Jak wybrać narzędzie do testowania A/B zgodne z prywatnością (nasz przewodnik po niemieckich optymalizatorach)

Konsumenci zyskują większą świadomość i kontrolę nad swoimi danymi osobowymi, ponieważ przepisy dotyczące prywatności wchodzą w życie na całym świecie. Na przykład UE uchwaliła przełomowe ogólne rozporządzenie o ochronie danych (RODO) w 2018 r., aby zaostrzyć przepisy dotyczące prywatności danych, a Kalifornia wprowadziła w życie kalifornijską ustawę o ochronie prywatności konsumentów (CCPA) w 2020 r.

Firmy przeprowadzające testy A/B podejmują teraz dodatkowe środki, aby dostosować się do tych nowych zasad. Na przykład wiele osób prosi użytkowników o zgodę przed dodaniem ich do listy mailingowej, zapewniając łatwo dostępne oświadczenia i informacje dotyczące prywatności oraz dając użytkownikom możliwość dostępu do swoich danych osobowych, ich modyfikowania lub usuwania.

Pomimo braku cyfrowej prywatności w dzisiejszym świecie, Niemcy pozostają zaangażowane w ochronę danych osobowych swoich obywateli, a przepisy takie jak dawna niemiecka federalna ustawa o ochronie danych (BDSG) są uważane za jedne z najbardziej rygorystycznych na świecie.

Poniższy przewodnik przeprowadzi Cię przez wszystkie przepisy dotyczące prywatności danych w Niemczech, dzięki czemu możesz podjąć najbardziej świadomą decyzję przy wyborze narzędzia do testowania A/B.

Kryteria wyboru dotyczące prywatności danych

Ustawa o ochronie danych, przyjęta po raz pierwszy w Niemczech w 1970 r., od tego czasu stała się kluczowym prawem człowieka, wspieranym przez organy ochrony danych w 16 krajach związkowych i federacji niemieckiej. Przy wyborze platformy do testów A/B ważne jest przestrzeganie następujących przepisów:

• Ogólne rozporządzenie UE o ochronie danych (RODO) (2018)
  
  
  • Wprowadzony w celu ochrony danych obywateli UE.
• Federalna ustawa o ochronie danych (BDSG) (2018)
  
  
  • Modyfikuje RODO, dopuszczając wyjątki od uprawnień indywidualnych przy przetwarzaniu danych osobowych pracowników.
• Ustawa federalna o rozporządzeniu o ochronie danych i prywatności w telekomunikacji i telemediach (TTDSG) (2021)
  
  
  • Łączy ustawę o telekomunikacji (1996) i ustawę o telemediach (2007), które zabraniają dostępu do danych telekomunikacyjnych (takich jak firmowe konta e-mail, telefony służbowe lub historia przeglądarek internetowych) i ustanawiają wymagania dotyczące zgody na pliki cookie zgodnie z art. 5 ust. 3 e-prywatności.
• e-Prywatność (Prawo o plikach cookie) (2002)
  
  
  • Zapewnia „prywatność i poufność w zakresie przetwarzania danych osobowych w sektorze komunikacji elektronicznej”.

Poniższe kryteria posłużą jako wskazówka przy wyborze zgodnej platformy do testów A/B w Niemczech

1. W jaki sposób firma przeprowadzająca testy A/B przygotowała się na zgodność danych?

Jak przygotowali się do przepisów RODO, BDSG i TTDSG?

Gdy zawęzisz najważniejsze wybory, upewnij się, że są w stanie krótko opisać procedurę, które obszary były zaangażowane i jakie środki zostały podjęte. Jeśli nie wszystkie zaplanowane środki zostały w pełni wdrożone, muszą być w stanie wyjaśnić stan ich realizacji.

Zapewni to przegląd zastosowanych podejść, a także ich samoocenę dotyczącą ich stanowiska w zakresie wdrażania różnych przepisów.

Typowe pytania, na które należy odpowiedzieć, to

1. Czy zaangażowane były wszystkie kluczowe działy firmy, które pracują z danymi osobowymi (np. zasoby ludzkie, IT, sprzedaż/obsługa klienta, marketing)?
2. Czy istnieją dowody na to, że przeprowadzono szkolenie w zakresie tych przepisów?
3. Czy wszystkie zaplanowane przez firmę działania zostały wdrożone?

Na przykład Convert opublikował publiczny plan działania, w którym jasno określamy, jakie działania zostały podjęte, aby zapewnić zgodność z RODO (dla każdego wymaganego artykułu).

Podobna mapa drogowa powinna być dostępna dla każdej platformy testów A/B, którą rozważasz.

2. Czy narzędzie do testów A/B posiada zapisy czynności przetwarzania?

Ważne jest, aby wybrane przez Ciebie narzędzie obejmowało wszystkie operacje biznesowe związane z przetwarzaniem danych osobowych w rejestrze czynności przetwarzania.

Zadaj sobie następujące pytania:

1. Czy jasne jest, że rejestr czynności przetwarzania jest regularnie przeglądany i aktualizowany w razie potrzeby?
2. Czy ten zapis odpowiada wymogom prawnym art. 30 RODO?
   
   
   1. Czy podają imię i nazwisko oraz dane kontaktowe osoby odpowiedzialnej?
   2. Czy podano cele przetwarzania?
   3. Czy opisano kategorie zainteresowanych osób (np. pracownicy, klienci itp.) oraz kategorie danych osobowych (np. dane podstawowe pracowników, dane kandydatów, dane kontaktowe klientów, dane dotyczące zdolności kredytowej itp.)?
   4. Czy składane jest oświadczenie o przekazaniu danych osobowych do państwa trzeciego lub do organizacji wewnętrznej?
   5. Czy wskazano przewidywane terminy usunięcia różnych kategorii danych?

Poniżej znajduje się przykład rekordów, które Convert przechowuje dla każdej czynności przetwarzania danych.

3. Na jakiej podstawie prawnej narzędzie do testów A/B przetwarza dane osobowe?

Zgodnie z art. 6 RODO powinny istnieć zgodne z prawem podstawy, na których firma opiera się na przetwarzaniu danych osobowych.

Zadaj następujące pytania:

1. Czy podstawy prawne są wymienione w ich Polityce Prywatności?
2. Czy oświadczenia o wyrażeniu zgody są łatwe do zrozumienia (tj. czy treść osoby, której dane dotyczą, jest jasna i prosta w wyjaśnieniu udzielenia zgody)?

Istnieje kilka legalnych podstaw, na których opiera się Convert, które zostały opublikowane w naszej polityce prywatności. Skupiają się na RODO i obejmują:

• Umowa : Wywiązujemy się z naszych zobowiązań umownych wobec Ciebie (na przykład gdy rejestrujesz się jako klient, kupujesz od nas lub korzystasz z naszych usług).
• Zgoda : klienci muszą wyrazić zgodę, zanim będziemy mogli wykorzystać ich dane osobowe w określony sposób (np. podczas włączania śledzenia w wielu domenach, dodawania wielu domen w ramach projektu, włączania segmentacji odbiorców lub prośby o dodatkowe rejestrowanie).
• Obowiązek prawny : Jesteśmy prawnie zobowiązani do dostarczenia określonych dokumentów (tj. kopii faktur i informacji o płatnościach).
• Uzasadniony interes: wykorzystujemy Twoje dane osobowe wyłącznie w sposób, którego można by oczekiwać, przy minimalnym wpływie na prywatność lub gdy istnieje przekonujące uzasadnienie.

4. Czy narzędzie do testowania A/B posiada ocenę wpływu na ochronę danych ?

DPIA (oceny wpływu na ochronę danych) pomagają organizacjom w identyfikacji, ocenie i łagodzeniu lub minimalizowaniu zagrożeń prywatności związanych z przetwarzaniem danych. Są one szczególnie ważne przy wprowadzaniu nowej techniki, systemu lub technologii przetwarzania danych.

DPIA promują również zasadę rozliczalności, ponieważ pomagają organizacjom w przestrzeganiu standardów RODO i wykazują, że podjęto wystarczające środki w celu zapewnienia zgodności.

Czy wiesz, że niewykonanie DPIA w razie potrzeby jest naruszeniem RODO, które może skutkować grzywną w wysokości do 2% rocznych globalnych przychodów organizacji lub 10 milionów euro, w zależności od tego, która z tych wartości jest wyższa?

W ramach projektu RODO firmy Convert, firma Convert opracowała wytyczne dla pracowników oraz szablon do wykorzystania przy przeprowadzaniu DPIA. Służy to zapewnieniu identyfikacji operacji przetwarzania, które niosą ze sobą wysokie ryzyko naruszenia praw i wolności osób, których to dotyczy.

5. Czy wyznaczono inspektora ochrony danych?

Podstawowym obowiązkiem inspektora ochrony danych (IOD) jest zapewnienie, że dane osobowe pracowników, klientów, dostawców lub innych osób (znanych również jako osoby, których dane dotyczą) są przetwarzane zgodnie z obowiązującymi przepisami o ochronie danych. RODO wymaga od każdej organizacji i organu UE ustanowienia inspektora ochrony danych.

Aby wyjaśnić kwalifikacje inspektora ochrony danych firmy oraz sposób ich integracji z organizacją, zadaj sobie pytanie:

1. Czy z dokumentów można wywnioskować aktualną i wystarczającą wiedzę specjalistyczną IOD? (Oceń ich szkolenie i dalsze kształcenie w zakresie ochrony danych, zakres/czas trwania ich doświadczenia w zakresie ochrony danych, ich szkolenie zawodowe (np. prawnik, informatyk) oraz ich udział w ustanowionych sieciach ochrony danych.
2. Czy opublikowano dane kontaktowe DPO? na stronie internetowej firmy? Czy łatwo tam znaleźć dane kontaktowe inspektora ochrony danych?

6. W jaki sposób firma przeprowadzająca testy A/B zapewnia terminowe zgłaszanie naruszeń ochrony danych organowi nadzorczemu?

Każda organizacja niemiecka jest zobowiązana, zgodnie z art. 33 RODO, do zapewnienia bezpieczeństwa danych osobowych i odpowiedniego reagowania w ciągu 72 godzin na naruszenia bezpieczeństwa danych (co może w niektórych przypadkach obejmować zgłaszanie naruszeń do inspektora ochrony danych).

Aby uniknąć niebezpieczeństwa obrażeń osób, szkód dla działalności operacyjnej oraz poważnych kosztów finansowych, prawnych i związanych z reputacją, bardzo ważne jest szybkie działanie w przypadku rzeczywistego, możliwego lub podejrzewanego naruszenia bezpieczeństwa lub poufności danych.

Szukając narzędzia do testowania A/B zgodnego z prywatnością, zadaj następujące pytania:

1. Czy proces zgłaszania naruszeń ochrony danych został przedstawiony w zrozumiały sposób?
2. Czy obowiązki (kto robi co) są jasno uregulowane w procesie raportowania?
3. Ι Czy 72-godzinny okres jest zauważalnie brany pod uwagę?
4. Czy jasne jest, że pracownicy zostali poinformowani o tym procesie?

Convert posiada własną Politykę eskalacji naruszenia danych osobowych, którą można zamówić pod adresem [email protected].

7. Gdzie narzędzie do testowania A/B przechowuje dane?

Austria niedawno zakazała korzystania z Google Analytics, ponieważ ich dane są przechowywane w Stanach Zjednoczonych, gdzie ochrona prywatności jest bardziej ograniczona. Znalezienie platformy testów A/B, która przechowuje dane legalnie w UE, jest najbezpieczniejszym rozwiązaniem.

Powinieneś być w stanie dowiedzieć się, gdzie dane są przechowywane w polityce prywatności organizacji. Ogólnie informacje o przechowywaniu danych znajdują się w sekcjach „podprzetwarzający” i „usługi stron trzecich”. Jeśli nie możesz łatwo znaleźć tych informacji lub są one niejasne, skontaktuj się z organizacją w celu uzyskania wyjaśnień.

8. Czy narzędzie do testowania A/B przestrzega ustawień Do Not Track (DNT)?

Dla użytkowników, którzy obawiają się o swoją prywatność, kilka przeglądarek ma funkcję „Nie śledź”, którą można włączyć, aby poinformować witryny i narzędzia analityczne, aby przestały śledzić zachowanie użytkownika.

Zasadniczo to ustawienie powinno uniemożliwiać przeglądarce użytkownika akceptowanie plików „cookie”, które informują marketerów i inne firmy o ich zwyczajach i zainteresowaniach online. Jednak strony internetowe nie są technicznie związane tymi ograniczeniami. Dlatego ważne jest, aby znaleźć narzędzie do testowania A/B, które dba o prywatność użytkowników i dokłada wszelkich starań, aby ich systemy spełniały te wymagania.

Convert obsługuje funkcję Nie śledź, ponieważ uważamy, że posiadanie prostej metody kontrolowania wykorzystania informacji użytkownika końcowego ma kluczowe znaczenie. Traktujemy DNT poważnie jako sygnał od Ciebie i Twoich użytkowników końcowych o tym, jak powinniśmy wykorzystywać dane.

Convert zapewnia użytkownikom następujące opcje:

1. Nie śledź (zrezygnuj ze śledzenia)
2. Śledź (włącz śledzenie)
3. Null (brak preferencji)

Domyślnie przeglądarki internetowe używają „Null”, co oznacza, że ​​użytkownik końcowy nie wyraził, czy chce być śledzony, czy nie. Po wybraniu opcji „Nie śledź”, Konwertuj nie ładuje skryptów/doświadczeń, a zamiast tego ładuje pozostałe dwie opcje.

W konfiguracji projektu znajduje się wiersz z napisem: „Szanuj ustawienia przeglądarki bez śledzenia”, który jest domyślnie wyłączony, ale można go zmienić za pomocą menu rozwijanego.

9. Czy narzędzie do testowania A/B pozwala na anonimowe śledzenie?

Anonimizacja umożliwia narzędziom do testów A/B zachowanie zgodności z RODO, przy jednoczesnym śledzeniu danych do raportowania. Zgodnie z wytycznymi RODO narzędzia do testowania A/B mogą zbierać określone dane, o ile są one „uczynione anonimowo w taki sposób, że osoba, której dane dotyczą, nie jest lub nie jest już możliwa do zidentyfikowania”. Jest to ważne dla firm, które chcą śledzić dane demograficzne, których nie można zidentyfikować.

Opcja anonimizacji danych w Konwertuj doświadczenia umożliwia Twojej witrynie wyczyszczenie wszystkich przychodzących i historycznych danych dotyczących nazw doświadczeń/wariacji grupowych użytkowników, umożliwiając zespołom marketingowym i IT przechowywanie niezbędnych danych śledzenia bez narażania prywatności.

10. Co narzędzie do testowania A/B przechowuje w swoich dziennikach serwera?

Zgodnie z RODO adres IP jest uważany za dane osobowe. Jeśli dzienniki serwera narzędzia do testowania A/B zawierają adresy IP odwiedzających, zawierają dane osobowe.

Oto podstawowe wytyczne dotyczące dzienników serwerów zgodnych z RODO:

1. Najprostszym rozwiązaniem pozwalającym na przechowywanie dzienników zgodnych z RODO jest nieutrzymywanie żadnych dzienników.
2. Jeśli wymagane są logi serwera, przechowuj je jak najkrócej. Utwórz zasadę rotacji dzienników serwera, która automatycznie usuwa starsze dzienniki.
3. Jeśli zbierają logi bez adresów IP lub innych danych osobowych, są zgodne z RODO.
4. Mogą zbierać logi bez zgody pod pewnymi warunkami, ale muszą o tym poinformować w swojej polityce prywatności.

Dzienniki na żywo w środowiskach konwersji śledzą interakcje użytkowników końcowych ze stronami internetowymi w czasie rzeczywistym. Przechwytują informacje, takie jak sygnatura czasowa, kiedy cel jest wyzwalany, typ zdarzenia, które zostało wyzwolone, odmiana wyświetlana użytkownikowi końcowemu i wiele więcej. Dzienniki na żywo są uważane za zgodne z RODO, ponieważ nie przechowują adresów IP ani żadnych innych danych umożliwiających identyfikację.

11. Kto jest właścicielem danych?

Jednym z podstawowych wymogów RODO jest zapewnienie odpowiednich pomiarów przetwarzania danych osobowych. Dane związane z transakcją konsumencką w UE muszą być fizycznie przechowywane w UE lub kraju, w którym obowiązują środki ochrony danych, które RODO uzna za odpowiednie (chyba że użytkownik wyrazi zgodę na przechowywanie swoich danych w innym miejscu).

Zasada ta stwarza pewne wyzwania dla firm spoza UE, chociaż niektóre z tych problemów można złagodzić za pomocą pakietu analitycznego z jasną polityką własności danych.

Convert zapewnia użytkownikom spokój ducha dzięki zdefiniowaniu deklaracji własności. Oznacza to, że „nie będziemy udostępniać żadnych danych stronom trzecim bez wyraźnej pisemnej zgody klienta” i „na żądanie usuniemy wszelkie dane dotyczące klientów, którzy zrezygnowali z usługi”.

12. Czy narzędzie do testowania A/B może być zintegrowane z Twoim obecnym stosem technologicznym?

Upewnij się, że nowe narzędzie do testowania A/B dobrze współpracuje z resztą Twojego stosu technologicznego, taką jak CMS (system zarządzania treścią) i platforma eCommerce. Połączenie obecnego stosu technologicznego z nowym rozwiązaniem może być kosztowne, więc pamiętaj, aby sporządzić listę wszystkich używanych obecnie narzędzi i sprawdzić, czy możesz odtworzyć te same integracje za pomocą nowego narzędzia, za pomocą integracji lub interfejsów API.

Prowadząc badanie, pamiętaj o następujących pytaniach:

1. Jak dobrze i jak szybko wybrane przez Ciebie narzędzie zintegruje się z resztą Twojego systemu, np. CRM?
2. Czy istnieją autoryzowane integracje umożliwiające takie połączenia? Jeśli nie, czy możesz zmodyfikować kod, aby działał dla Ciebie?
3. Czy w razie potrzeby można bez wysiłku przekonwertować dane na inne narzędzie?
4. Czy istnieją dowody na uzależnienie od dostawcy lub problemy z przeniesieniem danych do innego dostawcy?

13. Czy istnieje możliwość samodzielnego hostowania skryptu testów A/B?

Wybór między oprogramowaniem jako usługą (SaaS) a własnym hostingiem może być trudny. Biorąc pod uwagę koszty, łatwość i wygodę, sensowne jest, aby większość oprogramowania była dostarczana za pośrednictwem chmury. Jednak SaaS może nie być najlepszym wyborem dla niektórych firm i organizacji, takich jak rządy i banki.

Lokalne rozwiązanie do testowania A/B będzie najbardziej preferowaną opcją dla firm, które chcą mieć pełną kontrolę nad swoimi danymi i lokalizacją przechowywania. Będzie też najprostszy pod względem zgodności z RODO.

Zadaj sobie te wyjaśniające pytania:

1. Czy Twoje narzędzie do testowania A/B może korzystać z rozwiązania hostowanego w chmurze?
2. Czy masz zasoby, aby hostować narzędzie w swojej infrastrukturze?
3. Czy wiesz, jakie limity danych dotyczą Twojego planu?

14. Czy międzynarodowe transfery danych są dozwolone?

Transfery danych są teraz tak powszechne, że większość ludzi nawet nie zdaje sobie z tego sprawy. Mimo to mogą być kłopotliwe w radzeniu sobie z nimi i powinny być uzgodnione w oryginalnej umowie o gromadzenie danych (podobnie jak lokalizacja danych).

Do niedawna korporacje wykorzystywały ramy Tarczy Prywatności do przesyłania danych z UE i Szwajcarii do USA bez konieczności uzyskania uprzedniej zgody. Jednak w 2020 r. europejscy sędziowie orzekali, że amerykańskie zabezpieczenia danych są niewystarczające, co sprawia, że ​​ramy prawne są nieważne, chociaż te ryzykowne transfery danych nadal mają miejsce z innych powodów prawnych.

Aby uniknąć potencjalnych zagrożeń, firmy przeprowadzające testy A/B mogą stosować strategię ochrony danych w fazie projektowania (którą omówimy w następnej sekcji). W przeciwnym razie mogą po prostu poprosić o zgodę i określić, gdzie dane będą przechowywane i przenoszone.

15. Czy przestrzegana jest ochrona danych w fazie projektowania i domyślna?

Koncepcja ochrony prywatności w fazie projektowania leży u podstaw przyjaznych prywatności narzędzi do testowania A/B.

Wolimy zapobiegać naruszeniom prywatności niż zajmować się nimi po fakcie i stosujemy minimalizację danych i ograniczanie celu, aby pozostać proaktywnym.

Minimalizacja danych oznacza przetwarzanie tylko tych danych, które są niezbędne do osiągnięcia określonego celu, natomiast ograniczenie celu dotyczy określenia celu przetwarzania danych, ich zarejestrowania oraz poinformowania osób przed przetwarzaniem.

Po zebraniu i przetworzeniu dane powinny być przechowywane tylko przez czas wykonywania zadania, do którego zostały uzyskane.

Ochrona danych już w fazie projektowania wymaga stosowania zabezpieczeń technicznych i organizacyjnych na etapie planowania przetwarzania. Pozwala to organizacjom zapewnić od samego początku mechanizmy ochrony prywatności i bezpieczeństwa. Konkretne procedury różnią się w zależności od przypadku użycia, ale mogą obejmować anonimizację danych, monitorowanie danych lub dodanie nowych funkcji ochrony prywatności do oprogramowania do testowania A/B.

A więc, które platformy testowe A/B są przyjazne dla prywatności?

Jeśli szukasz sposobu na zbieranie i analizowanie danych ze swojej witryny, produktu cyfrowego lub aplikacji mobilnej w Niemczech, wybrana platforma ma kluczowe znaczenie.

Większość rozwiązań do testowania A/B nie została zbudowana z myślą o prywatności, i chociaż główne platformy radzą sobie z pewnymi rzeczami (jak anonimizacja danych i ich własność), to w innych obszarach (takich jak lokalizacja danych) zawodzą.

Na szczęście w dzisiejszych czasach istnieje duże zapotrzebowanie na oprogramowanie do testowania A/B, które pozwala na uruchamianie doświadczeń w witrynie przy jednoczesnym zachowaniu prywatności danych. Oznacza to, że obecnie dostępnych jest więcej narzędzi do testowania A/B przyjaznych dla prywatności niż kiedykolwiek wcześniej. Krótkie podsumowanie znajdziesz w poniższej tabeli z najważniejszymi danymi.