不要被這 6 個 GDPR 神話所迷惑

已發表: 2018-03-12

距離 GDPR 實施日還有好幾個月的時間，互聯網上充斥著糟糕的建議。

我看到的博客文章和 Quora 答案的數量都充斥著綠燈，應該是紅色的——令人震驚。

隨著我們在 Convert 公司花費越來越多的時間來學習、閱讀和為這項新的、重要的、重要的立法而努力——我的大腦開始敲響警鐘的次數越多。

“這種行業標準行為現在很糟糕，”它說。 “你必須警告他們。”

所以在這裡。

這些是人們認為的關於 GDPR 的 6 個大謊言，人們會犯錯，我們都需要在 5 月 25 日之前改正。

誤區1：這只影響歐盟。

要是。

GDPR 最雄心勃勃的事情之一是它如何擴大數據隱私政策的立法範圍。現在，有一項總體立法制定了整個歐盟的規則。

但除此之外，GDPR 對任何處理歐盟公民數據的人都很重要。

即使您的公司位於其他地方（如果您有歐盟公民的網絡訪問者，並且您使用 cookie 跟踪他們），您也應該申請 GDPR。如果您收集歐洲數據主體的電子郵件，如果您存儲他們的 IP 地址，如果您與他們的數據進行交互——您必須遵守與任何擁有基於歐盟的服務器的人相同的新規則。

老實說，即使你 100% 確定你不處理歐盟數據——遵守 GDPR 也是朝著正確方向邁出的一大步。各地的隱私法都在發生變化。加拿大正在製定新的隱私法立法。

數據越來越成為一種有價值的貨幣形式。這使得數據立法比以往任何時候都更加重要。

神話#2：我可以證明我的cookies/冷電子郵件/等。因為“合法利益”。

合法利益條件是……複雜的。

雖然它可能（暫時）為某些類型的冷電子郵件留出一點喘息的空間，但它並不像營銷人員希望的那樣有用。

稍微備份一下——GDPR 概述了 6 種不同的數據處理法律條件。對於營銷人員而言，兩個相關的似乎是：數據主體同意和“合法利益”。

徵求同意需要您滿足各種條件——它必須是主動的、明確的、肯定的等。

相比之下，“合法利益”就像是在公園裡散步。但這個條款的意圖不是“我理所當然地認為他們有興趣……所以，我可以給他們發送我想要的任何東西，對吧？”

以下是 ICO（英國數據監管機構）建議您在決定處理數據之前確認的內容……。

我們已經確認合法利益是最合適的依據。
我們理解保護個人利益的責任。
我們已經進行了合法利益評估 (LIA) 並保留了記錄，以確保我們能夠證明我們的決定是合理的。
我們已經確定了相關的合法權益。
我們已經檢查過該處理是必要的，並且沒有其他侵入性較小的方法可以達到相同的結果。
我們進行了平衡測試，並相信個人利益不會凌駕於這些合法利益之上。
除非我們有充分的理由，否則我們只會以他們合理預期的方式使用個人數據。
除非我們有充分的理由，否則我們不會以他們認為具有侵入性或可能對他們造成傷害的方式使用人們的數據。
如果我們處理兒童的數據，我們會格外小心以確保我們保護他們的利益。
我們已經考慮了盡可能減少影響的保障措施。
我們已經考慮過是否可以選擇退出。
如果我們的 LIA 確定了重大的隱私影響，我們已考慮是否還需要進行 DPIA。
我們會不斷審查我們的 LIA，並在情況發生變化時重複審查。
我們在隱私聲明中包含有關我們合法利益的信息。

所以如果你想依賴合法利益——你必須確認這些事情。你必須記錄你的過程。並且您必須提前決定您正在以合法利益條件進行處理。 不能只是因為您錯誤地徵求同意而成為您的退路。

誤區 3：我需要任命一名數據保護官。

GDPR 建議一些公司任命一名數據保護官，以監督過渡及其數據安全的發展。

並且權力非常明確，公共當局應該任命一名。以及主要功能包括處理數據或系統監控數據的公司。如果您定期處理特殊類別的數據（如健康數據、宗教和政治派別），您的團隊可能應該有一個 DPO。

但除了這些條件，老實說，對於您的公司何時大到可以強制聘請 DPO 並沒有嚴格的規定。或者，當您管理的數據足夠複雜時，您需要一個。 250 名員工是一個經常被折騰的經驗法則。

一般來說，出於營銷目的處理您的標準類型和數量的數據的 SME 似乎可以通過一些可靠的法律建議以及對數據透明度的徹底奉獻來度過難關。

誤區四：這是一種徵求同意的好方法。

這個存在…

不！同意需要是積極的。你不能讓你的盒子預先檢查。

不！那就是捆綁。對於單獨的流程，您必須單獨徵求同意。您不能只在活動註冊中加入“每月通訊”訂閱。

不！命名您的第三方，否則不算數！

不——持久性 cookie 現在需要明確、主動的同意。例如，有人必須點擊一個東西或選中一個“我同意”的框。他們不只是通過繼續瀏覽來提供它。

細微差別還在繼續。

重要的是：同意規則不再像以前那樣了。

有關它們現在的更多信息，我們在這裡進行了更實質性的細分。

誤解5：這不是個人數據。

GDPR 擴大了個人數據的範圍，從以前被稱為“個人識別信息”的內容開始。

我們謙虛地展示這張有用的表格：

個人身份數據 (PII)

個人資料

全名（如果不常見）
家庭地址
電子郵件地址
國家註冊號碼
護照號
車牌號
駕駛執照號碼
面部、指紋或筆跡
信用卡號碼
數字身份
出生日期
出生地
遺傳信息
電話號碼
登錄名、網名、暱稱或句柄

全名（如果不常見）
家庭地址
電子郵件地址
國家註冊號碼
護照號
車牌號
駕駛執照號碼
面部、指紋或筆跡
信用卡號碼
數字身份
出生日期
出生地
遺傳信息
電話號碼
登錄名、網名、暱稱或句柄

IP地址
唯一標識符，例如設備 ID、用戶 ID、事務 ID、CookieID
假名數據（即無法識別的數據+不同位置的鍵以使其再次可讀）

這裡值得注意的是餅乾——有點複雜。將根據新的電子隱私條例確定哪些類型的 cookie 將被視為個人數據。

目前，“性能領域”中的 cookie 存在一些例外情況。為了網站運營商的利益，這些類型僅收集有關網站使用情況的信息。他們不識別訪問者，而是依靠匯總數據。

您可以在此處深入了解 GDPR 將如何監管 cookie。

誤區 #6：只要我在 5 月 25 日之前更新我的流程——我就清楚了。

作為一名營銷人員，這就是 GDPR 的條件，讓我想把頭髮扯下來。

它追溯適用。

它適用於所有現有數據。

這意味著，如果您一直在收集電子郵件、運行 cookie 或以不符合 GDPR 的方式處理任何個人數據——所有存儲的數據都會在 5 月 25 日成為問題。

我們推薦：

無論您網站的 cookie 是在 3 個月、6 個月還是 12 個月的生命週期內運行 — 最好重新開始，並清除它們存儲的任何個人數據。
運行重新許可活動，以嘗試挽救您現有的電子郵件列表。

真是頭疼。失去一些你努力爭取贏得的聯繫，真是太可惜了。

但是，正如他們所說……

有時事情會分崩離析，所以更好的事情可以一起發生，而且數據隱私也很重要，所以我們都應該遵守法律。