Nu vă lăsați depășiți de aceste 6 mituri GDPR

Publicat: 2018-03-12
Nu vă lăsați depășiți de aceste 6 mituri GDPR

Suntem la câteva luni înspăimântătoare de ziua implementării GDPR și internetul este plin de sfaturi proaste.

Numărul de postări pe blog și răspunsuri Quora pe care le-am văzut presărate de lumini verzi, care ar trebui să fie ROȘU, este uluitoare.

Și pe măsură ce noi, cei de la Convert, am petrecut din ce în ce mai mult timp învățând, citind și smulgându-ne părul peste această nouă, mare, importantă lege legislativă - cu atât mai mult creierul meu a început să tragă semnale de alarmă.

„Acest comportament standard al industriei este acum rău ”, se spune. „TREBUIE TREBUIE SĂ ÎI AVERTIZAȚI.”

Deci aici.

Acestea sunt cele 6 mari minciuni pe care oamenii le cred despre GDPR că oamenii greșesc și că toți trebuie să facem dreptate până pe 25 mai.

Mitul #1: Acest lucru afectează doar UE.

Doar daca.

Unul dintre cele mai ambițioase lucruri despre GDPR este modul în care extinde domeniul legislativ al politicilor de confidențialitate a datelor. Acum, există o legislație generală care stabilește regulile în întreaga UE.

Dar, dincolo de asta, GDPR contează pentru oricine se ocupă de datele cetățenilor UE.

Chiar dacă compania dumneavoastră are sediul în altă parte – dacă aveți vizitatori web care sunt cetățeni ai UE și îi urmăriți cu ajutorul modulelor cookie – trebuie să aplicați GDPR. Dacă colectați e-mailurile persoanelor vizate europene, dacă stocați adresa lor IP, dacă interacționați cu datele lor, sunteți obligat să respectați aceleași reguli noi ca oricine are un server din UE.

Și sincer, chiar dacă sunteți 100% sigur că nu vă ocupați de datele UE — respectarea GDPR este un pas bun în direcția cea bună. Legile privind confidențialitatea se schimbă peste tot. Canada lucrează la o nouă legislație cu Privacy Act.

Datele sunt, din ce în ce mai mult, o formă valoroasă de monedă. Ceea ce face ca legislația privind datele să fie mai importantă ca niciodată.

Mitul #2: Îmi pot justifica cookie-urile/e-mailurile reci/etc. din cauza „interesului legitim”.

Condiția interesului legitim este...complicată.

Deși vă poate lăsa (pe moment) puțin spațiu pentru unele tipuri de e-mailuri reci, nu este atât de util pe cât ar putea spera specialiștii în marketing.

Pentru a face un pic de rezervă — GDPR prezintă 6 condiții legale diferite pentru prelucrarea datelor. Cele două relevante pentru marketeri par să fie: consimțământul subiectului de date și „interesele legitime”.

Solicitarea consimțământului necesită să îndepliniți tot felul de condiții – trebuie să fie activ, clar, afirmativ etc.

Comparativ, „interesele legitime” pare o plimbare în parc. Dar intenția acestei clauze nu a fost „Am crezut în mod legitim că sunt interesați… așa că pot să le trimit ce vreau, nu?”

Iată ce vă recomandă ICO (organismul de reglementare a datelor din Regatul Unit) să confirmați înainte de a decide să procesați datele...

  • Am verificat că interesele legitime sunt cea mai potrivită bază.
  • Înțelegem responsabilitatea noastră de a proteja interesele individului.
  • Am efectuat o evaluare a intereselor legitime (LIA) și am ținut o evidență a acesteia, pentru a ne asigura că ne putem justifica decizia.
  • Am identificat interesele legitime relevante.
  • Am verificat că prelucrarea este necesară și nu există o modalitate mai puțin intruzivă de a obține același rezultat.
  • Am făcut un test de echilibrare și suntem încrezători că interesele individului nu prevalează asupra acestor interese legitime.
  • Folosim datele persoanelor fizice numai în moduri la care s-ar aștepta în mod rezonabil, cu excepția cazului în care avem un motiv foarte întemeiat.
  • Nu folosim datele oamenilor în moduri pe care le-ar considera intruzive sau care le-ar putea cauza prejudicii, cu excepția cazului în care avem un motiv foarte întemeiat.
  • Dacă procesăm datele copiilor, avem o grijă deosebită pentru a ne asigura că le protejăm interesele.
  • Am luat în considerare măsuri de protecție pentru a reduce impactul acolo unde este posibil.
  • Ne-am gândit dacă putem oferi o renunțare.
  • Dacă LIA nostru identifică un impact semnificativ asupra confidențialității, ne-am gândit dacă trebuie să efectuăm și o DPIA.
  • Ne menținem LIA sub revizuire și îl repetăm ​​dacă circumstanțele se schimbă.
  • Includem informații despre interesele noastre legitime în notificarea noastră de confidențialitate.

Deci, dacă doriți să vă bazați pe interese legitime, trebuie să confirmați aceste lucruri. Și trebuie să vă documentați procesul. Și trebuie să decideți din timp că procesați cu condiția intereselor legitime. Nu poate fi doar retragerea ta pentru că ai cerut consimțământul incorect.

Mitul #3: Trebuie să numesc un responsabil cu protecția datelor.

GDPR sfătuiește unele companii să numească un responsabil cu protecția datelor, pentru a supraveghea tranziția și securitatea datelor lor în continuare.

Iar puterile care sunt au destul de clar că autoritățile publice ar trebui să numească unul. Și companii a căror funcție principală include prelucrarea datelor sau monitorizarea sistematică a acestora. Și dacă procesați în mod regulat categorii speciale de date, cum ar fi datele privind sănătatea sau afilierile religioase și politice, probabil că ar trebui să aveți un DPO în echipa dvs.

Dar, în afară de aceste condiții, sincer, nu există o regulă strictă cu privire la momentul în care compania ta este suficient de mare pentru a obliga angajarea unui DPO. Sau când datele pe care le gestionați sunt suficient de complexe încât să aveți nevoie de una. 250 de angajați este o regulă generală, deseori aruncată.

În general, se pare că IMM-urile care vă prelucrează tipurile și cantitățile standard de date, în scopuri de marketing, se pot descurca cu niște sfaturi juridice solide și o dedicare aprofundată pentru transparența datelor.

Mitul #4: Aceasta este o modalitate bună de a cere consimțământul.

Aceasta fiind…

Nu! Consimțământul trebuie să fie activ. Nu vă puteți lăsa casetele pre-bifate

Nu! Consimțământul trebuie să fie activ. Nu vă puteți lăsa casetele pre-bifate.

Nu! Asta este gruparea. Trebuie să solicitați consimțământul pentru procese separate

Nu! Asta înseamnă grupare. Trebuie să solicitați consimțământul pentru procese separate, separat. Nu puteți doar să adăugați abonamente la „buletinul informativ lunar” cu înscrieri la evenimente.

Nu! Numiți-vă terții sau nu contează!

Nu! Numiți-vă terții sau nu contează!

Nu, cookie-urile persistente au nevoie de consimțământ explicit și activ acum.

Nu, cookie-urile persistente au nevoie de consimțământ explicit și activ acum. Ca și în, cineva trebuie să facă clic pe un lucru sau să bifeze o casetă care spune „Sunt de acord”. Ei nu o dau doar continuând să navigheze.

Și nuanțele continuă.

Important este: regulile de consimțământ nu mai sunt ceea ce erau înainte.

Pentru mai multe despre ceea ce sunt acum, avem o defalcare mai substanțială aici.

Mitul #5: Acestea nu sunt date personale.

GDPR a extins domeniul de aplicare al datelor cu caracter personal, de la ceea ce era recunoscut anterior drept „Informații personale de identificare”.

Vă prezentăm cu umilință acest tabel util:

Date personale de identificare (PII)
Date personale
  • Numele complet (dacă nu este comun)
  • Adresa de acasa
  • Adresa de e-mail
  • Cod Numeric Personal
  • Numarul pasaportului
  • Numărul plăcuței de înmatriculare a vehiculului
  • Numărul permisului de conducere
  • Față, amprente sau scris de mână
  • Numerele cardurilor de credit
  • Identitatea digitală
  • Data de nastere
  • Locul naşterii
  • Informații genetice
  • Număr de telefon
  • Nume de conectare, nume de ecran, porecla sau mâner
  • Numele complet (dacă nu este comun)
  • Adresa de acasa
  • Adresa de e-mail
  • Cod Numeric Personal
  • Numarul pasaportului
  • Numărul plăcuței de înmatriculare a vehiculului
  • Numărul permisului de conducere
  • Față, amprente sau scris de mână
  • Numerele cardurilor de credit
  • Identitatea digitală
  • Data de nastere
  • Locul naşterii
  • Informații genetice
  • Număr de telefon
  • Nume de conectare, nume de ecran, porecla sau mâner

+

  • Adresa IP
  • Identificatori unici, cum ar fi ID-uri dispozitiv, ID utilizator, ID tranzacție, ID cookie
  • Date pseudonime (aceasta sunt date de nerecunoscut + cheie în alt loc pentru a le face din nou lizibile)

Cele mai importante de notat aici sunt prăjiturile, care sunt puțin complicate. Exact ce tipuri de cookie-uri vor fi considerate date personale, vor fi stabilite prin noile Regulamente ePrivacy.

În acest moment, există câteva excepții pentru cookie-uri în „sectorul performanței”. Acestea sunt tipurile care colectează doar informații despre utilizarea site-ului web, în ​​beneficiul operatorului site-ului web. Ei nu identifică vizitatorii, ci mai degrabă se bazează pe date agregate.

Puteți găsi o analiză profundă a modului în care GDPR va reglementa cookie-urile aici.

Mitul #6: Atâta timp cât îmi actualizez procesele până pe 25 mai, sunt în clar.

Ca agent de marketing, aceasta este condiția GDPR care mă face să vreau să-mi smulg părul.

Se aplică retroactiv.

Se aplică tuturor datelor dvs. existente.

Adică, dacă ați colectat e-mailuri, sau ați rulat cookie-uri sau ați încurcat cu orice date personale într-un mod care nu este conform GDPR, toate datele stocate devin o problemă începând cu 25 mai.

Iti recomandam:

  1. Indiferent dacă modulele cookie ale site-ului dvs. rulează pe o durată de viață de 3, 6 sau 12 luni, este o idee bună să le începeți de la capăt și să ștergeți oricare dintre datele personale pe care le-au stocat.
  2. Rulați o campanie de re-permisiune, pentru a încerca să vă salvați lista de e-mail existentă.

Este o durere de cap. Și este o dezamăgire să pierzi unele dintre acele contacte pe care te-ai luptat din greu să le câștigi.

Dar, după cum se spune…

Uneori, lucrurile se destramă, astfel încât lucrurile mai bune se pot prăbuși împreună și, de asemenea, confidențialitatea datelor este importantă, așa că ar trebui să respectăm cu toții legea.

Gustați unul dintre cele mai sensibile instrumente de testare A/B de confidențialitate
Gustați unul dintre cele mai sensibile instrumente de testare A/B de confidențialitate