Cum ne

promovăm
după
25 mai 2018 ?
• În general,
GDPR este despre relația companie/
instituție – cetățean (“persoană vizată”)

• În marketing,
GDPR este despre relația marketer –
consumator
Opt-in versus Opt-out

Există și “soft opt-in”

Ce se schimbă în modul cum ne promovăm?
Mai puțin decât ne fac să credem casele de avocatură 

Dar totuși ... e de muncă 

#1 Mai multă “birocrație”
Acum
a) Cartografiezi prelucrările datelor cu caracter personal

b) Îți numești DPO dacă, ca operator sau împuternicit desfășori “o activitate

principală care conduce la realizarea unei monitorizări constante și sistematice pe scară largă a
persoanelor” sau dacă desfășori “o activitate principală care constă în prelucrarea pe scară largă
de date sensibile, biometrice”, privind starea de sănătate sau referitoare la condamnări penale
și infracţiuni.

c) Faci DPIA (Evaluarea Impactului asupra Protecției Datelor), dacă procesarea ta îndeplinește 2
sau mai multe din cele 9 criterii din ghid

d) Modifici contractele cu împuterniciții

#2 Mai multă “birocrație”
De acum inainte

a)Păstrezi evidență asupra operațiunilor de prelucrare de date (acestea vor fi cerute la control
de către ANSPDCP)

b) Notifici în 72 de ore la ANSPDCP orice breșă de securitate

c) Faci DPIA pentru prelucrări de date noi relevante

#3 Bagi ceva bani în securitatea informatică
a) Accesul către bazele de date trebuie să se facă numai cu user și parolă, și să se țină
un istoric/ log al accesului la date

b) Bazele de date trebuie să fie criptate

c) Transferul de date trebuie să fie securizat

#4 Îți modifici nota informativă pentru
culegerea datelor
Granularitate la nivel de:
a) Scop al prelucrării (care trebuie să fie mai specific decât înainte de GDPR)
b) Canal de comunicare

Menționarea tuturor drepturilor consumatorului, în formulările GDPR

#5 Îți instalezi o aplicație de istoric și
versionare a consimțământului
Care să te ajute să poți proba în fața ANSPDCP
a) momentul în care fiecare consumator și-a dat acordul
b) nota de informare pe care o afișa pagina în care s-a obținut consimțământul la
momentul obținerii consimţământului
#6 Îți instalezi un centru de preferințe
de comunicare
În care să poată intra consumatorul că să își poată schimba consimțământul referitor la
diverse scopuri și canale de comunicare.
#7 Ai grijă ca subcontractorii/ furnizorii tăi
să respecte și ei GDPR
În fața ANSPDCP, responsabil pentru prelucrarea corectă a datelor de către
subcontractorii tăi ești și tu ca operator de date.
#8 Discuți cu toți furnizorii de aplicații despre
potențiale breșe de securitate
Datele personale pentru care tu ești operator de date personale și care
“circulă” pe aplicația lor sunt responsabilitatea ta.
#9 Ești cu ochii în patru la respectarea opt-
out-urilor
Reclamațiile pe opt-out trigger-uiesc controale ANSPDCP.
#10 Ai mai multă grijă cu transferul de
date personale
Consimțământul unui consumator a fost acordat pentru un scop specific al prelucrării,
pentru un anumit operator, care poate fi diferit de scopul în care alt operator dorește
să prelucreze aceste date. Verifică în ce masură poți utiliza interesul legitim.
#11 Dacă consimțământul este greu de obținut
în business-ul tău, uită-te și la celelalte 5
temeiuri de procesare de date conform Art. 6
o“prelucrarea este necesară pentru executarea unui contract la care persoana vizată este
parte”
o“prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi
revine operatorului”
o“prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de
o parte terţă”
Consimțământul pentru prelucrarea datelor de marketing este cerut încă din 2001.

Însă recital 47 din GDPR zice

“Prelucrarea de date cu caracter personal care

are drept scop marketingul direct poate fi
considerată ca fiind desfăşurată pentru un
interes legitim.”
 INTERES LEGITIM
“cu excepţia cazului în care prevalează interesele sau drepturile şi libertăţile fundamentale
ale persoanei vizate”

Una din situațiile în care poate fi utilizat este cea în care interesul legitim al operatorului
este aliniat cu drepturile și libertățile persoanelor vizate.
Trebuie luate în considerare așteptările rezonabile ale persoanelor vizate bazate pe relația
acestora cu operatorul.
E necesară o informare transparentă și clară a persoanelor vizate.
Se numește

“Regulamentul privind protecţia persoanelor

fizice în ceea ce priveşte prelucrarea datelor cu
caracter personal şi privind
libera
circulaţie a acestor date”
Ai grijă să nu treci în extrema cealaltă -
să îți restrangi oportunitățile de
business pentru că tu sau avocatul tău
interpretați GDPR si ghidurile într-un mod
prea restrictiv sau prea prudențial!
Mult de muncă, ceva bani de cheltuit...
Şi o mica veste bună :
se face ordine in piață
– obligativitatea opt-in-ului in email marketing
va fi în sfârșit respectată, pentru că amenzile
sunt prea mari pentru ca spammerii
să continue ca până acum
Există multe zone lăsate neacoperite de
textul GDPR și ghidurile publicate de Grupul
de Lucru Articolul 29

Sunt necesare Coduri de Conduită la nivel de

industrie (cf art. 40-41 din GDPR), care vor fi
aprobate de ANSPDCP
Uită-te după oportunități!
Ex:
- Business în jurul securității informatice
- Deturnare de business care folosește date personale, din UE-Asia către UE-UE
 Mulțumesc pentru atenție!
www.mediapost-hitmail.ro
Marian Șeitan
marians@mediapost-hitmail.ro