• Facebook
  • Twitter
  • RSS

Histerija GDPR šest mesecev pozneje

Od uvedbe razvpite splošne uredbe o varstvu osebnih podatkov je minilo pol leta. Težav ob njenem uvajanju ni primanjkovalo in šele zdaj je jasno, kako slabo so se podjetja pripravila nanjo.

Grožnja za neprilagoditev novim pravilom – 4 % njihovega letnega prihodka – je bila zadosten motiv, da so se podjetja lotila priprav, a je v marsikaterem tudi ostalo le pri pripravah. (Foto: Dreamstime)

»Prosimo, gospod, še tole podpišite,« je rekla socialna delavka in mi pod nos pomolila obrazec, na katerem sem moral odkljukati, da se strinjam, da očetovo ime (končno so ga namreč sprejeli v dom za ostarele) nalepijo na vrata njegove sobe. Za hip sem cinično pomislil, da bom morda moral isti postopek ponoviti na Žalah, za nagrobnik. Pol leta po množični histeriji, imenovani GDPR, absurdom v praksi ni videti konca. A bolj pomembno kot anekdote je vprašanje, kako živijo, delajo in poslujejo podjetja v svetu po uvedbi GDPR.

»Vstopna ovira za poslovanje v marketinškem svetu«

Kot veste, je splošna uredba o varstvu osebnih podatkov GDPR regulatorna sprememba, novi poslovni higienik, ki ga je določil za to pristojni organ. Zato je toliko bolj zanimivo, da je veliko podjetij svojo prošnjo po privolitvah za serviranje piškotkov (»cookies«) in drugo zbiranje podatkov lepo zavilo v celofan kot del (ali celo pogoj) kakovosti svojih storitev. Praksa ni nova – tudi telefonski klici se pogosto »snemajo zaradi zagotavljanja kakovosti storitev«. Realnost je lepo opisal Thomas Walle, direktor start-upa Unacast, ko je dejal, da »GDPR ni oblika diferenciacije, temveč vstopna ovira za poslovanje v marketinškem svetu, ki temelji na podatkih«. Preusmerjanje pozornosti je eno, poglobljeno razumevanje aktualnega digitalnega ekosistema pa drugo.

Grožnja za neprilagoditev novim pravilom – 4 % njihovega letnega prihodka – je bila zadosten motiv, da so se podjetja lotila priprav. Po navedbah spletišča Mattechadvisor.com lahko glede na raven in resnost priprav ločimo tri skupine organizacij:

  • organizacije, ki ustrezajo novi regulativi in ustvarjajo dodano vrednost za svoje partnerje;

  • organizacije, ki so sicer poskrbele za higienski minimum, a svojim partnerjem ponujajo podstandardne podatke;

  • podjetja, ki bodisi niso sledila novi regulativi ali pa trg odkrito zavajajo o tem, kako so to storila.

Stanje na trgu ni prav rožnato

Koliko je katerih, je težko z gotovostjo določiti, saj je bil eden od večjih izzivov pri samem naslavljanju regulative njena ohlapnost oziroma pomanjkanje podrobnosti. Ta namreč določa, da morajo organizacije poskrbeti za »razumno stopnjo varstva osebnih podatkov«. Kaj je razumno, je seveda široko in globoko odprto za interpretacijo. A če je verjeti organizaciji Evropski univerzitetni institut (EUI), stanje na trgu ni prav rožnato. Njihovi raziskovalci so namreč zasebnostne politike največjih multinacionalk »spustili« skozi program umetne inteligence, imenovan Claudette, ki je bil zasnovan na podlagi stopnje skladnosti s 14-imi členi uredbe GDPR glede zasebnosti. Med »preverjenimi« podjetji so bili tudi Apple, Amazon, Microsoft in Facebook. Rezultati študije, ki so bili objavljeni konec julija, so pokazali, da so bila vsa podjetja glede teh 14-ih členov neskladna. Glavni razlog: medlo in nejasno poimenovanje podatkovnih politik, ki jih ljudje ne razumejo, zaradi česar je nejasno, kako se podatki v praksi sploh uporabljajo.

Nejasno opredeljeni cilji pa v primeru GDPR niso edini zaplet, saj je nova regulativa le vrh ledene gore, ki se imenuje upravljanje podatkov (»data governance«). Gre za celostni pristop k definiranju, popisovanju in vzdrževanju celotnega življenjskega cikla vseh podatkov, s katerimi organizacija pride v stik. Odgovori na vprašanja, kot so, kdo je lastnik podatkov, kje so zapisani, koliko časa se jih hrani in zakaj, kdo ima dostop do njih in zakaj ter številna druga, v regulativi niso zapisani. Kako bi lahko bili, saj gre za vprašanje internih procesov podjetij, ki so – ne zgolj na področju upravljanja podatkov – pogosto njihova velika bolečina.

Skoraj gotovo je, da skupina, ki je popolnoma prezrla nova pravila, tega ne bo popravila niti na srednji rok, sploh ne na manjših tržiščih, kjer je realno težko ohraniti še tako zaupne informacije. Prej ali slej jih bo namreč doletela regulatorna šiba, ki že »seka« po evropskem trgu. Konec oktobra je na primer po poročanju portala Threatpost.com portugalsko zdravstveno ustanovo Barreiro hospital prizadela kazen v višini 400.000 evrov zaradi dveh kršitev določil GDPR.

Nekaj posledic je vendarle zaznati

Za vse od naštetih skupin pa je že mogoče opaziti splošen trend posledic uvedbe GDPR. Zagotovo so vsaj malce na boljšem uporabniki, za katere je bila ta prelomnica čudovita priložnost za čistilno akcijo in znatno zmanjšanje količine sporočil, ki jih dnevno prejemajo v svoje elektronske predale. To ima seveda svoj učinek tudi na strani pošiljateljev. Po podatkih raziskave Reutersovega inštituta za novinarske študije je celostno gledano upadla količina piškotkov na novičarskih portalih v Evropi; največ v Angliji, kar 45 %, najmanj pa v Nemčiji 6 %, medtem ko je bil povprečni padec na merjenih trgih 22 %.

Drugi večji vpliv je po navedbah portala Digiday.com upad zaupanja na trgu. Pri tej ugotovitvi se naslanjajo na raziskavo ponudnikov marketinških rešitev Demand Metric in Demand Base, po kateri samo 20 % od 255 vprašanih podjetij verjame, da jih njihovi ponudniki marketinških rešitev ne bodo izpostavili pravnim tveganjem, če pride do odkritja neskladnosti z GDPR.

Učinke nove regulative je moč čutiti tudi preko luže, saj je ta znatno razširila teritorialni domet – tudi za podjetja v ZDA, ki ponujajo storitve in izdelke ali spremljajo vedenje potrošnikov v Evropski uniji, namreč veljajo enaka pravila. To je nekatera podjetja že vnaprej demotiviralo. Spletišče Digiday.com je že aprila poročalo o tem, da podjetja, ki se ukvarjajo z oglaševalskimi tehnološkimi rešitvami (»adtech«), zaradi nove regulative zmanjšujejo svoje aktivnosti na stari celini; primer sta podjetji Drawbridge, ki razvija rešitve za oglaševalsko ciljanje potrošnikov preko različnih naprav, in Verve, ki se ukvarja z upravljanjem lokacijskih podatkov.

Tisti, ki so vseeno počakali do dneva D (konec maja), so se odzvali pozneje. Portal Niemanlab poroča, da se je že do septembra več kot 1000 ameriških medijskih hiš odločilo, da preprosto blokirajo dostop uporabnikom iz evropskega spletnega prostora. To potrjujejo tudi podatki. Raziskovalna hiša Catchpoint je na primer izmerila čas nalaganja spletišča časopisa USA Today: ameriška različica se je po uvedbi GDPR v povprečju naložila v 9,9 sekunde, angleška v 0,42 sekunde, francoska v 0,75 sekunde in nemška v 0,51 sekunde. Hitrejši čas nalaganja pomeni manj »balasta«, predvsem v obliki povezav z oglaševalskimi strežniki, družbenimi mediji in Googlovimi analitičnimi storitvami.

Glede na odzive ZDA ni za lase privlečena ideja, da je GDPR že kot ideja zgolj preventivna protekcionistična poteza Evrope v trgovinski vojni, s ciljem omejitve nadaljnje nenadzorovane rasti ameriških velikanov, predvsem Googla in Facebooka. A nekateri strokovnjaki menijo, da je bil učinek, ironično, prav nasproten, saj je prisotnost storitev manjših oglaševalsko tehnoloških podjetij za sledenje na novičarskih straneh (relativno) padla bolj kot uporaba storitev omenjenih velikanov. Ob tem ima seveda tudi Facebook sam svojo mero težav z novim škandalom o vdoru (in kraji osebnih podatkov), ob katerem deluje epizoda s Cambridge Analytico kot pravljica za lahko noč.

Trg ni bil pripravljen na direktivo

Za mnenje o izkušnjah in posledicah uvedbe GDPR na slovenskem trgu smo povprašali tudi Nejca Lepena, direktorja razvojnega oddelka v spletni agenciji iPROM. »Za marketing in oglaševanje je bil letošnji 25. maj eden izmed prelomnih datumov, saj je sprožil več posledic, kot je bilo pričakovano. Kljub temu da je bila uvedba GDPR dolgo pričakovana, trg ni bil pripravljen na direktivo, deležniki pa že od samega začetka niso govorili istega jezika. Nekatera tuja podjetja oziroma založniki, med drugim tudi Los Angeles Times in Chicago Tribune, so sprejeli drastične ukrepe in celo prenehali zagotavljati svoje storitve in vsebine v Evropi, da bi se izognili neskladnosti. Po naši oceni je le redkim oglaševalcem, založnikom ali tehnološkim platformam uspelo zagotoviti popolno skladnost s predpisi GDPR,« pravi Lepen. Kot dodaja, uredba GDPR predpisuje, da morajo biti uporabniki jasno seznanjeni z obdelavo svojih osebnih podatkov in da morajo blagovne znamke oziroma podjetja jasno navesti, v kakšne namene se podatki zbirajo. Oglaševalci morajo pridobiti izrecno soglasje za vsako namensko uporabo njihovih osebnih podatkov posebej, na primer za prikazovanje oglasov, ustvarjanje uporabniških profilov, razkrivanje podatkov o interakciji z oglasi in podobno. »GDPR obenem odpira nove priložnosti za boj proti prevaram. Novi predpisi v panogo vnašajo večjo transparentnost ter večjo varnost in zaščito uporabnikov, obenem pa uporabnikom vračajo moč odločanja, kaj se z njihovimi podatki dogaja,« po drugi strani navaja Lepen. Kot trdi, v iPROM-u potencialno osebne podatke pri zajemu takoj anonimizirajo in jih naredijo ireverzibilne, s čimer je kakršna koli možnost prepoznavanja uporabnika nemogoča. Ena od njihov zavez naročnikom je namreč, da so vse njihove aktivnosti, vodene preko iPROM-ove tehnologije, ne glede na uporabljeni kanal ali ponudnika storitev zakonsko skladne.

Večja podjetja so se prilagodila, manjša z več težavami

Svoje videnje je podal tudi Klemen Kraigher Mišič, direktor podjetja Info hiša, specializiranega za svetovanje na področju upravljanja osebnih podatkov. »Glede na naše analize v večjih slovenskih družbah in glede na izkušnje z nedavne delavnice na to temo sklepamo, da so se večje družbe uredbi GDPR ustrezno prilagodile in za to področje tudi namenile tako kadrovska kot finančna sredstva. Največ težav imajo manjše družbe, ki tako specifičnega pravnega področja, ki vsebuje ogromno prakse in posebnosti, preprosto ne zmorejo preučiti do podrobnosti. Posledično so pogosto storile napako, kot je bil klasičen primer pridobivanja novih soglasij v aprilu in maju letos, kljub temu da večinoma takšno početje sploh ni bilo potrebno,« opaža Kraigher Mišič. Kot dodaja, v praksi to pomeni, da je bil delež pridobljenih ponovnih privolitev za (denimo) trženje preko e-pošte, le 3 do 5 % vseh poslanih zahtev. »Če so torej upravljavci brez potrebe iskali nove privolitve, so tako – ne da bi bilo to potrebno – lahko 'izgubili' kar 97 % svojih strank. Vsekakor pa lahko zatrdim, da je celoten trg trenutno v nekakšnem krču oziroma strahu, saj napovedani Zakon o varstvu osebnih podatkov, ZVOP-2, če bo obveljal v obliki, kot je bila nazadnje javno predstavljena, pomeni resno tveganje za pravno varnost podjetij. Predlog ZVOP-2 namreč v kar nekaj točkah postavlja pravila, ki niso skladna z GDPR. To bi na trgu pomenilo popolno zmedo, saj bi podjetja morala upoštevati tako GDPR kot tudi z GDPR neusklajeni ZVOP-2, kar je po moji oceni nevzdržen položaj. Upam, da bo gordijski vozel nekako uspela presekati spomladanska regionalna konferenca Privacy Days, na kateri pričakujemo rešitve s strani slovenskih in evropskih strokovnjakov s tega področja,« si obeta sogovornik. 

Članek je bil objavljen v novembrski, 450. številki Marketing magazinaNa spletu objavimo le 20 odstotkov člankov iz revije. Na MM se lahko naročite na i[email protected]