor GDPR.
4. Inexistenta unei percepții reale privitoare la rolul pozitiv al GDPR pentru schimbarea si transformarea în bine a unei organizații. Oamenii nu au viziune de ansamblu pentru șansele lor în business, închistați fiind de necunoaștere, neînțelegere și preluare inadecvată a unor “sfaturi” oferite de binevoitori.
5. Lipsa de interes a unor manageri de departamente – altele decât HR, FINANCIAR, Juridic, IT – care cred ca ei nu au nicio responsabilitate, e treaba altora să își bată capul cu problemele astea birocratice…

Legea 190/ 2018

În data de 17 iulie, Președintele României a aprobat prin Decretul 557/ 2018 Propunerea legislativă privind măsuri de punere în aplicare a regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date şi de abrogare a Directivei 95/46/EC (Regulamentul general privind protecţia datelor). Aceste măsuri de punere în aplicare, cunoscute de acum ca Legea 190/ 2018 au dat naștere la multe controverse și discuții în social media. În fine, Legea a fost publifată în Monitorul Oficial nr. 651 din 26 iulie 2018, adică la 2 luni după data oficială a intrării în vigoare a GDPR.

Fără să intru în alte comentarii, voi prezenta pe scurt cele mai importante articole ale legii 190/ 2018. După cum se arată în Articolul 1, Scopul Legii nr. 190/2018 este de a reglementa măsurile necesare punerii în aplicare la nivel național, în principal, a următoarelor prevederi GDPR :

  • Art. 6 (Legalitatea prelucrării), alin. (2) – ” Statele membre pot menţine sau introduce dispoziţii mai specifice de adaptare a aplicării normelor prezentului regulament în ceea ce priveşte prelucrarea în vederea respectării alineatului (1) literele (c – obligații legale) şi (e – interes public) prin definirea unor cerinţe specifice mai precise cu privire la prelucrare şi a altor măsuri de asigurare a unei prelucrări legale şi echitabile, inclusiv pentru alte situaţii concrete de prelucrare, astfel cum este prevăzut în capitolul IX”;
  • Art. 9 (Prelucrarea de categorii speciale de date cu caracter personal) alin. (4) – Statele membre pot menţine sau introduce condiţii suplimentare, inclusiv restricţii, în ceea ce priveşte prelucrarea de date genetice, date biometrice sau date privind sănătatea”;
  • Art. 37-39 (Desemnarea, funcșia și sarcinile responsabilului cu protecția datelor
  • Art. 42 (Certificarea);
  • Art. 43 (Organisme de certificare);
  • Art. 83 (Condiţii generale pentru impunerea amenzilor administrative), alin. (7) – ” Fără a aduce atingere competenţelor corective ale autorităţilor de supraveghere menţionate la articolul 58 alineatul (2), fiecare stat membru poate prevedea norme prin care să se stabilească dacă şi în ce măsură pot fi impuse amenzi administrative autorităţilor publice şi organismelor publice stabilite în statul membru respectiv”;
  • Art. 85 (Prelucrarea şi libertatea de exprimare şi de informare);
  • Art. 87 (Prelucrarea unui număr de identitate național);
  • Art. 88 (Prelucrarea în contextul ocupării unui loc de muncă);
  • Art. 89 (Garanții şi derogări privind prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice

De departe, Articolul 4 – Prelucrarea unui număr de identificare național, este cel mai important articol din legea 190/ 2018, statuând condițiile de prelucrare a unui număr de identificare național prin oricare dintre temeiurile legale stabilite de GDPR în Art.1, alin (1).

Dar asta nu e suficient. Cei care au ca temei legal interesele legitime urmărite de operator pot prelucra date personale ce conțin numere de identificare naționale doar în condițiile în care pot oferi o serie de garanții, precum:

  1. punerea în aplicare de măsuri tehnice și organizatorice adecvate pentru respectarea, în special, a principiului reducerii la minimum a datelor, precum și pentru asigurarea securității și confidențialității prelucrărilor de date cu caracter personal, conform dispozițiilor Art. 32 GDPR (Securitatea prelucrării);
  2. numirea unui responsabil pentru protecția datelor, în conformitate cu prevederile art. 10 din Legea 190/ 2018 – Desemnarea și sarcinile responsabilului cu protecția datelor;
  3. stabilirea de termene de stocare în funcție de natura datelor și scopul prelucrării, precum și de termene specifice în care datele cu caracter personal trebuie șterse sau revizuite în vederea ștergerii;
  4. instruirea periodică cu privire la obligațiile ce le revin a persoanelor care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, prelucrează date cu caracter personal.

În fine, la fel de important poate fi considerat și Articolul 5 din Legea 190/ 2018 care stabilește câteva reguli cu privire la prelucrarea datelor cu caracter personal în contextul relațiilor de muncă, care sunt supuse unei forme de monitorizare. Dacă angajatorul folosește sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

  1. interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;
  2. angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;
  3. angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;
  4. alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și
  5. durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Am spus ca prefer să nu comentez, dar pot măcar să menționez că printre controversele iscate de legea 190/ 2018 se numără aparenta libertate acordată partidelor și organizațiilor politice care pot prelucra date cu caracter personal fără a avea nevoie de consimțământ și disproporția aplicării de sancțiuni cu dublă măsură pentru firmele de stat și cele private. Legea 190/ 2018 poate fi descărcată în format pdf de pe siteul ANSPDCP 

Ce se întâmplă acum?

La trei luni și ceva după momentul 25 mai 2018, s-a așternut liniștea peste piață. Cine a avut ce face și cu cine face și-a rezolvat problemele esențiale. Așa cum s-a putut, cu cine s-a putut. Nimeni nu se mai agită. S-au rărit și postările, apărând între timp alte subiecte de interes. Cei care nu s-au agitat în mai, stau liniștiți și acum, mizând pe șansa de a fi prea mic pentru a se întâmpla ceva.

Liniște – prea multă liniște și din partea Autorității de supraveghere. Oamenii așteptau o creștere a fluxului de informații oferite de singurul organism național abilitat să supravegheze prelucrarea de date personale. Cu excepția publicării unor comunicate legate de adoptarea formularelor oficiale de notificare a breșelor și de numire a unui DPO, activitatea Autorității a fost destul de puțin vizibilă.

Singura știre publică legată de aplicarea efectivă a GDPR în România a venit de pe un site al Uniunii Europene, unde erau analizate dinamica primelor notificări de după 25.mai, în raport cu bugetele alocate în 2017 pentru autoritățile din țările respective…

Principalul rol în mediatizarea și discutarea diferitelor aspecte legate de GDPR a revenit organizațiilor și inițiativelor private. O serie de asociații profesionale au publicat ghiduri de aliniere GDPR specifice unor activități precum cele de contabilitate, cabinet de avocatură, instituții medicale sau școli. Foarte puține resurse sunt însă disponibile public, majoritatea având un rol comercial.

Din fericire, a crescut numărul inițiativelor individuale, care prin intermediul unor site-uri dedicate au amplificat promovarea subiectelor de larg interes privind condițiile de aliniere GDPR specific pentru companiile și organizațiile din România. Merită a fi apreciate toate aceste inițiative care presupun un mare volum de muncă din partea celor implicați public și social. O simplă căutare pe ”GDPR România” vă va conduce la cele mai populare site-uri sau pagini de profil.

Cât privește activitatea GDPR Ready, în perioada mai-septembrie a avut în vedere cu precădere proiectele de implementare și serviciile de instruire. Ghidurile aferente celor trei Cataloage GDPR și articolele publicate au avut cu certitudine un impact important în creșterea aportului de cunoaștere și în explicarea principalelor provocări GDPR pe înțelesul tuturor. Nu întâmplător, pe 25 mai, secțiunea GDPR Ready a site-ului cloudmania a înregistrat un număr record de vizitatori.

Iată cele mai accesate articole GDPR Ready din această perioadă:

Cum pot obține certificarea DPO în România

Un personaj important: Data Protection Officer

A apărut Catalogul GDPR Practic – premieră pentru România

Dreptul de acces, rectificare, ștergere sau restricționare

Avem un DPO: cum îl certificăm?

Importanța evaluărilor de impact DPIA

GDPR Q&A: Cele mai frecvente întrebări și răspunsuri

Notificarea breșelor de Securitate

Inițiativa GDPR Ready

Avem ISO 27001. Ce ne mai trebuie pentru alinierea GDPR

 

Ca o concluzie a experienței acumulate din proiecte și inițiativele de instruire, aș puncta faptul ca dincolo de inexistenta unor tehnologii adecvate care pot rezolva buna parte din vulnerabilitățile de prelucrare și stocare a datelor cu caracter personal, principala frană în larga adopție a GDPR sunt oamenii, care nu sunt învățați să respecte niste norme și proceduri elementare. Problema principală în orice companie este legată nu de nu atingerea unor condiții de conformitate GDPR, ci de păstrarea acestora pe termen lung prin asimilarea Culturii GDPR.