RODO a ePrivacy: co musisz wiedzieć

Opublikowany: 2018-02-15
RODO a ePrivacy: co musisz wiedzieć

Ogólne rozporządzenie o ochronie danych (RODO) zastępuje dyrektywę o ochronie danych 95/46/WE…

…I niesie ze sobą nowe przepisy dotyczące e-prywatności (ePR) dla obywateli UE…

…nawet jeśli te dane są przechowywane i przetwarzane poza Europą…

…w czasach, gdy dane osobowe stają się coraz bardziej wartościowe ekonomicznie.

Więc to jest niesamowicie ważne.

Ale także….huh?

A artykuły na temat RODO tylko komplikują sprawę.

Na przykład….

  • RODO zastępuje dyrektywę o ochronie danych 95/46/WE. Wszystko jasne?
  • RODO dotyczy DUŻO więcej niż tylko prywatności cyfrowej. I tak istnieje przepis pomocniczy zwany ePrivacy Regulations, który określa bardziej szczegółowe zasady. Nadal jasne?
  • ePrivacy Regulations zastępuje dyrektywę o ePrivacy, nadal ze mną?
  • RODO zostało zatwierdzone i wejdzie w życie 25 maja 2018 r., gotowe?
  • Każdy kraj europejski może stworzyć swój własny „smak” RODO, a tylko dwa kraje zrobiły to z dwudziestu… powiedzmy co?
  • Regulamin e-prywatności najprawdopodobniej nie będzie nawet gotowy do 25 maja 2018 r.….ehhh przyjść ponownie?
    Tak więc tam, gdzie w RODO wspomniano o ciasteczkach, w Rozporządzeniu o e-prywatności pełno jest szczegółowych opisów tego, co jest, a co nie jest dozwolone… ale brakuje nam tego ostatecznego prawa (jest w projekcie nr 1533). Przydatne, prawda?

Więc co robimy? Jakimi zasadami się kierujemy?

Więc jest bałagan, ale nikt ci tego nie mówi. Bo trzeba zarobić.

Z artykułu na artykuł przeczytasz o przerażających grzywnach w wysokości 20 milionów euro (24 miliony USD).

Cena jest porażka, ale zasady są niejasne. Więc co robimy?

Wdrażamy to, co mówi RODO, to właśnie robimy.

Bo tak naprawdę nie ma znaczenia, że ​​nie każde prawo jest robione. Znamy podstawową strukturę, a to oznacza, że ​​prawo każdego kraju może się nieznacznie różnić. Ale mamy podstawy.

A to są….

Marketing cyfrowy i RODO co wiemy?

W RODO wiemy, że pliki cookie są wymienione tylko raz. Motyw 30 stanowi:

Osoby fizyczne mogą być powiązane z identyfikatorami internetowymi dostarczanymi przez ich urządzenia, aplikacje, narzędzia i protokoły, takimi jak adresy protokołów internetowych, identyfikatory plików cookie lub inne identyfikatory, takie jak znaczniki identyfikacji radiowej.

Może to pozostawić ślady, które w szczególności w połączeniu z unikalnymi identyfikatorami i innymi informacjami otrzymywanymi przez serwery mogą posłużyć do tworzenia profili osób fizycznych i ich identyfikacji.

Nie chcą więc żadnych unikalnych identyfikatorów . Nawet w plikach cookie — i na pewno żadnych danych osobowych.

Dane osobowe to europejska wersja PII. Ale och, chłopcze, to jest inne. Tutaj tabela porównawcza.

Dane osobowe umożliwiające identyfikację (PII)
Dane osobiste
  • Imię i nazwisko (jeśli nie jest powszechne)
  • Adres domowy
  • Adres e-mail
  • Narodowy numer identyfikacyjny
  • Numer paszportu
  • Numer rejestracyjny pojazdu
  • Numer prawa jazdy
  • Twarz, odciski palców lub pismo ręczne
  • Numery kart kredytowych
  • Tożsamość cyfrowa
  • Data urodzenia
  • Miejsce urodzenia
  • Informacja genetyczna
  • Numer telefonu
  • Nazwa logowania, nazwa ekranowa, pseudonim lub uchwyt
  • Imię i nazwisko (jeśli nie jest powszechne)
  • Adres domowy
  • Adres e-mail
  • Narodowy numer identyfikacyjny
  • Numer paszportu
  • Numer rejestracyjny pojazdu
  • Numer prawa jazdy
  • Twarz, odciski palców lub pismo ręczne
  • Numery kart kredytowych
  • Tożsamość cyfrowa
  • Data urodzenia
  • Miejsce urodzenia
  • Informacja genetyczna
  • Numer telefonu
  • Nazwa logowania, nazwa ekranowa, pseudonim lub uchwyt

+

  • Adres IP
  • Unikalne identyfikatory, takie jak identyfikatory urządzeń, UserID, TransactionID, CookieID
  • Dane pseudonimowe (czyli nierozpoznawalne dane + klucz w innym miejscu, aby można było je ponownie odczytać)

Na razie tyle wiemy.

Intencja europejskiego prawa RODO

Teraz możesz złapać zespół prawników i znaleźć wszystkie szare obszary tego, co jest niedozwolone. Ale najpierw zrozummy podstawową ideę, intencję stojącą za rozporządzeniem.

Jeśli rozumiesz prawo, możesz bardzo wyraźnie zrozumieć, kiedy próbujesz hackować prywatność czarnych kapeluszy i szarego kapelusza. I możesz określić, jakie narzędzia usunąć ze swojego stosu i jakie fajne hacki marketingowe naprawdę możesz zachować. Przeczytaj motyw 26 RODO.

(Lub pomiń kursywę i zaufaj podsumowaniu, które napisałem po nich).

Zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji dotyczących zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Dane osobowe, które zostały poddane pseudonimizacji, którą można przypisać osobie fizycznej za pomocą dodatkowych informacji, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej.

Aby ustalić, czy daną osobę fizyczną można zidentyfikować, należy wziąć pod uwagę wszystkie racjonalnie prawdopodobne środki, jakie mogą być zastosowane, takie jak wyodrębnienie przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.

Aby ustalić, czy istnieje uzasadnione prawdopodobieństwo, że środki zostaną użyte do identyfikacji osoby fizycznej, należy wziąć pod uwagę wszystkie obiektywne czynniki, takie jak koszty i ilość czasu wymaganego do identyfikacji, biorąc pod uwagę technologię dostępną w momencie przetwarzanie i rozwój technologiczny.

Zasady ochrony danych nie powinny zatem mieć zastosowania do informacji anonimowych, a mianowicie informacji, które nie odnoszą się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej ani do danych osobowych, które zostały zanonimizowane w taki sposób, że osoba, której dane dotyczą, nie jest lub przestała być możliwa do zidentyfikowania.

Niniejsze rozporządzenie nie dotyczy zatem przetwarzania takich anonimowych informacji, w tym do celów statystycznych lub badawczych.

Krótko mówiąc, moja wersja: Dane osobowe (a to dużo) powinny być gromadzone tylko w uzasadnionym interesie (w innym artykule, więcej na ten temat) lub w zamian za zgodę, w ramach umowy. Jest jeszcze kilka wyjątków, które nie dotyczą 90% marketerów cyfrowych, ale możesz je wszystkie przeczytać tutaj.

Kiedy zbierasz dane osobowe, muszą one być…

  • bezpiecznie przechowywane w Europie.
  • chroniony.
  • można je usunąć lub zmodyfikować na żądanie.

Powinieneś być również gotowy do zasygnalizowania naruszenia bezpieczeństwa tych danych w ciągu 72 godzin od jego wystąpienia. Upewnij się więc, że będziesz w stanie poinformować osoby, których dane dotyczą, oraz władze, jeśli takie miałoby miejsce.

Europejczycy chcą tego prawa, sięga daleko poza Europę i dotyka każdej bazy danych na świecie, w której Europejczycy są przechowywani z jakąś formą danych osobowych.

„Ale Dennis, ty zapominasz…”.

Oczywiście zapominam o tonach i tonach rzeczy. To ponad 300 stron ustawy RODO i ponad 100 projektu rozporządzenia ePrivacy z 1533 r. Ale pomysł jest jasny.

Przechowywanie danych osobowych wpłynie na Ciebie jako właściciela marketingu cyfrowego, ponieważ musisz poprosić o zgodę.

Intencja europejskiego prawa RODO

Co? Zgoda? Tak, wyraźna zgoda!

Tak. Musisz wyjaśnić odwiedzającym witrynę, potencjalnym klientom i klientom, w jaki sposób gromadzisz i przechowujesz ich dane. Nie używaj go w żaden inny sposób niż sposób, w jaki się dzielisz.

Więc nie… zapisując się do tego dokumentu, akceptujesz warunki bla bla, nikt tego nie przeczyta.

Zamiast….

„<niezaznaczone pole wyboru> Wyrażam zgodę na to, że pobierając ten dokument, otrzymam wiadomość e-mail z dokumentem.
<niezaznaczone pole wyboru>, wyrażam zgodę na telefon od przedstawiciela firmy X.”

Cholera… to obniży współczynniki konwersji, prawda?

Tak, prawdopodobnie.

Przepraszam, nie moje prawo…

Co możesz zrobić bez zgody?

Możesz użyć dowolnego narzędzia w swoim stosie, które nie przechowuje identyfikatorów plików cookie i nie przechowuje danych osobowych. Bez odcisków palców i innych paskudnych hacków, aby uniknąć plików cookie…

Tak więc żadne identyfikatory plików cookie, unikalne identyfikatory i przechowywanie danych osobowych na stronach internetowych tych narzędzi jest dozwolone.

Convert Experiences (nasze oprogramowanie do testów A/B) będzie działać bez identyfikatorów plików cookie i unikalnych identyfikatorów oraz bez przechowywania danych osobowych. To jest coś, na co należy zwrócić uwagę, oceniając swoje narzędzia marketingowe.

Wygląda na to, że analityka internetowa (liczenie odwiedzających) będzie dozwolona, ​​ale nie jest w 100% jasne, jakie narzędzia i funkcje analityczne są dozwolone. To zależy od przepisów dotyczących e-prywatności — prawo, które znowu nie zostało zakończone.

Czy warto więc prosić o zgodę? Może…

Musisz więc poprosić o wyraźną zgodę na rodzaj (grupę) narzędzi.

Co stawia cię w niezręcznej sytuacji.

Jeśli korzystasz z 10 narzędzi do retargetingu, które łączą historyczne wyszukiwania, wizyty na stronie itp.? Umieść je w jednej grupie i sprawdź, czy możesz jasno wyjaśnić korzyści odwiedzającym, aby wyrazili zgodę.

Bez zaznaczonych pól… bez łapówek, bez ścianek z ciasteczkami…

A te narzędzia mogą działać TYLKO, jeśli odwiedzający da im zielone światło. Nawet dla najmądrzejszych marketerów — patrzysz na ograniczenie ruchu.

Jest dużo więcej do nauczenia się.

Dlatego dokumentujemy szare obszary.

Oto kilka dobrych miejsc na początek:

  • Jak przeprowadzić udaną kampanię dotyczącą ponownego zezwolenia na RODO: przewodnik krok po kroku
  • Wzrost wkracza na drogę do ciężkich kar? Dostosuj swoją strategię wychodzącą do RODO.
  • Jak kupić oprogramowanie do testowania A/B zgodne z RODO?
  • Jak konwertować w e-commerce w erze RODO