GDPRコンプライアンスとは何ですか？ ここにあなたが知る必要がある最小限のものがあります

GDPR 、またはヨーロッパにユーザーがいるすべての人のための一般データ保護規則は、本日発効します。 それは、理解するのが難しい間、​​非常に重要であるという不幸な組み合わせを持っています。

ほとんどの変換の専門家、電子メールマーケター、および一般的なオンラインマーケターは、合法的なものを通り抜ける時間がありませんが、それでも爆風地帯から抜け出す必要があります。

この記事は、これらのマーケターの出発点となることを目的としています。

法務チームのアドバイスに取って代わるものではありません。戦略を最終決定するために、情報セキュリティおよび法務チームと確実に協力する必要があります。 しかし、これは正しい方向を示し、GDPRの詳細をわかりやすい言葉で知りたい場合に役立ちます。

データの最小化–「貪欲なマーケティング担当者」症候群はありません

EUがGDPRを実装している主な理由の1つは、マーケターがデータを収集する方法です。 世界のほぼどこでも情報を求めるとき、見返りに不釣り合いな量の情報を求めることができます。 そのため、コンバージョン率はおそらく低下しますが、それができない法的な理由はありません。

GDPRはそれを変えます。

個人データの処理に関連する原則に関する第5条の関連部分は次のとおりです。

個人データは次のとおりです。

• データ主体に関して合法的に、公正に、そして透明な方法で処理される（「合法性、公平性および透明性」）。
• 特定の明示的かつ合法的な目的で収集され、それらの目的と互換性のない方法でさらに処理されない。 公益、科学的または歴史的研究目的、または統計目的でのアーカイブ目的のためのさらなる処理は、第89条（1）に従い、当初の目的と両立しないと見なされないものとします（「目的制限」）。
• 適切で、関連性があり、それらが処理される目的（「データ最小化」）に関連して必要なものに限定されます。

これが意味するのは、必要なデータのみを収集する理由がさらにあるということです。

• ユーザーが要求したPDFをユーザーに転送するには、そのメールアドレスが必要です
• 電話番号、勤務先の会社、会社の規模、および住所を使用して、マーケティング自動化システム内でプロファイルを作成する必要があります。

あなたが欲しいそれらの余分なもの？ ヨーロッパにユーザーがいる場合、それらはもはや公正なゲームではありません。

データを何に使用するかを明確にし、必要なデータのみをユーザーから収集する必要があります。

オプトイン同意–デフォルトのサブスクリプションなし

一部のマーケターは、訪問者とこれらの同意ゲームをプレイします。

• ユーザーはフォームに入力するときにオプトアウトできますが、オプトインのチェックボックスは事前にオンになっています
• ユーザーは自動的にオプトインされ、ユーザーは特定のプログラムにオプトインしたくないことを会社に手動で通知する必要があります
• オプトインプログラムの言語は十分に曖昧であるため、ユーザーは気付かないうちに複数のものにサインアップする可能性があります

これらのゲームはすべて、組織をコンプライアンス違反のリスクにさらします。 同意の条件は、第7条の関連部分です。

処理が同意に基づく場合、管理者は、データ主体が自分の個人データの処理に同意したことを証明できなければなりません。

データ主体の同意が他の事項にも関係する書面による宣言の文脈で与えられる場合、同意の要求は、明確で簡単にアクセスできる形式で、他の事項と明確に区​​別できる方法で提示されるものとします。分かりやすい言葉。 この規則の違反を構成するそのような宣言のいかなる部分も拘束力を持たないものとします。

これがあなたにとって意味することは、ヨーロッパにユーザーがいる場合、それらの同意ゲームはもはや実行可能ではないということです。

ユーザーが何にオプトインしているかを明確にする必要があります。 ニュースレターにオプトインしてもらい、商品のプロモーションを表示したい場合は、両方に別々に同意してもらい、そのことを明示する必要があります。

次の4つのことを覚えておいてください。

• 同意は積極的に与えられるべきです
• 何にサインアップしているかを明確な言葉でユーザーに通知する必要があります
• 沈黙と事前にチェックされたボックスは同意としてカウントされません
• 1つのアクティビティの同意は、他のアクティビティの同意としては適用されません

同意の撤回–訪問者にフープを飛び越えさせない

あなたが取り組む必要があるもう一つのことは、ユーザーにあなたのプログラムをオプトアウトするオプションを与えることです。 第7条は続く：

データ主体はいつでも彼または彼女の同意を撤回する権利を有するものとします。 同意の撤回は、撤回前の同意に基づく処理の合法性に影響を与えないものとします。 同意を与える前に、データ主体にそのことを通知するものとします。 同意するのと同じくらい簡単に撤回することができます。

あなたが製品のプロモーションやニュースレターの形で電子メールを大量に送っている場合、それらは人々があなたのプログラムをオプトアウトするための明確な方法を常に持っているべきです。 そして、それらははっきりと見えるはずです。

以前は、変換の観点から、データベース内に存在したい人だけを配置する方が適切でした。 さて、それは法的な観点からも良いです。

テクノロジースタック–セキュリティも名前もありません

個人を特定できる情報を含むも​​のをすばやく緩くプレイしている場合は、テクノロジースタックをすばやく強化することをお勧めします。 つまり、仮名化または関連テクノロジーの準備がなければ、機密性の高い顧客情報やプロファイル構築を行うことはできません。

会社に実際の名前と機密情報が含まれているExcelファイルは、常にノーノーであるはずですが、これを防ぐ理由は他にもあります。

第25条、設計およびデフォルトでのデータ保護には、セキュリティが軽い企業にとってはかなり厳しい規定があります。

最先端技術、実施費用、処理の性質、範囲、状況、目的、および処理によってもたらされる自然人の権利と自由の可能性と重大度が異なるリスクを考慮して、管理者は次のことを行うものとします。処理手段の決定時と処理自体の両方の時点で、データの最小化などのデータ保護の原則を効果的に実装するように設計された、仮名化などの適切な技術的および組織的対策を実装します。この規則の要件を満たし、データ主体の権利を保護するために、必要な保護手段を処理に統合する方法。

管理者は、デフォルトで、処理の特定の目的ごとに必要な個人データのみが処理されるようにするための適切な技術的および組織的対策を実施するものとします。 その義務は、収集される個人データの量、それらの処理の範囲、それらの保管期間、およびそれらのアクセス可能性に適用されます。 特に、そのような措置は、デフォルトで、無数の自然人への個人の介入なしに個人データにアクセスできないようにするものとします。

結論として、個人を特定できる情報を保管したい場合は、その情報を安全に保つためにポニーを立てる必要があります。

GDPRコンプライアンス：複雑な獣

ペナルティに見舞われることは避けてください。 GDPRコンプライアンスの作業に遅れをとっている場合は、最低限、次のことを行う必要があります…

• 収集するデータの量と、データの最小化を行う必要があるかどうかの監査、
• 個人データを匿名データに変換する方法の概要、および
• 訪問者データの使用に同意することについて、あなたがどれほど明確であるかのレビュー