Impactul GDPR asupra colectării datelor CRO: o recapitulare rapidă

Baza optimizării ratei de conversie pe orice site web este colectarea și analiza sistematică a datelor referitoare la vizitatorii care interacționează cu site-ul.

Colectarea datelor despre utilizatori este crucială pentru a evalua modul în care vizitatorii folosesc, înțeleg și apreciază diferitele părți ale unui site web. Cu toate acestea, în conformitate cu Regulamentul general privind protecția datelor (GDPR), care a fost introdus de parlamentul european în aprilie 2016 și în cele din urmă pus în aplicare în mai 2018, colectarea și prelucrarea datelor cu caracter personal în Uniunea Europeană au devenit unificate și limitate.

În termeni simpli, companiile nu mai pot colecta și tezaurizează date fără un motiv întemeiat. De asemenea, nu pot prelucra datele așa cum doresc. Și, în sfârșit, datele vin acum cu o dată de expirare. Este necesar să curățați în mod regulat datele care nu sunt folosite pentru a îmbunătăți experiența utilizatorilor și clienților în moduri tangibile.

Scopul GDPR este de a armoniza legile privind confidențialitatea datelor în Uniunea Europeană, de a consolida drepturile cetățenilor UE la confidențialitatea datelor și de a preveni încălcarea datelor. Organizațiile care nu respectă GDPR pot fi amendate cu până la 4% din cifra de afaceri anuală sau cu până la 20 de milioane de euro (oricare dintre acestea este mai mare).

Au fost deja aplicate amenzi. De exemplu, Biroul Comisarului pentru Informații (ICO) a anunțat o amendă de 183,39 milioane de lire sterline pentru British Airways din cauza unei încălcări a datelor care a compromis datele personale ale a 500.000 de clienți și a unei încălcări a GDPR.

Astfel, motto-ul general conform GDPR este cu cât adunați mai puține informații personale despre utilizatori, cu atât mai bine . Dar înseamnă asta că colectarea datelor despre utilizatori de la cetățenii UE în scopul optimizării ratei de conversie este imposibilă fără a risca amenzi mari în temeiul GDPR?

Nu neaparat.

Dacă colectați date personale ale unui cetățean al UE prin instrumente de urmărire, cookie-uri, software de procesare sau programe de evaluare a datelor, trebuie să știți ce fel de date sunt colectate, unde vor fi stocate, cum sunt procesate și când vor fi în cele din urmă șterse. . Necesitatea unei schimbări în mentalitatea generală a întreprinderilor și organizațiilor de a deține datele personale ale persoanelor fizice s-a intensificat în ultimii ani.

Secțiunea de portabilitate a datelor cu caracter personal din GDPR prevede că nicio companie nu poate deține datele unei persoane și că persoana vizată are dreptul de a-și partaja datele cu o altă organizație. Astfel, conform GDPR, întreprinderile și organizațiile sunt obligate din punct de vedere legal să obțină un acord de consimțământ pentru colectarea și prelucrarea datelor vizitatorilor site-ului lor. În plus, trebuie să scrieți formularul de consimțământ în cuvinte simple, pentru a explica clar de ce colectați datele și pentru ce le veți folosi.

La prima vedere, acest lucru sună copleșitor și dificil de executat zilnic. Cu toate acestea, acest articol vă va ajuta să faceți față cerințelor GDPR.

În plus, articolul vă va oferi o imagine de ansamblu asupra a ceea ce sunt considerate date personale în conformitate cu GDPR, cum puteți deveni conform cu GDPR în timp ce colectați date personale în scopul optimizării ratei de conversie (CRO) și modul în care GDPR afectează instrumentele CRO obișnuite care sunt folosit pentru optimizarea site-urilor web.

Ce reprezintă datele personale?

Articolul 4 din GDPR definește ce reprezintă date cu caracter personal.

Datele cu caracter personal sunt orice formă de informație care poate identifica direct sau indirect o persoană fizică. O persoană fizică este o persoană care locuiește în UE. Cel mai simplu mod de a identifica o persoană este, în general, prin numele complet. Dar pot exista mai multe persoane cu același nume care trăiesc în UE. Cu toate acestea, o combinație de diferite puncte de date poate fi suficientă pentru a identifica un anumit individ. Punctele de date identificabile ar putea fi, de exemplu, numele, locația, adresa de e-mail, informațiile de conectare, adresa IP și identificatorii unici, cum ar fi ID-urile utilizatorului sau ID-urile tranzacției.

În timp ce citiți ultima secțiune, probabil ați observat că majoritatea instrumentelor de optimizare a ratei de conversie utilizate în mod obișnuit colectează și procesează punctele de date identificabile menționate. Dar sunteți responsabil să vă asigurați că instrumentele terțelor de prelucrare a datelor sunt conforme cu reglementările UE privind protecția datelor?

Instrumente CRO terțe: Cum să lucrați cu ele

GDPR descrie că procesul de colectare a datelor este condus de două entități diferite: „controlerul” de date și „procesorul de date”. Operatorul de date decide scopul, domeniul de aplicare și intenția datelor colectate. Prin urmare, operatorii de date sunt proprietarii site-ului web în majoritatea cazurilor. Procesatorii de date, pe de altă parte, prelucrează datele colectate pentru a îndeplini un scop predeterminat în numele operatorului de date.

Procesoarele de date sunt, în general, instrumente CRO terțe, cum ar fi hărți termice, instrumente de testare, analize de formulare sau instrumente de testare A/B. Înainte de a putea fi utilizat orice instrument terță parte, un acord cu privire la ceea ce este permis să facă instrumentul terță parte în numele proprietarului site-ului web trebuie să fie aprobat de proprietarul site-ului web.

Aceasta înseamnă că un instrument terță parte ca procesator de date acționează ca o extensie a operatorului de date.

Regulamentul general de protecție a datelor prevede că un operator de date este responsabil din punct de vedere legal pentru acțiunile operatorului de date. Astfel, dacă operatorul de date sub forma unui instrument CRO terță parte nu respectă GDPR, operatorul de date la rândul său este la fel de neconform și se poate confrunta cu sancțiuni. Astfel, este recomandabil să verificați ce fel de date colectează pentru dvs. instrumentele de marketing și de urmărire pe care le utilizați pentru site-ul dvs.

Acum probabil vă întrebați: „Care sunt responsabilitățile mele conform GDPR? Și ce măsuri ar trebui menționate în acordul dintre proprietarul site-ului web și instrumentul terț de prelucrare a datelor pentru a asigura conformitatea cu GDPR?” Următoarea listă de verificare vă va oferi o imagine de ansamblu rapidă a celor mai importante cerințe GDPR pentru instrumente terțe, precum și a propriilor cerințe.

Lista de verificare pentru cerințele GDPR ale instrumentelor terțe

• Acord actualizat de prelucrare a datelor cu o secțiune adăugată GDPR
• Contractul ar trebui să menționeze că aceștia vor acționa numai conform instrucțiunilor dumneavoastră documentate
• Durata, scopul, stocarea și procesul metodei de prelucrare a datelor
• Înregistrările consimțământului vizitatorilor site-ului trebuie păstrate pe o perioadă scurtă de timp, care este prevăzută de cerințele GDPR
• Măsurile de securitate a datelor ar trebui să fie menționate în acordul instrumentului terță parte
• Operatorul de date trebuie să asiste operatorul de date în drepturile utilizatorului de a accesa datele stocate, în retragerea consimțământului dat și în dreptul de a fi uitat și de a șterge anumite informații.
• Instrumentul terță parte ar trebui să precizeze ce tip de date cu caracter personal vor fi colectate și prelucrate
• În acordul dintre operatorul de date și operatorul de date, ar trebui inclusă o secțiune care descrie drepturile și obligațiile fiecărei părți.

Lista de verificare pentru cerințele GDPR ale proprietarilor de site-uri web

• Auditul informațiilor: Ce date personale colectați/prelucrați/stocați?
• Să aibă o justificare legală pentru colectarea datelor cu caracter personal (Art. 6, 7-11)
• Nu păstrați datele mai mult decât este necesar (Art.5)
• Obțineți consimțământul pentru colectarea datelor cu caracter personal și stocați consimțământul pentru dovada consimțământului dat printr-o opțiune activă de înscriere (Art. 4)
• Criptați și pseudonimizați datele personale oriunde este posibil (Art. 32)
• Facilități clienților dumneavoastră să își retragă consimțământul, colectarea și posibila ștergere a datelor lor colectate (Art. 15, 17, 18, 21)
• Denumiți instrumentele terțe care au acces sau colectează date personale în numele dvs
• Urmați restricțiile pentru transferurile de date cu caracter personal către țări din afara SEE (Art. 44-50)

Conformitatea GDPR: impact posibil asupra experienței și ratei de conversie

Conform GDPR, toate datele colectate ar trebui făcute astfel după obținerea consimțământului explicit al utilizatorului . Există două moduri în care acest lucru poate fi potențial dăunător pentru afaceri:

• Formularele nu mai pot veni cu consimțământul încorporat (căsuțe pre-bifate) și trebuie să solicite consimțământ pentru fiecare tip separat de prelucrare a datelor. Așadar, pe scurt, dacă un browser s-a înscris pentru lead magnet, nu începe automat să-și viziteze căsuța de e-mail cu buletinul informativ. Acest lucru nu numai că reduce numărul de puncte de contact cu potențiali, dacă formularele nu sunt concepute având în vedere UX, opțiunile de consimțământ pot induce frustrare și oboseală, ducând la rate mai slabe de finalizare/depunere.

• Ferestre pop-up pentru consimțământul cookie-urilor . Această postare a lui Convert dezvăluie diferitele tipuri de cookie-uri care pot fi utilizate pe un site și cum să obțineți permisiunea pentru utilizarea lor din trafic. În cazul în care cookie-ul pe care îl aveți în minte necesită un încuviințare din cap din partea browserelor site-ului, atunci formularele de consimțământ oribile pentru cookie-uri sunt calea de urmat. Majoritatea instrumentelor au propriile bannere de consimțământ pentru cookie-uri cu opțiuni de personalizare foarte limitate. Instrumentele agregate care permit consolidarea consimțământului cookie-urilor pentru diferite soluții sunt inadecvate și necesită utilizatorilor să facă clic sau să navigheze în afara paginii existente pentru a se înscrie sau a renunța.

Deși nu a fost efectuată nicio cercetare oficială cu privire la scăderea traficului, a angajamentului sau a ratelor de îndeplinire a obiectivelor, înainte și după GDPR, majoritatea companiilor au avut de suferit.

Cu toate acestea, această suferință a dat naștere nevoii de a investi în tehnici de optimizare a ratei de consimțământ și în design și UX mai bune – elemente care, în cele din urmă, vor îmbunătăți modul în care companiile interacționează cu clienții potențiali și îi vor parcurge ciclul de cumpărare/consum.

GDPR și legile cu privire la confidențialitatea datelor care se conturează în întreaga lume sunt pași în direcția către un viitor digital mai privat și mai liber – dar este vital ca soluțiile tehnice pentru aplicarea acestor legi să fie echilibrate și nuanțate, pentru ca ei să nu rupă economiile Internetului care finanțează părțile gratuite și universale ale acestuia, pe care cu toții le prețuim și dorim să le protejăm.

Daniel Johannsen, CEO Cybot, creatorii Cookiebot.

Stocarea, ștergerea și clasificarea datelor cu caracter personal

O altă cerință GDPR care poate afecta colectarea datelor în scopuri CRO este stocarea și prelucrarea datelor cu caracter personal. Acest lucru poate fi deosebit de complicat, deoarece multe instrumente CRO stochează date personale și multe părți pot fi implicate în procesul de analiză a datelor. Astfel, depinde de câte instrumente CRO folosiți pentru site-ul dvs. web, dar este posibil să restricționați stocarea pe termen lung a datelor personale în instrumentele CRO utilizate.

Necesitatea ștergerii datelor colectate și păstrate de organizații sau întreprinderi este dezbătută de mulți ani. Conform GDPR, o persoană poate solicita ștergerea datelor cu caracter personal fără întârziere. Cu toate acestea, nu este complet clar modul în care organizațiile ar trebui să prezinte o dovadă a ștergerii datelor, deoarece acest lucru ar da naștere la întrebări despre confidențialitatea datelor și politicile companiei.

Un alt punct care trebuie abordat este clasificarea adecvată a datelor cu caracter personal. Ca organizație, trebuie să știți ce tip de date trebuie să colectați pentru a vă conduce afacerea cu succes.

Reglementările de colectare a datelor din GDPR descriu importanța ca întreprinderile să colecteze date personale doar cu o justificare legală. În total, există 6 baze legale pentru colectarea datelor: Consimțământ, contract, obligație legală, interese vitale, sarcină publică și interese legitime. O justificare legală comună pentru colectarea și prelucrarea datelor cu caracter personal este un interes legitim. Aceasta ar putea fi, de exemplu, prelucrarea datelor în scopuri de redirecționare sau de marketing direct (considerentul 47). Acest lucru va restricționa, de asemenea, utilizarea neautorizată a datelor cu caracter personal de către instrumente terțe și, prin urmare, va reduce riscul de furt de date.

Concluzie:

Cerințele obligatorii GDPR pot afecta parțial procesul de colectare a datelor pentru optimizarea ratei de conversie. În special volumul datelor colectate este afectat de formularul de consimțământ „opt-in” de pe site-uri web. În plus, instrumentele CRO ale terților care colectează date pentru dvs. trebuie verificate, astfel încât să puteți verifica dacă cele mai importante cerințe GDPR sunt incluse în acord, deoarece sunteți răspunzător pentru potențialele încălcări ale GDPR de la terți.

În general, totuși, acestea sunt schimbări pozitive care vor da roade sub forma unor interacțiuni mai libere între clienți potențiali și mărci – fără teama care stă la baza utilizării greșite a datelor. Orice scădere a ratelor de conversie în prezent va fi compensată, pe măsură ce mărcile conștiente se vor conforma și investesc în dezvoltarea practicilor care se concentrează pe ca procesul de obținere a consimțământului să fie cât mai nedureros (și chiar încântător) posibil.