Nie daj się potknąć przez te 6 mitów dotyczących RODO

Od dnia wdrożenia RODO dzieli nas przerażających kilka miesięcy, a internet jest pełen złych rad.

Ilość wpisów na blogu i odpowiedzi Quora, które widziałem zaśmiecone zielonymi światłami, które powinny być CZERWONE – jest zdumiewająca.

A gdy my w Convert, coraz więcej czasu spędzamy na uczeniu się, czytaniu i wyrywaniu włosów z głowy nad tym nowym, dużym, ważnym aktem prawnym – tym bardziej mój mózg zaczął bić dzwonkami alarmowymi.

„To standardowe zachowanie branżowe jest teraz złe ”, mówi. „MUSISZ ICH OSTRZEGAĆ”.

Więc tu.

Oto 6 wielkich kłamstw, które ludzie uważają na temat RODO, że ludzie się mylą i że wszyscy musimy naprawić błędy do 25 maja.

Mit 1: Dotyczy to tylko UE.

Gdyby tylko.

Jedną z najbardziej ambitnych rzeczy dotyczących RODO jest to, w jaki sposób rozszerza zakres legislacyjny polityki prywatności danych. Teraz istnieje jeden nadrzędny akt prawny określający zasady w całej UE.

Ale poza tym RODO ma znaczenie dla każdego, kto zajmuje się danymi obywateli UE.

Nawet jeśli Twoja firma ma siedzibę w innym miejscu — jeśli odwiedzasz witrynę będącą obywatelem UE i śledzisz ich za pomocą plików cookie — oczekuje się, że zastosujesz RODO. Jeśli zbierasz wiadomości e-mail europejskich osób, których dane dotyczą, przechowujesz ich adresy IP, jeśli w ogóle wchodzisz w interakcję z ich danymi — jesteś zobowiązany do tych samych nowych zasad, co każdy, kto ma serwer w UE.

I szczerze mówiąc, nawet jeśli masz 100% pewności, że nie masz do czynienia z danymi UE – przestrzeganie RODO to dobry krok we właściwym kierunku. Wszędzie zmieniają się przepisy dotyczące prywatności. Kanada pracuje nad nowym ustawodawstwem z ustawą o prywatności.

Dane są coraz bardziej wartościową formą waluty. Co sprawia, że ​​prawodawstwo dotyczące danych jest ważniejsze niż kiedykolwiek.

Mit 2: Potrafię uzasadnić moje pliki cookie/zimne e-maile/itp. z powodu „uzasadnionego interesu”.

Warunek uzasadnionego interesu jest….skomplikowany.

Chociaż może (na chwilę) pozostawić ci trochę miejsca na wytchnienie dla niektórych rodzajów zimnych e-maili, nie jest to tak przydatne, jak mogą mieć nadzieję marketerzy.

Aby wykonać kopię zapasową — RODO określa 6 różnych warunków prawnych przetwarzania danych. Wydaje się, że dwiema istotnymi dla marketerów są: zgoda podmiotu danych i „uzasadnione interesy”.

Uzyskiwanie zgody wymaga spełnienia różnego rodzaju warunków – musi być aktywne, jednoznaczne, afirmatywne itp.

Dla porównania „uzasadnione interesy” wydają się być spacerkiem po parku. Ale intencją tej klauzuli nie było „Słusznie myślałem, że byli zainteresowani… więc mogę wysłać im, co chcę?”

Oto, co ICO (organ regulacyjny danych w Wielkiej Brytanii) zaleca, abyś potwierdził przed podjęciem decyzji o przetwarzaniu danych….

• Sprawdziliśmy, czy uzasadniony interes jest najwłaściwszą podstawą.
• Rozumiemy naszą odpowiedzialność za ochronę interesów jednostki.
• Przeprowadziliśmy ocenę uzasadnionych interesów (LIA) i zapisaliśmy ją, aby upewnić się, że możemy uzasadnić naszą decyzję.
• Zidentyfikowaliśmy odpowiednie prawnie uzasadnione interesy.
• Sprawdziliśmy, że przetwarzanie jest konieczne i nie ma mniej inwazyjnego sposobu na osiągnięcie tego samego rezultatu.
• Przeprowadziliśmy test równowagi i jesteśmy przekonani, że interesy danej osoby nie są nadrzędne w stosunku do uzasadnionych interesów.
• Dane osób fizycznych wykorzystujemy wyłącznie w sposób, którego można by oczekiwać, chyba że mamy bardzo dobry powód.
• Nie wykorzystujemy danych osób w sposób, który uznaliby za natrętny lub mogący wyrządzić im krzywdę, chyba że mamy bardzo dobry powód.
• Jeśli przetwarzamy dane dzieci, dokładamy szczególnej staranności, aby chronić ich interesy.
• Rozważaliśmy zabezpieczenia w celu zmniejszenia wpływu tam, gdzie to możliwe.
• Zastanowiliśmy się, czy możemy zaoferować opcję rezygnacji.
• Jeśli nasza LIA identyfikuje znaczący wpływ na prywatność, rozważamy, czy musimy również przeprowadzić DPIA.
• Sprawdzamy nasze LIA i powtarzamy je, jeśli okoliczności się zmienią.
• Informacje o naszych uzasadnionych interesach zawieramy w naszej informacji o ochronie prywatności.

Jeśli więc chcesz polegać na uzasadnionych interesach – musisz to potwierdzić. I musisz udokumentować swój proces. Musisz zawczasu zdecydować, że przetwarzasz dane z uzasadnionym interesem . To nie może być tylko twój powrót, ponieważ błędnie poprosiłeś o zgodę.

Mit 3: Muszę wyznaczyć inspektora ochrony danych.

RODO zaleca niektórym firmom wyznaczenie inspektora ochrony danych, który będzie nadzorował przejście i postęp w zakresie bezpieczeństwa danych.

A uprawnienia, które są, są całkiem jasne, że władze publiczne powinny je powołać. Oraz firmy, których podstawową funkcją jest przetwarzanie danych lub ich systematyczne monitorowanie. A jeśli regularnie przetwarzasz specjalne kategorie danych — takie jak dane dotyczące zdrowia lub przynależności religijnej i politycznej — prawdopodobnie powinieneś mieć w swoim zespole inspektora ochrony danych.

Ale pomijając te warunki, szczerze mówiąc, nie ma ścisłej reguły określającej, kiedy Twoja firma jest wystarczająco duża, aby nakazać zatrudnienie inspektora ochrony danych. Lub gdy dane, którymi zarządzasz, są na tyle złożone, że potrzebujesz ich. 250 pracowników to jedna, często rzucana zasada.

Ogólnie rzecz biorąc, wydaje się, że MŚP, które przetwarzają standardowe typy i ilości danych w celach marketingowych, mogą uzyskać solidną poradę prawną i dokładne zaangażowanie w przejrzystość danych.

Mit 4: To dobry sposób, aby poprosić o zgodę.

Ta istota…

Nie! Zgoda musi być aktywna. Nie możesz zostawić swoich skrzynek wstępnie sprawdzonych.

Nie! To jest wiązanie. Musisz poprosić o zgodę na oddzielne procesy, osobno. Nie możesz po prostu wrzucić subskrypcji „miesięcznego biuletynu” przy zapisach na wydarzenia.

Nie! Nazwij swoje osoby trzecie albo to się nie liczy!

Nie – trwałe pliki cookie wymagają teraz wyraźnej, aktywnej zgody. Tak jak w przypadku, ktoś musi kliknąć coś lub zaznaczyć pole z napisem „Zgadzam się”. Nie dają tego po prostu kontynuując przeglądanie.

A niuanse trwają.

Ważną rzeczą jest to, że zasady zgody nie są takie, jak kiedyś.

Aby dowiedzieć się więcej o tym, czym są teraz, mamy tutaj bardziej szczegółowe zestawienie.

Mit 5: To nie są dane osobowe.

RODO rozszerzyło zakres danych osobowych z tego, co wcześniej uznawano za „osobiste dane identyfikacyjne”.

Pokornie przedstawiamy tę pomocną tabelę:

Na uwagę zasługują ciasteczka, które są trochę skomplikowane. Jakie dokładnie rodzaje plików cookie będą uważane za dane osobowe, zostaną określone w nowym Regulaminie ePrivacy.

Obecnie istnieją pewne wyjątki dotyczące plików cookie w „sektorze wydajności”. Są to rodzaje, które zbierają tylko informacje o korzystaniu ze strony na rzecz operatora strony. Nie identyfikują odwiedzających — raczej opierają się na danych zbiorczych.

Szczegółowe informacje na temat tego, jak RODO będzie regulować pliki cookie, znajdziesz tutaj.

Mit 6: Dopóki zaktualizuję swoje procesy do 25 maja – wszystko jasne.

Jako marketer jest to warunek RODO, który sprawia, że ​​chcę wyrywać włosy z głowy.

Obowiązuje z mocą wsteczną.

Dotyczy wszystkich Twoich istniejących danych.

Oznacza to, że jeśli zbierasz wiadomości e-mail, uruchamiasz pliki cookie lub mieszasz dane osobowe w sposób niezgodny z RODO — wszystkie te przechowywane dane stają się problemem 25 maja.

Polecamy:

1. Niezależnie od tego, czy pliki cookie Twojej witryny działają przez 3, 6 czy 12 miesięcy, dobrze jest zacząć je od nowa i wyczyścić wszelkie przechowywane przez nie dane osobowe.
2. Przeprowadź kampanię ponownego zezwolenia, aby spróbować uratować istniejącą listę e-mailową.

To ból głowy. A utrata niektórych kontaktów, o które ciężko walczyłeś, jest kłopotliwa.

Ale, jak mówią…

Czasami rzeczy się rozpadają, więc lepsze rzeczy mogą się układać, a prywatność danych jest ważna, więc wszyscy powinniśmy przestrzegać prawa.