GDPR 對您的業務意味著什麼

已發表: 2017-08-10

今天是詳細了解 GDPR 對您的業務意味著什麼的好日子。

歐盟的通用數據保護條例 (GDPR) 將於 2018 年 5 月 25 日生效。儘管距現在還有將近一年的時間，但在操作上，您需要做很多事情才能合規。（是的，“公制對接負載”是一個技術術語。）

在 Rethink 播客的這一集中，我們採訪了 David Fowler，他是 Act-On 的隱私、合規性和可交付性負責人。正如大衛所說，GDPR 標誌著一代人以來歐盟數據保護法的最大變化。它適用於歐盟的 5.1 億公民，以及與他們有業務往來的任何企業，無論他們身在何處。

享受談話，我們希望您能得到一兩個有用的收穫，可以為您的業務帶來幫助。

Nathan Isaacs ：大衛，你能告訴我更多關於你在 Act-On 做什麼的事情嗎？

David Fowler ：我幫助我們的客戶根據他們在當地、州、聯邦和國際法律下與數字營銷相關的義務來製定數字路線圖。我還確保當我們的客戶點擊電子郵件的“發送”按鈕時，郵件有機會到達收件箱。 2017年的數字合規是一個很深很廣的領域。例如，如果您是向歐盟郵寄郵件的美國營銷商，您的義務將不同於向加拿大郵寄郵件的美國營銷商。我們的工作是告知我們的客戶他們在這些特定立法路線圖下的義務。

內森：我們今天談論的其中一件事是通用數據保護條例 (GDPR)。你能告訴我那是什麼以及它是關於什麼的嗎？

大衛：GDPR 是一項將於 2018 年在歐洲生效的法律，確切地說是 5 月 25 日。從本質上講，它是對 1995 年歐盟數據指令的完全重寫。對於那些收聽播客的人來說，歐洲在數字合規方面沒有普遍的法律。對數據指令有多種解釋，每個國家/地區都可以確定他們對該法律的解釋是什麼。所以，正如您所看到的，實際上，這本身就造成了巨大的混亂潛力。

GDPR 是一項通用法律，將適用於所有在其數據庫中擁有歐洲公民的公司。對於歐盟內的每個國家，這將是全面的。這是適用於 5 億人的一部法律。

內森：對於總部位於美國或世界其他地方但與歐洲個人開展業務的企業而言，這適用於他們。是對的嗎？

大衛：沒錯。如果您不合規，將會面臨一些重罰——高達公司總收入的 4%。例如，如果您是 Google，那麼 1 萬億美元的 4% 是多少？

您在 GDPR 下的責任

內森：一項新法律適用於我與個人開展業務的方式。作為一家企業，我需要做什麼才能合規？

大衛：了解 GDPR 規定的責任很重要。在歐洲，你有兩種口味。您擁有數據的控制器和處理器。例如，您是 Act-On 的客戶。您將成為 GDPR 路線圖下的控制者。我們 [Act-On] 將成為您數據的處理者。根據 GDPR，我們的義務顯然是 A 遵守法律。還有 B，構建我們的產品和服務，使您能夠遵守 GDPR 規定的義務。

確保您合規不是我們的責任。但我們有責任證明我們的產品允許您合規，這意味著提供同意機制、同意備份、雙重選擇加入等我們在許可方面認為理所當然的所有類型的事情，我們的產品應該是到他們這樣做的地步。

在 GDPR 範圍內使用營銷自動化平台是您作為數據控制者的事情，您客戶的數據不僅必須遵守，而且還要了解您如何使用該技術來做到這一點。現在，就數據和個人信息等方面的人權而言，如果您是客戶的數字關係接收者，那麼根據 GDPR，還有更多問題需要討論。在操作上，您需要考慮很多事情才能為此做好準備。但歸根結底，如果你有一個客戶，你無法證明他們是如何進入你的名單的，或者你無法證明他們來自哪裡，或者你無法證明當時的同意機制用於開始向他們營銷，那麼，從本質上講，您將違反 GDPR。

GDPR 的運營影響

Nathan ：GDPR 對運營有哪些影響？

大衛：好問題。在為 GDPR 的運營方面做好準備方面，您需要從公司的角度考慮 10 個方面。第一是數據安全和違規通知。

因此，如果您發生數據洩露，您有義務在 72 小時窗口內通知 DPA ― 數據保護機構 ― 該洩露實際發生或您知道這種情況正在發生。強制性 DPO 或數據保護官是根據 GDPR 實施的，這意味著如果您是一定規模的公司，您實際上必須有一名員工負責您的數據保護工作。

數據主體同意是一個大問題——您如何獲得數據主體的同意。根據 GDPR，數據主體是實際的個人，而不是異常。跨境數據傳輸是一個大問題。如果您要在歐洲各地或從歐洲將數據移回美國或任何可能去往的地方，那是需要考慮的事情。從充分性的角度來看，在目前的環境下，歐美之間的跨境數據傳輸機制是由一個叫做隱私盾的程序來管理的，我們作為一家公司是通過隱私盾認證的。但是會有其他實體來幫助實現這一目標。

分析和拒絕權將是一個大問題，涉及個人如何被分析以及他們如何有權反對被分析；意思是，如果我知道你今天穿的是白襯衫，我就會分析你對襯衫的喜好，也許還會送你一些白褲子來搭配。作為個人，問題是您如何在能夠選擇退出該分析的方面進行管理。

另一個重要的是數據可移植權和被遺忘權。根據 GDPR，概念是您作為個人有權從 A 公司獲取您的數據並將其以可接受的機器閱讀格式轉移到 B 公司，並且您也有權知道您實際上曾經擁有過與那個特定品牌的數字關係被遺忘了。因此，就公司如何能夠遵守這一點並圍繞這些概念真正部署這些類型的戰略而言，這是一個巨大的問題。我們仍在努力解決這個問題。

第七個領域是控制者和處理者的職責。根據 GDPR，您作為處理者（即 Act-On）的責任是什麼？作為控制者（即 Act-On 的客戶），您根據 GDPR 的責任是什麼。就隨之而來的一些事情而言，它們是兩個不同的問題。

另一個需要考慮的問題是個人數據的假名化——我如何獲取你的數據並根據可以插入其中的其他第三方類型實體製作更大的個人資料，進入你的特定路線圖。行為準則，您必須以某種方式行事的方式和原因。最後，罰款和程序是個大問題；如果您不合規，您可能會被罰款公司全球收入的 4%。

所以，從運營的角度來看，有很多事情。我向你保證，如果你有隱私保護人員，如果你有合規人員，而這些人不與你的技術人員或工程人員交談，那麼你需要開始考慮將這些人召集在一起，因為這會帶一個村從組織的角度把這件事情做好。

GDPR 下的個人權利

內森：個人在這一切中的權利是什麼？

大衛：是的，這是一個很好的問題。因為根據 GDPR，個人有權被告知，被告知，‘我從這裡得到了你的信息，這就是我要用它做的，這是我不會做的用它。' 訪問權，因此您作為個人可以聯繫我們並說，'嘿，我的信息不正確，不正確，不准確，我需要您根據您對我的個人資料進行更改.' 重新認證的權利，意思是一樣的——你實際上可以根據你所知道的改變或調整。刪除權：“嘿，Act-On，請刪除關於我的所有這些信息”，或者，“先生。顧客夫人，請刪除所有關於我的信息，'你打算怎麼做？

您有權限制處理，意思是“嘿，我想收到您的電子郵件，但我不想收到短信。” 或者，“我想收到電子郵件，但我不想收到短信”……或者其他任何情況。然後是限制數據可移植性的權利，這意味著我去把我的數據從 A 公司轉移到 B 公司。理論上，你可以讓客戶在周五下午 5 點離開，然後在周一下午 5 點去另一家公司。上午 8 點而且，從技術上講，它們應該在該環境中啟動並運行。

最後是反對的權利：“這是對的，這是錯的，這是無關緊要的。” 以及與自動決策和分析相關的權利，這意味著，正如我們現在在數字渠道中使用人工智能之類的東西，你可以開始建立關於人和主題的資料，無論他們是否知道。在披露信息的方式以及建立這些資料的方式方面，你必須非常坦率。

我設想的是公司將過度補償同意。你想想你今天如何參與數字關係——披露、同意，以及所有這些我們認為理所當然的事情。但關鍵是我認為你會看到很多個人資料頁面和入職頁面，在那裡你沒有預先選中的框，但你會讓人們能夠說，'我想選擇這個或取消選擇那個。 GDPR 上的預先檢查框是完全禁止的。 這是完全非法的。

作為一名營銷人員，我現在要做的是，在你的準備工作中，當這件事在明年 5 月上線時，將沒有寬限期。 2018 年 5 月，您文件中的每條數據都必須在上線之日符合規定。因此，您現在應該開始考慮如何在為 GDPR 實施做好準備時重新許可或達到開始披露有關個人的不同信息的程度。因此，重新許可您的列表，按順序徵得您的同意，開始談論披露，以及諸如此類的事情。這就是你今天應該開始接受的。

了解更多關於 GDPR 的信息

內森：我們現在談論這個只是為了讓人們有機會開始遵守或建立這些機制來遵守，我們自己以及其他任何人。有清單嗎？

大衛：完全公開，我們無法提供法律建議或指導。但歐盟內部的一些數據保護機構比其他機構更直言不諱，也更善於溝通。 ICO（英國信息專員辦公室）是 DPA 的一個很好的例子，它已經發布了大量信息。

如果你訪問他們的網站，他們會提供大量信息，內容涉及你應該考慮什麼、你如何做好準備，以及你明年的義務是什麼。

Nathan ：所以，這是讓整個團隊討論的事情，從營銷到合規，再到法律和工程，對嗎？

大衛：當然。因為每個人都會有不同的解釋。我的意思是文檔有數百頁深。非常麻煩。但這確實是一種處理數字關係的常識性方法。現在不僅僅是關於個人。它還涉及您如何與供應商開展業務以及如何讓他們對事情負責。在某些方面，它是一種常識性數字方法的框架，不僅用於營銷，還用於選擇退出某些事物。這絕對是您現在應該考慮的事情。如果你還沒有，那麼你有點落後於 8 球。

概括

Act-On 將在明年製作有關 GDPR 的網絡研討會和數據表以及其他內容。如果您有問題，也可以給 David 發電子郵件： [email protected] 。