Cum să alegeți un instrument de testare A/B care respectă confidențialitatea (Ghidul nostru pentru optimizatorii germani)

Consumatorii câștigă mai multă conștientizare și control asupra informațiilor lor personale, pe măsură ce legile privind confidențialitatea intră în vigoare la nivel mondial. UE, de exemplu, a adoptat regulamentul general privind protecția datelor (GDPR) în 2018, pentru a înăspri reglementările privind confidențialitatea datelor, iar California a aplicat Legea privind confidențialitatea consumatorilor din California (CCPA) în 2020.

Companiile de testare A/B iau acum măsuri suplimentare pentru a respecta aceste noi reguli. De exemplu, mulți le cer utilizatorilor consimțământul înainte de a-i adăuga pe o listă de corespondență, oferind declarații de confidențialitate și dezvăluiri ușor accesibile și oferind utilizatorilor posibilitatea de a accesa, modifica sau șterge informațiile personale.

În ciuda lipsei de confidențialitate digitală în lumea de astăzi, Germania rămâne angajată în protecția datelor cu caracter personal ale cetățenilor săi, legi precum fosta Lege federală germană privind protecția datelor (BDSG) fiind considerată una dintre cele mai stricte din lume.

Următorul ghid vă va ghida prin fiecare dintre legile privind confidențialitatea datelor din Germania, astfel încât să puteți lua cea mai informată decizie atunci când selectați un instrument de testare A/B.

Criterii de selecție pentru confidențialitatea datelor

Legea privind protecția datelor, adoptată pentru prima dată în Germania în 1970, a devenit de atunci un drept cheie al omului, susținut de autoritățile de protecție a datelor din cele 16 state și federații germane. Este important să respectați următoarele legi atunci când selectați o platformă de testare A/B:

• Regulamentul general al UE privind protecția datelor (GDPR) (2018)
  
  
  • Creat pentru a proteja datele cetățenilor UE.
• Legea federală privind protecția datelor (BDSG) (2018)
  
  
  • Modifică GDPR, permițând excepții de la drepturile individuale atunci când se manipulează datele personale ale angajaților.
• Legea federală privind reglementarea protecției datelor și a confidențialității în telecomunicații și telemedia (TTDSG) (2021)
  
  
  • Combină Telecommunications Act (1996) și Telemedia Act (2007), care interzic accesul la datele de telecomunicații (cum ar fi conturile de e-mail de afaceri, telefoanele de afaceri sau istoricul browserelor de internet) și stabilesc cerințe de consimțământ pentru cookie-uri în conformitate cu articolul 5 alineatul (3) de ePrivacy.
• ePrivacy (Legea cookie-urilor) (2002)
  
  
  • Asigură „confidențialitatea și confidențialitatea, cu privire la prelucrarea datelor cu caracter personal în sectorul comunicațiilor electronice”.

Următoarele criterii vor servi drept ghid atunci când alegeți o platformă de testare A/B care este conformă în Germania

1. Cum s-a pregătit compania de testare A/B pentru conformitatea datelor?

Cum s-au pregătit pentru legile GDPR, BDSG și TTDSG?

Odată ce ați restrâns opțiunile de top, asigurați-vă că acestea sunt capabile să descrie pe scurt procedura, ce domenii au fost implicate și ce măsuri au fost inițiate. Dacă nu toate măsurile planificate au fost implementate pe deplin, acestea trebuie să poată explica stadiul implementării lor.

Aceasta vă va oferi o imagine de ansamblu asupra abordărilor utilizate, precum și autoevaluarea acestora cu privire la poziția lor cu privire la modul de implementare a diferitelor legi.

Întrebările frecvente la care se răspunde sunt

1. Au fost implicate toate departamentele esențiale ale companiei care lucrează cu date personale (de exemplu, resurse umane, IT, vânzări/suport clienți, marketing)?
2. Există dovezi că s-a efectuat instruire cu privire la aceste legi?
3. Au fost implementate toate măsurile planificate de companie?

De exemplu, Convert a postat o foaie de parcurs publică, în care precizăm clar ce acțiuni au fost întreprinse pentru a deveni conform GDPR (pentru fiecare articol necesar).

O foaie de parcurs similară ar trebui să fie prezentă pentru fiecare platformă de testare A/B pe care o considerați.

2. Instrumentul de testare A/B are înregistrări ale activităților de procesare?

Este important ca instrumentul pe care îl selectați să includă toate operațiunile lor de afaceri de prelucrare a datelor cu caracter personal într-un registru al activităților de prelucrare.

Întrebați-vă următoarele:

1. Este clar că evidența activităților de prelucrare este revizuită și actualizată în mod regulat acolo unde este necesar?
2. Această înregistrare corespunde cerințelor legale ale articolului 30 GDPR?
   
   
   1. Furnizează numele și datele de contact ale persoanei responsabile?
   2. Sunt precizate scopurile prelucrării?
   3. Sunt descrise categoriile de persoane vizate (de exemplu, angajați, clienți etc.) și categoriile de date cu caracter personal (de exemplu, datele de bază ale angajaților, datele solicitantului, datele de contact ale clienților, datele de bonitate etc.)?
   4. Se face o declarație cu privire la transferul de date cu caracter personal către o țară terță sau către o organizație internă?
   5. Sunt indicate termenele preconizate pentru ștergerea diferitelor categorii de date?

Mai jos este un exemplu de înregistrări pe care Convert le păstrează pentru fiecare activitate de prelucrare a datelor.

3. Pe ce bază legală instrumentul de testare A/B prelucrează datele personale?

Conform articolului 6 GDPR, ar trebui să existe baze legale pe care compania se bazează pentru a prelucra datele cu caracter personal.

Pune următoarele întrebări:

1. Bazele legale sunt menționate în Politica lor de confidențialitate?
2. Sunt declarațiile de consimțământ ușor de înțeles (adică conținutul persoanei vizate este clar și simplu atunci când se explică acordarea consimțământului)?

Există mai multe baze legale pe care se bazează Convert, care sunt publicate în politica noastră de confidențialitate. Acestea sunt centrate în jurul GDPR și includ

• Contract : Ne îndeplinim responsabilitățile contractuale față de dvs. (când vă înregistrați ca client, cumpărați de la noi sau folosiți serviciile noastre, de exemplu).
• Consimțământ : clienții trebuie să fie de acord înainte de a putea folosi informațiile lor personale într-un mod specific (adică când activăm urmărirea pe mai multe domenii, adăugăm mai multe domenii într-un proiect, activăm segmentarea publicului sau solicită înregistrarea suplimentară).
• Obligație legală : Suntem obligați legal să furnizăm anumite documente (adică copii ale facturilor și informații despre plăți).
• Interes legitim: utilizăm datele dumneavoastră cu caracter personal numai în moduri la care v-ați aștepta, cu un impact minim asupra confidențialității sau în cazul în care există o justificare convingătoare.

4. Instrumentul de testare A/B are o evaluare a impactului privind protecția datelor ?

DPIA (evaluările impactului privind protecția datelor) ajută organizațiile să identifice, să evalueze și să atenueze sau să minimizeze riscurile legate de confidențialitate asociate cu prelucrarea datelor. Acestea sunt deosebit de importante atunci când se introduce o nouă tehnică, sistem sau tehnologie de procesare a datelor.

DPIA promovează, de asemenea, principiul răspunderii, deoarece ajută organizațiile să respecte standardele GDPR și să demonstreze că au fost luate măsuri suficiente pentru a asigura conformitatea.

Știați că nerespectarea unei DPIA atunci când este necesar este o încălcare a GDPR care poate duce la amenzi de până la 2% din veniturile globale anuale ale unei organizații sau 10 milioane EUR, oricare dintre acestea este mai mare?

Ca parte a proiectului GDPR al lui Convert, Convert a dezvoltat îndrumări pentru personal și un șablon care să fie utilizat pentru a efectua DPIA. Aceasta asigură identificarea operațiunilor de prelucrare cu un risc ridicat preconizat pentru drepturile și libertățile celor afectați.

5. Este numit un responsabil cu protecția datelor?

Responsabilitatea principală a responsabilului cu protecția datelor (DPO) este să se asigure că datele cu caracter personal ale angajaților, clienților, furnizorilor sau altor persoane ale organizației sale (cunoscute și ca persoane vizate) sunt prelucrate în conformitate cu regulile aplicabile de protecție a datelor. GDPR impune fiecărei organizații și organism din UE să înființeze un DPO.

Pentru a clarifica calificările responsabilului cu protecția datelor al unei companii și modul în care acestea sunt integrate în organizație, întrebați-vă:

1. Din documente pot fi deduse cunoștințele de specialitate actuale și suficiente ale RPD? (Evaluați pregătirea și educația ulterioară în protecția datelor, amploarea/durata experienței lor în protecția datelor, pregătirea lor profesională (de exemplu avocat, informatician) și participarea lor la rețelele stabilite de protecție a datelor.
2. Există o publicare a datelor de contact ale DPO? pe site-ul companiei? Datele de contact ale DPO sunt ușor de găsit acolo?

6. Cum se asigură compania de testare A/B că raportează în timp util încălcările privind protecția datelor către Autoritatea de supraveghere?

Fiecare organizație germană este obligată, conform articolului 33 GDPR, să păstreze datele cu caracter personal în siguranță și să răspundă în mod corespunzător, în termen de 72 de ore, la încălcările securității datelor (care pot include raportarea încălcărilor către responsabilul cu protecția datelor în unele cazuri).

Pentru a evita pericolul de vătămare a persoanelor, deteriorarea afacerii operaționale și costuri financiare, juridice și reputaționale grave, este esențial să acționați rapid în cazul oricăror încălcări reale, posibile sau suspectate ale securității sau confidențialității datelor.

Când căutați un instrument de testare A/B care respectă confidențialitatea, adresați-vă următoarele întrebări:

1. Procesul de raportare a încălcărilor protecției datelor a fost prezentat într-o manieră inteligibilă?
2. Sunt responsabilitățile (cine face ce) reglementate clar în procesul de raportare?
3. Se ia în considerare în mod vizibil perioada de 72 de ore?
4. Este clar că angajații au fost informați cu privire la acest proces?

Convert are propria sa Politică de escaladare a încălcării datelor cu caracter personal, care poate fi solicitată la [email protected].

7. Unde stochează datele instrumentul de testare A/B?

Austria a interzis recent utilizarea Google Analytics deoarece datele lor sunt stocate în Statele Unite, unde protecția vieții private este mai limitată. Găsirea unei platforme de testare A/B care stochează datele în mod legal în UE este cel mai sigur pariu.

Ar trebui să puteți afla unde sunt păstrate datele în politica de confidențialitate a organizației. În general, informațiile de stocare a datelor se află în secțiunile „sub-procesori” și „servicii terților”. Dacă nu puteți găsi aceste informații cu ușurință sau nu sunt clare, contactați organizația pentru clarificări.

8. Instrumentul de testare A/B respectă setările Do Not Track (DNT)?

Pentru utilizatorii care sunt îngrijorați de confidențialitatea lor, mai multe browsere au o funcție „Nu urmăriți”, care poate fi activată pentru a spune site-urilor web și instrumentelor de analiză să nu mai urmărească comportamentul utilizatorilor.

În principiu, această setare ar trebui să împiedice browserul unui vizitator să accepte „cookie-uri” care informează marketerii și alte companii despre obiceiurile și interesele lor online. Cu toate acestea, site-urile web nu sunt supuse acestor restricții din punct de vedere tehnic. Prin urmare, este important să găsiți un instrument de testare A/B care să țină cont de confidențialitatea utilizatorilor și să depună eforturi suplimentare pentru a se asigura că sistemele lor respectă aceste cerințe.

Convert acceptă Do Not Track, deoarece considerăm că este esențial să existe o metodă simplă de a controla modul în care sunt utilizate informațiile utilizatorului final. Luăm în serios DNT ca un semnal din partea dvs. și a utilizatorilor dvs. finali cu privire la modul în care ar trebui să folosim datele.

Convert oferă utilizatorilor următoarele opțiuni:

1. Nu urmăriți (Renunțați la urmărire)
2. Urmăriți (Activați urmărirea)
3. Null (Fără preferință)

În mod implicit, browserele web folosesc „Null”, indicând faptul că utilizatorul final nu a exprimat dacă dorește să fie urmărit sau nu. Când se alege „Nu urmări”, Convert nu încarcă scripturile/experiențele, ci în schimb încarcă celelalte două opțiuni.

În Configurația proiectului, există un rând care spune: „Respectați nu urmăriți setările browserului”, care este dezactivat implicit, dar poate fi modificat folosind meniul drop-down.

9. Instrumentul de testare A/B permite urmărirea anonimizată?

Anonimizarea permite instrumentelor de testare A/B să respecte GDPR, în timp ce urmăresc datele pentru raportare. Conform ghidurilor GDPR, instrumentele de testare A/B pot aduna anumite date atâta timp cât acestea sunt „redate anonime în așa fel încât persoana vizată să nu fie sau să nu mai poată fi identificată”. Acest lucru este important pentru companiile care doresc să țină evidența datelor demografice care nu pot fi identificate personal.

Opțiunea de anonimizare a datelor din Conversia experiențe permite site-ului dvs. web să curețe toate datele primite și istorice despre numele experiențelor/variațiilor grupate ale vizitatorilor dvs., permițând echipelor de marketing și IT să păstreze datele de urmărire esențiale fără a pune în pericol confidențialitatea.

10. Ce păstrează instrumentul de testare A/B în jurnalele sale de server?

Conform GDPR, o adresă IP este considerată date cu caracter personal. Dacă jurnalele de server ale instrumentului dvs. de testare A/B conțin adresele IP ale vizitatorilor dvs., acestea conțin date personale.

Iată regulile de bază pentru jurnalele de server conforme cu GDPR:

1. Cea mai simplă soluție pentru a păstra jurnalele conforme cu GDPR este să nu păstrezi jurnalele.
2. Dacă sunt necesare jurnalele de server, păstrați-le pentru cât mai puțin timp posibil. Creați o politică de rotație a jurnalelor de server care șterge automat jurnalele mai vechi.
3. Dacă colectează jurnale fără adrese IP sau alte date personale, sunt conforme cu GDPR.
4. Ei pot colecta jurnalele fără consimțământ în anumite condiții, dar trebuie să vă informeze despre acest lucru în politica lor de confidențialitate.

Jurnalele live în Experiențe de conversie urmăresc modul în care utilizatorii finali interacționează cu paginile web în timp real. Acestea captează informații precum marcajul de timp când este declanșat un obiectiv, tipul de eveniment care a fost declanșat, variația afișată utilizatorului final și multe altele. Jurnalele live sunt considerate conforme cu GDPR, deoarece nu stochează adrese IP sau alte date PII.

11. Cine deține datele?

Una dintre cerințele principale ale GDPR este să existe măsurători adecvate pentru prelucrarea datelor cu caracter personal. Datele legate de o tranzacție cu un consumator în UE trebuie să fie stocate fizic în UE sau într-o țară cu măsuri de protecție a datelor pe care GDPR le consideră adecvate (cu excepția cazului în care utilizatorul își dă acordul să-și păstreze datele în altă parte).

Această regulă ridică unele provocări pentru firmele care nu au sediul în UE, deși unele dintre aceste probleme pot fi atenuate folosind un pachet de analiză cu o politică clară de proprietate a datelor.

Convert le oferă utilizatorilor liniște sufletească, având o declarație de proprietate definită la locul testamentului. Aceasta subliniază că „nu vom împărtăși nicio dată cu o terță parte fără aprobarea scrisă expresă a clientului” și vom „șterge orice date referitoare la clienții care se dezabonează de la serviciu la cerere”.

12. Se poate integra instrumentul de testare A/B cu stack-ul dvs. actual de tehnologie?

Veți dori să vă asigurați că un nou instrument de testare A/B funcționează bine cu restul stivei dvs. de tehnologie, cum ar fi CMS (sistemul de gestionare a conținutului) și platforma de comerț electronic. Conectarea stivei actuale de tehnologie la o soluție nouă ar putea fi costisitoare, așa că asigurați-vă că faceți o listă cu toate instrumentele curente pe care le utilizați și vedeți dacă puteți recrea aceleași integrări cu noul instrument, fie prin integrări, fie prin API.

Când vă desfășurați studiul, țineți cont de următoarele întrebări:

1. Cât de bine și cât de repede se va integra instrumentul ales de dvs. cu restul sistemului dvs., cum ar fi CRM-ul dvs.?
2. Există integrări autorizate pentru a face posibile astfel de conexiuni? Dacă nu, aveți voie să modificați codul pentru ca acesta să funcționeze pentru dvs.?
3. Este posibil să vă convertiți fără efort datele într-un alt instrument dacă este necesar?
4. Există vreo dovadă de blocare a furnizorului sau probleme cu transferul datelor către un alt furnizor?

13. Există o opțiune de a găzdui singur scriptul de testare A/B?

Alegerea între Software-as-a-Service (SaaS) și self-hosting poate fi dificilă. Când luați în considerare costul, ușurința și comoditatea, este logic să aveți majoritatea software-ului furnizat prin cloud. Cu toate acestea, SaaS poate să nu fie cea mai bună alegere pentru unele companii și organizații, cum ar fi guvernele și băncile.

O soluție de testare A/B on-premise va fi cea mai favorită opțiune pentru firmele care doresc control deplin asupra datelor și locației lor de stocare. Va fi și cel mai simplu, în ceea ce privește conformitatea cu GDPR.

Pune-ți aceste întrebări clarificatoare:

1. Este permis instrumentului dvs. de testare A/B să utilizeze o soluție găzduită în cloud?
2. Aveți resursele pentru a găzdui instrumentul în infrastructura dvs.?
3. Știți ce limite de date vin cu planul dvs.?

14. Sunt permise transferurile internaționale de date?

Transferurile de date sunt acum atât de comune încât majoritatea oamenilor nici măcar nu știu că se întâmplă. Chiar și totuși, acestea pot fi dificil de tratat și ar trebui convenite în acordul original de colectare a datelor (la fel ca locația datelor).

Până de curând, corporațiile foloseau cadrul Privacy Shield pentru a transmite date din UE și Elveția către SUA fără a necesita aprobare prealabilă. Cu toate acestea, în 2020, judecătorii europeni au decis că protecția datelor americane era insuficientă, făcând cadru invalid, deși aceste transferuri de date riscante au loc încă pe alte temeiuri legale.

Pentru a evita potențialele amenințări, companiile de testare A/B ar putea folosi strategia de protecție a datelor prin proiectare, (pe care o vom discuta în secțiunea următoare). În caz contrar, pot solicita pur și simplu consimțământul și pot specifica unde vor fi stocate și mutate datele.

15. Protecția datelor prin proiectare și implicite sunt respectate?

Conceptul de confidențialitate prin design se află în centrul instrumentelor de testare A/B prietenoase cu confidențialitatea.

Preferăm să prevenim invaziile de confidențialitate decât să le rezolvăm după fapt și folosim minimizarea datelor și limitarea scopului pentru a rămâne proactivi.

Minimizarea datelor înseamnă doar prelucrarea datelor care sunt necesare pentru atingerea unui anumit scop, în timp ce limitarea scopului se referă la identificarea scopului de prelucrare a datelor, înregistrarea acestora și informarea persoanelor, înainte de prelucrare.

Odată colectate și procesate, datele ar trebui păstrate doar pe durata sarcinii pentru care au fost obținute.

Protecția datelor prin proiectare necesită utilizarea garanțiilor tehnice și organizatorice în timpul etapelor de planificare a prelucrării. Acest lucru permite organizațiilor să se asigure că mecanismele de confidențialitate și securitate sunt în vigoare încă de la început. Procedurile specifice variază în funcție de cazul de utilizare, dar pot include anonimizarea datelor, monitorizarea datelor sau adăugarea de noi funcții de protecție a confidențialității la software-ul de testare A/B.

Deci, ce platforme de testare A/B sunt prietenoase cu confidențialitatea?

Dacă căutați o modalitate de a colecta și analiza date de pe site-ul dvs. web, produsul digital sau aplicația mobilă din Germania, platforma pe care o alegeți este esențială.

Cele mai multe soluții de testare A/B nu au fost construite ținând cont de confidențialitate și, în timp ce platformele majore reușesc anumite lucruri (cum ar fi anonimizarea și proprietatea datelor), ele nu au probleme în alte domenii (cum ar fi locația datelor).

Din fericire, în zilele noastre există o cerere mare pentru software-ul de testare A/B care vă permite să rulați experiențe pe site-ul dvs. web, păstrând în același timp confidențialitatea datelor. Aceasta înseamnă că există mai multe instrumente de testare A/B prietenoase cu confidențialitatea disponibile astăzi decât oricând. Pentru un scurt rezumat, consultați tabelul de mai jos cu cele mai importante valori.