Что GDPR означает для вашего бизнеса

Сегодня хороший день, чтобы узнать больше о том, что означает GDPR для вашего бизнеса.

Общий регламент Европейского Союза по защите данных, или GDPR, вступает в силу 25 мая 2018 года. И хотя до этого еще почти год, с операционной точки зрения вам необходимо выполнить множество действий, чтобы соответствовать требованиям. (Да, «метрическая стыковая нагрузка» — это технический термин.)

В этом выпуске подкаста Rethink мы поговорили с Дэвидом Фаулером, руководителем Act-On по вопросам конфиденциальности, соответствия требованиям и доставляемости. По словам Дэвида, GDPR знаменует собой крупнейшее изменение в законодательстве ЕС о защите данных за последнее поколение. И это относится к 510 миллионам граждан ЕС, а также к любому бизнесу, ведущему с ними бизнес, независимо от того, где они базируются.

Наслаждайтесь беседой, и мы надеемся, что вы сможете сделать один или два полезных вывода, которые вы можете использовать в своем бизнесе.

Натан Айзекс : Дэвид, можешь рассказать мне больше о том, чем ты занимаешься в Act-On?

Дэвид Фаулер : Я помогаю нашим клиентам ориентироваться в цифровой дорожной карте с точки зрения их обязательств в соответствии с местными, государственными, федеральными и международными законами в отношении цифрового маркетинга. Я также гарантирую, что когда наши клиенты нажимают кнопку «отправить» для своих электронных писем, у сообщений есть все возможности попасть в папку «Входящие». Цифровое соответствие в 2017 году — очень глубокая и широкая область. Например, если вы являетесь маркетологом из США и отправляете почту в ЕС, ваши обязательства будут отличаться от тех, которые вы выполняете в США и отправляете почту в Канаду. Наша работа заключается в том, чтобы информировать наших клиентов об их обязательствах в соответствии с этими конкретными законодательными планами.

Натан : Одна из тем, о которых мы говорим сегодня, — это Общий регламент по защите данных, или GDPR. Можете ли вы сказать мне, что это такое и что это такое?

Дэвид : GDPR — это закон, который вступит в силу в Европе в 2018 году, а точнее 25 мая. По сути, это полностью переписанная директива ЕС о данных 1995 года. А для тех из вас, кто слушает подкаст, в Европе нет универсальных законов с точки зрения соответствия цифровым технологиям. Существуют интерпретации директивы о данных, и каждая страна может определить свою интерпретацию этого закона. Итак, как вы могли видеть, именно это само по себе создает огромный потенциал для путаницы.

GDPR — это универсальный закон, который будет применяться ко всем компаниям, в базах данных которых есть европейские граждане. Это будет повсеместным для каждой страны в пределах ЕС. Это один закон для 500 миллионов человек.

Натан : Для компаний, базирующихся в США или других странах мира, которые ведут бизнес с физическими лицами в Европе, это относится к ним. Это правильно?

Дэвид : Это верно. А за несоблюдение предусмотрены большие штрафы – до 4 процентов от общей выручки компании. Если вы, например, Google, что такое 4 процента от триллиона долларов?

Ваши обязанности в соответствии с GDPR

Натан : Новый закон применяется к тому, как я веду дела с физическими лицами. Что мне нужно сделать как бизнесу, чтобы соответствовать требованиям?

Дэвид : Важно понимать обязанности по GDPR. А в Европе у вас есть два вкуса. У вас есть контроллер и процессор данных. Например, вы являетесь клиентом Act-On. Вы будете контролером согласно дорожной карте GDPR. И мы [Act-On] будем обработчиком ваших данных. Наши обязательства в соответствии с GDPR состоят в том, чтобы, A, соблюдать закон, очевидно. Но также B, создавайте наши продукты и услуги, которые позволят вам выполнять свои обязательства в соответствии с GDPR.

Мы не несем ответственности за то, чтобы вы соответствовали требованиям. Но мы несем ответственность за то, чтобы показать, что наши продукты позволяют вам соответствовать требованиям, то есть такие вещи, как предоставление механизмов согласия, резервное копирование согласия, двойное согласие, все эти типы вещей, которые мы считаем само собой разумеющимися с точки зрения разрешений, наши продукты должны быть вплоть до того, что они это делают.

Использование платформы автоматизации маркетинга в рамках GDPR — это то, что вы, как контролер своих данных и данных ваших клиентов, должны будете не только соблюдать, но и понимать, как вы используете технологию для этого. Теперь права человека, с точки зрения данных и личной информации и тому подобного, есть гораздо больше вопросов, которые возникают в соответствии с GDPR, если вы являетесь получателем цифровых отношений клиента. В оперативном плане есть много вещей, о которых вам нужно подумать, чтобы подготовиться к этому. Но в конечном счете, где резина встречает дорогу, если у вас есть клиент, которому вы не можете доказать, как он попал в ваш список, или вы не можете доказать, откуда он пришел, или вы не можете доказать механизм согласия, который был использовали для начала маркетинга для них, то, по сути, вы окажетесь в состоянии несоблюдения GDPR.

Операционное влияние GDPR

Натан : Каковы операционные последствия GDPR?

Дэвид : Отличный вопрос. Есть 10 областей, о которых вам нужно подумать с точки зрения вашей компании с точки зрения подготовки к операционной стороне GDPR. Номер один — безопасность данных и уведомление о нарушениях.

Таким образом, если у вас есть утечка данных, вы обязаны проинформировать DPA — орган по защите данных — в течение 72 часов о фактическом нарушении или о том, что вы знаете об этом. Обязательный DPO или сотрудник по защите данных — это то, что реализуется в соответствии с GDPR, а это означает, что если вы являетесь компанией определенного размера, вам действительно нужно иметь в штате сотрудника, который следит за вашими усилиями по защите данных.

Согласие субъекта данных — это серьезная проблема: как вы получаете согласие от субъекта данных. В соответствии с GDPR субъектом данных является фактическое лицо, а не аномалия. Трансграничная передача данных является большой проблемой. Если вы перемещаете данные по Европе или из Европы обратно в США или куда-то еще, об этом стоит подумать. Что касается того, как это делается с точки зрения адекватности, в нынешних условиях механизм трансграничной передачи данных между Европой и США регулируется программой, называемой защитой конфиденциальности, и мы как компания сертифицированы по защите конфиденциальности. Но будут и другие сущности, которые придут на помощь.

Профилирование и право на отказ будут серьезной проблемой с точки зрения того, как люди получают профили и как они имеют право возражать против профилирования; то есть, если я узнаю, что сегодня ты наденешь белую рубашку, я узнаю о твоих предпочтениях в отношении рубашки и, возможно, пришлю тебе к ней белые брюки. Как человек, проблема заключается в том, как вы можете управлять этим с точки зрения возможности отказаться от этого профилирования в будущем.

Еще одним важным является право на переносимость данных и право на забвение. В соответствии с GDPR концепция заключается в том, что вы, как физическое лицо, имеете право взять свои данные из компании A и передать их в компанию B в приемлемом для машинного чтения формате, а также вы имеете право на то, что вы действительно когда-либо имели цифровые отношения с этим конкретным брендом забыты. Так что это огромная проблема с точки зрения того, как компании смогут соответствовать этому и действительно развертывать такие стратегии вокруг этих концепций. Мы все еще как бы обнимаем это.

Седьмая область – обязанности и ответственность контролеров и процессоров. Какова ваша ответственность в соответствии с GDPR в качестве обработчика, который является Act-On, и каковы ваши обязанности в соответствии с GDPR в качестве контролера, который является клиентом Act-On. И это две разные проблемы с точки зрения некоторых вещей, которые приходят к этому.

Еще одна проблема, о которой следует подумать, — это псевдонимизация личных данных — как я могу взять ваши данные и создать более крупный профиль на основе других сторонних объектов, которые могли бы подключиться к этому, в вашу конкретную дорожную карту. Кодексы поведения, как и почему вы должны действовать определенным образом. И, наконец, штрафы и процедуры — это большая проблема; вы можете быть оштрафованы на 4 процента от глобального дохода вашей компании, если вы не соответствуете требованиям.

Итак, есть много вещей с точки зрения эксплуатации. И я гарантирую вам, что если у вас есть специалист по конфиденциальности, если у вас есть специалист по соблюдению требований, и эти люди не разговаривают с вашим техническим персоналом или вашими инженерами, тогда вам нужно начать думать о том, чтобы собрать этих людей вместе, потому что это будет взять деревню, чтобы сделать это с организационной точки зрения.

Права физических лиц в соответствии с GDPR

Натан : Каковы права людей во всем этом?

Дэвид : Да, это отличный вопрос. Потому что в соответствии с GDPR человек имеет право быть проинформированным, сказать: «Я получил вашу информацию отсюда, и вот что я собираюсь с ней сделать, а это то, чего я не собираюсь делать». с этим.' Право на доступ, чтобы вы, как физическое лицо, могли связаться с нами и сказать: «Эй, моя информация неверна, она неверна, она неточна, и мне нужно, чтобы вы изменили это, основываясь на профиле, который у вас есть обо мне. .' Право на повторную сертификацию означает то же самое — вы действительно можете изменить или скорректировать на основе того, что знаете. Право на стирание: «Эй, Act-On, пожалуйста, сотрите все эти фрагменты информации обо мне» или «Мр. и миссис Покупатель, пожалуйста, сотрите всю эту информацию обо мне», и как вы собираетесь это сделать?

У вас есть право ограничить обработку, что означает: «Эй, я бы хотел получать от вас электронные письма, но я не хочу получать SMS». Или: «Я хочу получать электронные письма, но не хочу получать текстовые сообщения»… или что-то в этом роде. А затем право на ограничение переносимости данных, то есть я иду и беру свои данные из компании А и перемещаю их в компанию Б. Теоретически у вас могут быть клиенты, которые уходят в пятницу в 17:00, а затем переходят в другую компанию в понедельник в 8 утра. И технически они должны работать в этой среде.

И, наконец, право возразить: «Это правильно, это неправильно, это безразлично». И право относиться к автоматизированному принятию решений и профилированию, что означает, что, поскольку мы сейчас находимся в цифровом канале с такими вещами, как искусственный интеллект, вы можете начать создавать профили людей и предметов независимо от того, знают они об этом или нет. Вы должны быть очень откровенны с точки зрения того, как вы раскрываете эту информацию и как вы создаете эти профили.

Я предполагаю, что компании будут чрезмерно компенсировать согласие. Вы думаете о том, как вы участвуете в цифровых отношениях сегодня — раскрытие информации, согласие и все эти вещи, которые мы принимаем как должное. Но дело в том, что я думаю, что вы увидите много страниц профилей и страниц онбординга, где у вас не будет предварительно отмеченных флажков, но вы позволите людям сказать: «Я хотел бы выберите это или отмените выбор этого». Предварительно отмеченные флажки в GDPR — это полное нет-нет. Это абсолютно незаконно.

И то, что я хотел бы сделать сейчас как маркетолог, в ваших усилиях по подготовке, когда эта вещь будет запущена в мае следующего года, не будет льготного периода. Каждая часть данных, которые у вас есть в вашем файле на май 2018 года, должна будет соответствовать требованиям в тот день, когда она будет опубликована. Итак, вы должны начать думать о том, как вы либо повторно разрешите, либо дойдете до того момента, когда вы начнете раскрывать разные сведения о лицах, готовясь к внедрению GDPR. Итак, повторно разрешите свои списки, приведите свое согласие в порядок, начните говорить о раскрытии информации и тому подобном. И это то, что вы должны начать охватывать сегодня.

Узнайте больше о GDPR

Натан : Мы говорим об этом сейчас только для того, чтобы у людей была возможность начать соблюдать или внедрять эти механизмы для соблюдения требований, как самих себя, так и всех остальных. Есть ли контрольный список?

Дэвид : Полное раскрытие, мы не в том положении, чтобы давать юридические консультации или рекомендации. Но некоторые органы по защите данных в ЕС более красноречивы и общительны, чем другие. Отличным примером DPA, который разместил много информации, является ICO, Управление Комиссара по информации Великобритании.

Если вы зайдете на их веб-сайт, у них есть масса информации о том, о чем вы должны думать, как вы готовитесь и каковы ваши обязательства в следующем году.

Нейтан : Итак, это то, что нужно обсудить всей команде, от маркетинга до соблюдения требований, до юридических и инженерных, верно?

Дэвид : Абсолютно. Потому что каждый будет интерпретировать это по-своему. Я имею в виду, что документация состоит из сотен страниц. Это чрезвычайно громоздко. Но это действительно здравый подход к цифровым отношениям. И дело сейчас не только в личности. Это также о том, как вы ведете дела со своими поставщиками и как вы привлекаете их к ответственности за вещи. В некотором смысле это основа здравого цифрового подхода не только к маркетингу, но и к отказу от определенных вещей. Это определенно то, о чем вам следует подумать сейчас. А если нет, то вы немного отстаете от восьмерки.

Резюме

Act-On будет выпускать вебинары, информационные бюллетени и другой контент о GDPR в течение следующего года. Вы также можете написать Дэвиду, если у вас есть вопрос: [email protected] .