GDPR 对您的业务意味着什么
已发表: 2017-08-10今天是详细了解 GDPR 对您的业务意味着什么的好日子。
欧盟的通用数据保护条例 (GDPR) 将于 2018 年 5 月 25 日生效。尽管距现在还有将近一年的时间,但在操作上,您需要做很多事情才能合规。 (是的,“公制对接负载”是一个技术术语。)
在 Rethink 播客的这一集中,我们采访了 David Fowler,他是 Act-On 的隐私、合规性和可交付性负责人。 正如大卫所说,GDPR 标志着一代人以来欧盟数据保护法的最大变化。 它适用于欧盟的 5.1 亿公民,以及与他们有业务往来的任何企业,无论他们身在何处。
享受谈话,我们希望您能得到一两个有用的收获,可以为您的业务带来帮助。
Nathan Isaacs :大卫,你能告诉我更多关于你在 Act-On 做什么的事情吗?
David Fowler :我帮助我们的客户根据他们在当地、州、联邦和国际法律下与数字营销相关的义务来制定数字路线图。 我还确保当我们的客户点击电子邮件的“发送”按钮时,邮件有机会到达收件箱。 2017年的数字合规是一个很深很广的领域。 例如,如果您是向欧盟邮寄邮件的美国营销商,您的义务将不同于向加拿大邮寄邮件的美国营销商。 我们的工作是告知我们的客户他们在这些特定立法路线图下的义务。
内森:我们今天谈论的其中一件事是通用数据保护条例 (GDPR)。 你能告诉我那是什么以及它是关于什么的吗?
大卫:GDPR 是一项将于 2018 年在欧洲生效的法律,确切地说是 5 月 25 日。 从本质上讲,它是对 1995 年欧盟数据指令的完全重写。 对于那些收听播客的人来说,欧洲在数字合规方面没有普遍的法律。 对数据指令有多种解释,每个国家/地区都可以确定他们对该法律的解释是什么。 所以,正如您所看到的,实际上,这本身就造成了巨大的混乱潜力。
GDPR 是一项通用法律,将适用于所有在其数据库中拥有欧洲公民的公司。 对于欧盟内的每个国家,这将是全面的。 这是适用于 5 亿人的一部法律。
内森:对于总部位于美国或世界其他地方但与欧洲个人开展业务的企业而言,这适用于他们。 是对的吗?
大卫:没错。 如果您不合规,将会面临一些重罚——高达公司总收入的 4%。 例如,如果您是 Google,那么 1 万亿美元的 4% 是多少?
您在 GDPR 下的责任
内森:一项新法律适用于我与个人开展业务的方式。 作为一家企业,我需要做什么才能合规?
大卫:了解 GDPR 规定的责任很重要。 在欧洲,你有两种口味。 您拥有数据的控制器和处理器。 例如,您是 Act-On 的客户。 您将成为 GDPR 路线图下的控制者。 我们 [Act-On] 将成为您数据的处理者。 根据 GDPR,我们的义务显然是 A 遵守法律。 还有 B,构建我们的产品和服务,使您能够遵守 GDPR 规定的义务。
确保您合规不是我们的责任。 但我们有责任证明我们的产品允许您合规,这意味着提供同意机制、同意备份、双重选择加入等我们在许可方面认为理所当然的所有类型的事情,我们的产品应该是到他们这样做的地步。
在 GDPR 范围内使用营销自动化平台是您作为数据控制者的事情,您客户的数据不仅必须遵守,而且还要了解您如何使用该技术来做到这一点。 现在,就数据和个人信息等方面的人权而言,如果您是客户的数字关系接收者,那么根据 GDPR,还有更多问题需要讨论。 在操作上,您需要考虑很多事情才能为此做好准备。 但归根结底,如果你有一个客户,你无法证明他们是如何进入你的名单的,或者你无法证明他们来自哪里,或者你无法证明当时的同意机制用于开始向他们营销,那么,从本质上讲,您将违反 GDPR。
GDPR 的运营影响
Nathan :GDPR 对运营有哪些影响?
大卫:好问题。 在为 GDPR 的运营方面做好准备方面,您需要从公司的角度考虑 10 个方面。 第一是数据安全和违规通知。
因此,如果您发生数据泄露,您有义务在 72 小时窗口内通知 DPA ― 数据保护机构 ― 该泄露实际发生或您知道这种情况正在发生。 强制性 DPO 或数据保护官是根据 GDPR 实施的,这意味着如果您是一定规模的公司,您实际上必须有一名员工负责您的数据保护工作。
数据主体同意是一个大问题——您如何获得数据主体的同意。 根据 GDPR,数据主体是实际的个人,而不是异常。 跨境数据传输是一个大问题。 如果您要在欧洲各地或从欧洲将数据移回美国或任何可能去往的地方,那是需要考虑的事情。 从充分性的角度来看,在目前的环境下,欧美之间的跨境数据传输机制是由一个叫做隐私盾的程序来管理的,我们作为一家公司是通过隐私盾认证的。 但是会有其他实体来帮助实现这一目标。
分析和拒绝权将是一个大问题,涉及个人如何被分析以及他们如何有权反对被分析; 意思是,如果我知道你今天穿的是白衬衫,我就会分析你对衬衫的喜好,也许还会送你一些白裤子来搭配。 作为个人,问题是您如何在能够选择退出该分析的方面进行管理。
另一个重要的是数据可移植权和被遗忘权。 根据 GDPR,概念是您作为个人有权从 A 公司获取您的数据并将其以可接受的机器阅读格式转移到 B 公司,并且您也有权知道您实际上曾经拥有过与那个特定品牌的数字关系被遗忘了。 因此,就公司如何能够遵守这一点并围绕这些概念真正部署这些类型的战略而言,这是一个巨大的问题。 我们仍在努力解决这个问题。
第七个领域是控制者和处理者的职责。 根据 GDPR,您作为处理者(即 Act-On)的责任是什么?作为控制者(即 Act-On 的客户),您根据 GDPR 的责任是什么。 就随之而来的一些事情而言,它们是两个不同的问题。
另一个需要考虑的问题是个人数据的假名化——我如何获取你的数据并根据可以插入其中的其他第三方类型实体制作更大的个人资料,进入你的特定路线图。 行为准则,您必须以某种方式行事的方式和原因。 最后,罚款和程序是个大问题; 如果您不合规,您可能会被罚款公司全球收入的 4%。
所以,从运营的角度来看,有很多事情。 我向你保证,如果你有隐私保护人员,如果你有合规人员,而这些人不与你的技术人员或工程人员交谈,那么你需要开始考虑将这些人召集在一起,因为这会带一个村从组织的角度把这件事情做好。
GDPR 下的个人权利
内森:个人在这一切中的权利是什么?
大卫:是的,这是一个很好的问题。 因为根据 GDPR,个人有权被告知,被告知,‘我从这里得到了你的信息,这就是我要用它做的,这是我不会做的用它。' 访问权,因此您作为个人可以联系我们并说,'嘿,我的信息不正确,不正确,不准确,我需要您根据您对我的个人资料进行更改.' 重新认证的权利,意思是一样的——你实际上可以根据你所知道的改变或调整。 删除权:“嘿,Act-On,请删除关于我的所有这些信息”,或者,“先生。 顾客夫人,请删除所有关于我的信息,'你打算怎么做?
您有权限制处理,意思是“嘿,我想收到您的电子邮件,但我不想收到短信。” 或者,“我想收到电子邮件,但我不想收到短信”……或者其他任何情况。 然后是限制数据可移植性的权利,这意味着我去把我的数据从 A 公司转移到 B 公司。理论上,你可以让客户在周五下午 5 点离开,然后在周一下午 5 点去另一家公司。上午 8 点 而且,从技术上讲,它们应该在该环境中启动并运行。
最后是反对的权利:“这是对的,这是错的,这是无关紧要的。” 以及与自动决策和分析相关的权利,这意味着,正如我们现在在数字渠道中使用人工智能之类的东西,你可以开始建立关于人和主题的资料,无论他们是否知道。 在披露信息的方式以及建立这些资料的方式方面,你必须非常坦率。
我设想的是公司将过度补偿同意。 你想想你今天如何参与数字关系——披露、同意,以及所有这些我们认为理所当然的事情。 但关键是我认为你会看到很多个人资料页面和入职页面,在那里你没有预先选中的框,但你会让人们能够说,'我想选择这个或取消选择那个。 GDPR 上的预先检查框是完全禁止的。 这是完全非法的。
作为一名营销人员,我现在要做的是,在你的准备工作中,当这件事在明年 5 月上线时,将没有宽限期。 2018 年 5 月,您文件中的每条数据都必须在上线之日符合规定。 因此,您现在应该开始考虑如何在为 GDPR 实施做好准备时重新许可或达到开始披露有关个人的不同信息的程度。 因此,重新许可您的列表,按顺序征得您的同意,开始谈论披露,以及诸如此类的事情。 这就是你今天应该开始接受的。
了解更多关于 GDPR 的信息
内森:我们现在谈论这个只是为了让人们有机会开始遵守或建立这些机制来遵守,我们自己以及其他任何人。 有清单吗?
大卫:完全公开,我们无法提供法律建议或指导。 但欧盟内部的一些数据保护机构比其他机构更直言不讳,也更善于交流。 ICO(英国信息专员办公室)是 DPA 的一个很好的例子,它已经发布了大量信息。
如果你访问他们的网站,他们会提供大量信息,内容涉及你应该考虑什么、你如何做好准备,以及你明年的义务是什么。
Nathan :所以,这是让整个团队讨论的事情,从营销到合规,再到法律和工程,对吗?
大卫:当然。 因为每个人都会有不同的解释。 我的意思是文档有数百页深。 非常麻烦。 但这确实是一种处理数字关系的常识性方法。 现在不仅仅是关于个人。 它还涉及您如何与供应商开展业务以及如何让他们对事情负责。 在某些方面,它是一种常识性数字方法的框架,不仅用于营销,还用于选择退出某些事物。 这绝对是您现在应该考虑的事情。 如果你还没有,那么你有点落后于 8 球。
概括
Act-On 将在明年制作有关 GDPR 的网络研讨会和数据表以及其他内容。 如果您有问题,也可以给 David 发电子邮件: [email protected] 。