GDPR против ePrivacy: что вам нужно знать

Опубликовано: 2018-02-15
GDPR против ePrivacy: что вам нужно знать

Общий регламент по защите данных (GDPR) заменяет Директиву о защите данных 95/46/EC…

… И это приносит с собой новые правила электронной конфиденциальности (ePR) для граждан ЕС…

…даже если эти данные хранятся и обрабатываются за пределами Европы…

…в эпоху, когда личные данные становятся все более экономически ценными.

Так что это невероятно важно.

Но также….а?

А статьи о GDPR, кажется, только усложняют ситуацию.

Например….

  • GDPR заменяет Директиву о защите данных 95/46/EC. Все чисто?
  • GDPR имеет дело НАМНОГО больше, чем просто цифровая конфиденциальность. Итак, есть подзаконный акт под названием «Правила электронной конфиденциальности», в котором содержатся более конкретные правила. Все еще ясно?
  • Правила электронной конфиденциальности заменяют Директиву электронной конфиденциальности, все еще со мной?
  • GDPR утвержден и станет законом 25 мая 2018 года, готовы?
  • Каждая европейская страна может сделать свою «изюминку» GDPR, и только две страны сделали это из двух десятков… что сказать?
  • Регламент ePrivacy, скорее всего, не будет готов даже к 25 мая 2018 года… эээ, приходите снова?
    Таким образом, там, где cookie-файлы хоть раз упоминаются в GDPR, правила ePrivacy полны подробных описаний того, что разрешено, а что нет… но нам не хватает окончательного закона (он находится в проекте № 1533). Удобно, верно?

Так что же нам делать? Каким правилам мы следуем?

Так что это беспорядок, но никто не говорит вам об этом. Так как деньги должны быть сделаны.

Из статьи в статью вы будете читать о страшных штрафах в размере 20 миллионов евро (24 миллиона долларов США).

Цена отказа есть, но правила неясны. Так что же нам делать?

Мы реализуем то, что говорит GDPR, это то, что мы делаем.

Потому что на самом деле не имеет значения, что не каждый закон выполняется. Мы знаем основную структуру, а это означает, что законодательство каждой страны может немного отличаться. Но у нас есть основы.

А те….

Цифровой маркетинг и GDPR, что мы знаем?

Мы знаем, что в GDPR файлы cookie упоминаются только один раз. Сольный концерт 30 гласит:

Физические лица могут быть связаны с онлайн-идентификаторами, предоставляемыми их устройствами, приложениями, инструментами и протоколами, такими как адреса интернет-протокола, идентификаторы файлов cookie или другие идентификаторы, такие как теги радиочастотной идентификации.

Это может оставить следы, которые, в частности, в сочетании с уникальными идентификаторами и другой информацией, полученной серверами, могут быть использованы для создания профилей физических лиц и их идентификации.

Поэтому им не нужны никакие уникальные идентификаторы . Даже в файлах cookie — и, конечно же, никаких личных данных.

Персональные данные — это европейская версия PII. Но ох, мальчик, это другое. Вот сравнительная таблица.

Персональные данные (PII)
Личные данные
  • Полное имя (если не общепринятое)
  • Домашний адрес
  • Адрес электронной почты
  • Национальный идентификационный номер
  • Номер паспорта
  • Номерной знак транспортного средства
  • Номер водительских прав
  • Лицо, отпечатки пальцев или почерк
  • Номера кредитных карт
  • Цифровая идентификация
  • Дата рождения
  • Место рождения
  • Генетическая информация
  • Номер телефона
  • Логин, отображаемое имя, псевдоним или дескриптор
  • Полное имя (если не общепринятое)
  • Домашний адрес
  • Адрес электронной почты
  • Национальный идентификационный номер
  • Номер паспорта
  • Номерной знак транспортного средства
  • Номер водительских прав
  • Лицо, отпечатки пальцев или почерк
  • Номера кредитных карт
  • Цифровая идентификация
  • Дата рождения
  • Место рождения
  • Генетическая информация
  • Номер телефона
  • Логин, отображаемое имя, псевдоним или дескриптор

+

  • Айпи адрес
  • Уникальные идентификаторы, такие как идентификаторы устройств, UserID, TransactionID, CookieID
  • Псевдонимные данные (это неузнаваемые данные + ключ в другом месте, чтобы сделать их снова читаемыми)

На данный момент это то, что мы знаем.

Цель европейского закона GDPR

Теперь вы можете собрать юридическую команду, и вы можете найти все серые зоны того, что и что не разрешено. Но давайте сначала просто поймем основную идею, намерение, стоящее за регулированием.

Если вы понимаете закон, вы можете очень четко понять, когда вы рискуете взломать конфиденциальность в черных и серых шляпах. И вы можете определить, какие инструменты удалить из своего стека, а какие крутые маркетинговые лайфхаки вы действительно можете оставить. Прочтите подробное изложение 26 GDPR.

(Или пропустите курсив и доверьтесь резюме, которое я написал после них).

Принципы защиты данных должны применяться к любой информации, касающейся идентифицированного или идентифицируемого физического лица.

Персональные данные, подвергнутые псевдонимизации, которые могут быть отнесены к физическому лицу путем использования дополнительной информации, должны рассматриваться как информация об идентифицируемом физическом лице.

Чтобы определить, можно ли идентифицировать физическое лицо, следует принять во внимание все разумно вероятные средства, такие как выделение контролером или другим лицом прямой или косвенной идентификации физического лица.

Чтобы установить, насколько вероятно использование средств для идентификации физического лица, следует принять во внимание все объективные факторы, такие как стоимость и количество времени, необходимое для идентификации, принимая во внимание доступную технологию на момент совершения преступления. переработка и технологические разработки.

Поэтому принципы защиты данных не должны применяться к анонимной информации, а именно к информации, которая не относится к идентифицированному или идентифицируемому физическому лицу или к персональным данным, анонимизированным таким образом, что субъект данных не может быть или больше не может быть идентифицирован.

Таким образом, настоящий Регламент не касается обработки такой анонимной информации, в том числе в статистических или исследовательских целях.

Вкратце моя версия: Персональные данные (а их много) должны собираться только либо с законным интересом (в другой статье, об этом подробнее), либо в обмен на согласие, в рамках договора. Есть еще пара исключений, которые не применимы к 90% интернет-маркетологов, но вы можете прочитать их все здесь.

Когда вы собираете личные данные, они должны быть…

  • надежно хранится в Европе.
  • защищен.
  • могут быть удалены или изменены по запросу.

Вы также должны быть готовы сообщить о нарушении безопасности этих данных в течение 72 часов с момента его возникновения. Поэтому убедитесь, что вы сможете информировать субъектов данных и власти, если это произойдет.

Европейцам нужен этот закон, он выходит далеко за пределы Европы и затрагивает каждую базу данных в мире, где европейцы хранят личные данные в той или иной форме.

— Но Деннис, ты забываешь…

Очевидно, я забываю тонны и тонны вещей. Это более 300 страниц закона GDPR и более 100 страниц проекта 1533 правил электронной конфиденциальности. Но идея ясна.

Хранение личных данных повлияет на вас как на владельца цифрового маркетинга, поскольку вам необходимо запросить согласие.

Цель европейского закона GDPR

Какая? Согласие? Да, прямое согласие!

Ага. Вам необходимо объяснить посетителям сайта, лидам и клиентам, как вы собираете и храните их данные. Не используйте его никаким другим способом, кроме способов, которыми вы делитесь.

Так что нет… подписываясь на этот технический документ, вы принимаете условия, бла-бла, никто это не прочитает.

Вместо….

«<флажок снят> Я даю согласие на то, что, загрузив этот технический документ, я получу электронное письмо с техническим документом.
<флажок снят>, я даю согласие на телефонный звонок от представителя компании X».

Черт… это снизит коэффициент конверсии, верно?

Да наверное.

Извините, не мой закон…

Что можно сделать без согласия?

Вы можете использовать любой инструмент в своем стеке, который не хранит идентификаторы файлов cookie и не хранит личные данные. Никаких отпечатков пальцев и других неприятных хаков, чтобы избежать файлов cookie…

Таким образом, никакие идентификаторы файлов cookie, уникальные идентификаторы и хранение личных данных на веб-сайтах не допускаются этими инструментами.

Convert Experiences (наше программное обеспечение для A/B-тестирования) будет работать без идентификаторов файлов cookie и уникальных идентификаторов, а также без хранения личных данных. Так что это то, на что нужно обратить внимание, когда вы оцениваете свои маркетинговые инструменты.

Похоже, веб-аналитика (подсчет посетителей) будет разрешена, но пока не ясно, какие аналитические инструменты и функции разрешены. Это зависит от Правил ePrivacy — закон, который, опять же, еще не завершен.

Так стоит ли просить согласия? Может быть…

Таким образом, вы должны запросить четкое согласие для каждого типа (группы) инструментов.

Что ставит вас в неловкое положение.

Если вы запустите 10 инструментов ретаргетинга, которые объединяют исторические поиски, посещения страниц и т. д.? Поместите их в одну группу и посмотрите, сможете ли вы четко объяснить преимущества посетителям, чтобы они согласились.

Никаких предварительно отмеченных флажков… никаких подкупов, никаких стен из печенья…

И эти инструменты могут работать ТОЛЬКО, если посетитель дает им зеленый свет. Даже для самых умных маркетологов — вы смотрите на сокращение трафика.

Нам еще многое предстоит узнать.

Итак, мы документируем серые зоны.

Вот несколько хороших мест для начала:

  • Как провести успешную кампанию по повторному разрешению GDPR: пошаговое руководство
  • Взлом роста — ваш путь к большим штрафам? Скорректируйте свою исходную стратегию для GDPR.
  • Как купить программное обеспечение для A/B-тестирования, соответствующее GDPR
  • Как конвертировать в электронной торговле в эпоху GDPR