Despre GDPR în sectorul B2B

A intrat în vigoare GDPR și toată lumea a înnebunit. Toată lumea din mediul business. Personal, am privit acest regulament ceva mai detașat, în sensul în care pentru fiecare nouă regulă există și excepții sau adaptări (în cazul de față, existente în regulament). Lucrez în marketing pentru domeniul industrial. Compania pentru care lucrez este destul de mare, dacă mă raportez la conexiunile sale și mai ales la comunicare. Și încă nu e cazul de comunicare de marketing conform regulilor de lead generation (programare, follow-up, segmentare etc.). Astfel, nu pot vorbi încă de blocaj comunicațional sau de risc de amendă.

Pot spune însă, că de aproximativ 2 săptămâni, un regulament care ar trebui să fie ghid pentru instituțiile statului în ceea ce privește monitorizarea protecției datelor cu caracter personal al persoanelor fizice, a creat mai mult haos. E adevărat că nici Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) nu a prea avut campanii de informare care să mai elimine din haos (sau în orice caz, dacă le-a avut, Google, Facebook, Linkedin și posturile TV nu au avut disponibilitatea de a le difuza pro bono), dar dacă de la stat mă aștept la low quality, de la mediul privat am (sau aveam) alte așteptări.

E drept că eu știam de anul trecut (vag) de GDPR, dar neexistând o dezbatere în acest sens, sau informări oficiale, repetitive am tratat știrea ca pe o…știre. Ca atare, mă aflu acum în situația de a crea tot felul de filtre interne, documente și pop-ups pe site (și nu numai) pentru a ”înnota” în direcția care mă interesează, fără riscul de a fi amendată compania la care lucrez.

Evident voi respecta GDPR, atât pe plan personal cât și pe plan profesional. Nu știu însă câți manageri conștientizează că au nevoie de un audit din punct de vedere juridic în urma căruia să rezulte un set de proceduri și reguli de tratare a bazelor de date interne (angajați, clienți, furnizori, parteneri, prospecți). După ce am citit cu maximă atenție GDPR am constatat că acesta se aplică într-o masură sau alta la nivelul tuturor departamentelor unei afaceri. Astfel, pentru HR, GDPR înseamnă anexe la contracte, reguli de stocare și de prelucrare a datelor sensibile cu caracter personal și back-up pentru  tot ce presupune demonstrarea, în eventualitatea unui control inopinat. Pentru Marketing înseamnă mai mult decât anexe la contracte, pentru că presupune printre altele și arhivare și eliminare totală a contactelor din baza de date, după o anumită perioadă.

Pentru că regulamentul e complex, recomand servicii de specialitate. Înainte de a trece la trimiterea de mailuri, crearea de anexe și de proceduri de protecție a datelor cu caracter personal este extrem de important să solicitați un audit specializat de la o casă de avocatură. Sunt multe motive pentru care să faceți acest lucru. Aleg să vă prezint câteva (pe restul le veți descoperi singuri):

  • Vă feriți de abuzuri (fie să abuzați, fie să fiți abuzați). Pare grande, dar nu e chiar așa pentru că iată de ce m-am lovit eu:

Am primit mailuri de la companii care solicitau acordul explicit pentru continuarea comunicării pe e-mail, deși între mine ca angajat/reprezentant al unei companii și compania solicitantă există un contract de parteneriat. Astfel, între noi există deja un acord legal, dar și acordul de primire a newsletterelor prin funcția de abonare.

Întreb eu: pentru acest tip de situație, trebuie cerut acord de continuare a transmiterii de informații via newsletter?

Avocatul spune: această situație depinde de modul în care a fost exprimat acordul pentru primirea newsletterului anterior intrării în vigoare a GDPR. Dacă cererea pentru exprimarea acordului întrunea condițiile din GDPR (transparență, consimțământ), atunci acordul astfel exprimat rămâne valabil. Dacă nu, atunci trebuie reobținut. Atenție – acest lucru e valabil doar pentru newsletter, nu pentru comunicările prin email care au legătură cu executarea contractului dintre cele două entități – care pot fi trimise în continuare fără nicio altă formalitate.

  • Puteți evita situații cu potențial de conflict sau chiar rupererea relațiilor cu parteneri importanți pentru afacere.

În calitate de partener al altor companii (furnizori), cu care avem relații de colaborare active sau pasive (achiziție echipamente, prestare servicii, informări despre echipamente etc.) am primit același tip de mail în care eram informați că dacă nu ne exprimăm acordul explicit de a primi mailuri, vom fi scoși din baza de date.

Întreb eu:  trebuie să facem și noi la fel cu partenerii noștri?

Avocatul spune: e o abordare greșită și nu e cazul să procedați la fel. În acest caz comunicările au legătură cu executarea contractului (pe de o parte a contractului dintre angajatorul tău și furnizor, iar pe de altă a contractului dintre tine și angajatorul tău), pentru care nu este necesar consimțământ și nici informare. Este datoria angajatorului tău să te informeze că va transmite datele tale de contact partenerilor contractuali pentru a-ți permite să îți îndeplinești sarcinile.

  • Nu veți fi constrânși să limitați oferta de servcii B2B
În calitate de companie am fost somați să semnăm acte adiționale dedicate prelucrării datelor cu caracter personal al persoanelor fizice pentru a putea participa la un eveniment, pentru care anterior s-a semnat un contract. Astfel, în cazul nesemnarii actului adițional, în ciuda plăților și a confirmărilor de participare, ni se putea refuză dreptul de a participa la eveniment în calitate de expozant. Prelucrarea datelor e necesară în cazul companiei partenere, pentru desfășurarea unor activități comune și pentru marketing.
Întreb eu:  trebuie create acte adiționale cu clienții/partenerii în vederea validării prelucrării datelor de contact (adrese de mail ale angajaților din diferite departamente, numere de telefon, adrese de sedii)?
 
Avocatul spune: da, trebuie semnate acte adiționale privind modul de prelucrare a datelor personale atunci când datele sunt dezvăluite de un operator unui împuternicit al său (care realizează prelucrarea în beneficiul operatorului), precum și atunci când un operator dezvăluie date personale unui alt operator. În exemplul respectiv, compania care organizează evenimentul poate fi împuternicit al companiei unde lucrezi (atunci când organizează evenimentul la cererea acesteia) sau poate fi un operator de sine stătător (atunci când organizează independent evenimentul și solicită datele de contact ale persoanelor care vor reprezenta expozanții).
  • Și cel mai important, evitați să plătiți până la 4% din CA pentru nerespectarea legii.

Mă aștept să înceapă controale dese și puternice în acest sens. Indiferent de direcția în care aleg să meargă (companii mari, sau IMM-uri), inspectorii vor avea de luat bani mulți, mai ales că se zvonește prin piețe că e nevoie de bani la buget.

Situația e cu atât mai delicată cu cât GDPR a trecut de o linie fină privind separarea datelor persoanelor fizice și datele persoanelor fizice, angajate. Astfel, în cazul unui eveniment de afaceri care presupune întâlniri între angajați ai mai multor companii va crește evident birocrația, pentru că o serie de documente și acorduri trebuie create special pentru această latură a protecției datelor personale. Până atunci, sunt mulți  specialiști în piața care spun simplu ”Nu mai am voie sa fac nimic din cauza GDPR”. Și chiar nu mai fac, în detrimentul laturii comerciale a evenimentelor dedicate tocmai facilitării de oportunități (în rongleză leaduri).

Personal, mi se pare un abuz al Uniunii Europene cu efecte negative asupra segmentului B2B ,care nu mi se pare că a fost luat în calcul, în momentul elaborării GDPR. Mi se pare absurd acest mix de drepturi ale persoanelor fizice cu folosirea resurselor persoanelor juridice. Ar fi mai ușor dacă în loc de escu.xulescu@firma.ro să se folosească la angajatmkt1@firma.ro. În acest caz GDPR nu ar mai afecta sectorul B2B ..

Dar, ceea ce ni se întâmplă tuturor este o cauză. Sunt sigură că pentru GDPR au fost făcute consultări cu mediul privat. Din păcate însă, sectorul privat a avut alte priorități, iar lipsa GDPR de pe lista începe să se lase cu niște facturi.

Iacă, am intrat în horă!

About Author

Daniela
Daniela

Faceti cunostinta cu autoarea blogului Yes,Milady! Ma numesc Daniela si va voi spune despre tot si despre toate cum nimeni nu va avea curajul sa o faca. Descoperiti-ma cu totul aici.

Leave a Reply