これらの6つのGDPR神話に惑わされないでください

GDPRの実施日から数か月先は恐ろしく、インターネットは悪いアドバイスでいっぱいです。

緑色のライトが散らばっているのを見たブログ投稿とQuoraの回答の量は、驚くべきものです。

そして、Convertにいる私たちが、この新しくて大きくて重要な法律の一部を学び、読んで、髪を引き裂くのにますます多くの時間を費やしてきました。

「この業界標準の動作は今では悪いです」とそれは言います。 「あなたは彼らに警告しなければなりません。」

だからここに。

これらは、人々がGDPRについて信じている、人々が間違っている、そして私たち全員が5月25日までに正しくなる必要があると信じている6つの大きな嘘です。

神話＃1：これはEUにのみ影響します。

場合のみ。

GDPRで最も野心的なことの1つは、データプライバシーポリシーの立法範囲をどのように拡大するかです。 現在、EU全体にルールを設定する包括的な法律が1つあります。

しかしそれを超えて、GDPRはEU市民のデータを扱う誰にとっても重要です。

会社が他の場所に拠点を置いている場合でも（EU市民であるWeb訪問者がいて、Cookieを使用して追跡している場合）、GDPRを適用することが期待されます。 ヨーロッパのデータ主体の電子メールを収集する場合、IPアドレスを保存する場合、データを操作する場合は、EUベースのサーバーを使用する人と同じ新しいルールに拘束されます。

そして正直なところ、EUデータを扱っていないことを100％確信している場合でも、GDPRに準拠することは正しい方向への良い一歩です。 どこでもプライバシー法が変化しています。 カナダはプライバシー法で新しい法律に取り組んでいます。

データはますます貴重な通貨の形になっています。 これにより、データに関する法律がこれまで以上に重要になります。

神話＃2：クッキー/コールドメールなどを正当化できます。 「正当な利益」のため。

正当な利息条件は…。複雑です。

コールドメールの種類によっては（一時的に）少し余裕ができるかもしれませんが、マーケターが期待するほど有用ではありません。

少しバックアップするには—GDPRは、データ処理に関する6つの異なる法的条件の概要を示しています。 マーケターに関連する2つのものは、データ主体の同意と「正当な利益」のようです。

同意を求めるには、あらゆる種類の条件を満たす必要があります。つまり、積極的、明確、肯定的などである必要があります。

比較すると、「正当な利益」は公園を散歩しているように見えます。 しかし、この条項の意図は、「彼らが興味を持っていると合法的に思った…だから、私は彼らに私が望むものを何でも送ることができるのか？」ではありませんでした。

データの処理を決定する前に、ICO（英国のデータ規制機関）が確認することをお勧めします…。

• 正当な利益が最も適切な根拠であることを確認しました。
• 私たちは、個人の利益を保護する責任を理解しています。
• 私たちは、正当な利益評価（LIA）を実施し、その記録を保持して、決定を正当化できるようにしました。
• 関連する正当な利益を特定しました。
• 処理が必要であり、同じ結果を達成するための煩わしい方法がないことを確認しました。
• 私たちはバランステストを実施し、個人の利益がそれらの正当な利益を無効にしないと確信しています。
• 非常に正当な理由がない限り、個人のデータは合理的に期待できる方法でのみ使用します。
• 非常に正当な理由がない限り、私たちは人々のデータを、彼らが邪魔になるような方法で、または彼らに害を及ぼす可能性のある方法で使用していません。
• お子様のデータを処理する場合、お子様の利益を保護するために細心の注意を払っています。
• 可能な限り影響を減らすための安全策を検討しました。
• オプトアウトを提供できるかどうかを検討しました。
• LIAが重大なプライバシーへの影響を特定した場合、DPIAも実施する必要があるかどうかを検討しました。
• 私たちはLIAをレビューし続け、状況が変化した場合はそれを繰り返します。
• プライバシーに関する通知には、正当な利益に関する情報が含まれています。

したがって、正当な利益に依存したい場合は、これらのことを確認する必要があります。 そして、あなたはあなたのプロセスを文書化する必要があります。 そして、あなたはあなたが正当な利益条件で処理していることを前もって決定しなければなりません。 あなたが間違って同意を求めたので、それはあなたのフォールバックになることはできません。

神話＃3：データ保護責任者を任命する必要があります。

GDPRは、一部の企業にデータ保護責任者を任命し、移行を監督し、データセキュリティを前進させるようアドバイスしています。

そして、公的機関がそれを任命すべきであることをかなり明確にしている権力。 また、データの処理や体系的な監視を主な機能とする企業。 また、健康データや宗教的および政治的所属などの特別なカテゴリのデータを定期的に処理する場合は、おそらくチームにDPOが必要です。

しかし、これらの条件はさておき、正直なところ、あなたの会社がDPOの採用を義務付けるのに十分な規模になる時期についての厳密な規則はありません。 または、管理するデータが複雑である場合は、データが必要になります。 250人の従業員は、よくある経験則の1つです。

一般に、マーケティングの目的で標準の種類と量のデータを処理するSMEは、確かな法的アドバイスとデータの透明性への徹底的な取り組みでうまくいくようです。

神話＃4：これは同意を求めるための大丈夫な方法です。

これは…

いいえ！ 同意はアクティブである必要があります。 ボックスを事前にチェックしたままにすることはできません。

いいえ！ それはバンドルです。 個別のプロセスについては、個別に同意を求める必要があります。 イベントの申し込みで「月刊ニュースレター」の購読を単に投入することはできません。

いいえ！ サードパーティに名前を付けてください。そうしないとカウントされません。

いいえ。永続的なCookieには、明示的でアクティブな同意が必要です。 のように、誰かが物をクリックするか、「同意します」というチェックボックスをオンにする必要があります。 彼らは閲覧を続けるだけではそれを与えません。

そしてニュアンスは続きます。

重要なことは、同意ルールは以前のルールではないということです。

それらが現在何であるかについての詳細は、ここでより実質的な内訳があります。

神話＃5：それは個人データではありません。

GDPRは、以前に「個人識別情報」として認識されていたものから、個人データの範囲を拡大しました。

この役立つ表を謙虚に提示します。

ここで注目すべき大きなものはCookieです。これは少し複雑です。 正確にどのタイプのCookieが個人データと見なされるかは、新しいeプライバシー規制で確立されます。

現在、「パフォーマンスセクター」のCookieにはいくつかの例外があります。 これらは、ウェブサイト運営者の利益のために、ウェブサイトの使用に関する情報のみを収集するタイプです。 訪問者を特定するのではなく、集計データに依存します。

GDPRがCookieをどのように規制するかについての詳細はこちらをご覧ください。

神話＃6：5月25日までにプロセスを更新する限り、私は明確です。

マーケティング担当者として、これは私が髪を引き裂きたくなるGDPR条件です。

遡及的に適用されます。

これは、既存のすべてのデータに適用されます。

つまり、メールを収集したり、Cookieを実行したり、GDPRに準拠していない方法で個人データをいじったりしている場合、保存されているすべてのデータが5月25日に問題になります。

おすすめ：

1. サイトのCookieが3か月、6か月、または12か月の有効期間で実行されているかどうかにかかわらず、Cookieを最初からやり直して、保存されている個人データをすべて消去することをお勧めします。
2. 再許可キャンペーンを実行して、既存の電子メールリストを回収してみてください。

それは頭痛の種です。 そして、あなたが勝つために懸命に戦ってきたそれらの連絡先のいくつかを失うことは残念です。

しかし、彼らが言うように…

時には物事がバラバラになり、より良いものが一緒に崩壊する可能性があります。また、データのプライバシーが重要であるため、私たち全員が法律に従う必要があります。