GDPR กับ ePrivacy: สิ่งที่คุณต้องรู้

เผยแพร่แล้ว: 2018-02-15
GDPR กับ ePrivacy: สิ่งที่คุณต้องรู้

กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) แทนที่คำสั่งคุ้มครองข้อมูล 95/46/EC…

…และมาพร้อมกับกฎระเบียบ ePrivacy ใหม่ (ePR) สำหรับพลเมืองสหภาพยุโรป…

…แม้ว่าข้อมูลนั้นจะถูกจัดเก็บและจัดการนอกยุโรป…

…ในยุคที่ข้อมูลส่วนบุคคลมีมูลค่าทางเศรษฐกิจเพิ่มมากขึ้น

มันจึงสำคัญอย่างไม่น่าเชื่อ

แต่ยัง….ห๊ะ?

และบทความเกี่ยวกับ GDPR ดูเหมือนจะทำให้ซับซ้อนมากขึ้น

ตัวอย่างเช่น….

  • GDPR มาแทนที่ Data Protection Directive 95/46/EC ชัดเจนทั้งหมด?
  • GDPR จัดการกับมากกว่าความเป็นส่วนตัวทางดิจิทัลมากมาย ดังนั้นจึงมีกฎหมายย่อยที่เรียกว่า ePrivacy Regulations เพื่อให้กฎเฉพาะเจาะจงมากขึ้น ยังชัดเจน?
  • กฎระเบียบ ePrivacy แทนที่คำสั่ง ePrivacy ยังกับฉันไหม
  • GDPR ได้รับการอนุมัติและจะกลายเป็นกฎหมาย 25 พฤษภาคม 2018 พร้อมหรือยัง?
  • แต่ละประเทศในยุโรปสามารถสร้าง "รสชาติ" ของ GDPR ของตนเองได้ และมีเพียงสองประเทศเท่านั้นที่ทำตามสองโหล...ว่าไง?
  • ePrivacy Regulations มักจะไม่พร้อมแม้กระทั่งภายในวันที่ 25 พฤษภาคม 2018….อี๊ มาอีกแล้วเหรอ?
    ดังนั้นเมื่อมีการกล่าวถึงคุกกี้ใน GDPR ครั้งหนึ่ง กฎระเบียบ ePrivacy จึงเต็มไปด้วยคำอธิบายโดยละเอียดว่าอะไรคือสิ่งใดและสิ่งใดที่ไม่อนุญาต… แต่เราขาดกฎหมายสุดท้ายนั้น (อยู่ในร่างฉบับที่ 1533) สะดวกใช่มั้ย?

ดังนั้นสิ่งที่เราจะทำ? เราปฏิบัติตามกฎอะไรบ้าง?

มันเป็นเรื่องที่ยุ่งเหยิง แต่ไม่มีใครบอกคุณเรื่องนี้ เพราะต้องทำเงิน

จากบทความสู่บทความ คุณจะอ่านเกี่ยวกับค่าปรับที่น่ากลัว 20 ล้านยูโร (24 ล้านดอลลาร์สหรัฐ)

ราคาของความล้มเหลวคือ แต่กฎไม่ชัดเจน ดังนั้นสิ่งที่เราจะทำ?

เราใช้สิ่งที่ GDPR กล่าว นั่นคือสิ่งที่เราทำ

เพราะมันไม่สำคัญจริง ๆ ว่ากฎหมายไม่ได้ทำทุกฉบับ เราทราบโครงสร้างหลัก และนั่นหมายความว่ากฎหมายแต่ละประเทศอาจแตกต่างกันเล็กน้อย แต่เรามีพื้นฐาน

และพวกนั้นก็คือ….

การตลาดดิจิทัลและ GDPR เรารู้อะไรบ้าง?

ใน GDPR เรารู้ว่ามีการกล่าวถึงคุกกี้เพียงครั้งเดียว บรรยาย 30 สถานะ:

บุคคลธรรมดาอาจเชื่อมโยงกับตัวระบุออนไลน์ที่จัดเตรียมโดยอุปกรณ์ แอปพลิเคชัน เครื่องมือ และโปรโตคอล เช่น ที่อยู่อินเทอร์เน็ตโปรโตคอล ตัวระบุคุกกี้ หรือตัวระบุอื่นๆ เช่น แท็กระบุความถี่วิทยุ

ซึ่งอาจทิ้งร่องรอยไว้ โดยเฉพาะอย่างยิ่งเมื่อรวมกับตัวระบุเฉพาะและข้อมูลอื่น ๆ ที่ได้รับจากเซิร์ฟเวอร์ อาจใช้เพื่อสร้างโปรไฟล์ของบุคคลธรรมดาและระบุตัวตนได้

ดังนั้นพวกเขาจึงไม่ต้องการ ตัวระบุที่ไม่ซ้ำ ไม่แม้แต่ในคุกกี้—และแน่นอนว่าไม่มีข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคลเป็น PII เวอร์ชันยุโรป แต่โอ้เด็กมันแตกต่างกัน นี่คือตารางเปรียบเทียบ

ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII)
ข้อมูลส่วนบุคคล
  • ชื่อเต็ม (ถ้าไม่ธรรมดา)
  • ที่อยู่
  • ที่อยู่อีเมล
  • หมายเลขประจำตัวประชาชน
  • หมายเลขหนังสือเดินทาง
  • ป้ายทะเบียนรถ
  • หมายเลขใบขับขี่
  • ใบหน้า ลายนิ้วมือ หรือลายมือ
  • หมายเลขบัตรเครดิต
  • ตัวตนดิจิทัล
  • วันเกิด
  • บ้านเกิด
  • ข้อมูลทางพันธุกรรม
  • หมายเลขโทรศัพท์
  • ชื่อล็อกอิน ชื่อหน้าจอ ชื่อเล่น หรือหมายเลขอ้างอิง
  • ชื่อเต็ม (ถ้าไม่ธรรมดา)
  • ที่อยู่
  • ที่อยู่อีเมล
  • หมายเลขประจำตัวประชาชน
  • หมายเลขหนังสือเดินทาง
  • ป้ายทะเบียนรถ
  • หมายเลขใบขับขี่
  • ใบหน้า ลายนิ้วมือ หรือลายมือ
  • หมายเลขบัตรเครดิต
  • ตัวตนดิจิทัล
  • วันเกิด
  • บ้านเกิด
  • ข้อมูลทางพันธุกรรม
  • หมายเลขโทรศัพท์
  • ชื่อล็อกอิน ชื่อหน้าจอ ชื่อเล่น หรือหมายเลขอ้างอิง

+

  • ที่อยู่ IP
  • ตัวระบุที่ไม่ซ้ำ เช่น Device ID, UserID, TransactionID, CookieID
  • ข้อมูลนามแฝง (นั่นคือข้อมูลที่ไม่รู้จัก + คีย์ในจุดอื่นเพื่อให้อ่านได้อีกครั้ง)

สำหรับตอนนี้นั่นคือสิ่งที่เรารู้

ความตั้งใจของกฎหมาย GDPR ของยุโรป

ตอนนี้คุณสามารถคว้าทีมกฎหมายและคุณสามารถค้นหาพื้นที่สีเทาทั้งหมดของสิ่งที่และไม่อนุญาต แต่ก่อนอื่น เรามาทำความเข้าใจแนวคิดหลัก ความตั้งใจ เบื้องหลังกฎข้อบังคับกันก่อน

หากคุณเข้าใจกฎหมาย คุณสามารถเข้าใจได้ชัดเจนมากเมื่อคุณเข้าสู่การแฮ็กความเป็นส่วนตัวแบบ blackhat-privacy และ greyhat-privacy และคุณสามารถกำหนดได้ว่าจะลบเครื่องมือใดออกจากสแต็กของคุณ และแฮ็กการตลาดเจ๋งๆ ใดที่คุณสามารถเก็บไว้ได้จริงๆ อ่านบทบรรยายที่ 26 ของ GDPR

(หรือข้ามตัวเอียงและเชื่อถือบทสรุปที่ฉันเขียนไว้หลังจากนั้น)

หลักการของการปกป้องข้อมูลควรนำไปใช้กับข้อมูลใด ๆ ที่เกี่ยวข้องกับบุคคลธรรมดาที่ระบุหรือระบุตัวตนได้

ข้อมูลส่วนบุคคลที่ผ่านการใช้นามแฝงซึ่งสามารถนำมาประกอบกับบุคคลธรรมดาโดยใช้ข้อมูลเพิ่มเติมควรถือเป็นข้อมูลเกี่ยวกับบุคคลธรรมดาที่สามารถระบุตัวตนได้

ในการพิจารณาว่าบุคคลธรรมดาสามารถระบุตัวตนได้หรือไม่ ควรพิจารณาถึงวิธีการทั้งหมดที่น่าจะใช้ได้อย่างสมเหตุสมผล เช่น การแยกแยะ ไม่ว่าจะโดยผู้ควบคุมหรือโดยบุคคลอื่นเพื่อระบุตัวบุคคลธรรมดาโดยตรงหรือโดยอ้อม

ในการตรวจสอบว่าวิธีการต่างๆ มีความเป็นไปได้อย่างสมเหตุสมผลที่จะใช้ในการระบุตัวบุคคลหรือไม่ ควรพิจารณาปัจจัยที่เป็นเหตุเป็นผลทั้งหมด เช่น ค่าใช้จ่ายและระยะเวลาที่จำเป็นสำหรับการระบุตัวตน โดยคำนึงถึงเทคโนโลยีที่มีอยู่ในช่วงเวลาของ การแปรรูปและการพัฒนาเทคโนโลยี

หลักการของการปกป้องข้อมูลจึงไม่ควรใช้กับข้อมูลที่ไม่ระบุตัวตน กล่าวคือ ข้อมูลที่ไม่เกี่ยวข้องกับบุคคลธรรมดาที่ระบุตัวตนได้หรือระบุตัวตนได้ หรือกับข้อมูลส่วนบุคคลที่ไม่ระบุตัวตนในลักษณะที่เจ้าของข้อมูลไม่สามารถระบุตัวตนได้หรือไม่สามารถระบุได้อีกต่อไป

กฎระเบียบนี้จึงไม่เกี่ยวข้องกับการประมวลผลข้อมูลที่ไม่ระบุตัวตนดังกล่าว รวมถึงเพื่อวัตถุประสงค์ทางสถิติหรือการวิจัย

กล่าวโดยย่อ เวอร์ชันของฉัน: ข้อมูลส่วนบุคคล (และเป็นจำนวนมาก) ควรถูกรวบรวมด้วยผลประโยชน์ที่ชอบด้วยกฎหมายอย่างใดอย่างหนึ่งเท่านั้น (ในบทความอื่น มากกว่านั้น) หรือเพื่อแลกกับการยินยอม ซึ่งเป็นส่วนหนึ่งของสัญญา มีข้อยกเว้นอีกสองสามข้อที่ไม่สามารถใช้ได้กับ 90% ของนักการตลาดดิจิทัล แต่คุณสามารถอ่านทั้งหมดได้ที่นี่

เมื่อคุณรวบรวมข้อมูลส่วนบุคคล จะต้อง...

  • เก็บไว้อย่างปลอดภัยภายในยุโรป
  • มีการป้องกัน.
  • สามารถลบหรือแก้ไขได้ตามต้องการ

คุณควรพร้อมที่จะส่งสัญญาณการละเมิดความปลอดภัยในข้อมูลนั้นภายใน 72 ชั่วโมงหลังจากเกิดขึ้น ดังนั้น ตรวจสอบให้แน่ใจว่าคุณสามารถแจ้งเจ้าของข้อมูลและเจ้าหน้าที่ได้ หากเกิดขึ้น

ชาวยุโรปต้องการกฎหมายนี้ มันไปไกลเกินกว่ายุโรป และเข้าถึงทุกฐานข้อมูลในโลกที่ชาวยุโรปถูกจัดเก็บด้วยข้อมูลส่วนบุคคลบางรูปแบบ

“แต่เดนนิสคุณลืมไป….”

เห็นได้ชัดว่าฉันลืมสิ่งต่าง ๆ มากมาย เป็นกฎหมาย GDPR มากกว่า 300 หน้าและมากกว่า 100 ฉบับในร่างข้อบังคับ ePrivacy 1533 แต่แนวคิดนี้ชัดเจน

การจัดเก็บข้อมูลส่วนบุคคลจะส่งผลต่อคุณในฐานะเจ้าของการตลาดดิจิทัล เนื่องจากคุณต้องขอความยินยอม

ความตั้งใจของกฎหมาย GDPR ของยุโรป

อะไร ยินยอม? ใช่ ยินยอมอย่างชัดแจ้ง!

ใช่. คุณต้องอธิบายให้ผู้เยี่ยมชมเว็บไซต์ โอกาสในการขาย และลูกค้าทราบถึงวิธีที่คุณรวบรวมและจัดเก็บข้อมูลของพวกเขา อย่าใช้มันในทางอื่นนอกเหนือจากวิธีที่คุณแบ่งปัน

ไม่เลย…การลงชื่อสมัครใช้เอกสารรายงานฉบับนี้ถือว่าคุณยอมรับเงื่อนไข blah blah ไม่มีใครจะอ่านข้อความนี้

แทนที่….

“<ไม่เลือกช่องทำเครื่องหมาย> ฉันยินยอมโดยการดาวน์โหลดเอกสารไวท์เปเปอร์นี้ ฉันจะได้รับอีเมลพร้อมเอกสารไวท์เปเปอร์
<ไม่เลือกช่องทำเครื่องหมาย> ฉันยินยอมให้มีการติดต่อทางโทรศัพท์จากตัวแทนของบริษัท X”

สาป… ที่จะลดอัตราการแปลงใช่มั้ย?

ครับน่าจะ

ขออภัยไม่ใช่กฎหมายของฉัน ...

คุณสามารถทำอะไรโดยไม่ได้รับความยินยอม?

คุณสามารถใช้เครื่องมือใดๆ ในสแตกของคุณที่ไม่ได้จัดเก็บ ID คุกกี้และไม่เก็บข้อมูลส่วนบุคคล ไม่มีลายนิ้วมือและการแฮ็กที่น่ารังเกียจอื่น ๆ เพื่อหลีกเลี่ยงคุกกี้...

ดังนั้นจึงไม่อนุญาตให้ใช้รหัสคุกกี้ ตัวระบุที่ไม่ซ้ำกัน และไม่อนุญาตให้จัดเก็บข้อมูลส่วนบุคคลบนเว็บไซต์

Convert Experiences (ซอฟต์แวร์ทดสอบ A/B ของเรา) จะทำงานโดยไม่มีรหัสคุกกี้และตัวระบุที่ไม่ซ้ำกัน และไม่มีการจัดเก็บข้อมูลส่วนบุคคล นั่นคือสิ่งที่คุณควรมองหาเมื่อคุณประเมินเครื่องมือทางการตลาดของคุณ

ดูเหมือนว่าการวิเคราะห์เว็บจะได้รับอนุญาต (การนับจำนวนผู้เข้าชม) แต่ก็ไม่ชัดเจน 100% ว่าเครื่องมือและคุณลักษณะการวิเคราะห์ใดบ้างที่ได้รับอนุญาต นั่นขึ้นอยู่กับข้อบังคับ ePrivacy—กฎหมายที่ยังไม่สิ้นสุด

แล้วมันคุ้มค่าไหมที่จะขอความยินยอม? อาจจะ…

ดังนั้นคุณต้องขอความยินยอมที่ชัดเจนตามประเภท (กลุ่ม) ของเครื่องมือ

ซึ่งทำให้คุณอยู่ในตำแหน่งที่น่าอึดอัดใจ

หากคุณเรียกใช้เครื่องมือกำหนดเป้าหมายใหม่ 10 รายการที่รวมการค้นหาในอดีต การเข้าชมหน้าเว็บ ฯลฯ…? แบ่งกลุ่มเหล่านี้ไว้เป็นหนึ่งกลุ่มและดูว่าคุณสามารถอธิบายประโยชน์ให้ผู้เข้าชมเห็นได้อย่างชัดเจนหรือไม่ ดังนั้นพวกเขาจึงยินยอม

ไม่มีช่องทำเครื่องหมายไว้ล่วงหน้า…ไม่มีการติดสินบน ไม่มีกำแพงคุกกี้…

และเครื่องมือเหล่านั้นจะทำงานได้ก็ต่อเมื่อผู้เยี่ยมชมให้ไฟเขียวแก่พวกเขา สำหรับนักการตลาดที่ฉลาดที่สุด—คุณกำลังพิจารณาการลดการเข้าชม

มีอะไรอีกมากมายให้เรียนรู้

ดังนั้นเราจึงบันทึกพื้นที่สีเทา

ต่อไปนี้คือจุดเริ่มต้นที่ดี:

  • วิธีดำเนินการแคมเปญการอนุญาตซ้ำของ GDPR ที่ประสบความสำเร็จ: คำแนะนำทีละขั้นตอน
  • การแฮ็กการเติบโตในแบบของคุณไปสู่ค่าปรับจำนวนมาก? ปรับกลยุทธ์ขาออกของคุณสำหรับ GDPR
  • วิธีซื้อซอฟต์แวร์ทดสอบ A/B ที่สอดคล้องกับ GDPR
  • วิธีการแปลงในอีคอมเมิร์ซในยุค GDPR