GDPR 對 CRO 數據收集的影響:快速回顧

已發表: 2019-11-13
GDPR 對 CRO 數據收集的影響:快速回顧

優化任何網站轉化率的基礎是系統收集和分析與網站互動的訪問者相關的數據。

用戶數據的收集對於衡量訪問者如何使用、理解和喜歡網站的不同部分至關重要。 然而,根據歐洲議會於 2016 年 4 月提出並最終於 2018 年 5 月實施的《通用數據保護條例》(GDPR),歐盟對個人數據的收集和處理變得統一和受限。

通俗地說,企業不能再沒有正當理由收集和囤積數據。 他們也不能隨心所欲地處理數據。 最後,數據現在帶有到期日期。 需要定期清除未用於以切實方式改善用戶和客戶體驗的數據。

GDPR 的目的是協調歐盟的數據隱私法,加強歐盟公民的數據隱私權並防止數據洩露。 不遵守 GDPR 的組織可被處以高達其年營業額 4% 或高達 2000 萬歐元(以較高者為準)的罰款。

已經處以罰款。 例如,信息專員辦公室 (ICO) 宣布對英國航空公司處以 1.8339 億英鎊的罰款,原因是數據洩露洩露了 500,000 名客戶的個人數據並違反了 GDPR。

因此,GDPR 下的一般座右銘是您收集的個人用戶信息越少越好。 但這是否意味著為了優化轉化率而從歐盟公民那裡收集用戶數據是不可能的,而不會冒著 GDPR 下巨額罰款的風險?

根據 GDPR 處理個人數據的原則
通過 www.talacka.com 閱讀全文。

不必要。

如果您通過跟踪工具、cookies、處理軟件或數據評估程序收集歐盟公民的個人數據,您需要了解收集的數據類型、存儲位置、處理方式以及最終刪除時間. 近年來,企業和組織對擁有個人個人數據的總體思維方式的改變日益強烈。

GDPR 中個人數據的可移植性部分規定,任何公司都不能擁有個人數據,並且數據主體有權與其他組織共享其數據。 因此,根據 GDPR,企業和組織有法律義務就收集和處理其網站訪問者的數據獲得同意協議。 此外,您需要用簡單的文字寫下同意書,以清楚地說明您收集數據的原因以及您將使用它的目的。

乍一看,這聽起來勢不可擋,而且難以每天執行。 但是,本文將幫助您處理 GDPR 要求。

此外,本文將概述 GDPR 下的個人數據,如何在收集個人數據以實現轉化率優化 (CRO) 目的時遵守 GDPR,以及 GDPR 如何影響常見的 CRO 工具。用於優化網站。

什麼構成個人數據?

GDPR 第 4 條定義了個人數據的構成。

個人數據是可以直接或間接識別自然人的任何形式的信息。 自然人是居住在歐盟的個人。 識別一個人的最簡單方法通常是通過全名。 但在歐盟可能有多個同名的人。 然而,不同數據點的組合足以識別一個特定的個體。 例如,可識別的數據點可以是姓名、位置、電子郵件地址、登錄信息、IP 地址和唯一標識符,例如用戶 ID 或交易 ID。

在閱讀上一節時,您可能注意到大多數常用的轉化率優化工具都會收集和處理上述可識別的數據點。 但是您是否負責確保第三方數據處理工具符合歐盟數據保護法規?

第三方 CRO 工具:如何使用它們

GDPR 描述了數據收集過程由兩個不同的實體進行:數據“控制器”和數據“處理器”。 數據控制者決定收集數據的目的、範圍和意圖。 因此,數據控制者在大多數情況下是網站所有者。 另一方面,數據處理器代表數據控制器處理收集的數據以滿足預定目標。

數據處理器通常是第三方 CRO 工具,例如熱圖、測試工具、表單分析或 A/B 測試工具。 在使用任何第三方工具之前,第三方工具可以以網站所有者的名義進行的行為的協議必須得到網站所有者的批准。

這意味著作為數據處理器的第三方工具充當數據控制器的擴展。

一般數據保護條例規定,數據控制者對數據處理者的行為負有法律責任。 因此,如果第三方 CRO 工具形式的數據處理器不符合 GDPR,則數據控制器反過來同樣不合規並可能面臨處罰。 因此,建議檢查您用於網站的營銷和跟踪工具為您收集的數據類型。

現在您可能會問自己:“根據 GDPR,我的責任是什麼? 以及網站所有者與第三方數據處理工具之間的協議中應說明哪些措施以確保符合 GDPR?” 以下清單將讓您快速了解第三方工具最重要的 GDPR 要求以及您自己的要求。

第三方工具的 GDPR 要求清單

  • 更新了數據處理協議,增加了 GDPR 部分
  • 合同應說明他們只會按照您的書面指示行事
  • 數據處理方法的持續時間、目的、存儲和過程
  • 網站訪問者同意的記錄必須在 GDPR 要求預測的短時間內保存
  • 數據安全措施應在第三方工具協議中註明
  • 數據處理者必須協助數據控制者獲得用戶訪問存儲數據的權利、撤回給定的同意以及被遺忘和刪除某些信息的權利
  • 第三方工具應說明將收集和處理哪種類型的個人數據
  • 在數據處理者和數據控制者之間的協議中,應包括描述各方權利和義務的部分

網站所有者的 GDPR 要求清單

  • 信息審計:您收集/處理/存儲哪些個人數據?
  • 有收集個人數據的法律依據(第 6、7-11 條)
  • 保留數據的時間不要超過必要的時間(第 5 條)
  • 通過主動選擇加入選項獲得收集個人數據的同意並存儲同意以證明給定的同意(第 4 條)
  • 盡可能對個人數據進行加密和假名化(第 32 條)
  • 讓您的客戶輕鬆撤回他們的同意、收集和可能刪除他們收集的數據(第 15、17、18、21 條)
  • 命名以您的名義訪問或收集個人數據的第三方工具
  • 遵守將個人數據傳輸到 EEA 以外國家/地區的限制(第 44-50 條)

GDPR 合規性:對體驗和轉化率的可能影響

根據 GDPR,收集的所有數據均應在獲得用戶明確同意後進行。 有兩種方式可能會對企業造成潛在損害:

  • 表格不能再獲得同意(預先選中的框),並且他們需要為每種單獨的數據處理請求同意。 所以簡而言之,如果瀏覽器已經註冊了您的磁石,請不要自動開始使用時事通訊訪問他們的收件箱。 這不僅減少了與潛在客戶的接觸點數量,如果表單的設計沒有考慮到用戶體驗,同意選項可能會導致沮喪和疲勞,從而導致更差的完成/提交率。
轉換同意
  • Cookie 同意彈出窗口。 Convert 的這篇文章分解了可以在網站上使用的不同類型的 cookie,以及如何從流量中獲得使用許可。 如果您心目中的 cookie 需要站點瀏覽器的點頭,那麼可怕的 cookie 同意書是可行的方法。 大多數工具都有自己的 cookie 同意橫幅,自定義選項非常有限。 允許合併不同解決方案的 cookie 同意的聚合工具是不夠的,並且需要用戶單擊或導航離開現有頁面以選擇加入或退出。

儘管尚未對 GDPR 前後流量、參與度或目標完成率的下降進行正式研究,但大多數企業都受到了影響。

然而,這種痛苦導致需要投資於同意率優化技術和更好的設計和用戶體驗——這些元素最終將改善公司與潛在客戶的互動方式,並引導他們完成購買/消費周期。

GDPR 和正在世界各地形成的志同道合的數據隱私法是朝著更加私密和自由的數字未來邁出的一步——但至關重要的是,執行這些法律的技術解決方案要平衡和細緻入微,這樣他們就不會破壞為免費和普遍部分提供資金的互聯網經濟,我們都珍惜並希望保護這些部分。

Cookiebot 的創造者 Cybot 的 CEO Daniel Johannsen。

存儲、刪除和分類個人數據

另一個可能影響 CRO 目的的數據收集的 GDPR 要求是個人數據的存儲和處理。 這可能特別複雜,因為許多 CRO 工具都存儲個人數據,而且數據分析過程中可能涉及多方。 因此,這取決於您為您的網站使用了多少 CRO 工具,但最有可能的是限制在所使用的 CRO 工具中長期存儲個人數據。

多年來,人們一直在爭論是否有必要刪除組織或企業收集和保存的數據。 根據 GDPR,個人可以要求立即刪除其個人數據。 然而,組織應該如何展示數據刪除的證據並不完全清楚,因為這會引發有關數據隱私和公司政策的問題。

需要解決的另一點是個人數據的適當分類。 作為一個組織,您需要知道必須收集哪種類型的數據才能成功開展業務。

GDPR 的數據收集規定描述了企業僅收集具有法律依據的個人數據的重要性。 收集數據的法律依據共有6個:同意、合同、法律義務、切身利益、公共任務和合法利益。 收集和處理個人數據的常見法律理由是合法利益。 例如,這可能是為了重新定位或直接營銷目的而處理數據(Recital 47)。 這也將限制第三方工具未經授權使用個人數據,從而降低數據被盜的風險。

結論:

強制性 GDPR 要求可能會部分影響轉化率優化的數據收集過程。 尤其是收集的數據量受到網站上“選擇加入”同意書的影響。 此外,需要檢查為您收集數據的第三方 CRO 工具,以便您可以驗證協議中是否包含最重要的 GDPR 要求,因為您應對潛在的第三方 GDPR 違規行為負責。

總體而言,這些都是積極的變化,將以潛在客戶和品牌之間更自由互動的形式結出碩果——無需擔心數據被濫用。 目前轉化率的任何下降都將得到補償,因為有意識的品牌會大踏步地遵守法規,並投資於開發實踐,這些實踐專注於使徵得同意的過程盡可能地輕鬆(甚至令人愉快)。