Una mișto despre GDPR și emailurile „Vrem să putem comunica în continuare cu tine“

Am mai zis că GDPR a devenit un mare bau bau, prilej pentru toate companiile să se milogească de clienții lor cu emailurile de genul Dă clic aici ca să te putem stresa în continuare cu emailuri, mesaje, pliante și ce mai trimitem noi. S-a umplut inboxul. Faza e că toate emailurile astea prin care cereau acordul clienților nu erau neapărat necesare, dacă companiile aveau deja acordul clienților. Cu alte cuvinte, dacă nu aveai deja acordul oamenilor să le trimiți emailuri, trimițând emailuri prin care le ceri ACUM acordul tocmai ai încălcat legea. Iar dacă deja ei și-au dat acordul să primească noutăți de la tine și era conform GDPR, nu trebuie să le ceri din nou voie.

“Businesses are not required to automatically ‘repaper’ or refresh all existing 1998 Act consents in preparation for the GDPR,” Vitale said. “The first question to ask is: which of the six legal grounds under the GDPR should you rely on to process personal data? Consent is only one ground. The others are contract, legal obligation, vital interests, public interest and legitimate interests.

“Even if you are relying on consent, that still does not mean you have to ask for consent again. Recital 171 of the GDPR makes clear you can continue to rely on any existing consent that was given in line with the GDPR requirements, and there’s no need to seek fresh consent. Just make sure that your consent met the GDPR standard and that consents are properly documented.”

In other words, if the business had consent to communicate with you before GDPR, that consent probably carries over, and even if it doesn’t carry over, there are five other reasons a company can cite for continuing to process data.

Din The Guardian

De citit și

În rest rămâne cum am stabilit, firmele serioase oricum respectau deja legile legate de comunicarea online zic eu, că GDPR doar clarifică ce ai voie și ce nu ai voie să faci, ce informații ai voie să salvezi și să folosești despre clienți, plus amenzi mai mari. Nici până acum nu era legal să trimiți emailuri, sms-uri sau notificări nesolicitate, dar se mergea închis.

Iar firmele de duzină vor spama în continuare, până vor fi amendate la sânge.



14 Comentarii

    1. chestia e ca tu dupa 25 mai devii data controller si prelucrezi+ stochezi datele lor. trebuie sa ii informezi ca tu ai datele lor la tine in baza de date si ei sa iti confirme ca vor sa le stochezi datele, prelucrezi, oferi newsletter, etc. sa le dai si optiunea de optout/unsubscribe. Just make sure that your consent met the GDPR standard and that consents are properly documented.” ideea e ca in formularele alea (2007-2010) nu scria nimic de modul in care tu stochezi, prelucrezi, securizezi datele lor. si nici nu era definit ce inseamna date cu caracter personal. si nici faptul ca acel banal google analytics code pe care il folosesti pica sub incidenta GDPR. Under the GDPR, if you use Google Analytics, then Google is your Data Processor. Your organization is the Data Controller since you control which data is sent to Google Analytics. de altfel, unele plugin-uri de optin(vechi) dupa ce completai tot formularul si dadeai click pe SUBSCRIBE, url-ul se modifica, in sensul ca “email= querystring” ( ex: http://www.numedomeniu.com/blog/subscribe_form?mail=gigelpopescu@yahoo.com) De maine, asta nu mai e ok. 🙂

    2. you need to change, you need to adapt:) plus ca penalizarea nu vine instant. Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal nu se autosesizeaza. in urma unei plangeri, contacteaza data controller-ul si il avertizeaza: bai vezi ca nu esti gdpr compliant. fa asta si asta si rectifica. apoi e avertizare si apoi pe la pasul 3 sau 4 se aplica efectiv amenda. in traducere libera, OMU’ negru nu e chiar asa de negru, bau bau cum ai spus si tu:)

    3. Marius, sa stii ca da. Multi care fac concurenta neloiala, pe asta se bazeaza. Se duce la firma competitoare si testeaza zonele sensibile ce pica sub incidenta GDPR si sesizeaza autoritatea. si uite asa iar nu e ok. au inceput deja sa apara avocati care ofera si training pe gdpr ( dar care spre exemplu nu pot sa ofere o solutie de pseudo-anonimizare a datelor, sau macar o directie). si cum e trendul la noi in romania, uite asa un avocat poate tine loc si de DPO, sau un project manager poate fi si el DPO sau un quality analyst la fel. In conditiile in care un DPO( data protection officer) trebuie sa fie o persoana dedicata in interiorul firmei, sau externa. dar la fel, e o bula mare acum si multi nu au morala si iau bani ffff multi.

    4. Marius corect, asa e. insa un avocat care e specializat pe gdpr nu are cunostinte avansate de criptarea datelor spre exemplu, sau solutii de backup pentru bazele de date cu clienti. solutii all in one se gasesc cam greu si alea sunt scumpe. si ce faci cand ai fix 251 de angajati( legea cere un DPO obligatoriu daca ai mai mult de 250 de angajati). poate vor aparea si solutii all in one. dar mai dureaza la noi.

  1. Bonus, trimiți newsletter la 1000 de clienți, să zicem că deschid 20%, o rată bună de deschidere. Bum, 800 de oameni nu au deschis emailul, cu ăștia nu mai comunici? Poate că nu au văzut emailul tău printre celelalte sute cu acorduri, poate nu aveau chef azi, poate că e weekend. Rămâi fără clienți, chiar dacă s-au abonat cu mânuța lor și știau ce vor primi, și tu respectai deja legislația? Not ok, ți-ai tăiat singur craca de sub picioare

Știu că abia aștepti să îmi spui că nu am dreptate: