GDPR vs. ePrivacy: Yang Perlu Anda Ketahui

Diterbitkan: 2018-02-15
GDPR vs. ePrivacy: Yang Perlu Anda Ketahui

Peraturan Perlindungan Data Umum (GDPR) menggantikan Petunjuk Perlindungan Data 95/46/EC…

…DAN, itu membawa serta, Peraturan ePrivasi (ePR) baru untuk warga negara UE…

…bahkan jika data itu disimpan dan ditangani di luar Eropa…

…di zaman ketika data pribadi semakin bernilai ekonomis.

Jadi itu sangat penting.

Tapi juga….hah?

Dan artikel tentang GDPR sepertinya hanya membuatnya lebih rumit.

Sebagai contoh….

  • GDPR menggantikan Petunjuk Perlindungan Data 95/46/EC. Semua jelas?
  • GDPR berurusan dengan BANYAK lebih dari sekadar privasi digital. Jadi ada sub-hukum yang disebut Peraturan ePrivacy untuk memberikan aturan yang lebih spesifik. Masih jelas?
  • ePrivacy Regulations menggantikan ePrivacy Directive, masih dengan saya?
  • GDPR disetujui dan akan menjadi undang-undang 25 Mei 2018, siap?
  • Setiap negara Eropa dapat membuat "rasa" GDPR mereka sendiri dan hanya dua negara yang melakukannya dari dua lusin ... katakan apa?
  • Peraturan ePrivacy kemungkinan besar bahkan tidak akan siap pada 25 Mei 2018….ehhh datang lagi?
    Jadi, ketika cookie disebutkan satu kali dalam GDPR, Peraturan ePrivasi penuh dengan deskripsi terperinci tentang apa yang boleh dan apa yang tidak diizinkan… tetapi kami kekurangan undang-undang final itu (ada dalam draft no. 1533). Berguna kan?

Jadi apa yang kita lakukan? Aturan apa yang kita ikuti?

Jadi berantakan, tapi tidak ada yang memberitahumu ini. Karena uang harus dibuat.

Dari artikel ke artikel Anda akan membaca tentang denda 20 juta euro (24 juta USD) yang menakutkan.

Harga kegagalan adalah, tetapi aturannya tidak jelas. Jadi apa yang kita lakukan?

Kami menerapkan apa yang dikatakan GDPR, itulah yang kami lakukan.

Karena tidak masalah bahwa tidak semua hukum dilakukan. Kami tahu struktur intinya, dan itu berarti hukum setiap negara bisa sedikit berbeda. Tapi kami memiliki dasar-dasarnya.

Dan itu adalah….

Pemasaran Digital & GDPR apa yang kita ketahui?

Di GDPR, kita tahu bahwa cookie hanya disebutkan satu kali. Resital 30 menyatakan:

Orang perseorangan dapat dikaitkan dengan pengidentifikasi online yang disediakan oleh perangkat, aplikasi, alat, dan protokol mereka, seperti alamat protokol internet, pengidentifikasi cookie, atau pengidentifikasi lain seperti tag identifikasi frekuensi radio.

Ini dapat meninggalkan jejak yang, khususnya ketika digabungkan dengan pengidentifikasi unik dan informasi lain yang diterima oleh server, dapat digunakan untuk membuat profil orang-orang alami dan mengidentifikasi mereka.

Jadi mereka tidak menginginkan pengenal unik apa pun . Bahkan dalam cookie—dan tentunya tidak ada data pribadi.

Data pribadi adalah PII versi Eropa. Tapi ohhh anak itu berbeda. Berikut tabel perbandingan.

Data Identifikasi Pribadi (PII)
Data pribadi
  • Nama lengkap (jika tidak umum)
  • Alamat rumah
  • Alamat email
  • Nomor identifikasi nasional
  • Nomor paspor
  • Nomor plat kendaraan
  • Nomor SIM
  • Wajah, sidik jari, atau tulisan tangan
  • Nomor kartu kredit
  • Identitas digital
  • Tanggal lahir
  • Tempat lahir
  • Informasi genetik
  • Nomor telepon
  • Nama login, nama layar, nama panggilan, atau pegangan
  • Nama lengkap (jika tidak umum)
  • Alamat rumah
  • Alamat email
  • Nomor identifikasi nasional
  • Nomor paspor
  • Nomor plat kendaraan
  • Nomor SIM
  • Wajah, sidik jari, atau tulisan tangan
  • Nomor kartu kredit
  • Identitas digital
  • Tanggal lahir
  • Tempat lahir
  • Informasi genetik
  • Nomor telepon
  • Nama login, nama layar, nama panggilan, atau pegangan

+

  • Alamat IP
  • Pengidentifikasi unik seperti ID Perangkat, ID Pengguna, ID Transaksi, ID Cookie
  • Data pseudonim (itu data yang tidak dapat dikenali + kunci di tempat yang berbeda untuk membuatnya dapat dibaca kembali)

Untuk saat ini, itulah yang kami ketahui.

Maksud dari hukum GDPR Eropa

Sekarang Anda dapat mengambil tim hukum, dan Anda dapat menemukan semua area abu-abu tentang apa dan apa yang tidak diperbolehkan. Tapi mari kita pahami dulu ide inti, maksud, di balik regulasi.

Jika Anda memahami undang-undang tersebut, Anda dapat memahami dengan sangat jelas saat Anda menjelajahi peretasan privasi blackhat dan privasi grayhat. Dan Anda dapat menentukan alat apa yang harus dihapus dari tumpukan Anda dan peretasan pemasaran keren apa yang benar-benar dapat Anda pertahankan. Baca resital 26 GDPR.

(Atau lewati huruf miring dan percayai ringkasan yang saya tulis setelahnya).

Prinsip-prinsip perlindungan data harus berlaku untuk informasi apa pun mengenai orang alami yang teridentifikasi atau dapat diidentifikasi.

Data pribadi yang telah mengalami pseudonimisasi, yang dapat dikaitkan dengan orang perseorangan dengan menggunakan informasi tambahan harus dianggap sebagai informasi tentang orang perseorangan yang dapat diidentifikasi.

Untuk menentukan apakah seseorang dapat diidentifikasi, harus dipertimbangkan semua cara yang mungkin digunakan, seperti memilih, baik oleh pengontrol atau oleh orang lain untuk mengidentifikasi orang tersebut secara langsung atau tidak langsung.

Untuk memastikan apakah cara-cara yang mungkin digunakan untuk mengidentifikasi orang perorangan, semua faktor objektif harus dipertimbangkan, seperti biaya dan jumlah waktu yang diperlukan untuk identifikasi, dengan mempertimbangkan teknologi yang tersedia pada saat itu. pengolahan dan perkembangan teknologi.

Oleh karena itu, prinsip-prinsip perlindungan data tidak boleh berlaku untuk informasi anonim, yaitu informasi yang tidak berhubungan dengan orang alami yang teridentifikasi atau dapat diidentifikasi atau data pribadi yang diberikan anonim sedemikian rupa sehingga subjek data tidak atau tidak lagi dapat diidentifikasi.

Oleh karena itu, Peraturan ini tidak berkaitan dengan pemrosesan informasi anonim tersebut, termasuk untuk tujuan statistik atau penelitian.

Singkatnya, versi saya: Data pribadi (dan itu banyak) hanya boleh dikumpulkan dengan kepentingan yang sah (dalam artikel lain, lebih lanjut tentang itu), atau dengan imbalan persetujuan, sebagai bagian dari kontrak. Ada beberapa pengecualian lagi yang tidak berlaku untuk 90% pemasar digital, tetapi Anda dapat membaca semuanya di sini.

Saat Anda mengumpulkan data pribadi, itu harus…

  • disimpan dengan aman di dalam Eropa.
  • terlindung.
  • dapat dihapus atau diubah berdasarkan permintaan.

Anda juga harus siap memberi sinyal pelanggaran keamanan pada data tersebut dalam waktu 72 jam setelah terjadi. Jadi, pastikan Anda mampu memberi tahu subjek data, dan pihak berwenang, jika terjadi.

Orang Eropa menginginkan undang-undang ini, menjangkau jauh melampaui Eropa dan menyentuh setiap basis data di dunia tempat orang Eropa disimpan dengan beberapa bentuk data pribadi.

“Tapi Dennis kamu lupa….”

Jelas, saya melupakan banyak hal. Ini 300+ halaman undang-undang GDPR dan lebih dari 100 tentang rancangan Peraturan ePrivasi 1533. Tapi idenya jelas.

Menyimpan data pribadi akan mempengaruhi Anda sebagai pemilik digital marketing karena Anda perlu meminta persetujuan.

Maksud dari hukum GDPR Eropa

Apa? Izin? Ya, persetujuan eksplisit!

Ya. Anda perlu menjelaskan kepada pengunjung situs web, prospek, dan pelanggan, bagaimana Anda mengumpulkan dan menyimpan data mereka. Jangan menggunakannya dengan cara lain selain cara Anda berbagi.

Jadi tidak…dengan mendaftar ke whitepaper ini, Anda menerima persyaratan bla bla tidak ada yang akan membaca ini.

Alih-alih….

“<kotak centang tidak dicentang> Saya setuju bahwa dengan mengunduh whitepaper ini, saya akan menerima email dengan whitepaper.
<kotak centang tidak dicentang>, saya menyetujui panggilan telepon dari perwakilan perusahaan X.”

Sial… itu akan menurunkan tingkat konversi bukan?

Ya mungkin.

Maaf, bukan hukum saya…

Apa yang bisa Anda lakukan tanpa persetujuan?

Anda dapat menggunakan alat apa pun di tumpukan Anda yang tidak menyimpan ID cookie dan tidak menyimpan data pribadi. Tidak ada sidik jari dan peretasan jahat lainnya untuk menghindari cookie…

Jadi tidak ada ID cookie, pengidentifikasi unik, dan tidak ada penyimpanan data pribadi di situs web yang diizinkan oleh alat tersebut.

Pengalaman Konversi (perangkat lunak pengujian A/B kami) akan berjalan tanpa ID cookie dan pengidentifikasi unik serta tanpa penyimpanan data pribadi. Jadi itu adalah sesuatu yang harus dicari saat Anda mengevaluasi alat pemasaran Anda.

Sepertinya analitik web (menghitung pengunjung) akan diizinkan, tetapi tidak 100% jelas tentang alat dan fitur analitik apa yang diizinkan. Terserah Peraturan ePrivasi — undang-undang, yang sekali lagi, belum selesai.

Jadi apakah layak untuk meminta persetujuan? Mungkin…

Jadi, Anda harus meminta persetujuan yang jelas, per jenis (kelompok) alat.

Yang menempatkan Anda dalam posisi canggung.

Jika Anda menjalankan 10 alat penargetan ulang yang menggabungkan penelusuran historis, kunjungan halaman, dll…? Tempatkan mereka dalam satu grup dan lihat apakah Anda dapat menjelaskan manfaatnya dengan jelas kepada pengunjung, sehingga mereka setuju.

Tidak ada kotak yang dicentang sebelumnya… tidak ada suap, tidak ada dinding kue…

Dan alat-alat itu HANYA dapat berjalan, jika pengunjung memberi mereka lampu hijau. Bahkan untuk pemasar yang paling cerdas sekalipun—Anda sedang melihat pemotongan lalu lintas.

Masih banyak lagi yang harus dipelajari.

Jadi kami mendokumentasikan area abu-abu.

Berikut adalah beberapa tempat yang baik untuk memulai:

  • Cara Menjalankan Kampanye Izin Ulang GDPR yang Berhasil: Panduan Langkah-demi-Langkah
  • Pertumbuhan Meretas Jalan Anda ke Denda Berat? Sesuaikan Strategi Keluar Anda untuk GDPR.
  • Cara Membeli Perangkat Lunak Pengujian A/B yang Sesuai GDPR
  • Cara Mengonversi di E-niaga di Era GDPR