GDPR 对 CRO 数据收集的影响:快速回顾

已发表: 2019-11-13
GDPR 对 CRO 数据收集的影响:快速回顾

优化任何网站转化率的基础是系统收集和分析与网站互动的访问者相关的数据。

用户数据的收集对于衡量访问者如何使用、理解和喜欢网站的不同部分至关重要。 然而,根据欧洲议会于 2016 年 4 月提出并最终于 2018 年 5 月实施的《通用数据保护条例》(GDPR),欧盟对个人数据的收集和处理变得统一和受限。

通俗地说,企业不能再没有正当理由收集和囤积数据。 他们也不能随心所欲地处理数据。 最后,数据现在带有到期日期。 需要定期清除未用于以切实方式改善用户和客户体验的数据。

GDPR 的目的是协调欧盟的数据隐私法,加强欧盟公民的数据隐私权并防止数据泄露。 不遵守 GDPR 的组织可被处以高达其年营业额 4% 或高达 2000 万欧元(以较高者为准)的罚款。

已经处以罚款。 例如,信息专员办公室 (ICO) 宣布对英国航空公司处以 1.8339 亿英镑的罚款,原因是数据泄露泄露了 500,000 名客户的个人数据并违反了 GDPR。

因此,GDPR 下的一般座右铭是您收集的个人用户信息越少越好。 但这是否意味着为了优化转化率而从欧盟公民那里收集用户数据是不可能的,而不会冒着 GDPR 下巨额罚款的风险?

根据 GDPR 处理个人数据的原则
通过 www.talacka.com 阅读全文。

不必要。

如果您通过跟踪工具、cookies、处理软件或数据评估程序收集欧盟公民的个人数据,您需要了解收集的数据类型、存储位置、处理方式以及最终删除时间. 近年来,企业和组织对拥有个人个人数据的总体思维方式的改变日益强烈。

GDPR 中个人数据的可移植性部分规定,任何公司都不能拥有个人数据,并且数据主体有权与其他组织共享其数据。 因此,根据 GDPR,企业和组织有法律义务就收集和处理其网站访问者的数据获得同意协议。 此外,您需要用简单的文字写下同意书,以清楚地说明您收集数据的原因以及您将使用它的目的。

乍一看,这听起来势不可挡,而且难以每天执行。 但是,本文将帮助您处理 GDPR 要求。

此外,本文将概述 GDPR 下的个人数据,如何在收集个人数据以实现转化率优化 (CRO) 目的时遵守 GDPR,以及 GDPR 如何影响常见的 CRO 工具。用于优化网站。

什么构成个人数据?

GDPR 第 4 条定义了个人数据的构成。

个人数据是可以直接或间接识别自然人的任何形式的信息。 自然人是居住在欧盟的个人。 识别一个人的最简单方法通常是通过全名。 但在欧盟可能有多个同名的人。 然而,不同数据点的组合足以识别一个特定的个体。 例如,可识别的数据点可以是姓名、位置、电子邮件地址、登录信息、IP 地址和唯一标识符,例如用户 ID 或交易 ID。

在阅读上一节时,您可能注意到大多数常用的转化率优化工具都会收集和处理上述可识别的数据点。 但是您是否负责确保第三方数据处理工具符合欧盟数据保护法规?

第三方 CRO 工具:如何使用它们

GDPR 描述了数据收集过程由两个不同的实体进行:数据“控制器”和数据“处理器”。 数据控制者决定收集数据的目的、范围和意图。 因此,数据控制者在大多数情况下是网站所有者。 另一方面,数据处理器代表数据控制器处理收集的数据以满足预定目标。

数据处理器通常是第三方 CRO 工具,例如热图、测试工具、表单分析或 A/B 测试工具。 在使用任何第三方工具之前,第三方工具可以以网站所有者的名义进行的行为的协议必须得到网站所有者的批准。

这意味着作为数据处理器的第三方工具充当数据控制器的扩展。

一般数据保护条例规定,数据控制者对数据处理者的行为负有法律责任。 因此,如果第三方 CRO 工具形式的数据处理器不符合 GDPR,则数据控制器反过来同样不合规并可能面临处罚。 因此,建议检查您用于网站的营销和跟踪工具为您收集的数据类型。

现在您可能会问自己:“根据 GDPR,我的责任是什么? 以及网站所有者与第三方数据处理工具之间的协议中应说明哪些措施以确保符合 GDPR?” 以下清单将让您快速了解第三方工具最重要的 GDPR 要求以及您自己的要求。

第三方工具的 GDPR 要求清单

  • 更新了数据处理协议,增加了 GDPR 部分
  • 合同应说明他们只会按照您的书面指示行事
  • 数据处理方法的持续时间、目的、存储和过程
  • 网站访问者同意的记录必须在 GDPR 要求预测的短时间内保存
  • 数据安全措施应在第三方工具协议中注明
  • 数据处理者必须协助数据控制者获得用户访问存储数据的权利、撤回给定的同意以及被遗忘和删除某些信息的权利
  • 第三方工具应说明将收集和处理哪种类型的个人数据
  • 在数据处理者和数据控制者之间的协议中,应包括描述各方权利和义务的部分

网站所有者的 GDPR 要求清单

  • 信息审计:您收集/处理/存储哪些个人数据?
  • 有收集个人数据的法律依据(第 6、7-11 条)
  • 保留数据的时间不要超过必要的时间(第 5 条)
  • 通过主动选择加入选项获得收集个人数据的同意并存储同意以证明给定的同意(第 4 条)
  • 尽可能对个人数据进行加密和假名化(第 32 条)
  • 让您的客户轻松撤回他们的同意、收集和可能删除他们收集的数据(第 15、17、18、21 条)
  • 命名以您的名义访问或收集个人数据的第三方工具
  • 遵守将个人数据传输到 EEA 以外国家/地区的限制(第 44-50 条)

GDPR 合规性:对体验和转化率的可能影响

根据 GDPR,收集的所有数据均应在获得用户明确同意后进行。 有两种方式可能会对企业造成潜在损害:

  • 表格不能再获得同意(预先选中的框),并且他们需要为每种单独的数据处理请求同意。 所以简而言之,如果浏览器已经注册了您的磁石,请不要自动开始使用时事通讯访问他们的收件箱。 这不仅减少了与潜在客户的接触点数量,如果表单的设计没有考虑到用户体验,同意选项可能会导致沮丧和疲劳,从而导致更差的完成/提交率。
转换同意
  • Cookie 同意弹出窗口。 Convert 的这篇文章分解了可以在网站上使用的不同类型的 cookie,以及如何从流量中获得使用许可。 如果您心目中的 cookie 需要站点浏览器的点头,那么可怕的 cookie 同意书是可行的方法。 大多数工具都有自己的 cookie 同意横幅,自定义选项非常有限。 允许合并不同解决方案的 cookie 同意的聚合工具是不够的,并且需要用户单击或导航离开现有页面以选择加入或退出。

尽管尚未对 GDPR 前后流量、参与度或目标完成率的下降进行正式研究,但大多数企业都受到了影响。

然而,这种痛苦导致需要投资于同意率优化技术和更好的设计和用户体验——这些元素最终将改善公司与潜在客户的互动方式,并引导他们完成购买/消费周期。

GDPR 和正在世界各地形成的志同道合的数据隐私法是朝着更加私密和自由的数字未来迈出的一步——但至关重要的是,执行这些法律的技术解决方案要平衡和细致入微,这样他们就不会破坏为免费和普遍部分提供资金的互联网经济,我们都珍惜并希望保护这些部分。

Cookiebot 的创造者 Cybot 的 CEO Daniel Johannsen。

存储、删除和分类个人数据

另一个可能影响 CRO 目的的数据收集的 GDPR 要求是个人数据的存储和处理。 这可能特别复杂,因为许多 CRO 工具都存储个人数据,而且数据分析过程中可能涉及多方。 因此,这取决于您为您的网站使用了多少 CRO 工具,但最有可能的是限制在所使用的 CRO 工具中长期存储个人数据。

多年来,人们一直在争论是否有必要删除组织或企业收集和保存的数据。 根据 GDPR,个人可以要求立即删除其个人数据。 然而,组织应该如何展示数据删除的证据并不完全清楚,因为这会引发有关数据隐私和公司政策的问题。

需要解决的另一点是个人数据的适当分类。 作为一个组织,您需要知道必须收集哪种类型的数据才能成功开展业务。

GDPR 的数据收集规定描述了企业仅收集具有法律依据的个人数据的重要性。 收集数据的法律依据共有6个:同意、合同、法律义务、切身利益、公共任务和合法利益。 收集和处理个人数据的常见法律理由是合法利益。 例如,这可能是为了重新定位或直接营销目的而处理数据(Recital 47)。 这也将限制第三方工具未经授权使用个人数据,从而降低数据被盗的风险。

结论:

强制性 GDPR 要求可能会部分影响转化率优化的数据收集过程。 尤其是收集的数据量受到网站上“选择加入”同意书的影响。 此外,需要检查为您收集数据的第三方 CRO 工具,以便您可以验证协议中是否包含最重要的 GDPR 要求,因为您应对潜在的第三方 GDPR 违规行为负责。

总体而言,这些都是积极的变化,将以潜在客户和品牌之间更自由互动的形式结出硕果——无需担心数据被滥用。 目前转换率的任何下降都将得到补偿,因为有意识的品牌会大步向前,并投资于开发实践,这些实践专注于使征得同意的过程尽可能轻松(甚至令人愉快)。