Pametno ali nezakonito trženje?

Odlomek iz knjige Bruna DUMAYA: DEŠIFRIRANJE GDPR – Za vodje, strateške oddelke in zaposlene v podjetjih in organizacijah – Predgovor Gaëlle MONTEILLER

Bodimo jasni: v zadnjih petnajstih letih je dobro trženje v veliki meri temeljilo na inteligentni uporabi osebnih podatkov. Dvignite roko, če še nikoli niste posredovali informacij o izdelku ciljni osebi, ne da bi vas vprašali. Dajte no? Nobena roka se ni dvignila, sem si mislil. Vrzimo prvi kamen, če še nikoli niste shranili imena, telefonske številke ali e-poštnega naslova, ne da bi obvestili zadevno osebo. Prav, brez kamnov. Vrzimo prvi kamen, če ste ... Mislim, da razumete idejo.

Seveda so nekateri šli veliko dlje, saj so privabljali, pridobivali, nato preusmerjali ali prenašali profile, zanimive zato, ker so potrošniki, nedolžnih ljudi, ki so imeli slabost, da so odprli spletno mesto, sledili povezavi ali se izrazili z registracijo, pridružitvijo, komentiranjem ... In kdo je, seveda, hitel sprejeti splošne prodajne pogoje; jih prebrali? Mislite, da ne. Odgovornost je torej deljena.

V zadnjem času je treba priznati, da so se pasti pomnožile. Seveda potrošniška mrzlica, odvisnost od omrežij, potreba po prepoznavnosti – »Obstajam, klikam!« – niso bile zaman pri ustvarjanju velikanskih baz podatkov, stotine milijonov posameznikov se brez oklevanja predajo vsakomur, ki jih želi nadlegovati.

Zakaj bi se torej prikrajšali? Bilo je čudovito, novo gospodarstvo, horizontalnost, uberizacija, umetna inteligenca. Podatki, kakšen hobi! In vsi smo šli za njim, do konca! Kriza? Moje oko. Ne za vsakogar in ne za vse. Nikoli niso mali možje toliko proizvajali, prodajali in kupovali. Da se izognemo propadu, prodajamo. Tudi če to pomeni propad. Vsako ime in vsaka informacija, povezana s tem imenom, je bila vredna ohranjanja, testiranja, profiliranja. Vsakdo nekega dne nekaj potrebuje. Samo ustvariti moraš, to potrebo, oprosti, ker jo razkrivaš. Zadovoljiti? Da, ampak vsekakor ne preveč. Da se stroj vrti naprej.

Vedeli smo. Sprejeli smo. Da, ampak tako pač je. Šli smo predaleč. Smo odrasli? Ne, odrasli ne obstajajo. Samo otroci odraščajo. Torej, tako kot otroci, smo si vedno želeli več in šli smo predaleč. Ali pa smo skoraj šli predaleč. Preden je bilo prepozno, so oblasti ukrepale. CNIL nas ni pustil oditi, a je bil, dobrohoten in omejen na svoje ozemlje, preobremenjen. Zato je Evropa posredovala. Večkrat. Najprej leta 1995, nato pa leta 2016, z učinkom od danes.

Kaj je ta učinek? Nezakonitost. Kar je bilo nekoč pametno trženje, je zdaj nezakonito trženje. Od zdaj naprej, če uporabljate datoteke strank ali uporabnikov kot prej, delujete nezakonito. In ja. Ampak? ... Ne. Kako? ... Ker.

Gre za razumevanje, kaj so osebni podatki in kako je treba z njimi ravnati. Vložki so visoki, tveganja velika. Globe v milijonih evrov, osebna odgovornost, pravosodje, sodišče, vam to kaj zveni znano? Ne šalimo se več. Mark, Larry, Serguei, Jeff, me slišite? Tudi vi se ne smejte. Tudi če so digitalni velikani glavne tarče GDPR, so prizadete vse organizacije, ne glede na njihovo velikost. Velika podjetja, zagonska podjetja, vodovodarji, mestna hiša Triffouillis in združenja, takšna in taka: svojih datotek ne morete več uporabljati, kot se vam zdi primerno.

Seveda so že obstajala neka pravila in nekaj sankcij. Res? Da. Torej je bil januarja 2018, še preden je uredba začela veljati, Darty sankcioniran s strani CNIL, ker ni zadostno zavaroval podatkov svojih strank. Sporna uporaba je dejansko prišla s strani podizvajalca, vendar je bilo podjetje tisto, ki je bilo kaznovano. Globa v višini 100.000 evrov. Torej to ni nič, je pa greh v primerjavi s tem, kaj se vam lahko zgodi od zdaj naprej, če tudi vi ne boste dovolj pozorni.

Sanjamo. Ne, sploh ne. Evropska zakonodaja določa, da podatki pripadajo državljanom in da si jih nobena organizacija ne more prisvojiti za uporabo, kot se ji zdi primerno. Ah ... Podjetja morajo jasno in natančno navesti, kako zbirajo, obdelujejo in shranjujejo osebne podatke. Gre za vprašanje zvestobe, preglednosti, specifičnih, legitimnih, ustreznih in omejenih namenov ... Kajne? Te besede bi nas prej spravile v smeh. Toda časi so se spremenili. Evropski organi se odzivajo in razumemo, zakaj.

Pred obdelavo podatkov morate opraviti oceno učinka, upoštevati kodeks ravnanja, ki bo urejal prakse v vašem sektorju, in imenovati pooblaščeno osebo za varstvo podatkov, ki bo o vseh incidentih poročala nadzornemu organu, francoski CNIL. Za neupoštevanje teh predpisov so predvidene različne kazni, od opozorila do globe v višini 20 milijonov evrov ali 4 milijard evrov svetovnega prometa podjetja. Hm ... Ojoj.

Težko je. Celo brutalno. Ampak je za naše dobro. Vseeno ... Prav, prav. Res je, da je bilo treba nekaj storiti. Da smo mi, podjetja, ponavadi ogoljufali nas, posameznike. Prva vzamejo drugim ime, nato naslov, nato okus, nato navado, nato profil in potem, ne da bi se tega zavedali, jim odvzamejo svobodno voljo. Svobodo. Večina podjetij ne misli nič slabega. Samo trženje. Ampak na koncu ... Dovolj je dovolj.

Z Web 2.0 smo spoznali, da bogastvo leži v podatkih, kar je privedlo do vsemogočne narave velikih podatkov danes. Ta moč je takšna, da se nekateri sprašujejo, ali ima pojem meje med javnim in zasebnim življenjem še kakšen pomen. Ali ni prepozno? se sprašujejo drugi. Pobudniki GDPR ne mislijo tako ali vsaj ne pravijo tako. Po njihovem mnenju lahko in moramo posredovati, da nas podatkovni centri in tisti, ki so njihovi lastniki, ne razlastijo ali povampirijo.

To nihanje nihala je v zraku. Raziskava podjetja Pégasystems, ki jo je spomladi 2017 izvedlo podjetje Pégasystems med 7000 potrošniki v sedmih državah Evropske unije, kaže, da se je 82 % državljanov odločilo uveljavljati svoje pravice v skladu z GDPR. Francozi, skupaj s Španci in Italijani, se zdijo najbolj občutljivi glede svojih osebnih podatkov. Tako 96 % francoskih anketirancev želi vedeti, katere podatke o njih hranijo podjetja. Glede na vse večjo zaskrbljenost državljanov glede priznavanja njihovih pravic teh številk ne gre jemati zlahka.

Gradnja zaupanja, združevanje zaščite in prostega gibanja

GDPR torej ni besedilo, ki bi ga lahko hitro pozabili po datumu uveljavitve. Namenjeno je preprečitvi kraje informacij, ki bi morale ostati zaupne, in vdora v zasebno življenje. Varstvo posameznikov je zato glavni cilj GDPR.

Že od začetka uvodnih izjav (kar 173) je ton določen: "Varstvo posameznikov pri obdelavi osebnih podatkov je temeljna pravica" (1^er (ob upoštevanju). In celo "Obdelava osebnih podatkov bi morala biti zasnovana tako, da služi človeštvu" (4^e upoštevajoč).

Če se čuti potreba po zaščiti, je to zato, ker so člani Evropskega parlamenta in Sveta, predstavniški izrazi državljanov EU, menili, da so podjetja in v nekaterih primerih morda uprave šle predaleč pri izkoriščanju osebnih podatkov. Splošna uredba o varstvu podatkov je dejansko del družbeno-ekonomskega razvoja, omenjenega v 6.^e ker: „Hiter tehnološki razvoj in globalizacija sta ustvarila nove izzive za varstvo osebnih podatkov. Obseg zbiranja in deljenja osebnih podatkov se je znatno povečal. Tehnologije omogočajo tako zasebnim podjetjem kot javnim organom, da uporabljajo osebne podatke v svojih poslovnih dejavnostih kot še nikoli prej. Posamezniki vse bolj javno in globalno objavljajo informacije o sebi. Tehnologije so spremenile tako gospodarske kot družbene odnose in bi morale še dodatno olajšati prosti pretok osebnih podatkov znotraj Unije ter njihov prenos v tretje države in mednarodne organizacije, hkrati pa zagotavljati visoko raven varstva osebnih podatkov.“

Jasno je, da EU ne krivi ene strani bolj kot druge, temveč kaže na skupno odgovornost podjetij, javnih organov, tehnologije in samih posameznikov.

Tudi Evropa ni izvzeta, saj 9.^e ker navaja: „Čeprav je Direktiva 95/46/ES (prvo evropsko referenčno besedilo na to temo) glede svojih ciljev in načel zadovoljiva, ni preprečila razdrobljenosti pri izvajanju varstva podatkov v Uniji, pravne negotovosti ali razširjenega javnega mnenja, da še vedno obstajajo znatna tveganja za varstvo posameznikov, zlasti v spletnem okolju.“

Glavna ugotovljena težava je razlika v ravneh varstva med državami. Zato se zdi, da je enotnost za vsa podjetja po vsej EU in celo za njihove podizvajalce zunaj EU nujen pogoj za učinkovito politiko na tem področju. „Da bi zagotovili dosledno in visoko raven varstva posameznikov ter odpravili ovire za pretok osebnih podatkov znotraj Unije, bi morala biti raven varstva pravic in svoboščin posameznikov v zvezi z obdelavo takih podatkov enaka v vseh državah članicah. Zato je primerno zagotoviti dosledno in enotno uporabo pravil za varstvo temeljnih pravic in svoboščin posameznikov v zvezi z obdelavo osebnih podatkov po vsej Uniji“ (10^e upoštevajoč).

Besedilo, čeprav zelo restriktivno, kot bomo videli, si kljub temu prizadeva za pozitiven ekonomski cilj: »Ta razvoj zahteva trden in bolj skladen okvir za varstvo podatkov v Uniji, ki ga spremlja dosledna uporaba pravil, saj je pomembno ustvariti zaupanje, ki bo omogočilo razvoj digitalnega gospodarstva na celotnem notranjem trgu« (7^e upoštevajoč).

„Zaupanje.“ Po našem mnenju je to najpomembnejša beseda. Če je cilj GDPR zagotoviti, obnoviti ali „vcepiti“ zaupanje državljanov v javne in zasebne deležnike na enotnem evropskem trgu, potem ga v celoti podpiramo. Bistveno je, da lahko ljudje, ki nakupujejo na spletu, uporabljajo storitve, pregledujejo ponudbe ali izražajo mnenje, ta dejanja izvajajo brez strahu, da bodo prikrajšani za del svoje zasebnosti.

Brez strahu pred odvzemom lastnine ali celo nadlegovanjem, če uporabimo modni izraz iz konca leta 2017, ki bi se lahko nanašal na digitalno tehnologijo. Kolikokrat na dan prejmemo informacije, ki jih nismo nikoli zahtevali, domnevno zato, ker smo se naročili na nekaj, za kar sploh nismo vedeli, da obstaja? Danes se moramo odjaviti, čeprav nismo bili nikoli naročeni. Če se bo GDPR uporabljal pravilno, to ne bo več potrebno: pošiljanje novic je zdaj prepovedano, če prejemnik ni izrecno privolil.

To novoodkrito spoštovanje je dobra stvar. Gospodarske izmenjave niso nikoli tako plodne kot takrat, ko različne strani zaupajo druga drugi.

Te tekoče izmenjave so jasno zaželene: „Da bi zagotovili dosledno raven varstva posameznikov po vsej Uniji in se izognili razlikam, ki ovirajo prosti pretok osebnih podatkov na notranjem trgu, je potrebna uredba, ki bo zagotovila pravno varnost in preglednost za gospodarske subjekte, vključno z mikro, malimi in srednje velikimi podjetji, da bi posameznikom v vseh državah članicah zagotovili enako raven izvršljivih pravic, obveznosti in odgovornosti za upravljavce in obdelovalce ter da bi zagotovili dosleden nadzor nad obdelavo osebnih podatkov in enakovredne kazni v vseh državah članicah, pa tudi učinkovito sodelovanje med nadzornimi organi različnih držav članic. Za pravilno delovanje notranjega trga je nujno, da prosti pretok osebnih podatkov v Uniji ni niti omejen niti prepovedan zaradi razlogov, povezanih z varstvom posameznikov pri obdelavi osebnih podatkov.“ (13)^e upoštevajoč).

Kot lahko vidimo, varstvo podatkov ne bi smelo biti ovira, temveč prednost »za pravilno delovanje notranjega trga«. 1. člen GDPR vključuje to kombinacijo obeh ciljev. Naj preprosto citiramo prvi odstavek: »Ta uredba določa pravila o varstvu posameznikov pri obdelavi osebnih podatkov in pravila o prostem pretoku takih podatkov.« Varstvo in prosti pretok, dva temelja Evropske unije, ne bi mogla biti bolj eksplicitno navedena.  

Naslednji uvodniki včasih dobesedno napovedujejo prihajajoče člene, le da so najpogosteje napisani v pogojniku, da izrazijo željo, namen, medtem ko so členi v indikativu, kar pomeni, da so pravno zavezujoči.

Ko je bila filozofija besedila določena, si sedaj poglejmo njegove glavne določbe.