Medtem ko se je prah, ki ga je povzročil ZEKom-1 in posledično uredba o piškotkih, ravno dodobra polegel, je evropska komisija za nas pripravila že naslednjo pošiljko v obliki GDPR (General Data Protection Regulation).
Naši zakonodajalci so jo »preoblikovali« v ZVOP-2 (trenutno je objavljen osnutek zakona, ki si ga lahko preberete tukaj) in ta je po slovenskih podjetjih že dvignil precej novega prahu. A ne bojte se preveč. GDPR ni tako grozen, kot je videti. Resda prinaša precej novosti in sprememb, ki bodo podjetjem vsilile nova pravila, a hkrati bodo na trg prinesle več preglednosti in jasnosti, predvsem za končne uporabnike.
Globalna, pa tudi slovenska podjetja zbirajo vse več podatkov o uporabnikih in kupcih (v nadaljevanju bom vse skupaj poimenoval kar »uporabniki«) ter jih nato bolj ali manj uspešno uporabljajo v različne namene. Vse v imenu napredka, personalizacije in izboljšanja poslovanja. O uporabnikih vemo vse več. Vsaj tako se nam zdi.
Moje osebno stališče je, da bi podatki (vsaj nekateri) morali biti transparentni. Če podjetje hrani določene podatke o uporabniku, je edino pravilno, da uporabnik ve, kateri so ti podatki. Ne zgolj zato, da nadzoruje podjetje, temveč tudi zato, da lahko ob napačnih podatkih te popravi in s tem omogoči podjetju njihovo dejansko bolj natančno uporabo.
GDPR na krovni ravni pluje v to smer. Vsaj na splošno govori o transparentnosti in podjetjem nalaga določene odgovornosti glede te. Mislim, da je torej GDPR na tej ravni korak v pravo smer. Strah me je, da je na ravni praktične izvedbe velik korak v napačno smer.
S tem zmanjšuje konkurenčnost evropskih podjetij na globalnem trgu, kar utegne dolgoročno škoditi Evropi precej bolj kot pa »slab« nadzor nad osebnimi podatki. Roko na srce, vsi smo se pripravljeni prodati za pet evrov (oziroma, strokovno povedano, vsi smo pripravljeni pustiti spletnemu trgovcu svoje osebne podatke, če dobimo pet evrov popusta) in nobena uredba tega ne bo spremenila. #justsaying
Ampak pustimo zdaj te polemike ob strani. O tem, kaj GDPR je, je bilo napisano že kar nekaj. Glede na to, da se v Red Orbitu večinoma ukvarjamo s podatki (oziroma po GDPR-jevsko »obdelavo osebnih podatkov z namenom izboljšanja in personalizacije trženja ter z namenom izboljšanja poslovanja in poslovnih rezultatov«), se bom tokrat posvetil vplivu nove zakonodaje na naše delo.
Seveda jih lahko. GDPR ne prepoveduje zbiranja osebnih podatkov, temveč zgolj bolj natančno določa, kako jih lahko zbiramo (tukaj posebnih novosti niti ni), zakaj jih zbiramo, kako jih hranimo in kako obdelujemo. Od podjetja (in njegovih zunanjih partnerjev) zahteva, da bolj natančno definirajo razloge za zbiranje in posamezne postopke, ki so povezani z obdelavo osebnih podatkov. Kaj to pomeni v praksi?
Ko podjetja zbirajo osebne podatke (registracija uporabnika, prijava na e-časopis, nagradne igre …), bodo morala bolj natančno opredeliti, s kakšnim namenom se osebni podatki zbirajo in kdo jih bo obdeloval. To pomeni, da dikcija »zbrane podatke bomo uporabljali v trženjske namene« ni več dovolj. Določiti je treba, v kakšne trženjske namene jih bomo uporabljali. Do kod iti oziroma kako natančen biti, seveda ne ve nihče razen Informacijskega pooblaščenca. Bolj natančni ste, bolj zadovoljni bodo na uradu IP, seveda pa s tem omejujete samega sebe. Strinjanje z uporabo osebnih podatkov mora še vedno ostati eksplicitno (opt-in).
Ad-hoc zamisli o novi nagradni igri ali vpeljavi novega načina zbiranja kontaktov ne bodo več toliko »ad-hoc«. Poleg primernega soglasja (opisano v točki 1) zakon od vas zahteva, da pred vsako novo obdelavo osebnih podatkov natančno razmislite o tem, kaj boste s podatki počeli, in da se o tem pogovorite tudi z vašim pooblaščencem za varstvo osebnih podatkov oziroma DPO (če se vaše podjetje kvalificira za DPO).
Predpostavimo, da že nekaj let zbirate osebne podatke in pri tem v svojem soglasju navajate, da obdelujete podatke v trženjske namene. Imate težavo. Kot je že omenjeno, je ta dikcija presplošna in za vse te podatke bo treba vnovič dobiti soglasje. Soglasje torej spremenite. V novem soglasju ste definirali, da boste osebne podatke uporabili za izvajanje vnovičnega trženja oziroma »remarketinga« na Googlu. Čez čas opazite, da remarketing deluje resnično odlično, zato se odločite, da ga razširite še na Facebook. Ups. Imate novo težavo. Ker ste v soglasju definirali, da boste podatke uporabljali zgolj za remarketing na Googlu, jih ne smete uporabiti za remarketing na Facebooku. Kot rečeno, bodite pametni in vnaprej razmislite, kje in kako boste uporabljali osebne podatke.
Zdaj prehajamo k zabavnemu delu. Vsak uporabnik lahko od podjetja vselej zahteva izpis vseh osebnih podatkov, ki jih o njem hrani to podjetje. Sliši se preprosto, vendar ni. Izpis podatkov iz CRM-sistema je dokaj preprosta stvar, ko pa v to okolje dodamo še zunanje partnerje, ki te podatke hranijo, obdelujejo in uporabljajo v raznovrstnih omrežjih in orodjih, se stvar zaplete. Uporabniku moramo povedati, na katerem e-poštnem seznamu je, s katerimi oglaševalskimi platformami ga targetiramo … Transparentno in evidentirano sodelovanje med naročniki in agencijami bo tukaj izredno pomembno.
Na zahtevo uporabnika mora podjetje izbrisati vse osebne podatke, ki jih hrani o njem. Tukaj udarimo ob zid. Izbris osebnih podatkov iz lastnih sistemov ne bi smel biti težava. Težava bo nastala pri izbrisu z vseh platform in orodij, ki jih uporabljamo. V mislih nimam zgolj spletnih velikanov, kot sta Google in Facebook (kjer izbris trenutno sploh ni možen), temveč tudi številna druga orodja, na primer Salesforce in MailChimp. V številnih orodjih posamezen vnos lahko izbrišemo, vendar pogosto nikjer ni navedeno, da je bil ta vnos dejansko trajno izbrisan z vseh strežnikov (možnost je, da je bil samo označen kot izbrisan in se tako v sistemu ne pojavlja več). Kako se bodo na to odzvali velikani (in vsa SaaS podjetja) ter kako IP, bo pokazal le čas.
Kot rečeno v uvodu, GDPR ni bavbav. Od podjetij (predvsem na povezavi agencija–naročnik) bo zahteval precej več sodelovanja, transparentnosti in evidentiranja procesov. To ni nujno slabo, vendar pomeni samo dobro stran pogače. Na drugi strani je vse odvisno od zakonodaje in Informacijskega pooblaščenca ter predvsem od njihovega razumevanja in interpretacije zakona. Tukaj močno upam, da bo celotni urad razumel vsebino in kontekst posameznega primera ter se primerno odzval. Vsi si želimo transparentnosti, nihče pa si verjetno ne želi srednjega veka.
Članek je bil prvotno objavljen tukaj.