Влияние GDPR на сбор данных CRO: краткий обзор

Опубликовано: 2019-11-13
Влияние GDPR на сбор данных CRO: краткий обзор

Основой оптимизации коэффициента конверсии на любом веб-сайте является систематический сбор и анализ данных о посетителях, взаимодействующих с веб-сайтом.

Сбор пользовательских данных имеет решающее значение для оценки того, как посетители используют, понимают и любят различные части веб-сайта. Однако в соответствии с Общим регламентом по защите данных (GDPR), который был представлен Европейским парламентом в апреле 2016 года и окончательно вступил в силу в мае 2018 года, сбор и обработка персональных данных в Европейском союзе стали унифицированными и ограниченными.

С точки зрения непрофессионала, предприятия больше не могут собирать и хранить данные без уважительной причины. Они также не могут обрабатывать данные так, как им нравится. И, наконец, данные теперь имеют срок годности. Необходимо регулярно очищать данные, которые не используются для ощутимого улучшения взаимодействия с пользователями и клиентами.

Целью GDPR является гармонизация законов о конфиденциальности данных в Европейском союзе, укрепление прав граждан ЕС на конфиденциальность данных и предотвращение утечки данных. Организации, которые не соблюдают GDPR, могут быть оштрафованы на сумму до 4% от их годового оборота или до 20 миллионов евро (в зависимости от того, что больше).

Штрафы уже наложены. Например, Управление Комиссара по информации (ICO) объявило о штрафе в размере 183,39 миллиона фунтов стерлингов для British Airways из-за утечки данных, в результате которой были скомпрометированы личные данные 500 000 клиентов, и нарушения GDPR.

Таким образом, общий девиз GDPR: чем меньше личной информации о пользователях вы соберете, тем лучше . Но означает ли это, что сбор пользовательских данных от граждан ЕС с целью оптимизации коэффициента конверсии невозможен без риска больших штрафов в соответствии с GDPR?

Принципы обработки персональных данных в соответствии с GDPR
Полный текст статьи читайте на сайте www.talacka.com.

Не обязательно.

Если вы собираете личные данные гражданина ЕС с помощью инструментов отслеживания, файлов cookie, программного обеспечения для обработки или программ оценки данных, вам необходимо знать, какие данные собираются, где они будут храниться, как они обрабатываются и когда они будут в конечном итоге удалены. . Потребность в изменении общего мышления предприятий и организаций о владении персональными данными физических лиц усилилась в последние годы.

Раздел о переносимости персональных данных в GDPR гласит, что ни одна компания не может владеть данными человека и что субъект данных имеет право делиться своими данными с другой организацией. Таким образом, в соответствии с GDPR предприятия и организации юридически обязаны получить соглашение о согласии на сбор и обработку данных посетителей их веб-сайтов. Кроме того, вам необходимо написать форму согласия простыми словами, чтобы четко объяснить, почему вы собираете данные и для чего вы собираетесь их использовать.

На первый взгляд, это кажется громоздким и трудным для ежедневного выполнения. Тем не менее, эта статья поможет вам разобраться с требованиями GDPR.

Кроме того, статья даст вам обзор того, что считается персональными данными в соответствии с GDPR, как вы можете обеспечить соответствие GDPR при сборе персональных данных для целей оптимизации коэффициента конверсии (CRO) и как GDPR влияет на общие инструменты CRO, которые используется для оптимизации веб-сайтов.

Что представляют собой персональные данные?

Статья 4 GDPR определяет, что представляют собой персональные данные.

Персональные данные — это любая форма информации, которая может прямо или косвенно идентифицировать физическое лицо. Физическое лицо – это физическое лицо, проживающее в ЕС. Как правило, самый простой способ идентифицировать человека — это полное имя. Но в ЕС может проживать несколько человек с одним и тем же именем. Однако комбинации различных точек данных может быть достаточно, чтобы идентифицировать одного конкретного человека. Идентифицируемыми точками данных могут быть, например, имя, местоположение, адрес электронной почты, информация для входа в систему, IP-адрес и уникальные идентификаторы, такие как идентификаторы пользователей или идентификаторы транзакций.

Читая последний раздел, вы, вероятно, заметили, что большинство широко используемых инструментов оптимизации коэффициента конверсии собирают и обрабатывают упомянутые идентифицируемые точки данных. Но несете ли вы ответственность за обеспечение того, чтобы сторонние инструменты обработки данных соответствовали правилам ЕС о защите данных?

Сторонние инструменты CRO: как с ними работать

GDPR описывает, что процесс сбора данных осуществляется двумя разными субъектами: «контролером» данных и «обработчиком данных». Контроллер данных определяет цель, объем и цель собираемых данных. Таким образом, контроллеры данных в большинстве случаев являются владельцами веб-сайтов. Обработчики данных, с другой стороны, обрабатывают собранные данные для достижения заранее определенной цели от имени контроллера данных.

Обработчиками данных обычно являются сторонние инструменты CRO, такие как тепловые карты, инструменты тестирования, аналитика форм или инструменты A/B-тестирования. Прежде чем можно будет использовать какой-либо сторонний инструмент, соглашение о том, что сторонний инструмент может делать от имени владельца веб-сайта, должно быть одобрено владельцем веб-сайта.

Это означает, что сторонний инструмент в качестве обработчика данных действует как расширение контроллера данных.

Общее положение о защите данных гласит, что контроллер данных несет юридическую ответственность за действия обработчика данных. Таким образом, если обработчик данных в форме стороннего инструмента CRO не соответствует GDPR, контроллер данных, в свою очередь, также не соответствует требованиям и может быть подвергнут штрафным санкциям. Таким образом, рекомендуется проверить, какие данные собирают для вас инструменты маркетинга и отслеживания, которые вы используете для своего веб-сайта.

Теперь вы, вероятно, спрашиваете себя: «Каковы мои обязанности в соответствии с GDPR? И какие меры должны быть указаны в соглашении между владельцем веб-сайта и сторонним инструментом обработки данных для обеспечения соблюдения GDPR?» Следующий контрольный список даст вам краткий обзор наиболее важных требований GDPR для сторонних инструментов, а также ваших собственных требований.

Контрольный список для требований GDPR к сторонним инструментам

  • Обновленное соглашение об обработке данных с добавленным разделом GDPR
  • В контракте должно быть указано, что они будут действовать только в соответствии с вашими задокументированными указаниями.
  • Продолжительность, цель, хранение и способ обработки данных
  • Записи о согласии посетителей веб-сайта должны храниться в течение короткого периода времени, предусмотренного требованиями GDPR.
  • Меры безопасности данных должны быть указаны в соглашении со сторонним инструментом.
  • Обработчик данных должен помочь контроллеру данных в правах пользователя на доступ к сохраненным данным, в отзыве данного согласия и в праве на забвение и удаление определенной информации.
  • В стороннем инструменте должно быть указано, какой тип персональных данных будет собираться и обрабатываться.
  • В соглашение между обработчиком данных и контроллером данных должен быть включен раздел, описывающий права и обязанности каждой стороны.

Контрольный список требований GDPR для владельцев веб-сайтов

  • Информационный аудит: Какие персональные данные вы собираете/обрабатываете/храните?
  • Иметь законное основание для сбора персональных данных (ст. 6, 7-11)
  • Не храните данные дольше, чем это необходимо (статья 5)
  • Получите согласие на сбор персональных данных и сохраните согласия для подтверждения данного согласия с помощью активной опции отказа (статья 4).
  • Шифрование и псевдонимизация личных данных везде, где это возможно (статья 32).
  • Упростите для ваших клиентов отзыв согласия, сбор и возможное удаление собранных ими данных (статьи 15, 17, 18, 21)
  • Назовите сторонние инструменты, которые имеют доступ или собирают личные данные от вашего имени.
  • Соблюдайте ограничения на передачу персональных данных в страны за пределами ЕЭЗ (статьи 44-50)

Соответствие GDPR: возможное влияние на опыт и коэффициент конверсии

В соответствии с GDPR все данные должны собираться после получения явного согласия пользователя . Есть два способа, которыми это может быть потенциально вредным для бизнеса:

  • Формы больше не могут поставляться с запеченным согласием (предварительно отмеченные поля), и они должны запрашивать согласие для каждого отдельного вида обработки данных. Короче говоря, если браузер подписался на ваш лид-магнит, не начинайте автоматически посещать его почтовый ящик с новостной рассылкой. Это не только уменьшает количество точек соприкосновения с потенциальными клиентами, если формы не разработаны с учетом UX, варианты согласия могут вызвать разочарование и усталость, что приведет к снижению показателей завершения / отправки.
Конвертировать согласие
  • Всплывающие окна с согласием на использование файлов cookie . В этом сообщении Convert рассказывается о различных типах файлов cookie, которые можно использовать на сайте, и о том, как получить разрешение на их использование из трафика. Если файл cookie, который вы имеете в виду, требует подтверждения от браузеров сайта, то отвратительные формы согласия на использование файлов cookie — это то, что вам нужно. Большинство инструментов имеют свои собственные баннеры согласия на использование файлов cookie с очень ограниченными возможностями настройки. Совокупные инструменты, которые позволяют консолидировать согласия на использование файлов cookie для различных решений, неадекватны и требуют, чтобы пользователи щелкали или уходили с существующей страницы, чтобы согласиться или отказаться.

Несмотря на то, что не проводилось никаких официальных исследований снижения трафика, вовлеченности или показателей выполнения целей до и после GDPR, большинство предприятий пострадали.

Тем не менее, эти страдания привели к необходимости инвестировать в методы оптимизации процента согласия , а также в лучший дизайн и UX — элементы, которые в конечном итоге улучшат то, как компании взаимодействуют с потенциальными клиентами и проводят их через цикл покупки / потребления.

GDPR и аналогичные законы о конфиденциальности данных, которые формируются во всем мире, являются шагами на пути к более частному и свободному цифровому будущему, но жизненно важно, чтобы технические решения для обеспечения соблюдения этих законов были сбалансированными и продуманными. чтобы они не разрушали экономику Интернета, которая финансирует его бесплатные и универсальные части, которые мы все лелеем и хотим защищать.

Даниэль Йоханнсен, генеральный директор Cybot, создатель Cookiebot.

Хранение, удаление и классификация личных данных

Еще одним требованием GDPR, которое может повлиять на сбор данных для целей CRO, является хранение и обработка персональных данных. Это может быть особенно сложно, так как многие инструменты CRO хранят личные данные, и в процессе анализа данных могут участвовать многие стороны. Таким образом, это зависит от того, сколько CRO-инструментов вы используете для своего сайта, но в большинстве случаев можно ограничить долгосрочное хранение персональных данных в используемых CRO-инструментах.

Необходимость удаления данных, собранных и хранимых организациями или предприятиями, обсуждалась на протяжении многих лет. Согласно GDPR, физическое лицо может запросить удаление своих личных данных без дальнейших задержек. Однако не совсем ясно, как организации должны демонстрировать доказательства удаления данных, поскольку это может вызвать вопросы о конфиденциальности данных и политике компании.

Еще один момент, на который необходимо обратить внимание, — это соответствующая классификация персональных данных. Как организация, вы должны знать, какой тип данных вы должны собирать, чтобы успешно вести свой бизнес.

В правилах GDPR о сборе данных описывается важность того, чтобы предприятия собирали личные данные только при наличии законного основания. Всего существует 6 правовых оснований для сбора данных: согласие, договор, юридическое обязательство, жизненно важные интересы, общественная задача и законные интересы. Общим правовым основанием для сбора и обработки персональных данных является законный интерес. Это может быть, например, обработка данных для целей ретаргетинга или прямого маркетинга (Recital 47). Это также ограничит несанкционированное использование персональных данных сторонними инструментами и тем самым уменьшит риск кражи данных.

Вывод:

Обязательные требования GDPR могут частично повлиять на процесс сбора данных для оптимизации коэффициента конверсии. Особенно на объем собираемых данных влияет форма согласия «opt-in» на сайтах. Кроме того, сторонние инструменты CRO, которые собирают данные для вас, должны быть проверены, чтобы вы могли проверить, включены ли в соглашение наиболее важные требования GDPR, поскольку вы несете ответственность за возможные нарушения GDPR сторонними лицами.

Однако в целом это положительные изменения, которые принесут свои плоды в виде более свободного взаимодействия между потенциальными клиентами и брендами — без скрытого страха перед неправомерным использованием данных. Любые падения коэффициентов конверсии в настоящее время будут компенсированы, поскольку сознательные бренды берут на себя ответственность и инвестируют в разработку практик, направленных на то, чтобы сделать процесс получения согласия максимально безболезненным (и даже приятным).