GDPR 与 ePrivacy:您需要知道的

已发表: 2018-02-15
GDPR 与 ePrivacy:您需要知道的

通用数据保护条例 (GDPR) 取代了数据保护指令 95/46/EC……

......并且,它带来了针对欧盟公民的新电子隐私条例(ePR)......

…即使这些数据在欧洲以外的地方存储和处理…

…在个人数据的经济价值越来越高的时代。

所以它非常重要。

但也……嗯?

而关于 GDPR 的文章似乎只是让它变得更加复杂。

例如…。

  • GDPR 取代了数据保护指令 95/46/EC。 全清?
  • GDPR 处理的不仅仅是数字隐私。 因此,有一个名为 ePrivacy 法规的子法律来给出更具体的规则。 还清楚吗?
  • 电子隐私条例取代了电子隐私指令,我还在吗?
  • GDPR 获得批准并将于 2018 年 5 月 25 日成为法律,准备好了吗?
  • 每个欧洲国家都可以制作自己的 GDPR “风味”,而只有两个国家做到了两打……你说什么?
  • 电子隐私法规很可能在 2018 年 5 月 25 日之前还没有准备好……嗯,又来了?
    因此,在 GDPR 中曾经提到过 cookie 的地方,电子隐私条例中充满了对什么是允许的和不允许的内容的详细描述……但我们缺乏最终法律(它在第 1533 号草案中)。 好用吧?

那么我们该怎么办? 我们遵循什么规则?

所以这是一团糟,但没有人告诉你这个。 因为要赚钱。

从一篇文章到另一篇文章,您将了解到可怕的 2000 万欧元(2400 万美元)罚款。

失败的代价是,但规则不明确。 那么我们该怎么办?

我们执行 GDPR 所说的,这就是我们所做的。

因为并非所有法律都已完成并不重要。 我们知道核心结构,这意味着每个国家/地区的法律可能略有不同。 但我们有基础。

那些是……

数字营销和 GDPR 我们知道什么?

在 GDPR 中,我们知道 cookie 只被提及一次。 独奏会 30 州:

自然人可能与他们的设备、应用程序、工具和协议提供的在线标识符相关联,例如互联网协议地址、cookie 标识符或其他标识符,例如射频识别标签。

这可能会留下痕迹,特别是当与服务器接收的唯一标识符和其他信息相结合时,这些痕迹可用于创建自然人的个人资料并识别他们。

所以他们不想要任何唯一标识符。 甚至在 cookie 中也没有——当然也没有个人数据。

个人数据是欧洲版本的 PII。 但是哦,男孩,这是不同的。 这里有一个对照表。

个人身份数据 (PII)
个人资料
  • 全名(如果不常见)
  • 家庭地址
  • 电子邮件地址
  • 国家注册号码
  • 护照号
  • 车牌号
  • 驾驶执照号码
  • 面部、指纹或笔迹
  • 信用卡号码
  • 数字身份
  • 出生日期
  • 出生地
  • 遗传信息
  • 电话号码
  • 登录名、网名、昵称或句柄
  • 全名(如果不常见)
  • 家庭地址
  • 电子邮件地址
  • 国家注册号码
  • 护照号
  • 车牌号
  • 驾驶执照号码
  • 面部、指纹或笔迹
  • 信用卡号码
  • 数字身份
  • 出生日期
  • 出生地
  • 遗传信息
  • 电话号码
  • 登录名、网名、昵称或句柄

+

  • IP地址
  • 唯一标识符,例如设备 ID、用户 ID、事务 ID、CookieID
  • 假名数据(即无法识别的数据+不同位置的键以使其再次可读)

目前,这就是我们所知道的。

欧洲 GDPR 法的意图

现在你可以抓住一个法律团队,你可以找到所有的灰色地带,什么是不允许的,什么是不允许的。 但让我们首先了解监管背后的核心思想和意图。

如果您了解法律,那么当您冒险涉足黑帽隐私和灰帽隐私黑客时,您就可以非常清楚地理解。 而且您可以确定要从堆栈中删除哪些工具以及您真正可以保留哪些很酷的营销技巧。 阅读 GDPR 第 26 条。

(或者跳过斜体并相信我在它们之后写的总结)。

数据保护原则应适用于与已识别或可识别自然人有关的任何信息。

经过假名化的个人数据,可以通过使用附加信息归于自然人,应被视为有关可识别自然人的信息。

为确定自然人是否可识别,应考虑所有合理可能使用的方式,例如由控制人或其他人直接或间接识别自然人的方式。

为了确定是否有合理可能使用的手段来识别自然人,应考虑所有客观因素,例如识别的成本和所需的时间,同时考虑到识别时的可用技术。加工和技术发展。

因此,数据保护原则不应适用于匿名信息,即与已识别或可识别的自然人无关的信息,或与以无法识别或不再可识别数据主体的方式匿名的个人数据有关的信息。

因此,本条例不涉及此类匿名信息的处理,包括用于统计或研究目的。

简而言之,我的版本是:个人数据(而且很多)只应出于合法利益(在另一篇文章中,更多内容)或作为合同的一部分以换取同意的情况下收集。 还有一些例外情况不适用于 90% 的数字营销人员,但您可以在此处阅读所有内容。

当您收集个人数据时,需要...

  • 安全地存放在欧洲境内。
  • 受保护。
  • 可以根据要求擦除或修改。

您还应该准备好在该数据发生后 72 小时内发出该数据违反安全性的信号。 因此,请确保您能够通知数据主体和当局,如果发生的话。

欧洲人想要这项法律,它远远超出欧洲,它触及世界上每个欧洲人存储某种形式的个人数据的数据库。

“但是丹尼斯你忘记了……”

显然,我忘记了很多事情。 这是 300 多页的 GDPR 法律和 100 多页关于 ePrivacy 法规草案 1533 的内容。但这个想法很明确。

存储个人数据会影响您作为数字营销所有者,因为您需要征得同意。

欧洲 GDPR 法的意图

什么? 同意? 是的,明确同意!

是的。 您需要向网站访问者、潜在客户和客户解释您如何收集和存储他们的数据。 除了您分享的方式之外,不要以任何其他方式使用它。

所以不......通过签署本白皮书,您接受条款废话废话没人会读这个。

反而…。

“<未选中复选框> 我同意通过下载此白皮书,我将收到一封包含白皮书的电子邮件。
<未选中的复选框>,我同意 X 公司的代表打来电话。”

该死……这会降低转化率,对吧?

可能是的。

对不起,不是我的法律……

未经同意你能做什么?

您可以使用堆栈中不存储 cookie ID 且不存储个人数据的任何工具。 没有指纹和其他讨厌的黑客来避免 cookie……

因此,不允许使用 cookie ID、唯一标识符,也不允许在这些工具的网站上存储个人数据。

Convert Experiences(我们的 A/B 测试软件)将在没有 cookie ID 和唯一标识符且没有个人数据存储的情况下运行。 因此,这是您在评估营销工具时要寻找的东西。

看起来网络分析(计算访问者)将被允许,但对于允许哪些分析工具和功能还不是 100% 清楚。 这取决于 ePrivacy 法规——同样,这项法律还没有完成。

那么征求同意值得吗? 也许…

因此,您必须根据工具的类型(组)征求明确的同意。

这让你处于尴尬的境地。

如果您运行 10 个结合了历史搜索、页面访问等的重定向工具……? 将它们放在一组中,看看您是否可以向访客清楚地解释好处,以便他们同意。

没有预先检查的框……没有贿赂,没有饼干墙……

这些工具只有在访客给他们开绿灯的情况下才能运行。 即使是最聪明的营销人员——你正在考虑减少流量。

还有很多东西要学。

所以我们正在记录灰色区域。

以下是一些不错的起点:

  • 如何运行成功的 GDPR 重新许可​​活动:分步指南
  • 增长黑客你的方式来重罚? 调整 GDPR 的出站策略。
  • 如何购买符合 GDPR 的 A/B 测试软件
  • 如何在 GDPR 时代进行电子商务转换