Informatii generale:

Din 25 mai 2018 s-au produs schimbări importante în legislația privind protecția datelor personale în Europa, odată cu intrarea în vigoare a Regulamentului (UE) 679/2016, cunoscut drept Regulamentul General privind Protecția Datelor Personale. Specialiștii spun ca asistam chiar la o adevărată revoluție în domeniu, dacă analizăm magnitudinea la care schimbările din legislație vor afecta bunul mers al afacerilor mici și mari din Europa și nu numai.

Ce este GDPR?

GDPR reprezinta o serie de reglementari cu privire la colectarea si prelucrarea de date cu caracter personal, cum ar fi: nume, telefon, locatie geografica, etc.

Adica, atunci cand colectezi date personale din cele amintite mai sus prin intermediul unui formular online sau pe hartie, trebuie sa informezi utilizatorul ce fel de date stochezi de la el, ce faci cu ele, cat timp le stochezi, motivul stocarii, caror terti le pui la dispozitie, etc, si ai niste obligatii legale de protectie a acestor date.

Adica, faci o pagina unde declari toate acestea, iar in orice formular in care utilizatorul ar putea introduce datele lui (telefon, nume, email, adresa, etc) pui link catre acea pagina si o bifa (implicit debifata) cu un text din care sa reiasa clar ca utilizatorul trebuie sa fie de acord cu acei termeni in momentul cand acceseaza formularul. Recomandat ar fi sa notezi cumva si data si adresa ip a utilizatorului atunci cand si-a dat acordul, pentru ca oamenii mai uita cand si-au facut cont si te vor ameninta cu procese si reclamatii. Nu vei fi ferit de asa ceva, dar macar pe o buna parte din ei ii vei potoli cu un "Ti-ai facut cont pe data xxxx ora xxxx de pe ip xxxxx, dar stai linistit ca am sters tot. Lasa-te."

In caz ca este vorba de date sensibile (informatii medicale, orientari politice, rasiale, etc) ar fi recomandat sa ai si un DPO (data protection officer) care sa urmareasca respectarea securitatatii datelor, ofera consultanta, si eventual poarta discutii cu autoritatile atunci cand este cazul. Dar nu discutam asta aici, pentru ca e treaba mai complicata. Si cum nu-mi plac treburile complicate sau raspunderea prea mare, in articolul de fata nu ma refer la cele 2% de website-uri unde se afla date medicale, date de carduri sau ceva de genul.

Cel putin, asta am inteles eu din cerintele GDPR. E posibil sa ma insel, mai sap.

Website-urile si portalurile au inceput sa trimita mailuri peste mailuri de preinstiintare, instiintare, postinstiintare si confirmare/reconfirmare abonare catre cei cu care au interactionat de-a lungul timpului.

Astfel ca am primit in acea perioada sute de mailuri zilnice prin care eram anuntat ca se va implementa GDPR, altele care anuntatu ca s-a implementat deja, altele cu confirmarile de care spuneam mai sus...un adevarat mail-bombing direct in inbox.

E de inteles, pentru ca unele date cu caracter personal au fost obtinute inainte de GDPR si nu toate website-urile au obtinut acordul explicit al utilizatorilor care nu au fost informati cu privire la ce se va intampla cu datele lor. Poate era de ajuns un simplu email de confirmare, si trimis doar de website-urile care stiau ca nu au colectat date cu caracter personal cu toate declaratiile cerute de GDPR. De exemplu: multe website-uri serioase deja aveau bife de confirmare in formularele de inregistrare/comanda/contact de mai multi ani, si politici de confidentialitate, asa ca ele nu erau nevoite sa trimita atatea mailuri. Cumva, utilizatorii si-au dat deja acordul explicit pentru stocarea si prelucrarea datelor in momentul crearii contului, cu multa vreme inainte ca regulamentul sa intre in vigoare.

Am confirmat primele 50-100 de mailuri care am considerat ca m-ar putea interesa un newsletter de la ei, dar mailurile tot continuau sa vina cu fel de fel de anunturi GDPR, atentionari, precizari, rectificari, oferte de implementare, confirmari, etc. Sute pe zi, fara gluma. Apoi am inceput sa sterg mailuri cu "select all".

Apoi au inceput sa curga ofertele firmelor de consultanta. Doar cateva zeci, nu chiar atat de multe.

Daca ma intrebati pe mine, a fost un prilej bun ca toata lumea sa faca spam mascat, care nu ma deranjeaza neaparat, atata timp cat nu intra sute de mailuri pe zi in inbox iar cele doua mailuri importante le ratez din cauza asta.

Din fericire asaltul de mailuri s-a terminat dupa o luna. Doar din cand in cand mai primesc cate un mail ratacit prin care sunt anuntat ca s-au modificat termenii si conditiile pe nu stiu ce site. Din "colectam nume sau adresa de email" in "colectam nume si adresa de email".

O alta directiva a UE, vis-a-vis de prezenta online, reprezinta o notificare vizibila pe site, daca acesta foloseste "cookies", crearea unei pagini in care sa explici ce tipuri de cookies folosesti si cum le folosesti. Aceasta directiva este activa de prin 2014, deci nu este nimic nou.

This is what the law requires:

a person shall not store or gain access to information stored, in the terminal equipment of a subscriber or user unless the requirements of paragraph (2) are met.

(2) The requirements are that the subscriber or user of that terminal equipment-

(a) is provided with clear and comprehensive information about the purposes of the storage of, or access to, that information; and

(b) has given his or her consent.

From Regulation 6 of the Privacy and Electronic Communications Regulations 2003 (PECR)

Multi detinatori de website-uri nu au dat importanta acestei cereri, asta pana la GDPR...

Si au inceput sa se intreaca in stricat website-uri. Parca a fost concurs.

Unele site-uri atunci cand le accesezi trebuie sa apesi 2-3 confirmari cu privire la cookies si la alte politici (revin cu imagini). Confirmarea cu privire la utilizarea cookies e de inteles, desi cred ca ar trebui sa exista o singura bifa cu privire la cookies atunci cand faci abonament la internet. Cookies incepi sa primesti din momentul in care pornesti laptop. Restul politicilor cu care esti de acord sunt niste pagini pline cu bla-bla, pe care nu le citeste nimeni, si in care scrie ce nu ai voie sa faci pe website. De parca aceste politici ar opri armatele de boti care ne tot scaneaza serverele sau avalansa de spam cu ciuperca unghiei si creionul antizgarieturi.

Pe mobil experienta e si mai groaznica, pentru ca pe langa cele 2-3 confirmari, mai trebuie sa apas un al patrulea buton pentru a inchide nush ce reclama sau pop-up de abonare, ce ocupa o bucata buna din ecranul si-asa mic.

Chiar era nevoie sa ne stricam website-urile ? Un simplu buton "De acord cu cookies" si o simpla bifa ca "am inteles si-s de acord cu politica de confidentialitate" in formularele de contact nu era de ajuns?