Noile reglementări GDPR intră în vigoare la 25 mai. Cum afectează ele un DMO?

Noile legi de protejare a datelor personale impuse de Uniunea Europeană (GDPR) vor intra în vigoare în scurt timp. Ca și DMO, această lege te poate afecta indiferent unde în lume îți desfășori activitatea, pentru că internetul nu are granițe.

Motivul pentru care UE a creat GDPR (General Data Protection Regulation) a fost acela de a reforma total modul în care companiile utilizează datele personale ale cetățenilor și a le proteja, în final, intimitatea. Prevederile acestei legi obligă companiile să aibă un comportament etic în legătură cu modul în care obțin și utilizează datele personale ale oamenilor.

 

 

Amenzile pentru nerespectarea lor sunt mari

Ajung până la 4% din profitul anual sau 20 de milioane de Euro, și ele se aplică:

– oricărei companii (oriunde ar fi acesta localizată) care oferă publicului larg bunuri sau servicii, contra cost sau gratuit, sau care monitorizează comportamentul oricărui cetățean cu rezidența în UE

– oricărei companii (oriunde ar fi acesta localizată) care deține și procesează date personale ale oricărui cetățean cu rezidența în UE

Turiștii europeni vizitează o mulțime de destinații, din toată lumea. În același timp oricine, de oriunde din lume poate interacționa cu orice DMO. Asta înseamnă că orice DMO interacționează cu cetățeni cu rezidența în UE și deci este obligat să se alinieze la noile reglementări pentru a-și putea continua activitatea ca și până acum. GDPR are aplicații în mai multe arii de activitate a unui DMO, însă în articolul de azi ne vom opri doar asupra celor ce țin de activitatea de marketing.

Noua lege afectează modul în care colectăm și folosim datele personale pentru campaniile noastre de marketing

 

 

Pentru un DMO, principala activitate unde intervin noile reguli GDPR este gestionarea bazei de date de abonați la toate mijloacele de corespondență și comunicare folosite. Dacă webiste-ul tău de promovare turistică are încorporat un formular de abonare la un newsletter, pentru solicitarea unui ghid sau pentru orice fel de contact sau informații, atunci organizația ta deține și procesează date personale.

În funcție de cât de sofisticate sunt activitățile tale de marketing, e posibil ca organizația ta să folosească și alte tipuri de date: pentru vânzări, pentru retargeting. Acestea se aplică în general ad-urilor de re-targetare, atunci când creezi conținut web personalizat în funcție de profilul utilizatorului sau în cazul datelor pe care le vizualizezi în analytics. Asta te face un data controller – cel care decide ce tip de date sunt colectate și cum sunt acestea folosite. Datele sunt ulterior folosite de anumite aplicații, precum sistemele de email marketing. Cei care furnizează aceste aplicații se numesc data processors. Ei gestionează sistemele care funcționează cu datele colectate de tine.

Noile reglementări conțin seturi diferite de instrucțiuni pentru data controller și data processors. Dacă ai persoane cu rezidența în UE în baza ta de date și în alte sisteme de marketing pe care le utilizezi, atunci ești obligat să te asiguri că respecți aceste prevederi. Nu trebuie doar să respecți regulile impuse unui data controller dar trebuie să te asiguri și că furnizorii tăi respectă regulile care se impun unui data processor.

Ce înseamnă de fapt ”date personale”?

În GDPR, datele personale sunt definite ca fiind orice informații în legătură cu o persoană fizică ce pot fi folosite, direct sau indirect, pentru a identifica respectiva persoană. Poate fi vorba de nume, o fotografie, o adresă de email, datele de card sau numărul de cont bancar, postările de pe Social Media, informații medicale, IP-ul unui computer, etc.

 

Sursa foto.

Ce trebuie să ai în vedere ca DMO (data controller)

GDPR este o lege complexă și nuanțată. Merită să soliciți consiliere juridică din partea unui specialist, mai ales dacă organizația ta folosește datele rezidenților UE într-un mod mai complex. Acest articol nu își asumă în niciun fel cunoașterea și interpretarea pe deplin a noilor reglementări. Mai degrabă, am dori să oferim o perspectivă mai amplă asupra ideilor principale din cuprinsul acestei legi.

– Colectează date personale ale utilizatorilor doar atunci când acestea servesc unui scop concret. De pildă, nu adăuga în site un formular de abonare la newsletter înainte de a începe să trimiți un newsletter. Sau poate ai în site un formular pentru contact/întrebări unde sunt cerute și date personale pentru identificare. Asigură-te ca ai și o persoană însărcinată să răspundă acestor solicitări.

– Atunci când colectezi date personale ale rezidenților UE este obligatoriu ca acele pesoane să își dea consimțământul asupra utilizării datelor printr-o declarație clară sau o acțiune afirmativă. Tăcerea sau lipsa acțiunii nu mai pot fi considerate forme de consimțământ. Nu mai pot fi folosite sintagme precum ”în cazul în care nu dai reply cu DEZABONARE acestui email, vom continua să îți trimitem mesajele noastre”. Nu mai poți pre-completa sau bifa acele căsuțe care te avantajează într-un formular. Recomandarea e ca userul să fie cel care trimite emailul în care solicită abonarea sau bifează o căsuță în dreptul unei fraze scrise într-un limbaj simplu și accesibil. Politica ta privind utilizarea datelor personale trebuie să fie și ea redactată într-un limbaj cât mai accesibil și să fie la îndemâna oricui dorește să o citească.

– În politica ta de procesare a datelor personale ar trebui sa identifici foarte clar cine controlează datele și cine le procesează. GDPR subliniază foarte clar acest aspect.

– Trebuie sa permiți utilizatorilor să-și gestioneze propriile date.

Ei pot să ceară și au dreptul să:
– li se spună dacă datele lor sunt stocate și cum sunt ele folosite
– li se ofere o copie, ușor de citit, a datelor lor personale pe care tu le stochezi
– ceară ca datele lor pesonale să nu mai fie procesate, și chiar ca ele să fie șterse, în anumite circumstanțe

– Cerințele GDPR se extind și asupra părților terțe, precum furnizorilor de liste de mail-uri sau serviciile de baze de date. În cazul în care cumperi sau îți este oferit accesul la baza de date a unei alte organizații, iar aceasta include și persoane cu rezidența în UE, respectiva organizație trebuie să demonstreze că datele au fost obținute conform politicii GDPR și că utilizatorii și-au dat acordul ca ele să fie folosite în scopuri comerciale.

– Trebuie să respecți regulile de acțiune în cazul scurgerilor de date. Dacă are loc o astfel de scurgere iar acest lucru pune în pericol anumiți utilizatori, îți revine obligația de a-i anunța în maxim 72 de ore de la incident. Situațiile în care un DMO poate fi supus unui astfel de rsic sunt destul de rare, mai ales în ce privește activitățile de marketing. Însă ține cont de acest sfat și în cazul unui incident consultă un specialist.

 

 

Legea GDPR este în lucru încă din anul 2012, așa că nu îți imagina că ea vine ca o reacție la cele mai recente scandaluri, precum cel dintre Facebook și Cambridge Analytica. Însă scopul ei este să prevină circumstanțele care au permis producerea acestor crize și să ajute utilizatorii să preia controlul asupra propriilor date. Poate odată cu adoptarea acestor legi UE va reuși să stabilească un standard ce va fi îmbrățișat, treptat, și de alte state. Pentru mai multe informații despre lege, intră aici.

Sursa articol.

Sursa foto.