كيفية شراء برنامج اختبار أ / ب المتوافق مع اللائحة العامة لحماية البيانات

تحديث : أصبح التحويل الآن متوافقًا تمامًا مع الناتج المحلي الإجمالي. يمكنك التحقق من رحلتنا نحو تحقيق الامتثال للقانون العام لحماية البيانات (GDPR) هنا.

نحن ملتزمون أيضًا بمساعدة عملائنا ليصبحوا متوافقين مع اللائحة العامة لحماية البيانات (GDPR). لتسهيل ذلك ، نصدر لجميع مستخدمينا نسخة موقعة من اتفاقية معالجة البيانات (DPA).

أيضًا ، نحن نتابع عن كثب التطورات المتعلقة بالتحديثات القادمة للوائح الخصوصية الإلكترونية. كما هو الحال دائمًا ، سنكون استباقيًا قدر الإمكان لضمان الامتثال - لكل من أنفسنا وعملائنا

تنبيه المفسد: انس الأمر.

لا توجد أداة اختبار أ / ب متوافقة.

بمعنى ، لا توجد "شهادة" من أداة اختبار A / B تضمن أنك ستتجنب تلك الدعوى القضائية التي تبلغ 20 مليون يورو من هيئة خصوصية أوروبية. ولكن ما هو ممكن هو أن تختار أداة اختبار مصممة مع مراعاة الخصوصية. واحد لن يسبب لك مشكلة عند استخدام التكوين الافتراضي الخاص به.

تساعدك هذه المقالة في طرح الأسئلة الصحيحة حول مورد أداة اختبار A / B - قبل تاريخ إنفاذ القانون العام لحماية البيانات (25 مايو 2018). سأفكك كل عنصر مهم في اللائحة العامة لحماية البيانات ولائحة الخصوصية الإلكترونية القادمة (مشروع 15333) ، وأعطيك قائمة مرجعية في النهاية.

(انقر هنا للانتقال مباشرة إلى قائمة التحقق)

في هذه المقالة ...

تصغير البيانات

مبدأ تقليل البيانات هو في الأساس فكرة أنه ، مع مراعاة استثناءات محدودة ، يجب على المنظمة فقط معالجة البيانات (الشخصية) التي تحتاجها بالفعل لتحقيق أغراض المعالجة الخاصة بها.

اللائحة العامة لحماية البيانات (GDPR) 39 ؛ المادة 5 (1) (ج)
يجب أن تكون البيانات الشخصية كافية وذات صلة ومحدودة لما هو ضروري فيما يتعلق بالأغراض التي تتم من أجلها معالجة هذه البيانات.

إذن ما هو الحد الأدنى من البيانات اللازمة لإجراء التجارب؟ أعني ، هل تحتاج إلى جمع كل تفاصيل IP والمتصفح ومعرف الجهاز للحصول على نتائج اختبار A / B الخاص بك؟ لا ، أنت تجمعهم لأن الأداة يمكنها جمعها. مع الخصوصية في الجزء الخلفي من عقلك ، ركز على العناصر التي تحتاج إلى جمعها ولا تخزن الباقي. ما هو ضروري لإجراء التجربة هو:

• تمت رؤية التباين
• الهدف الذي تم بلوغه: نعم / لا (على أهداف الإيرادات وعدد المنتجات والأرباح)

عندما ترغب في التعمق أكثر في النتائج المختلفة لكل جزء فرعي تحتاجه ، على سبيل المثال:

• الجزء الفرعي: نعم / لا

لا تحتاج أداة اختبار A / B فعليًا إلى تخزين صف واحد من البيانات لكل مستخدم نهائي. ما تحتاج إلى تخزينه للوصول إلى الإحصاءات هو:

• إجمالي المستخدمين النهائيين الذين شهدوا تباينًا معينًا (الإجمالي ولكل شريحة فرعية)
• إجمالي المستخدمين النهائيين لصيغة أدت إلى هدف

وفي بيئة التجارة الإلكترونية:

• متوسط ​​المنتجات في الاختلاف و
• متوسط ​​قيمة الأمر لكل شكل ...

... يمكن إعادة حسابها في كل طلب جديد (بدون تخزين الطلبات الفردية).

يمكن إعادة حساب باقي البيانات الإحصائية بشكل سريع بدون تخزين صفوف فردية من بيانات المستخدم النهائي. يتيح ذلك لأداة اختبار A / B الخاصة بك الامتثال لإرشادات تقليل البيانات وتقليل مخاطر خرق الخصوصية والأمان بشكل كبير.

فكر في الأمر. ماذا سيفعل شخص ما بمجموع التجربة فقط؟ إذا لم تكن هناك بيانات مستخدم نهائي مخزنة على أداة اختبار A / B الخاصة بك ، ولا حتى بيانات ذات أسماء مستعارة / مجزأة ، فلا توجد طريقة يمكن من خلالها إعادة تعريف المستخدمين النهائيين.

تتضمن البيانات الشخصية عنوان IP

البيانات الشخصية ، على النحو المحدد في القانون العام لحماية البيانات (GDPR) ، إذا كانت مختلفة عن التعريفات السابقة لمعلومات التعريف الشخصية (PII). الآن ، عناوين IP وملفات تعريف الارتباط ومعرف المستخدم كلها بيانات شخصية.

بغض النظر عن شعورك حيال هذا التعريف - إنه قانون. في 19 أكتوبر 2016 ، نشرت محكمة العدل التابعة للاتحاد الأوروبي ("CJEU") حكمها في القضية رقم 582/14 - باتريك براير ضد ألمانيا. ورأت أن عناوين IP هي بيانات شخصية في ظروف معينة. يتماشى الحكم بشكل عام مع رأي المحامي العام في هذه القضية ، اعتبارًا من مايو 2016.

يتم تعريف البيانات الشخصية في المادة 2 (أ) من التوجيه على أنها "أي معلومات تتعلق بشخص طبيعي محدد أو قابل للتحديد (" موضوع البيانات "). الشخص الذي يمكن التعرف عليه هو الشخص "الذي يمكن تحديده بشكل مباشر أو غير مباشر [...]" (التشديد مضاف). يتم توفير مزيد من التحليل لقضية تحديد الهوية من قبل مجموعة عمل المادة 29 التابعة للاتحاد الأوروبي ، في رأيها 4/2007.

لذا فإن عناوين IP هي بيانات شخصية. فترة. يمكنك اختيار إخفاء هويتهم ما لم تتلقى موافقة صريحة من الزائر (والتي قد ترغب في تجنبها). ولكن حتى لو قمت بذلك ، فسيظل هذا دائمًا على حدود الموافقة - وسيتعرض لخطر إعادة تحديد الهوية.

نقترح ألا تخزن عناوين IP في أداة اختبار A / B ، لتظل 100٪ في الجانب الآمن من هذا القانون الجديد.

الآن قد تسأل ... إذا لم نتمكن من تخزين عناوين IP ، كيف يمكنك تشغيل استهداف البلد؟

الحل الأسهل هو استخدام المكالمة من المستخدم النهائي لاستدعاء البرنامج النصي للتعقب وتحديد الدولة. قم بتخزين مجموعة الاختلاف / البلد في جزء فرعي واحد ولكن غير متصل بالمستخدم. ما عليك سوى إضافة عرض إضافي إلى هذه الشريحة الفرعية ، بحيث يتم مزجها مع المئات من الآخرين في تلك الشريحة و +1 فقط بشكل أساسي. لذا مرة أخرى ، لا توجد طريقة لتفكيك المستخدم النهائي الفردي من قاعدة البيانات.

ملاحظة إضافية حول تحديد الموقع الجغرافي هي أن بيانات الدولة نفسها واسعة جدًا ، لكن الأجزاء الفرعية الخاصة بك من المنطقة أو المدينة أو الرمز البريدي ستتطلب موافقة من المستخدم النهائي. إلى جانب العناصر الأخرى ، قد تكون الشرائح الفرعية صغيرة حقًا (حتى شخص واحد فقط!). لذا مرة أخرى ، يمكنك تخزين البيانات الشخصية ، وهذا يتطلب موافقة المستخدم.

ملفات تعريف الارتباط والبيانات الشخصية

وفقًا لـ GDPR ، تعد ملفات تعريف الارتباط بيانات شخصية أيضًا. لكن لم يتم إنشاء جميع ملفات تعريف الارتباط على قدم المساواة. قد يكون من الممكن أن يطلب البعض موافقة المستخدم ، في حين أن البعض الآخر لا يتطلب ذلك. سيتم تحديد التفاصيل من خلال لوائح الخصوصية الإلكترونية الجديدة - بمجرد الموافقة عليها. في الوقت الحالي ، لدينا مسودة 15333 ، والتي لديها استثناء لبرامج تحليلات الويب ، مثل أدوات اختبار A / B.

أدوات اختبار أ / ب خالية من متطلبات الموافقة ، طالما أنها "تقيم فعالية خدمة مجتمع المعلومات المقدمة". ولكن بمجرد الشروع في استهداف محدد للغاية للمستخدمين النهائيين ، أو محاولة تحديد طبيعة من يستخدم موقع الويب - فأنت تنتقل إلى منطقة تتطلب الموافقة.

يجب أن تتحقق جيدًا من أن ملفات تعريف الارتباط المستخدمة بواسطة أداة اختبار A / B الخاصة بك لا تحتوي على معرف فريد. يمكن للمعرّف الفريد أن يجعل ملف تعريف الارتباط مؤهلاً كبيانات شخصية.

في حين أن لائحة الخصوصية الإلكترونية (مسودة 15333) ليست قانونًا بعد ، وهي تهدف إلى استكمال اللائحة العامة لحماية البيانات (GDPR) - توفر لنا اللائحة العامة لحماية البيانات (GDPR) نفسها بعض الإرشادات بشأن أنواع ملفات تعريف الارتباط التي ستشمل ، بطبيعتها ، معالجة البيانات الشخصية. هناك عرض واحد أساسي لهذا:

يخبرنا هذا أن ملفات تعريف الارتباط التي تحتوي على معرف فريد للجهاز و / أو الفرد المرتبط باستخدام الجهاز ، يجب التعامل معها على أنها بيانات شخصية. تم تعزيز هذه الفكرة أيضًا من خلال Recital 26 ، والتي تنص على أن البيانات الشخصية يتم تعريفها أيضًا من خلال البيانات التي يمكن استخدامها بشكل معقول ، إما بمفردها أو بالاقتران مع بيانات أخرى ، لتحديد هوية الفرد.

لذلك يجب أن تزيل أداة اختبار A / B الخاصة بك أي معرّفات فريدة لتتوافق مع القانون العام لحماية البيانات (GDPR). بالإضافة إلى ذلك ، لا تقم أبدًا بتخزين السجل الفردي المتصل بملف تعريف ارتباط واحد على جانب الخادم. وهذا من شأنه أن يجعلها تقع خارج الاستثناء في لوائح الخصوصية الإلكترونية.

المعرّفات ذات الأسماء المستعارة (مثل سلاسل الأرقام أو الأحرف) ، وهو ما تحتويه ملفات تعريف الارتباط غالبًا ، تعتبر أيضًا بيانات شخصية. لذلك بموجب القانون العام لحماية البيانات ، فإن أي ملف تعريف ارتباط أو معرف آخر يُنسب بشكل فريد إلى المستخدم وبالتالي قادر على تحديد هوية الفرد ، يتم اعتباره معالجة للبيانات الشخصية بمجرد تخزين هذا المعرف على جانب الخادم.

معرف المستخدم والبيانات الشخصية

تخزين معرّف مستخدم خاص بفرد ، أو أي معرّف آخر يمكنك ربطه بالبيانات الشخصية الفردية ... هو… حسب تخمينك… البيانات الشخصية. لذلك ، تتطلب هذه الموافقة ويجب تجنبها (ينطبق Recital 30 هنا أيضًا ، كما يفعل Recital 50 أدناه).

يحتوي التحويل على ميزة تسمى معرّف المستخدم العام. إذا تم استخدام هذا ، على سبيل المثال ، لإعادة ربط الجلسات من نظام التجارة الإلكترونية بعد شراء المستخدمين ، فقد يتم دمج الموافقة في الشروط المتفق عليها مع علاقة العميل. لكننا ما زلنا نقترح موافقة منفصلة لتوحيد الأجهزة والجلسات والمتصفحات - حيث إنه من الأفضل عدم افتراض وجود اللائحة العامة لحماية البيانات (GDPR) ، ولكن تقديم الشفافية المطلقة.

هل ما زلت تخطط لتخزين البيانات الشخصية؟

هل قررت تخزين كل شيء في أداة اختبار A / B؟ حسنًا ، يعني تخزين معرف الجلسة أو معرف المستخدم أو أي معرف آخر أنه يتعين عليك التأكد من ذلك

• محمي
• دقيق
• تحديث عند الطلب
• يمسح عند الحاجة

اسمحوا لي أن أطرح عليكم بعض بنود قانون اللائحة العامة لحماية البيانات في سياق تخزين البيانات الشخصية وكل المتعة التي تأتي معها.

الناتج المحلي الإجمالي ودقة بيانات المستخدم النهائي

لذلك عندما يكون لديك أداة اختبار A / B تخزن البيانات الشخصية ، وتصل اختباراتك إلى أهمية ، فأنت بحاجة إلى أداة تجمد هذه النتائج بمجرد أن يملأ المستخدمون النهائيون النماذج التي تحتاجها على موقع الويب الخاص بك. إذا لم تقنعك الفقرات السابقة بالفعل بتخزين البيانات الشخصية في أداة التحليلات الخاصة بك ، فإن هذا الجزء من قانون الناتج المحلي الإجمالي سوف يفعل ذلك. سأقوم بلصق المقالة بأكملها التي توضحها هنا.

لذا ... سأدعك تفكر في ذلك لدقيقة ...
...
...

نعم اعتقدت ذلك. الآن جميعًا معي ... قل هذا بصوت عالٍ.

• أتعهد بعدم تخزين البيانات الشخصية في أداة اختبار A / B الخاصة بي
• أتعهد بعدم تخزين البيانات الشخصية في أداة اختبار A / B الخاصة بي
• أتعهد بعدم تخزين البيانات الشخصية في أداة اختبار A / B الخاصة بي

لذا تحقق جيدًا من مزود اختبار A / B الخاص بك وتأكد من أنه لا توجد طريقة لتسجيل السجلات الفردية للزائرين الفريدين.

أعني ، نريد جميعًا تقديم رؤى أفضل وأخبار جيدة للعملاء والرؤساء. ومن الرائع البحث في اختبارات A / B المفقودة ومعرفة ما إذا كانت بعض الأقسام الفرعية قد فازت.

لكن حقًا ... هل تريد أن تكون أحد هؤلاء الأشخاص الذين يخفون إجمالي عدد الزائرين في لقطات شاشة العرض التقديمي الخاص بك ويذهلون الأشخاص بنسبة 1460٪ يفوزون في شكل واحد على Chrome في السويد؟

ما عليك سوى قبول ما يلي: تقوم بإعداد اختبار بفرضية واضحة ، وتشغيل التجربة ، وإيقافها عند وصول عدد كافٍ من الزيارات (بدون رؤية خاطفة). البحث عن الفائزين في الأجزاء الفرعية الصغيرة ، لا يجعلك مسوقًا أفضل.

مع القانون العام لحماية البيانات (GDPR) ، كلما زاد تخزينك ، زادت معرفتك - وكلما زادت فرص أن تصبح شرائح الزيارات مستخدمين حقيقيين. إلى جانب ذلك ، يأتي الطلب المتزايد على حماية البيانات وطلب البيانات (باستخدام طلبات الوصول إلى الموضوع) ومسح البيانات وتحديث البيانات.
فقط لا تقم بتخزينه ، وتأكد من أن أداة اختبار A / B الخاصة بك لا تخزنه ، وأنك لم تمنح نفسك شيئًا تقلق بشأنه.

إذا كنت لا تزال تقرر أنك لا تمانع في طلب الموافقة ، وتخزين كل تلك البيانات الشخصية في أداة اختبار A / B الخاصة بك - فتأكد من أن أداة اختبار A / B تتيح لك طريقة سهلة لتصدير البيانات الأولية بناءً على الزوار الفريدين. تأكد من أنه مغلق. يمكنه تعديل الاهتمامات والفئات والتجزئة الأخرى التي قمت بتخزينها حول المستخدمين ، ويمكنه محو البيانات دون تعديل النتائج التاريخية لاختبارات A / B.

من خلال جمع البيانات الشخصية ، سيتعين عليك احترام حقوق مواطني الاتحاد الأوروبي والأشخاص الموجودين في أوروبا في وقت زيارتهم لموقع الويب الخاص بك. هذا يشمل:

• إمكانية عرض البيانات التي جمعتها عليهم داخل التجارب والجماهير والشرائح (والأهداف).
• إمكانية تحديث / تصحيح بعض أو كل البيانات المتعلقة بهم.
• امكانية حذف بياناتهم بناء على طلبهم.
• إمكانية تصدير كافة البيانات. لذلك إذا طلب المستخدم ذلك ، فسيتعين عليك تصدير البيانات المرتبطة بعنوان (عناوين) IP الخاص به أو المعرف الفريد. يمكن تصديره بسهولة كملف .csv على سبيل المثال.

لذلك عندما تقرر أنك ستخزن البيانات الشخصية ، يجب عليك تقديم طلب الوصول إلى الموضوع فيما يتعلق بالوصول إلى البيانات وتصحيحها ومحوها.

• الحق في الوصول
• الحق في تقييد المعالجة
• الحق في التصحيح
• الحق في النسيان
• الحق في نقل البيانات

سيحتاج كل طلب وصول إلى الموضوع إلى معالجته وحلّه في غضون الإطار الزمني لأقرب شهر واحد من الاستلام ، كما هو موضح في نص اللائحة العامة لحماية البيانات (GDPR).

أنا خائف من أن أسأل ، ولكن ماذا عن التقسيمات الفرعية للاختلافات؟

يمكنك جمع مثل هذه البيانات باستخدام أبعاد مخصصة ومتغيرات مخصصة ... وغير ذلك الكثير.

الآن دعونا لا نبدأ مرة أخرى. لقد وعدتني للتو أنك لن تخزن أي شيء بناءً على حقوق المستخدمين النهائيين لهذه البيانات في المادة 15 من القانون العام لحماية البيانات (GDPR). ولكن حتى إذا لم يكن لديك أي معرفات لربط هذه المعلومات ، فربما لا تزال تقوم بتخزين البيانات الشخصية. هذا المثال يشرح السبب.

يمكن توصيل التقنيات التي تمكّن الهواتف المحمولة أو الجداول أو أجهزة سطح المكتب بموقعها الحالي. قد ترغب المنظمات الأخرى أيضًا في استخدام هذا النوع من المعلومات لتوفير محتوى أو إعلانات خاصة بالموقع ، ومع ذلك ، فإن بيانات الموقع ، وخاصة البيانات المتعلقة بالنمط الدقيق لتحركات الفرد بمرور الوقت ، يمكن أن تكشف عن تفاصيل حميمة جدًا حول الحياة الشخصية لهذا الشخص. هذه بيانات شخصية.

لذلك بالنسبة لأداة اختبار A / B الخاصة بك ، فهذا يعني أنه يمكنك تخزين مستخدم فردي في قطاعات متعددة ويمكن تحديد هذا الفرد معًا كشخص. لذا فإن النصيحة هي عدم تخزين السجلات الفردية على الإطلاق - فقط مجموعات من المقاطع في قاعدة البيانات. واطلب الموافقة عندما تبدأ في جمع عدة أقسام فرعية تتضمن بيانات الموقع في مواقع أكثر تحديدًا من الدولة. يمكن أن تقدم لك أداة اختبار A / B الخاصة بك نصيحة عندما تقوم بجمع عدد كبير جدًا من المقاطع ، ولكن ، في رأيي ، فإن تخزين السجلات الفردية هو مجرد طلب للمشاكل.

وربط بيانات الطرف الثالث؟ مثل BlueKai؟

أنت بحاجة إلى موافقة المستخدم النهائي. أو يمكنك أن تكون BlueKai متحكمين مشتركين ؛ بمعنى ، في لحظة جمع بيانات المستخدم النهائي ، طلبت BlueKai الموافقة باسمك. هذا غير مرجح ، في لحظة كتابة هذه المقالة ، فأنت بحاجة إلى موافقة لإثراء جمهورك في أدوات اختبار A / B بنموذج من الموافقة على البيانات. اسأل مزود البيانات الخاص بك ، على سبيل المثال ، BlueKai.

لا تتبع لأوروبا فقط؟ هل أنت واثق؟

عدم التعقب (أو DNT فقط) هو إعداد خصوصية يمكن للمستخدمين تعيينه في معظم المتصفحات. يجب أن تحترم DNT كإشارة لكيفية رغبتك أنت والمستخدمين النهائيين في استخدام البيانات . في السنوات الأخيرة ، أشار العديد من المستخدمين النهائيين إلى أنهم يريدون طريقة جديدة للتعامل مع العلامات التجارية. على سبيل المثال ، في كندا - حيث يجلب لنا التشريع الفيدرالي الكندي تغييرات في قانون الخصوصية. أو في الكونجرس الأمريكي بمرحلة جديدة في درع الخصوصية. أو في الاتحاد الأوروبي حيث أعربت الدول الأعضاء عن دعمها لتفاعل أكثر احترامًا مع المستخدمين النهائيين. يجب أن تسمعهم وتحترمهم.

يحتوي DNT على ثلاث قيم محتملة:

1. عدم التعقب (إلغاء الاشتراك في التتبع)
2. التتبع (الاشتراك في التتبع)
3. Null - لا يوجد تفضيل

بشكل افتراضي ، تستخدم متصفحات الويب القيمة الفارغة (بدون تفضيل) ، مما يشير إلى أن المستخدم النهائي لم يعرب عن رغبته في ما إذا كان يريد أن يتم تتبعه أم لا. يجب أن تحتوي أداة اختبار A / B على إعداد لعدم تحميل أي نصوص برمجية عند تعيين الخيار الأول ، عدم التعقب (إلغاء الاشتراك في التتبع) في المتصفح.
جوناثان ماير وأرفيند نارايانان هما الباحثان الرئيسيان في جامعة ستانفورد اللذان كانا يعملان على تقنية عدم التعقب. يستخدم نموذجهم المعلومات الموجودة في رأس HTTP لإلغاء الاشتراك عالميًا في جميع عمليات التتبع عبر الإنترنت.

قال ماير: "كنموذج تقني ، يتفوق Do Not Track بوضوح على آلية إلغاء الاشتراك" ، مشيرًا إلى التزامات متصفح Google الآخر لدعم التكنولوجيا على مواقع الويب الخاصة بهم.

"لذا تمت تسوية السؤال التكنولوجي الآن: إنه عدم التعقب."

يمكن أن تحتوي أداة اختبار A / B على الخيارات التالية:

• يعد عدم التعقب أمرًا مهمًا بدرجة كافية وتحظى باحترام الأداة دون الحاجة إلى قيام العملاء بتشغيل أي شيء أو إيقاف تشغيله. إنه يعمل فقط (الإفصاح الكامل: في التحويل ، اخترنا هذا ...).
• يمكن تشغيل "عدم التعقب" أو إيقاف تشغيله بواسطة المستخدمين لجميع النظام الأساسي (تحقق من أنه افتراضي لجميع مشاريعك كمسؤول).
• يمكن تشغيل "عدم التعقب" بواسطة مستخدمي النظام الأساسي لكل مشروع ، والمنطقة (أوروبا) ، ويجب فحصها بواسطة المسؤول في كل مشروع.

ثم ما يحدث بالفعل عند تشغيله مهم.

هل ستضع ملف تعريف ارتباط (غير مقترح) أم لا يتم تحميل الأداة على الإطلاق (اخترنا ذلك). الجانب السلبي الأول (وضع ملف تعريف الارتباط) هو أن ملفات تعريف الارتباط قد تؤدي إلى تحذير المستخدمين النهائيين ، وقد يتلقى مالك موقع الويب المزيد من طلبات البيانات من المستخدمين. يتمثل الجانب السلبي لعدم تحميل البرنامج النصي على الإطلاق في أن امتداد المتصفح والمستخدمين لا يتم تعقبهم بأي شكل من الأشكال (وبالتالي قد يبدأ تتبع الزوار بحثًا عن شكل أو تجربة مختلفة عن أداة التحليلات). في رأيي ، المسألة الثانية أكثر منطقية. ستؤدي اللائحة العامة لحماية البيانات إلى حدوث فوضى في الأرقام على أي حال ، نظرًا لأن الأدوات المختلفة ستحصل على الموافقة أو لا تحصل عليها. لذا فإن مطابقتها جميعًا للتأكد من نتيجة واحدة "حقيقية" ستصبح شبه مستحيلة ، على أي حال.

مسئولية

نعم ، أنت بحاجة إلى تغيير شروط الاستخدام وسياسة الخصوصية وسياسة ملفات تعريف الارتباط (أو تضمين ذلك في سياسة الخصوصية الخاصة بك). تحتاج أيضًا إلى أن يكون لديك مدير موافقة على موقع الويب و ...

مجرد تحديث للمعالج ووحدة التحكم (مربك ، أليس كذلك؟).

أنت المتحكم في العلاقة بين زائر موقع الويب الخاص بك (المستخدم النهائي). أداة اختبار A / B الخاصة بك هي المعالج.

هذا يعني أنك مسؤول عن الامتثال للقانون العام لحماية البيانات (GDPR) ، ولا يمكنك توجيه أصابع الاتهام إلى بائع أداة اختبار A / B. أذكى طريقة للقيام بذلك ، هي التأكد من أن بائع أداة اختبار A / B لديك يبذل قصارى جهده للامتثال كما هو موضح في هذه المقالة.

تتبع الإيرادات؟ أرقام الطلب كبيانات شخصية؟

هنا لدي شكوكي. هل سيكون معرّف الطلب (أرقام الطلبات أو معرّف المعاملة) بيانات شخصية؟

لا أعتقد ذلك ، ولكن فصل البيانات الشخصية عن المعلومات غير المحددة للهوية (مثل رقم الطلب من اسم العميل وعنوانه) يعد مجرد ممارسة جيدة.

نظرًا لأننا لا نريد أن يقلق العملاء بشأن أي تعديل محتمل في لوائح الخصوصية الإلكترونية ، فقد قررنا كشركة عدم تخزين هذه المعلومات في قسم تتبع الإيرادات الخاص بنا في الأداة.

إن الجمع بين متوسط ​​قيمة الطلب والمنتجات المشتراة والإيرادات ومعرف الطلب هو القليل جدًا من المعلومات غير المحددة للهوية للجلوس في قواعد البيانات الخاصة بنا. ولكن هذا الأمر متروك لك ولمورِّد اختبار A / B الخاص بك لمناقشة كيفية التعامل مع هذا الأمر. يتطلب تقليل البيانات بشكل أساسي تخزين أقل قدر ممكن. نظرًا لأننا لسنا بحاجة إلى هذا لتتبع الإيرادات ، فإننا نسقطه من مجموعة البيانات ، جنبًا إلى جنب مع الإيرادات الفردية وعدد المنتجات وأي بيانات طلب أخرى على مستوى الفرد (المستخدم النهائي).

تكاملات؟

إذا كنت ترسل معلومات حول الاختلاف والتجارب التي شارك فيها المستخدم النهائي ، فنحن نقترح الموافقة على ذلك.

اللعنة ، أي أخبار جيدة؟

نعم…

هل تتذكر جدران ملفات تعريف الارتباط حيث كان عليك قبول ملفات تعريف الارتباط لتتمكن من قراءة المحتوى؟ حسنًا ، لقد ولت هؤلاء. لا يمكنك طرحها بعد الآن ولذا فهي إما تعرض المحتوى لجميع الزائرين ، أو تطلب الموافقة على متتبعات محددة أو تنقلها خلف نظام حظر الاشتراك غير المدفوع.

هذا هو؟

لا أكثر…

ينص القانون العام لحماية البيانات (GDPR) على أن ملفات تعريف الارتباط تعمل على تحسين تجربة المستخدم على الإنترنت - على سبيل المثال ، تذكر سجل عربة التسوق الخاصة به. أو عند إكمال نموذج على عدة صفحات.

التحليلات في اللائحة العامة لحماية البيانات ممكنة طالما أن أي بيانات شخصية يتم جمعها تتم معالجتها بواسطة الطرف الأول فقط. الخصوصية الإلكترونية هي محددة فيما يتعلق بملفات تعريف الارتباط ، حيث لا يكون القانون العام لحماية البيانات (GDPR). اقرأ مشروع لائحة الخصوصية الإلكترونية رقم 15333 ، المادة 21 ؛

آه ، شيء أخير ... الخوادم القائمة على الولايات المتحدة مقابل الاتحاد الأوروبي

هل يهم أين تستضيف موقع الويب الخاص بك؟ أو من أين يتم تحميل البرنامج النصي لتعقب اختبار A / B؟ أو أين توجد مجموعة البيانات الفعلية؟ نعم ، لن يكون في هذه المقالة بخلاف ذلك

تدور مواقع الخوادم بشكل أساسي حول عمليات نقل البيانات - والتي تتطلب وحدها الموافقة إذا كانت تتضمن بيانات شخصية. يتعين علينا إلقاء نظرة على الفصل 5 من اللائحة العامة لحماية البيانات (GDPR) بشأن عمليات نقل البيانات الشخصية إلى دول ثالثة أو منظمات دولية. سيعطينا هذا نظرة ثاقبة حول ما يجب فعله إذا تم تخزين البيانات خارج الاتحاد الأوروبي.

يتم تقييم مستوى حماية البيانات الشخصية للدول الثالثة من قبل المفوضية الأوروبية من خلال "نتائج الملاءمة" ، وهي ملزمة في مجملها لجميع الدول الأعضاء. بمجرد التعرف على "كفاية" بلد ثالث ، يمكن نقل البيانات الشخصية إلى هذا البلد دون الحاجة إلى اتخاذ مزيد من الإجراءات الوقائية.

يوضح المبدأ العام لعمليات النقل (المادة 44) وعمليات النقل على أساس قرار الملاءمة (المادة 45) أن المناقشة تدور غالبًا حول نقل البيانات إلى دول خارج الاتحاد الأوروبي (والنرويج وليختنشتاين وأيسلندا) ، حيث أنت الآن لديك خيارات فقط:

• درع الخصوصية (للولايات المتحدة) والدول المناسبة (اعترفت المفوضية الأوروبية حتى الآن بأندورا والأرجنتين وكندا (المنظمات التجارية) وجزر فارو وجيرنسي وإسرائيل وجزيرة مان وجيرسي ونيوزيلندا وسويسرا وأوروغواي والولايات المتحدة ( يقتصر على إطار عمل Privacy Shield) لتوفير الحماية الكافية.
• البنود التعاقدية القياسية ، وتسمى أيضًا البنود التعاقدية النموذجية
• قواعد الشركة الملزمة (مشمولة في المادة 47 من اللائحة العامة لحماية البيانات).

من المرجح أن يكون بائع اختبار A / B الخاص بك شركة أمريكية - ومن ثم يبدو أن الخيار الأسهل هو Privacy Shield و SCC ، حيث إنه جهد لمرة واحدة فقط. بالنسبة لشركتنا ، هذا يعني أنه على الرغم من تخزين جميع بيانات عملائنا (للمستخدمين النهائيين لموقعهم الإلكتروني) في خوادم محايدة الكربون في فرانكفورت - ستكون قاعدتنا القانونية للشركة الأمريكية هي Privacy Shield و SCC (نود فقط أن نكون أكثر أمانًا و لدينا جميع الخوادم مع مجموعات بيانات العملاء في ألمانيا).

الاستنتاجات

تعد اللائحة العامة لحماية البيانات (GDPR) ضخمة ، ولا تقتصر فقط على الشركات في الاتحاد الأوروبي. بالنظر الآن ، في مسودة لوائح الخصوصية الإلكترونية رقم 1533 واللائحة العامة لحماية البيانات ، نرى أنه يمكنك اختبار أ / ب باستخدام تحويل التجارب على جميع الزوار دون موافقة.

لدينا إعداد صفحة كامل حول كيفية توافق التحويل كشركة ، وخريطة طريق تطبيق كاملة حول التفاصيل التي نعمل عليها لتسهيل الامتثال للقانون العام لحماية البيانات (GDPR).

اسأل البائع عن كيفية رؤيته لأداته من حيث الامتثال ، ومتى يعمل على تبسيط هيكل قاعدة البيانات بشكل كبير إلى اختبار A / B دون الحاجة إلى الموافقة.

لأنه إذا كانت أداتك تتطلب الموافقة - فسيكون لها تأثير هائل على مجموعة التسويق الخاصة بك. الخوف الكبير هو أنه باستخدام أداة اختبار A / B القائمة على الموافقة ، ستفقد أكثر من 80 ٪ من حركة المرور الخاصة بك للعمل معها.

اختبار أ / ب: قائمة مراجعة الامتثال للقانون العام لحماية البيانات (GDPR)

تصغير البيانات

سؤال البائع؟
ما الحقول التي تخزنها بواسطة زائر فريد في قاعدة البيانات الخاصة بك (بعد استكمال خريطة الطريق)؟

مثال للإجابة
لا شئ

بيانات شخصية

سؤال البائع؟
هل تخزن IP للزائر؟

مثال للإجابة
رقم

سؤال البائع؟
هل تخزن بيانات الدولة / المنطقة / المدينة أو بيانات الموقع الأخرى بواسطة الزائر؟

مثال للإجابة
رقم

سؤال البائع؟
هل يمكنك وصف محتوى ملف تعريف الارتباط أو الارتباط بمقال دعم؟

مثال للإجابة
https://convert.zendesk.com/hc/en-us/articles/204495429-Convert-Experiences-Tracking-Cookies-Structure

سؤال البائع؟
ما هي مدة تخزين ملفات تعريف الارتباط؟

مثال للإجابة
6 اشهر.

سؤال البائع؟
هل تقوم بتخزين معرف المستخدم الفريد (معرف الجلسة ، معرف الجهاز ، معرف المستخدم أو البريد الإلكتروني) ، و / أو تسمح لنا بتخزين رسائل البريد الإلكتروني أو البيانات الشخصية الأخرى؟ إذا كان الأمر كذلك ، أين يتم تخزينها؟

مثال للإجابة
لا ، لا نسمح أيضًا بتخزين المعلومات (انظر أيضًا شروط الاستخدام). استثناء هناك ميزة معرّف عالمي عند الحاجة إلى تشغيلها بموافقة العميل

سؤال البائع؟
كيف تساعدنا أداتك في طلبات وصول المستخدم النهائي؟

مثال للإجابة
دعم بعدم وجود أي بيانات شخصية مخزنة

سؤال البائع؟
كيف تدعم أداتك ميزة "عدم التعقب"؟

مثال للإجابة
نعم ، لم يتم تحميل البرنامج النصي افتراضيًا (انظر أيضًا خريطة طريق تطبيق اختبار GDPR A / B)

تصغير البيانات

سؤال البائع؟
What fields do you store by the unique visitor in your database (after roadmap completion)?

Example answer
Nothing

Security

Vendor Question?
What server location (country) is our end-user data stored?

Example answer
فرانكفورت، ألمانيا

Vendor Question?
If end-user or company information is stored outside the EEU what legal base you are using to transfer the information.

Example answer
End-user information is not stored and not transferred outside the EEU, unless customer requests debugging logging (stored max. 6 days). Customer information and debugging logs could be transferred on bases of Privacy Shield to US servers.

Vendor Question?
What security systems you have in place on databases and system where end-user information is stored?

Example answer
C5, DoD SRG, FedRAMP, FIPS, ISO 9001, ISO 27001, ISO 27017, ISO 27018, PCI, DSS Level 1, SEC Rule 17-a-4(f), SOC 1, SOC 2, SOC 3

GDPR compliance

Vendor Question?
How does your company prepare for GDPR compliance?

Example answer
Find all about out company GDPR compliance program, here.

Vendor Question?
How does your company assist us as controller with GDPR compliance of end-user data?

Example answer
The application roadmap is now public.

Disclaimer: Note that this article represents the views of the author solely, and are not intended to constitute legal advice.