Ce înseamnă GDPR pentru afacerea dvs

Astăzi este o zi bună pentru a afla mai multe despre ce înseamnă GDPR pentru afacerea ta.

Regulamentul general privind protecția datelor din Uniunea Europeană, sau GDPR, intră în vigoare la 25 mai 2018. Și, deși mai este aproape un an, din punct de vedere operațional, există o mulțime de lucruri pe care va trebui să le faceți pentru a fi conform. (Da, „încărcare cap la cap metrică” este un termen tehnic.)

În acest episod al Podcastului Rethink, am vorbit cu David Fowler, care este șeful Act-On pentru confidențialitate, conformitate și livrare. După cum spune David, GDPR marchează cea mai mare schimbare a legislației UE privind protecția datelor dintr-o generație. Și se aplică celor 510 milioane de cetățeni ai UE, precum și oricărei afaceri care fac afaceri cu aceștia, indiferent de locul în care își au sediul.

Bucurați-vă de conversație și sperăm că puteți obține unul sau două lucruri utile pe care le puteți aduce afacerii dvs.

Nathan Isaacs : David, poți să-mi spui mai multe despre ceea ce faci la Act-On?

David Fowler : Ajut clienții noștri să navigheze pe foaia de parcurs digitală în ceea ce privește obligațiile care le revin conform legilor locale, statale, federale și internaționale în ceea ce privește marketingul digital. De asemenea, mă asigur că atunci când clienții noștri apasă butonul „trimite” pentru e-mailurile lor, mesajele au toate oportunitățile să ajungă în căsuța de e-mail. Conformitatea digitală în 2017 este un domeniu foarte profund și larg. Dacă sunteți un agent de marketing în SUA, trimiteți prin corespondență către UE, de exemplu, obligațiile dvs. vor fi diferite decât dacă sunteți un agent de marketing în SUA, trimiteți prin corespondență către Canada. Este datoria noastră să informăm clienții noștri cu privire la obligațiile care le revin în temeiul acestor foi de parcurs legislative.

Nathan : Unul dintre lucrurile despre care vorbim astăzi este Regulamentul general privind protecția datelor, sau GDPR. Îmi puteți spune despre ce este vorba și despre ce este vorba?

David : GDPR este o lege care va intra în vigoare în Europa în 2018, mai exact pe 25 mai. Și ceea ce este, în esență, este o rescrie completă a directivei UE privind datele din 1995. Și pentru cei dintre voi care ascultați podcastul, nu există legi universale în Europa în ceea ce privește conformitatea digitală. Există interpretări ale directivei privind datele și fiecare țară poate determina care este interpretarea lor a legii respective. Deci, după cum ați putut vedea, doar asta creează, de fapt, acest potențial masiv de confuzie.

GDPR este o lege universală care se va aplica tuturor companiilor care au cetățeni europeni în bazele de date. Acest lucru va fi general pentru fiecare țară din UE. Este o singură lege pentru 500 de milioane de persoane.

Nathan : Pentru companiile cu sediul în SUA sau în altă parte a lumii care fac afaceri cu persoane fizice din Europa, acest lucru se aplică acestora. Este corect?

David : Este corect. Și există unele amenzi grele dacă sunteți în neconformitate – până la 4% din veniturile totale ale unei companii. Dacă sunteți Google, de exemplu, cât înseamnă 4% dintr-un trilion de dolari?

Responsabilitățile tale conform GDPR

Nathan : O nouă lege se aplică modului în care fac afaceri cu persoane fizice. Ce trebuie să fac ca afacere pentru a fi conform?

David : Este important să înțelegeți responsabilitățile conform GDPR. Și în Europa, ai două arome. Aveți operatorul și procesatorul datelor. De exemplu, sunteți client al Act-On. Ai fi un controlor conform foii de parcurs GDPR. Și noi [Act-On] am fi procesatorul datelor dvs. Obligațiile noastre conform GDPR sunt de a, A, să respectăm legea, evident. Dar și B, construiți produsele și serviciile noastre care vă permit să vă respectați obligațiile conform GDPR.

Nu este responsabilitatea noastră să ne asigurăm că sunteți conform. Dar este responsabilitatea noastră să arătăm că produsele noastre vă permit să fiți conformi, adică lucruri precum furnizarea de mecanisme de consimțământ, backup pentru consimțământ, dublu opt-in, toate aceste tipuri de lucruri pe care le considerăm de la sine înțeles în ceea ce privește permisiunea, produsele noastre ar trebui să fie până în punctul în care fac asta.

Utilizarea unei platforme de automatizare a marketingului în domeniul de aplicare al GDPR este ceva pe care dvs., în calitate de controlor al datelor dvs. și al datelor clienților dvs., nu numai că va trebui să vă conformați, ci și să înțelegeți cum utilizați tehnologia pentru a face asta. Acum, drepturile omului, în ceea ce privește datele și informațiile personale și așa ceva, există mult mai multe probleme care vin în discuție în conformitate cu GDPR dacă ești destinatarul clientului al unei relații digitale. Din punct de vedere operațional, există o mulțime de lucruri la care ar trebui să te gândești pentru a te pregăti pentru asta. Dar, în cele din urmă, acolo unde cauciucul se întâlnește cu drumul, dacă aveți un client care nu puteți dovedi cum a intrat în lista dvs. sau nu puteți dovedi de unde provine sau nu puteți dovedi mecanismul de consimțământ care a fost obișnuiam să începeți marketingul pentru ei, atunci, în esență, ați fi în neconformitate în conformitate cu GDPR.

Impactul operațional al GDPR

Nathan : Care sunt efectele operaționale ale GDPR?

David : O întrebare grozavă. Există 10 domenii la care trebuie să te gândești din perspectiva companiei tale în ceea ce privește pregătirea pentru partea operațională a GDPR. Numărul unu este securitatea datelor și notificarea încălcării.

Deci, dacă aveți o încălcare a datelor, obligația dvs. este să informați DPA ‒ autoritatea de protecție a datelor ‒ într-un interval de 72 de ore de la producerea efectivă a încălcării sau de la cunoștința dvs. că aceasta are loc. DPO-ul obligatoriu, sau responsabilul cu protecția datelor, este ceva care este implementat în conformitate cu GDPR, ceea ce înseamnă că, dacă sunteți o companie de o anumită dimensiune, trebuie să aveți în personal un angajat care să se ocupe de eforturile dvs. de protecție a datelor.

Consimțământul persoanei vizate este o problemă majoră - modul în care obțineți consimțământul de la persoana vizată. Conform GDPR, o persoană vizată este persoana reală și nu o anomalie. Transferurile transfrontaliere de date sunt una mare. Dacă mutați date prin Europa sau din Europa înapoi în SUA sau oriunde s-ar duce, la asta trebuie să vă gândiți. În ceea ce privește modul în care se realizează din perspectiva adecvării, în mediul actual, mecanismul de transfer transfrontalier de date între Europa și SUA este guvernat de un program numit scutul de confidențialitate, iar noi suntem certificati de scut de confidențialitate ca companie. Dar vor exista și alte entități care vor veni să joace pentru a ajuta asta.

Profilarea și dreptul de a respinge vor fi o problemă masivă în ceea ce privește modul în care indivizii sunt profilați și modul în care au dreptul de a obiecta cu privire la profilare; adică, dacă știu că porți o cămașă albă azi, o să vă profilez preferințele pentru cămașă și, poate, vă voi trimite niște pantaloni albi pentru a merge cu asta. În calitate de persoană fizică, problema este cum puteți gestiona asta în ceea ce privește posibilitatea de a renunța la profilarea în continuare.

Un alt mare este dreptul la portabilitatea datelor și dreptul de a fi uitat. În conformitate cu GDPR, conceptul este că dvs., ca persoană fizică, aveți dreptul să vă luați datele de la compania A și să le mutați la compania B într-un format acceptabil de citire automată și, de asemenea, aveți dreptul să aveți și faptul că ați avut vreodată o relație digitală cu acel brand special uitată. Deci, aceasta este o problemă masivă în ceea ce privește modul în care companiile vor putea să se conformeze cu asta și să implementeze cu adevărat acele tipuri de strategii în jurul acestor concepte. Încă ne ocupăm de asta.

Al șaptelea domeniu este îndatoririle și responsabilitățile controlorilor și procesatorilor. Care este responsabilitatea dumneavoastră conform GDPR ca procesator, care este Act-On și care sunt responsabilitățile dumneavoastră conform GDPR ca operator, care este clientul Act-On. Și sunt două probleme diferite în ceea ce privește unele dintre lucrurile care vin în platou cu asta.

O altă problemă la care trebuie să ne gândim este pseudonimizarea datelor cu caracter personal – cum pot să vă iau datele și să fac un profil mai mare pe baza altor entități de tip terță parte care s-ar putea conecta la asta, în foaia dvs. de parcurs. Codurile de conduită, cum și de ce trebuie să acționați într-un anumit fel. Și apoi, în sfârșit, amenzile și procedurile sunt o problemă mare; ați putea fi amendat cu 4% din veniturile globale ale companiei dvs. dacă nu respectați.

Deci, există o mulțime de lucruri din perspectivă operațională. Și îți garantez că, dacă ai o persoană cu confidențialitate, dacă ai o persoană care respectă conformitatea și acei oameni nu vorbesc cu operațiunile tehnologice sau cu oamenii tăi de inginerie, atunci trebuie să începi să te gândești la adunarea acelor oameni, pentru că va luați un sat pentru a face acest lucru din perspectivă organizațională.

Drepturile persoanelor conform GDPR

Nathan : Care sunt drepturile indivizilor în toate acestea?

David : Da, e o întrebare grozavă. Pentru că în conformitate cu GDPR, persoana are dreptul de a fi informată, de a i se spune: „Am primit informațiile dvs. de aici și asta o să fac cu ele și asta nu voi face. Cu acesta.' Dreptul de acces, astfel încât tu, ca persoană fizică, să ne poți contacta și să spui: „Hei, informațiile mele nu sunt corecte, sunt incorecte, sunt inexacte și trebuie să schimbi asta, în funcție de profilul pe care îl ai despre mine .' Dreptul la recertificare, însemnând același lucru ‒ ai putea schimba sau ajusta de fapt în funcție de ceea ce știi. Dreptul la ștergere: „Hei, Act-On, vă rog să ștergeți toate aceste informații despre mine” sau „Dl. și doamnă client, vă rog să ștergeți toate aceste informații despre mine,” și cum veți face asta?

Aveți dreptul de a restricționa procesarea, adică „Hei, aș dori să primesc e-mailuri de la dvs., dar nu vreau să primesc SMS-uri”. Sau „Aș dori să primesc e-mailuri, dar nu vreau să primesc mesaje” … sau orice ar fi cazul. Și apoi dreptul de a restricționa portabilitatea datelor, adică mă duc să-mi iau datele de la compania A și să le mut la compania B. Ați putea, teoretic, să aveți clienți care pleacă într-o vineri la ora 17:00 și apoi merg la o altă companie luni la ora 8 am Și, din punct de vedere tehnic, ar trebui să funcționeze în acel mediu.

Și apoi, în sfârșit, dreptul de a obiecta: „Este corect, este greșit, este indiferent”. Și dreptul de a vă raporta la luarea automată a deciziilor și crearea de profiluri, ceea ce înseamnă, deoarece suntem în canalul digital acum cu lucruri precum inteligența artificială, că puteți începe să construiți profiluri pe oameni și subiecți, indiferent dacă știu sau nu despre asta. Trebuie să fii foarte direct în ceea ce privește modul în care divulgi acele informații și cum construiești acele profiluri.

Ceea ce îmi imaginez este că companiile vor supracompensa pentru consimțământ. Te gândești la modul în care te angajezi într-o relație digitală astăzi – dezvăluirea, consimțământul și toate aceste lucruri pe care le considerăm oarecum de la sine înțeles. Dar ideea este că cred că veți vedea o mulțime de pagini de profil și pagini de înscriere, în care nu veți avea casete pre-bifate, dar veți permite oamenilor să poată spune: „Aș dori să selectează asta sau deselectează asta.' Casetele pre-bifate din GDPR sunt un nu complet. Este total ilegal.

Și ceea ce aș face acum ca marketer este că, în eforturile tale de pregătire, când acest lucru va fi lansat în mai a anului viitor, nu va exista nicio perioadă de grație. Fiecare parte de date pe care o aveți în fișierul dvs. din mai 2018 va trebui să fie conformă în ziua în care va fi disponibilă. Așadar, ar trebui să începeți să vă gândiți acum la modul în care fie re-permiteți, fie ajungeți la punctul în care începeți să dezvăluiți diferite lucruri despre indivizi pe măsură ce vă pregătiți pentru implementarea GDPR. Deci, re-permiteți-vă listele, obțineți-vă acordul în ordine, începeți să vorbiți despre dezvăluiri și așa ceva. Și asta este ceea ce ar trebui să începi să îmbrățișezi astăzi.

Aflați mai multe despre GDPR

Nathan : Vorbim despre asta acum doar pentru ca oamenii să aibă ocazia să înceapă să se conformeze sau să introducă acele mecanisme pentru a fi conformi, atât noi înșine, cât și oricine altcineva. Există o listă de verificare?

David : Dezvăluire completă, nu suntem într-o poziție în care să putem oferi sfaturi sau îndrumări juridice. Dar unele dintre autoritățile de protecție a datelor din UE sunt mai vocale și au fost mai comunicative decât altele. Iar un exemplu grozav de APD care a adus o mulțime de informații este ICO, Biroul Comisarului pentru Informații din Regatul Unit.

Dacă intri pe site-ul lor, au o mulțime de informații despre ce ar trebui să te gândești, cum te pregătești și care vor fi obligațiile tale anul viitor.

Nathan : Deci, acesta este ceva de care să discute întreaga echipă, de la marketing la conformitate, până la juridic și inginerie, corect?

David : Absolut. Pentru că toată lumea o va interpreta diferit. Adică documentația are sute de pagini adâncime. Este extrem de greoaie. Dar este într-adevăr o abordare de bun simț a unei relații digitale. Și nu este vorba doar despre individ acum. Este, de asemenea, despre modul în care faci afaceri cu furnizorii tăi și cum îi tragi la răspundere pentru lucruri. În unele privințe, este un cadru pentru o abordare digitală de bun simț nu numai pentru marketing, ci și pentru renunțarea la anumite lucruri. Este cu siguranță ceva la care ar trebui să te gândești acum. Și dacă nu ai făcut-o, atunci ești puțin în urmă mingii 8.

rezumat

Act-On va produce seminarii web și fișe de date și alt conținut despre GDPR pe parcursul anului viitor. De asemenea, îi puteți trimite un e-mail lui David dacă aveți o întrebare: [email protected] .