الموافقة مقابل المصلحة المشروعة: أيهما يجب أن تختار للتسويق؟

تسمح لك المادة 6 من اللائحة العامة لحماية البيانات بمعالجة البيانات الشخصية للمستخدمين بموجب ستة قواعد قانونية بما في ذلك الموافقة والمصالح المشروعة:

المادة 6 (1) (أ) من اللائحة العامة لحماية البيانات - الموافقة كأساس قانوني لمعالجة البيانات: وافق صاحب البيانات على معالجة بياناته الشخصية لغرض واحد أو أكثر من الأغراض المحددة ؛

المادة 6 (1) (و) من القانون العام لحماية البيانات - المعالجة ضرورية لأغراض المصالح المشروعة التي يتبعها المتحكم أو طرف ثالث ، باستثناء الحالات التي يتم فيها تجاوز هذه المصالح من خلال المصالح أو الحقوق والحريات الأساسية لصاحب البيانات التي تتطلب حماية البيانات الشخصية ، لا سيما عندما يكون موضوع البيانات طفلاً.

هذان هما أيضًا أكثر القواعد القانونية التي تمت مناقشتها لمعالجة البيانات الشخصية لأغراض التسويق.

من بينها ، يعمل أساس الموافقة بشكل مباشر تمامًا ... حيث "وافق" المستخدم على معالجة بياناتك.

ومع ذلك ، فإن المشكلة مع الموافقة هي أنه لا يناسب دائمًا عملية التسويق.

مما يترك جهات التسويق مع توفير المصالح المشروعة.

في ظاهر الأمر ، تبدو "الاهتمامات المشروعة" كمصطلح شامل يمكن أن يسمح بمعالجة الكثير من البيانات الشخصية. لكن استخدام المصالح المشروعة كأساس قانوني يحتاج إلى دراسة متأنية حيث لا يمكن اعتبارها إلا أساسًا قانونيًا لمعالجة البيانات إذا كانت معالجة البيانات ضرورية بالفعل.

الاختيار بين الموافقة والمصالح المشروعة لأغراض التسويق

تعتبر معالجة البيانات الشخصية باستخدام الموافقة كأساس قانوني آمنًا تمامًا لأن الموافقة هي "المعيار الذهبي".

إنها أيضًا أرضية أقوى بكثير لمعالجة البيانات من أساس المصالح المشروعة لأنها لا لبس فيها. لقد سألت المستخدم ، فقال "نعم!".

لكن الحصول على الموافقة في كل مرة تريد فيها معالجة نوع معين من البيانات الشخصية يعني حث المستخدمين لديك على الاشتراك في مجموعة من نماذج الموافقة المختلفة.

في الواقع ، تقدم اللائحة العامة لحماية البيانات بعض التوجيهات الواضحة والصارمة حول كيفية طلب الموافقة بشكل شرعي:

[...] يجب أن يكون مؤشر الموافقة واضحًا وأن يتضمن إجراءً إيجابيًا واضحًا (قبول). يحظر على وجه التحديد مربعات التقيد المحددة مسبقًا. كما يتطلب أيضًا خيارات موافقة مميزة ("حبيبية") لعمليات معالجة متميزة. يجب أن تكون الموافقة منفصلة عن الشروط والأحكام الأخرى ولا يجب أن تكون بشكل عام شرطًا مسبقًا للتسجيل في الخدمة.

من ناحية أخرى ، فإن الأساس القانوني للمصالح المشروعة مرن للغاية.

أولاً وقبل كل شيء ، يسمح القانون العام لحماية البيانات (GDPR) للمسوقين بإثبات حالة معالجة البيانات الشخصية لأغراض التسويق المباشر وفقًا للأساس القانوني للمصالح المشروعة:

... قد يُنظر إلى معالجة البيانات الشخصية لأغراض التسويق المباشر على أنها تمت لمصلحة مشروعة.

علاوة على ذلك ، يشرح ICO (مكتب مفوض المعلومات ، وهو سلطة مستقلة مقرها المملكة المتحدة توجه الأعمال التجارية حول كيفية تطبيق قوانين خصوصية البيانات في المملكة المتحدة مثل اللائحة العامة لحماية البيانات) كيف يمكن لمثل هذا الاهتمام المشروع في التسويق (مثل مصلحة "زيادة المبيعات") جعل غرضًا حقيقيًا لمعالجة البيانات:

[W] لدينا مصلحة مشروعة في تسويق بضائعنا للعملاء الحاليين لزيادة المبيعات.

يشرح ICO أيضًا كيف يمكن أن تكون المصالح المشروعة هي الأساس الأنسب في حالات متعددة مثل عندما:

• المعالجة ليست مطلوبة بموجب القانون ولكنها مفيدة لك أو للآخرين ؛
• هناك تأثير محدود على الخصوصية على الفرد ؛
• يجب أن يتوقع الفرد بشكل معقول منك استخدام بياناته بهذه الطريقة ؛ و
• لا يمكنك أو لا ترغب في منح الفرد التحكم الكامل مقدمًا (أي الموافقة) أو إزعاجه بطلبات الموافقة المزعجة عندما يكون من غير المحتمل أن يعترض على المعالجة.

لكل حاجة (أو غرض) تسويقي في متناول اليد ، يحتاج المسوق إلى تحديد القواعد القانونية المختلفة التي يجب استخدامها بعناية (من بين القواعد الستة القانونية التي تسمح بموجبها اللائحة العامة لحماية البيانات بمعالجة البيانات). من بين هؤلاء الستة ، الموافقة والمصالح المشروعة هما القاعدتان القانونيتان اللتان تستخدمان غالبًا لتخصيص موقع الويب للزائرين العامين (أو غير المسجلين الدخول). (تركز هذه المقالة على كيفية استخدام القاعدة المشروعة للمصالح المشروعة لتخصيص تجارب موقع الويب الخاص بك.)

بشكل عام ، فإن تضمين قضية بموجب بند "المصالح المشروعة" يحتاج إلى الكثير من التفكير. لتسهيل ذلك إلى حد ما ، صممت ICO اختبارًا من ثلاثة أجزاء لمساعدتك في تحديد ما إذا كان الغرض الذي تمتلكه بالفعل هو الصفات التي تجعلك أساسًا قانونيًا بموجب شرط الاهتمامات المشروعة.

إليك اختبار ICO المكون من ثلاثة أجزاء لتحديد المصالح المشروعة بموجب اللائحة العامة لحماية البيانات:

1. اختبار الغرض - هل هناك مصلحة مشروعة وراء المعالجة؟
   لاستخدام المصالح المشروعة كأساس قانوني لمعالجة البيانات الشخصية ، عليك أولاً توضيح حاجتك إلى معالجة البيانات الشخصية المعنية. أنت بحاجة إلى غرض محدد بوضوح وراء الرغبة في معالجته.
2. اختبار الضرورة - هل المعالجة ضرورية لهذا الغرض؟
   لاستخدام المصالح المشروعة كأساس قانوني لمعالجة البيانات الشخصية ، يلزمك إثبات أنه لا توجد طريقة أخرى أقل توغلاً لتحقيق غرضك ، وأن معالجتك " متناسبة وموجهة بشكل كافٍ لتحقيق أهدافها ... "
3. اختبار الموازنة - هل المصلحة المشروعة تطغى عليها مصالح الفرد أو حقوقه أو حرياته؟
   بعد أن تصبح حالتك مؤهلة في أول اختبارين ، تحتاج إلى التأكد من أن معالجة البيانات الشخصية المعنية لا تنتهك حقوق وحريات الفرد الذي ستتم معالجة بياناته الشخصية.

مع ذلك ، دعنا الآن نلقي نظرة على بعض الأمثلة الشائعة جدًا لمعالجة البيانات الشخصية التي يمكن أن تندرج تحت بند المصالح المشروعة للائحة العامة لحماية البيانات (GDPR).

10 أمثلة على أسباب معالجة البيانات الشخصية باستخدام المصالح المشروعة

قبل أن نرى الأمثلة الفعلية ، يرجى فهم أن كل مثال مدرج أدناه يحتوي على قائمة كبيرة من المحاذير. تهدف هذه الأمثلة فقط إلى إعطائك بعض الاقتراحات حول أغراض التسويق التي يمكن استكشافها ضمن بند "المصالح المشروعة".

هنا يذهب ...

1. معالجة بيانات عنوان IP

اعتمادًا على مقدار البيانات التي تلتقطها ، يمكن لعنوان IP أن يخبرنا كثيرًا. على سبيل المثال ، يمكنك استخدامه للعثور على موقع الزائر ، أو يمكنك أيضًا استخدامه لمعرفة الشركة التي يعملون بها (اقرأ المزيد عن ذلك في مقالنا ABM 101).

المصالح المشروعة هي أحد الأسس القانونية التي يمكن استخدامها لمعالجة بيانات عنوان IP للمستخدم (المصنفة على أنها بيانات شخصية). يمكن أن يتمثل أحد الأمثلة على غرض تسويقي بموجب شرط "المصالح المشروعة" باستخدام عنوان IP في تقديم عروض محلية.

على سبيل المثال ، يمكن لمتجر التجارة الإلكترونية الترويج لمعطف واق من المطر لشخص ما يتصفح من منطقة يكون فيها موسم الرياح الموسمية. بدلاً من ذلك ، قد يستخدم المتجر عبر الإنترنت بيانات موقع الزائر لتقديم عرض شحن مجاني لفترة محدودة إلى منطقة الزائر.

وبالمثل ، يمكن لشركة B2B استخدام شركة الزائر (التي تم تحديدها من عنوان IP الخاص بهم) لتظهر لهم بعض التخصيص الديناميكي في شكل صورة أو محتوى مخصص مع ، على سبيل المثال ، اسم الشركة أو الصناعة.

ملاحظة: إذا كنت تستخدم عناوين IP الخاصة بالزائرين لتخصيص تجارب مواقعهم على الويب ، فمن الأفضل عدم تخزينها في قاعدة البيانات الخاصة بك أبدًا إذا كنت تستخدمها في خدمات الطقس أو الموقع. بهذه الطريقة ، لن تشكل هذه البيانات مشكلة عند جمع نقاط بيانات متعددة حول شخص في نفس المكان.

2. معالجة بيانات تحليلات الموقع

تجمع معظم مواقع الويب بيانات تصفح زوارها لأغراض تحسين الأداء. وعادة ما يتم تغطية ذلك تحت بند "المصالح المشروعة". بشكل عام ، لا تمثل هذه البيانات مشكلة لأنها غالبًا ما تكون مجهولة المصدر ومعظم أدوات التحليلات مثل Google Analytics تحظر معالجة / تخزين معلومات التعريف الشخصية (معلومات التعريف الشخصية).

يمكن استخدام الاتجاهات من معالجة البيانات هذه لتشكيل الأساس لمجموعة واسعة من تجارب مواقع الويب الشخصية.

على سبيل المثال ، باستخدام Google Analytics ، يمكنك تحديد الصفحات على موقع الويب الخاص بك حيث تفقد معظم العملاء المتوقعين. يمكنك أيضًا استخدام بعض خيارات التقسيم المتقدمة في Google Analytics لتحديد شرائح الجمهور التي تنقطع. يمكن أن تولد معالجة البيانات هذه العديد من الأفكار لك حول التركيبة السكانية والمزيد حول حركة المرور التي تخسرها.

باستخدام هذه الأفكار ، يمكنك أيضًا اختبار تقديم تجارب مواقع الويب الأكثر تخصيصًا لهذه الشرائح.

على سبيل المثال ، إذا اكتشف متجر التجارة الإلكترونية أن صفحة منتج معينة بها معدل انسحاب مرتفع ، فيمكنه استخدام معلومات التركيبة السكانية للجمهور لضبط رسائل صفحة المنتج الخاصة به.

هذا التخصيص ليس دقيقًا وذو مغزى فحسب ، ولكن البيانات الشخصية التي تتم معالجتها أيضًا لا تشعر بالتطفل.

3. معالجة بيانات الاتصالات

يتطلب إجراء اتصالات تسويقية مخصصة عبر رسائل البريد الإلكتروني أو الرسائل القصيرة دائمًا موافقة صريحة.

أيضًا ، قم بنشر القانون العام لحماية البيانات ، وإضافة البريد الإلكتروني لشخص ما إلى CRM الخاص بك وإرسال رسائل بريد إلكتروني تسويقية لمجرد أنهم اتصلوا بك عبر نموذج الاتصال الخاص بك مع بريدهم الإلكتروني ليس قانونيًا. تحتاج إلى استخدام مربعات الموافقة الموجودة أسفل نموذج الاتصال الخاص بك والتي تسعى صراحةً للحصول على إذن الزائر للقيام بذلك.

إلى جانب ذلك ، لا يعمل اللائحة العامة لحماية البيانات بمعزل عن غيرها. وبالتالي ، يجب أن تمتثل حملاتك التسويقية عبر البريد الإلكتروني (أو الرسائل القصيرة) للوائح القانونية ذات الصلة مثل تقديم رابط إلغاء الاشتراك للمستخدمين والمزيد.

ومع ذلك ، إذا حصلت على موافقة لمثل هذه الاتصالات من أحد المشتركين ، فيمكنك تخصيص تجربة موقع الويب الخاص بك لمثل هذا المشترك بناءً على تفاعله مع رسائل البريد الإلكتروني التسويقية أو الرسائل النصية القصيرة الخاصة بك. يجب تغطية هذا بشكل معقول بموجب بند "المصالح المشروعة".

على سبيل المثال ، يمكن لشركة السفر استخدام سجل اتصالاتها مع مشتركيها لتظهر لهم صفحات مخصصة. على سبيل المثال ، قد يُظهر للمشترك الذي أبدى اهتمامًا (دعنا نقول من خلال النقر على رابط) في السفر الفاخر صفحة تروج لحزمة إقامة في فندق فخم. بدلاً من ذلك ، قد يتم عرض بعض العروض المختارة على الفنادق ذات الميزانية المحدودة للمسافر ذي الميزانية المحدودة.

4. معالجة البيانات السلوكية عبر ملفات تعريف الارتباط وإشارات الويب وما إلى ذلك.

تشبه معالجة البيانات السلوكية إلى حد كبير معالجة بيانات تحليلات مواقع الويب. تمامًا مثل بيانات تحليلات موقع الويب ، تكون البيانات الشخصية المستخدمة لتشغيل الحملات القائمة على الرؤى السلوكية مجهولة المصدر أيضًا. ولائحة حماية البيانات العامة (GDPR) مرنة جدًا في معالجة البيانات المجهولة المصدر.

يمكن استخدام الرؤى من تفاعل الزوار مع موقع الويب (على سبيل المثال الصفحات التي شاهدوها وبيانات النقرات الخاصة بهم) لتقديم تجارب مواقع ويب غنية بالسياق.

على سبيل المثال ، يمكن لشركة برمجيات على مستوى المؤسسة تتبع البيانات السلوكية لزوارها وتقديم تجارب أكثر تخصيصًا لهم في زياراتهم المتكررة. على سبيل المثال ، قد يظهر للزائر الذي يبدو أنه يستكشف حلاً معينًا الصفحة التجريبية للحل نفسه أو نموذج الاشتراك في زيارته التالية لموقع الويب.

5. معالجة بيانات الملف الشخصي

تمامًا مثل تحليلات مواقع الويب ومعالجة البيانات السلوكية ، يمكن للشركة استخدام أساس الاهتمامات المشروعة لاستخدام البيانات الشخصية مجهولة المصدر لإنشاء ملفات تعريف المستخدمين (التنميط).

على سبيل المثال ، قد يستخدم موقع ويب لمقارنة الأدوات البيانات الشخصية المجهولة لمستخدميه لتحديد أنواع الجمهور الرئيسية. يمكنه بعد ذلك تقديم عروض مخصصة وحملات ترويجية لكل منها (على سبيل المثال اقتراح الهواتف المحمولة المتطورة لشريحة جمهورها الراقية وإظهار خصومات على الهواتف المحمولة ذات الميزانية المحدودة لشرائحها الملائمة للميزانية).

لا يقترح المستند المتعلق بإرشادات استخدام "المصالح المشروعة" فقط أساسًا كأساس قانوني لمعالجة البيانات الشخصية بموجب "المصالح المشروعة" ، ولكنه يدعم أيضًا التنميط الشخصي للمستخدم باستخدام بيانات الوسائط الاجتماعية. ينص المستند على أنه يمكن للشركة استخدام:

... [A] n خوارزمية يوفرها مزود الوسائط الاجتماعية لتوجيه إعلاناته بشكل أفضل إلى "المتشابهين" - أي الأفراد الآخرين الذين لديهم خصائص مماثلة لعملاء تلك الشركة. تقوم الشركة بتحميل الحد الأدنى المطلوب من البيانات الشخصية على عملائها لتمكين استهداف وسائل التواصل الاجتماعي ، لكنها تستثني أولئك الذين اعترضوا على التسويق. يتم إجراء التنميط داخل منصة وسائل التواصل الاجتماعي لتمكين الاستهداف ، ومع ذلك فهو لأغراض تسويقية بحتة وقد قدر النشاط التجاري أنه لا ينتج عنه أي آثار قانونية أو تأثيرات مهمة مماثلة على هؤلاء الأفراد.

6. معالجة بيانات الطرف الثاني والطرف الثالث

بالإضافة إلى بيانات الطرف الأول (أي البيانات التي تجمعها الشركة من تلقاء نفسها - على سبيل المثال ، البيانات من حساب Google Analytics الخاص بها) ، يستخدم عدد قليل جدًا من الشركات بيانات الطرف الثاني والثالث أيضًا.

هذه البيانات - المأخوذة من الشركاء وتبادل البيانات - تمكّن المسوقين من الحصول على رؤى قوية حول علم النفس ، والتكنوغرافيات ، والتركيبة السكانية لجمهورهم. عادة ما يتم استخدامه لإنشاء ملفات تعريف مفصلة للعملاء. والتي بدورها تُستخدم لإنشاء محتوى ورسائل أكثر صلة ، ولتوصيلها إلى القطاعات الرئيسية من الجمهور العام.

على سبيل المثال ، يمكن أن تستخدم شركة B2B مثل هذه البيانات لتحديد القطاعات الرئيسية في جمهورها واستهداف كل شريحة بتوصيات محتوى مخصصة.

إذا كنت بحاجة إلى استخدام مثل هذه البيانات من مصادر ، فتأكد من أنك تشارك فقط مزودي البيانات وعمليات التبادل التي تتبع ممارسات عادلة وقانونية لجمع البيانات ومعالجتها.

7. معالجة بيانات تاريخ الشراء

قد يقدم متجر التجارة الإلكترونية توصيات منتجات مخصصة لزواره بناءً على سجل معاملاتهم.

تقدم DPN (شبكة حماية البيانات ، وهي هيئة مقرها المملكة المتحدة تقدم مشورة الخبراء بشأن حماية البيانات والخصوصية) الكثير من الإرشادات حول استخدام المصالح المشروعة. يقترح أن استخدام المتجر عبر الإنترنت لسجل شراء المستخدم لتقديم توصيات المنتجات الشخصية يمكن أن يكون أساسًا جيدًا للأساس القانوني لمعالجة البيانات الشخصية:

يقوم بائع التجزئة الذي يمتلك نطاقًا واسعًا من المنتجات بإجراء معالجة آلية تستند إلى سجل معاملات العميل ، بغرض التنبؤ بالمنتجات والخدمات الأخرى التي قد تكون مهتمًا بها.

8. معالجة بيانات سجل الحساب

يمكن اعتبار معالجة بيانات الحساب على أنها معادلة لمعالجة بيانات سجل الشراء ، ولكن من أجل إعداد B2B.

يمكن لشركة B2B استخدام بيانات سجل حساب المستخدم لتقديم تجارب محتوى سياقية أكثر ثراءً. على سبيل المثال ، يمكن لشركة B2B استخدام بيانات عملائها لتزويدهم بعروض أكثر ملاءمة وأفضل ترقية أو عروض بيع تكميلية.

9. معالجة بيانات ملفات تعريف الارتباط

هناك الكثير من الطرق التي يمكن أن تساعد بها بيانات ملفات تعريف الارتباط في تقديم تجارب مواقع ويب مخصصة تكون غير تدخلية وذات صلة. معظم أنواع ملفات تعريف الارتباط التي يمكنها تشغيل تجارب فعالة لا تحتاج حتى إلى موافقة صريحة من المستخدم حيث يمكن شرح تعليمات الاستخدام وإلغاء الاشتراك على صفحات الخصوصية الخاصة بالموقع الإلكتروني.

على سبيل المثال ، يمكن لموقع ويب تجاري استخدام بيانات ملفات تعريف الارتباط لتحديد المحتوى الذي سيتم تسليمه إلى عميل محتمل لنقله إلى مستوى أكبر في مسار تحويل المبيعات. هناك طرق لا حصر لها يمكن من خلالها استخدام بيانات ملفات تعريف الارتباط حتى بطرق صديقة للخصوصية. في الواقع ، يتم جمع جميع البيانات من الأمثلة المذكورة أعلاه وتخزينها في بعض أشكال ملفات تعريف الارتباط.

لمزيد من الأمثلة حول معالجة البيانات بموجب بند "المصالح المشروعة" ، راجع إرشادات حول استخدام المصالح المشروعة بموجب لائحة حماية البيانات العامة للاتحاد الأوروبي.

قم بتغليفه …

يتطلب اختيار أي من الخيارين - المصالح المشروعة أو الموافقة - لأغراض التسويق الخاصة بك النظر على أساس كل حالة على حدة. في حين أن المصالح المشروعة يمكن أن تكون (وهي) أكثر الأسباب القانونية شيوعًا لمعالجة البيانات الشخصية لمعظم المسوقين ، يجب استخدامها بحذر.

أيضًا ، في حين أن توفير الاهتمامات المشروعة يمكن أن يغطي الكثير من تكتيكات تخصيص مواقع الويب ، فلا يزال يتعين عليك إجراء تقييم المصالح المشروعة وطلب المساعدة من ممارس الخصوصية القانوني عبر الإنترنت لتتأكد جيدًا قبل اللجوء إليه.

في برنامج Convert Experiences ، نقوم بتمكين المسوقين مثلك تمامًا لتقديم تجارب مواقع ويب مخصصة وآمنة للائحة العامة لحماية البيانات (GDPR) وصديقة للخصوصية لمستخدميك. لقد أجرينا أيضًا LIA شاملًا لجميع البيانات التي نستخدمها بموجب بند "المصالح المشروعة" لتشغيل مثل هذه التخصيصات. تحقق من ذلك هنا. وإذا كنت تتطلع إلى تقديم تخصيصات مواقع الويب التي توفر الخصوصية حسب التصميم والخصوصية افتراضيًا ، فتحقق من تحويل التجارب.