Не дайте себя сбить с толку этими 6 мифами о GDPR

Опубликовано: 2018-03-12
Не дайте себя сбить с толку этими 6 мифами о GDPR

До дня реализации GDPR осталось всего несколько месяцев, а в Интернете полно плохих советов.

Количество сообщений в блогах и ответов Quora, которые я видел, усыпанных зелеными огнями, которые должны быть КРАСНЫМИ, поразительно.

И по мере того, как мы в Convert тратим все больше и больше времени на изучение, чтение и рвем на себе волосы из-за этого нового, большого, важного законодательного акта, тем больше в моем мозгу начинают мигать тревожные звоночки.

«Это отраслевое стандартное поведение теперь плохо », — говорится в нем. «ВЫ ДОЛЖНЫ ПРЕДУПРЕДИТЬ ИХ».

Так вот.

Это 6 ложных утверждений о GDPR, в которые люди верят, и которые мы все должны исправить к 25 мая.

Миф № 1: Это касается только ЕС.

Если только.

Одна из самых амбициозных вещей в GDPR — это то, как он расширяет законодательные рамки политик конфиденциальности данных. Теперь есть один всеобъемлющий законодательный акт, устанавливающий правила для всего ЕС.

Но помимо этого GDPR имеет значение для всех, кто имеет дело с данными граждан ЕС.

Даже если ваша компания находится в другом месте — если у вас есть веб-посетители, являющиеся гражданами ЕС, и вы отслеживаете их с помощью файлов cookie — ожидается, что вы будете применять GDPR. Если вы собираете электронные письма европейских субъектов данных, если вы сохраняете их IP-адреса, если вы вообще взаимодействуете с их данными — вы обязаны соблюдать те же новые правила, что и все, у кого есть сервер в ЕС.

И, честно говоря, даже если вы на 100% уверены, что не имеете дело с данными ЕС, соблюдение GDPR — хороший шаг в правильном направлении. Законы о конфиденциальности повсюду меняются. Канада работает над новым законодательством с Законом о конфиденциальности.

Данные все больше и больше становятся ценной формой валюты. Это делает законодательство о данных более важным, чем когда-либо.

Миф № 2: я могу оправдать свои куки/холодные электронные письма/и т. д. из-за «законных интересов».

Условие законного интереса… сложное.

Хотя это может (на мгновение) оставить вам небольшую передышку для некоторых типов холодных электронных писем, это не так полезно, как могут надеяться маркетологи.

Поддержу немного: GDPR описывает 6 различных правовых условий для обработки данных. Двумя важными для маркетологов, по-видимому, являются: согласие субъекта данных и «законные интересы».

Получение согласия требует от вас выполнения всевозможных условий — оно должно быть активным, недвусмысленным, утвердительным и т. д.

Для сравнения, «законные интересы» кажутся прогулкой в ​​парке. Но целью этого пункта было не «Я обоснованно думал, что они заинтересованы… значит, я могу отправить им все, что захочу, верно?»

Вот что ICO (орган по регулированию данных Великобритании) рекомендует вам подтвердить, прежде чем вы решите обрабатывать данные….

  • Мы проверили, что законные интересы являются наиболее подходящим основанием.
  • Мы понимаем свою ответственность за защиту интересов человека.
  • Мы провели оценку законных интересов (LIA) и сохранили ее запись, чтобы убедиться, что мы можем обосновать свое решение.
  • Мы определили соответствующие законные интересы.
  • Мы проверили, что обработка необходима и есть не менее навязчивый способ добиться такого же результата.
  • Мы провели тест баланса и уверены, что интересы человека не преобладают над законными интересами.
  • Мы используем данные отдельных лиц только так, как они разумно ожидают, за исключением случаев, когда у нас есть очень веская причина.
  • Мы не используем данные людей способами, которые могут показаться им навязчивыми или причинить им вред, за исключением случаев, когда у нас есть очень веская причина.
  • Если мы обрабатываем данные детей, мы уделяем особое внимание защите их интересов.
  • Мы рассмотрели меры предосторожности, чтобы уменьшить воздействие, где это возможно.
  • Мы рассмотрели, можем ли мы предложить отказ.
  • Если наш LIA выявляет значительное влияние на конфиденциальность, мы рассматриваем необходимость проведения DPIA.
  • Мы держим наш LIA в поле зрения и повторяем его, если обстоятельства меняются.
  • Мы включаем информацию о наших законных интересах в наше уведомление о конфиденциальности.

Поэтому, если вы хотите полагаться на законные интересы, вы должны подтвердить эти вещи. И вы должны документировать свой процесс. И вы должны решить, что вы обрабатываете с условием законных интересов заранее. Это не может быть просто ваше отступление, потому что вы неправильно запросили согласие.

Миф № 3: мне нужно назначить сотрудника по защите данных.

GDPR рекомендует некоторым компаниям назначить сотрудника по защите данных, чтобы контролировать переход и безопасность данных в будущем.

И у сильных мира сего есть четкое указание, что его должны назначать органы государственной власти. И компании, основная функция которых включает обработку данных или их систематический мониторинг. И если вы регулярно обрабатываете особые категории данных, например данные о состоянии здоровья или религиозной или политической принадлежности, вам, вероятно, следует иметь в своей команде специалиста по защите данных.

Но помимо этих условий, честно говоря, нет строгих правил относительно того, когда ваша компания достаточно велика, чтобы требовать найма DPO. Или когда данные, которыми вы управляете, достаточно сложны для вас. 250 сотрудников — это одно из часто используемых эмпирических правил.

В целом, кажется, что малые и средние предприятия, которые обрабатывают ваши стандартные типы и объемы данных в маркетинговых целях, могут обойтись солидными юридическими консультациями и полной приверженностью прозрачности данных.

Миф № 4. Это нормальный способ попросить согласия.

Это существо…

Нет! Согласие должно быть активным. Вы не можете оставить свои ящики предварительно проверенными

Нет! Согласие должно быть активным. Вы не можете оставить свои ящики предварительно проверенными.

Нет! Это комплектация. Вы должны запросить согласие на отдельные процессы

Нет! Это комплектация. Вы должны запрашивать согласие на отдельные процессы, отдельно. Вы не можете просто добавить подписку на «ежемесячный информационный бюллетень» вместе с подпиской на мероприятие.

Нет! Назовите ваших третьих лиц или это не считается!

Нет! Назовите ваших третьих лиц или это не считается!

Нет — для постоянных файлов cookie сейчас требуется явное активное согласие.

Нет — для постоянных файлов cookie сейчас требуется явное активное согласие. Например, кто-то должен щелкнуть что-то или установить флажок с надписью «Я согласен». Они не дают его, просто продолжая просматривать.

А дальше нюансы.

Важно то, что правила согласия уже не те, что были раньше.

Чтобы узнать больше о том, чем они являются сейчас, у нас есть более существенная разбивка здесь.

Миф № 5: Это не личные данные.

GDPR расширил объем персональных данных по сравнению с тем, что ранее называлось «личной идентифицирующей информацией».

Мы смиренно представляем эту полезную таблицу:

Персональные данные (PII)
Личные данные
  • Полное имя (если не общепринятое)
  • Домашний адрес
  • Адрес электронной почты
  • Национальный идентификационный номер
  • Номер паспорта
  • Номерной знак транспортного средства
  • Номер водительских прав
  • Лицо, отпечатки пальцев или почерк
  • Номера кредитных карт
  • Цифровая идентификация
  • Дата рождения
  • Место рождения
  • Генетическая информация
  • Номер телефона
  • Логин, отображаемое имя, псевдоним или дескриптор
  • Полное имя (если не общепринятое)
  • Домашний адрес
  • Адрес электронной почты
  • Национальный идентификационный номер
  • Номер паспорта
  • Номерной знак транспортного средства
  • Номер водительских прав
  • Лицо, отпечатки пальцев или почерк
  • Номера кредитных карт
  • Цифровая идентификация
  • Дата рождения
  • Место рождения
  • Генетическая информация
  • Номер телефона
  • Логин, отображаемое имя, псевдоним или дескриптор

+

  • Айпи адрес
  • Уникальные идентификаторы, такие как идентификаторы устройств, UserID, TransactionID, CookieID
  • Псевдонимные данные (это неузнаваемые данные + ключ в другом месте, чтобы сделать их снова читаемыми)

Здесь следует отметить файлы cookie, которые немного сложны. Какие именно типы файлов cookie будут считаться личными данными, будет установлено в новых правилах конфиденциальности ePrivacy.

На данный момент есть некоторые исключения для файлов cookie в «производственном секторе». Это типы, которые собирают только информацию об использовании веб-сайта в интересах оператора веб-сайта. Они не идентифицируют посетителей, а опираются на агрегированные данные.

Подробную информацию о том, как GDPR будет регулировать файлы cookie, можно найти здесь.

Миф № 6: Если я обновлю свои процессы до 25 мая, я в безопасности.

Как маркетолог, это условие GDPR заставляет меня рвать на себе волосы.

Он применяется задним числом.

Это относится ко всем вашим существующим данным.

Это означает, что если вы собирали электронные письма, запускали файлы cookie или возились с какими -либо личными данными таким образом, который не соответствует GDPR, все эти сохраненные данные становятся проблемой 25 мая.

Мы рекомендуем:

  1. Независимо от того, используются ли файлы cookie вашего сайта в течение 3, 6 или 12 месяцев, рекомендуется начать их заново и удалить все личные данные, которые они хранят.
  2. Запустите кампанию по повторному разрешению, чтобы попытаться спасти существующий список адресов электронной почты.

Это головная боль. И это облом, потерять некоторые из тех контактов, за которые вы так упорно боролись.

Но, как говорится…

Иногда что-то разваливается, поэтому лучшее может собраться вместе, а также важна конфиденциальность данных, поэтому мы все должны следовать закону.

Попробуйте один из самых эффективных инструментов A/B-тестирования с учетом конфиденциальности
Попробуйте один из самых эффективных инструментов A/B-тестирования с учетом конфиденциальности