不要被这 6 个 GDPR 神话所迷惑

已发表: 2018-03-12

距离 GDPR 实施日还有好几个月的时间，互联网上充斥着糟糕的建议。

我看到的博客文章和 Quora 答案的数量都充斥着绿灯，应该是红色的——令人震惊。

随着我们在 Convert 公司花费越来越多的时间来学习、阅读和为这项新的、重要的、重要的立法而努力——我的大脑开始敲响警钟的次数越多。

“这种行业标准行为现在很糟糕，”它说。 “你必须警告他们。”

所以在这里。

这些是人们认为的关于 GDPR 的 6 个大谎言，人们会犯错，我们都需要在 5 月 25 日之前改正。

误区1：这只影响欧盟。

要是。

GDPR 最雄心勃勃的事情之一是它如何扩大数据隐私政策的立法范围。现在，有一项总体立法制定了整个欧盟的规则。

但除此之外，GDPR 对任何处理欧盟公民数据的人都很重要。

即使您的公司位于其他地方（如果您有欧盟公民的网络访问者，并且您使用 cookie 跟踪他们），您也应该申请 GDPR。如果您收集欧洲数据主体的电子邮件，如果您存储他们的 IP 地址，如果您与他们的数据进行交互——您必须遵守与任何拥有基于欧盟的服务器的人相同的新规则。

老实说，即使你 100% 确定你不处理欧盟数据——遵守 GDPR 也是朝着正确方向迈出的一大步。各地的隐私法都在发生变化。加拿大正在制定新的隐私法立法。

数据越来越成为一种有价值的货币形式。这使得数据立法比以往任何时候都更加重要。

神话#2：我可以证明我的cookies/冷电子邮件/等。因为“合法利益”。

合法利益条件是……复杂的。

虽然它可能（暂时）为某些类型的冷电子邮件留出一点喘息的空间，但它并不像营销人员希望的那样有用。

稍微备份一下——GDPR 概述了 6 种不同的数据处理法律条件。对于营销人员而言，两个相关的似乎是：数据主体同意和“合法利益”。

征求同意需要您满足各种条件——它必须是主动的、明确的、肯定的等。

相比之下，“合法利益”就像是在公园里散步。但这个条款的意图不是“我理所当然地认为他们有兴趣……所以，我可以给他们发送我想要的任何东西，对吧？”

以下是 ICO（英国数据监管机构）建议您在决定处理数据之前确认的内容……。

我们已经确认合法利益是最合适的依据。
我们理解保护个人利益的责任。
我们已经进行了合法利益评估 (LIA) 并保留了记录，以确保我们能够证明我们的决定是合理的。
我们已经确定了相关的合法权益。
我们已经检查过该处理是必要的，并且没有其他侵入性较小的方法可以达到相同的结果。
我们进行了平衡测试，并相信个人利益不会凌驾于这些合法利益之上。
除非我们有充分的理由，否则我们只会以他们合理预期的方式使用个人数据。
除非我们有充分的理由，否则我们不会以他们认为具有侵入性或可能对他们造成伤害的方式使用人们的数据。
如果我们处理儿童的数据，我们会格外小心以确保我们保护他们的利益。
我们已经考虑了尽可能减少影响的保障措施。
我们已经考虑过是否可以选择退出。
如果我们的 LIA 确定了重大的隐私影响，我们已考虑是否还需要进行 DPIA。
我们会不断审查我们的 LIA，并在情况发生变化时重复审查。
我们在隐私声明中包含有关我们合法利益的信息。

所以如果你想依赖合法利益——你必须确认这些事情。你必须记录你的过程。并且您必须提前决定您正在以合法利益条件进行处理。 不能只是因为您错误地征求同意而成为您的退路。

误区 3：我需要任命一名数据保护官。

GDPR 建议一些公司任命一名数据保护官，以监督过渡及其数据安全的发展。

并且权力非常明确，公共当局应该任命一名。以及主要功能包括处理数据或系统监控数据的公司。如果您定期处理特殊类别的数据（如健康数据、宗教和政治派别），您的团队可能应该有一个 DPO。

但除了这些条件，老实说，对于您的公司何时大到可以强制聘请 DPO 并没有严格的规定。或者，当您管理的数据足够复杂时，您需要一个。 250 名员工是一个经常被折腾的经验法则。

一般来说，出于营销目的处理您的标准类型和数量的数据的 SME 似乎可以通过一些可靠的法律建议以及对数据透明度的彻底奉献来度过难关。

误区四：这是一种征求同意的好方法。

这个存在…

不！同意需要是积极的。你不能让你的盒子预先检查。

不！那就是捆绑。对于单独的流程，您必须单独征求同意。您不能只在活动注册中加入“每月通讯”订阅。

不！命名您的第三方，否则不算数！

不——持久性 cookie 现在需要明确、主动的同意。例如，有人必须点击一个东西或选中一个“我同意”的框。他们不只是通过继续浏览来提供它。

细微差别还在继续。

重要的是：同意规则不再像以前那样了。

有关它们现在的更多信息，我们在这里进行了更实质性的细分。

误解5：这不是个人数据。

GDPR 扩大了个人数据的范围，从以前被称为“个人识别信息”的内容开始。

我们谦虚地展示这张有用的表格：

个人身份数据 (PII)

个人资料

全名（如果不常见）
家庭地址
电子邮件地址
国家注册号码
护照号
车牌号
驾驶执照号码
面部、指纹或笔迹
信用卡号码
数字身份
出生日期
出生地
遗传信息
电话号码
登录名、网名、昵称或句柄

全名（如果不常见）
家庭地址
电子邮件地址
国家注册号码
护照号
车牌号
驾驶执照号码
面部、指纹或笔迹
信用卡号码
数字身份
出生日期
出生地
遗传信息
电话号码
登录名、网名、昵称或句柄

IP地址
唯一标识符，例如设备 ID、用户 ID、事务 ID、CookieID
假名数据（即无法识别的数据+不同位置的键以使其再次可读）

这里值得注意的是饼干——有点复杂。将根据新的电子隐私条例确定哪些类型的 cookie 将被视为个人数据。

目前，“性能领域”中的 cookie 存在一些例外情况。为了网站运营商的利益，这些类型仅收集有关网站使用情况的信息。他们不识别访问者，而是依靠汇总数据。

您可以在此处深入了解 GDPR 将如何监管 cookie。

误区 #6：只要我在 5 月 25 日之前更新我的流程——我就清楚了。

作为一名营销人员，这就是 GDPR 的条件，让我想把头发扯下来。

它追溯适用。

它适用于所有现有数据。

这意味着，如果您一直在收集电子邮件、运行 cookie 或以不符合 GDPR 的方式处理任何个人数据——所有存储的数据都会在 5 月 25 日成为问题。

我们推荐：

无论您网站的 cookie 是在 3 个月、6 个月还是 12 个月的生命周期内运行 — 最好重新开始，并清除它们存储的任何个人数据。
运行重新许可活动，以尝试挽救您现有的电子邮件列表。

真是头疼。失去一些你努力争取赢得的联系，真是太可惜了。

但是，正如他们所说……

有时事情会分崩离析，所以更好的事情可以一起发生，而且数据隐私也很重要，所以我们都应该遵守法律。