Două luni până la noile reguli UE privind protecţia datelor personale. Reclamaţiile nerezolvate pot aduce amenzi de până la 4% din afaceri

Printre efectele vizibile imediat pentru consumatori se numără faptul că agenţiile de publicitate/marketing şi comercianţii vor trebui să ia în serios felul în care trimit oferte prin email sau SMS şi solicitările de dezabonare de la astfel de mesaje.

„Dacă mă duc la o companie şi îi cer să şteargă datele mele, după ce mi-a trimis un mesaj sau un mail cu o ofertă care nu mă interesează şi pe care nu am solicitat-o niciodată, începând din 25 mai acea companie va avea obligaţia să implementeze solicitarea mea şi să poată dovedi că a făcut asta. Dacă refuză solicitarea, pot face reclamaţie către autorităţi”, a explicat Gabriela Popescu, avocat Microsoft România, în cadrul conferinţei de specialitate „Ready, Steady, GDPR!” care a avut loc, miercuri, la Bucureşti.

De asemenea, se schimbă modul în care companiile trebuie să solicite consimţământul clienţilor în ceea ce priveşte prelucrarea datelor cu caracter personal. Oamenii vor trebui să-şi dea punctual consimţământul pentru folosirea datelor pentru trimiterea ofertelor de marketing, sau pentru prelucrarea datelor personale în vederea creării unor profile prin care ofertele şi reclamele să fie personalizate.

Astfel, consimţământul general necesar pentru derularea unui contract cu o companie va fi separat de consimţământul pentru folosirea datelor în alte scopuri.

Ce se schimbă pentru companii 

GDPR schimbă atât felul în care sunt colectate datele cu caracter personal, cât şi modul în care ele sunt accesate. Noul regulament impune companiilor compartimentarea colectării şi accesului angajaţilor la datele personale, în funcţie de scop, de necesitate.

Regulamentul european, care intră în vigoare pe 25 mai, prevede că persoanele îşi pot retrage oricând consimţământul privind stocarea şi folosirea datelor personale, cu excepţia cazului în care folosirea datelor este necesară pentru executarea unui contract în derulare.

Astfel, modul în care sunt stocate şi prelucrate datele cu caracter personal trebuie să permită, spre exemplu, ştergerea datelor folosite în scop de marketing sau pentru profilarea consumatorului în vederea personalizării ofertelor, dar păstrarea informaţiilor în zona operaţională a business-ului pentru a facilita executarea contractului, a spus Roxana Ionescu, partener responsabil de protecţia datelor în cadrul casei de avocatură NNDKP.

„Este important pentru companii să sistematizeze clar scopul în care foloseşte sau prelucrează datele, cu fluxuri separate pentru marketing, executarea contractului, resurse umane şi aşa mai departe. Nu mai există consimţământul general pentru colectarea datelor, ci separat pe tipuri de activitate, cu delimitări clare. Clientul trebuie să îşi exprime explicit consimţământul pentru fiecare activitate în parte”, a explicat Ionescu.

În ceea ce priveşte responsabilitatea autorităţilor şi amenzile, controalele nu vor viza neapărat sancţionarea companiilor, ci conformarea cu GDPR.

„Controalele se vor focusa pe conformare, autorităţile nu sunt puse pe amenzi, însă depinde şi de motive: dacă este vorba despre un control de rutină, pentru verificarea conformării, sau de unul survenit în urma unor reclamaţii. În cazul unei plângeri, autoritatea trebuie să dea un răspuns şi reclamantului privind modul în care a soluţionat cazul”, a explicat Cristina Costache, legal manager în cadrul Strauss România.

Sancţiunile pentru abateri de la GDPR pot ajunge până la 4% din cifra de afaceri.

Prin date personale se înţeleg, printre altele, informaţii precum numele, adresa de email, postări în social media, descrierea fizică, informaţii psihologice sau genetice, informaţii medicale, informaţii bancare, adresa IP, informaţii privind identitatea culturală, filmări sau alte tipuri de înregistrări, care pot fi stocate şi prelucrate de către operatorii economici.

Regulamentul general pentru protecţia datelor a intrat în vigoare în urmă cu doi ani, însă UE a acordat o perioadă de graţie de doi ani pentru a companiile şi organizaţiile care trebuie să se conformeze la noile reguli. Termenul de implementare expiră pe 25 mai 2018.

Companiile mari şi multinaţionalele s-au aliniat deja, în linii mari, la noul regulament, însă la nivelul companiilor mai mici situaţia este mai puţin clară, potrivit experţilor.

Citeşte şi: Mihai Toma, SAP: Companiile din România încă nu iau în serios GDPR. Mă aştept să văd câteva amenzi