[ウェビナー] GDPR に関する TL;DR、およびフォローアップの質問への回答

一般データ保護規則の施行日までの 30 日間のカウントダウンを祝うために、TUNE は 4 月 25 日にマーケティング担当者が GDPR にどのように準備しているかについてのウェビナーを開催しました。 AppLift の戦略プロジェクト マネージャーである Lieke den Ouden と、Perkins Coie LLP のプライバシーおよびセキュリティ パートナーである Meredith Halama が参加しました。 このトピックは人気があり、非常に人気が高かったため、ウェビナー ソフトウェアの登録者数が上限に達しました。

GDPR に関する22 の質問に回答した無料の録画ウェビナーで、元の会話を確認してください。 しかし、参加者はもっと多くのことを望んでいたので、未回答の上位の質問をまとめて以下に回答しました。 楽しみ！

GDPR に関する TL;DR: マーケティング担当者はどのように準備しているか

欧州連合の一般データ保護規則 (GDPR) による厳格なデータ プライバシー ルールは、2018 年 5 月 25 日に発効します。コンプライアンスを遵守しないと、数百万ドルの損害が発生する可能性があります。 準備はできたか？

ウェビナーを見る

(ちなみに — 迷惑な免責事項 — 以下は法的助言として解釈されるべきではありません。GDPR の適用または規則に基づく会社の責任について具体的な質問がある場合は、会社の弁護士に相談してください。)

質問: GDPR は企業に対し、プライバシー バイ デザインとプライバシー バイ デフォルトに関与するよう求めています。 は？

回答: GDPR の下では、企業は合理的な技術的および組織的対策を処理活動に統合する一般的な義務を負っています。 GDPR は、新しい法的要件として、プライバシー バイ デザインとプライバシー バイ デフォルトを具体的に呼びかけています。

プライバシー バイ デザインとは、企業がプロジェクトのすべての設計段階およびデータ処理のライフサイクル全体を通じて、処理の性質、目的、コンテキスト、範囲、およびその影響を考慮して、プライバシーを考慮する必要があるという概念です。

デフォルトのプライバシーとは、エンド ユーザーが個人データの処理について選択できる場合はいつでも、技術システムとサービスがデフォルトでプライバシー中心の設定になること、およびそのようなデータが製品またはサービスを提供するために必要な期間だけ保持されることを意味します。 これらの原則をエンジニアリング チームと製品チームのワークフローに組み込むことは、プライバシー意識を高め、意図しないデータ ストレージを防ぐための優れた方法です。

Q : 子どもたちのことを考えて！ GDPR は未成年者への広告にどのように対処しますか?

A : 以前は米国が COPPA で先行していましたが、GDPR には未成年者向けの同様のデジタル プライバシー規則が含まれています。 私たちの友人である IAPP は、GDPR-K として知られている、子供のデータを処理するための COPPA と GDPR ガイダンスの優れた比較を提供してくれました。 要約すると、GDPR-K は、子供の潜在的な視聴者を持つすべてのパブリッシャーに、親の同意を要求し、行動ターゲティングやプロファイリングではなく、コンテキスト広告のみを実行することを要求しています。

さらに、GDPR-K では、各 EU 加盟国が 13 歳から 16 歳までの子供の年齢しきい値を決定することができます。 COPPA は子供を 13 歳未満と定義していますが、ドイツ、オランダ、フランスでは、年齢のしきい値は 16 歳になると既に述べています。 アプリを GDPR-K に準拠させるための、ある開発者の探求の概要を以下に示します。

Q : Cookie と GDPR はどうなっていますか?

A : GDPR と今後のePrivacy Regulationの間に、 Cookie を追跡する方法の変更に備えてください。 Cookie がデバイスを介して個人を識別できる場合、GDPR では個人データと見なされます。 組織は、問題のある Cookie の収集を停止するか、このデータを収集して処理する正当な理由を設ける必要があります。

同様に、組織は、Cookie から受け取ったデータを収集して処理するために、エンド ユーザーから法的な同意を得る必要があります。 ウェブサイトにある「このサイトは Cookie を使用しています」という基本的な警告ボックスはもはや十分ではありません。 同意は、ボックスにチェックを入れるなど、明確な肯定的な行動によって与えられる必要があります。 Cookie と GDPR の追跡に関する詳しい説明については、Bozho の Tech Blog をご覧ください。

Q : GDPR はリード生成フォームにどのように影響しますか?

A : 個人データの処理について同意を得る場合は、それが特定の明示的かつ正当な目的のために要求されていることを確認してください。 これは、その個人データをどのように使用するかを説明する際に、細分性に注意する必要があることを意味します。 リードジェネレーションの場合、さまざまな目的で情報を使用する場合は、複数のチェックボックスを要求することを意味する場合があります.

マーケティング目的で同意を促すことは問題ありませんが (たとえば、「このホワイトペーパーは、当社による電子マーケティングに同意する場合にのみダウンロードできます」)、今後のマーケティング活動にはオプトアウトの権利を含める必要があります。 Econsultancy のこのブログでは、このテーマについてさらに詳しく説明しています。

Q : TUNE はデータ処理者であり、データ主体から同意を得る義務があるのはデータ管理者であることを理解しています。 しかし、GDPR に備えるために TUNE が行っていることについて、どこで詳しく知ることができますか?

A : お願いしてよかったです。 当社の製品ポートフォリオ全体で、TUNE は個人データの処理者として機能し、データ管理者のクライアントおよびパートナーと透明でプライバシー中心の関係を確立することを目指しています。 GDPR 情報ページをホストし、数週間前に次の情報をパートナーとクライアントに送信しました。

製品の更新

以前に発表されたように、HasOffers は、ログ レベルのレポートに対して 25 か月のローリング保持を実装します。 HasOffers クライアントは、リアルタイムの IP 難読化とすべての EU 諸国の一意のデバイス ID の消去を選択することもできます。それ以外の場合は、120 日間保持されます。 GDPR 関連の HasOffers 製品の詳細については、こちらをご覧ください。

TUNE マーケティング コンソール (TMC) の中心的存在である Attribution Analytics は、別の保持ポリシーに別段の合意がない限り、ログ レベルのレコードに 25 か月のローリング保持ウィンドウを適用します。 TMC から履歴データをエクスポートする方法の詳細については、こちらを参照してください。

契約上の更新

現在、EU で個人データを処理するすべての TUNE クライアントおよびパートナーにデータ処理契約を提供しています。 関連する GDPR 補遺はこちらから入手できます。 TUNE とのデータ処理契約に関するその他の FAQ は、こちらから PDF でダウンロードできます。 TUNE との別のデータ処理契約に同意した場合、GDPR 補遺は適用されません。

もっと詳しく知る

TUNE は、 optoutmobile.comでエンド ユーザーに追加のガイダンスを提供します。 また、 TMCおよびHasOffersでデータを保護する方法に関する追加の背景情報と、 TMC 、 HasOffers 、および当社の企業 Web サイトの更新されたプライバシー ポリシーも参照してください。 セキュリティとデータ保護における業界のベスト プラクティスは、ここで共有されます。

EU の GDPR に関するよくある質問のリストは、こちらで確認できます。

EU に拠点を置いていない場合でも、データのプライバシー慣行を評価し、適切な行動を決定することをお勧めします。 GDPR に基づくコンプライアンスは共同責任であるため、ご不明な点がございましたらお気軽にお問い合わせください。