Что такое соответствие GDPR? Вот минимум, что вам нужно знать

GDPR , или Общий регламент по защите данных для всех пользователей в Европе, вступает в силу сегодня. У этого неудачного сочетания того, что ЧРЕЗВЫЧАЙНО ВАЖНО, но ТРУДНО ПОНЯТЬ.

У большинства экспертов по конверсии, маркетологов по электронной почте и обычных онлайн-маркетологов нет времени разбираться с юридическими вопросами, но им все равно нужно выбраться из зоны взрыва.

Эта статья призвана стать отправной точкой для тех маркетологов.

Это не заменит совет вашей команды юристов — вам обязательно нужно собраться вместе с вашей командой по информационной безопасности и юристами для окончательной доработки стратегии. Но это должно указать вам правильное направление и помочь вам, если вы хотите получить подробную информацию о GDPR простым языком.

Минимизация данных – никакого синдрома «жадного маркетолога»

Одна из главных причин, по которой ЕС внедряет GDPR, заключается в том, как маркетологи собирают данные. Когда вы запрашиваете информацию практически в любой точке мира, вы можете запросить взамен непропорционально большое количество информации. Ваш коэффициент конверсии, вероятно, упадет из-за этого, но нет никаких юридических причин, по которым вы не можете это сделать.

GDPR меняет это.

Вот соответствующая часть статьи 5 о принципах обработки персональных данных .

Персональные данные должны быть:

• обрабатываются законно, справедливо и прозрачно по отношению к субъекту данных («законность, справедливость и прозрачность»);
• собираются для определенных, явных и законных целей и не обрабатываются в дальнейшем способом, несовместимым с этими целями; дальнейшая обработка в целях архивирования в общественных интересах, научных или исторических исследованиях или статистических целях, в соответствии со статьей 89(1), не считается несовместимой с первоначальными целями («целевое ограничение»);
• адекватны, актуальны и ограничены тем, что необходимо в связи с целями, для которых они обрабатываются («минимизация данных»);

Это означает, что у вас есть еще больше причин собирать только те данные, которые вам нужны .

• Вам нужен этот адрес электронной почты, чтобы переслать пользователю PDF-файл, который он или она запросил.
• Вам нужен номер телефона, компания, в которой они работают, размер компании и физический адрес, чтобы создать их профиль в вашей системе автоматизации маркетинга.

Эти дополнительные вещи, которые вы хотите? Они больше не являются честной игрой, если у вас есть пользователи в Европе.

Вы должны четко указать, для чего вы будете использовать данные, и собирать от пользователя только те данные, которые вам нужны.

Согласие на подписку — никаких подписок по умолчанию

Некоторые маркетологи играют с посетителями в следующие игры согласия:

• Пользователи могут отказаться от участия при заполнении формы, но флажок для отказа предварительно установлен.
• Пользователи автоматически соглашаются, и пользователям приходится вручную уведомлять компанию о том, что они не хотят участвовать в той или иной программе.
• Язык в программе подписки достаточно расплывчатый, поэтому пользователи могут подписываться на несколько вещей, не осознавая этого.

Все эти игры поставят организации под угрозу несоблюдения требований. Вот соответствующие части статьи 7, условия согласия :

Если обработка основана на согласии, контролер должен иметь возможность продемонстрировать, что субъект данных дал согласие на обработку своих персональных данных.

Если согласие субъекта данных дается в контексте письменного заявления, которое также касается других вопросов, запрос на согласие должен быть представлен способом, который четко отличается от других вопросов, в понятной и легкодоступной форме, с использованием четких и простой язык. Любая часть такой декларации, которая представляет собой нарушение настоящего Регламента, не имеет обязательной силы.

Для вас это означает, что если у вас есть пользователи в Европе, эти игры с согласием больше не жизнеспособны.

Вы должны четко понимать, на что пользователи соглашаются. Если вы хотите, чтобы они подписались на вашу рассылку новостей И вы хотите показать им рекламные акции продуктов, вы хотите, чтобы они согласились на обе вещи по отдельности, и вам нужно будет явно заявить об этом.

Запомните эти четыре вещи:

• Согласие должно быть активно дано
• Пользователи должны быть проинформированы о том, на что они подписываются, понятным языком.
• Молчание и предварительно установленные флажки не считаются согласием
• Согласие на одно действие не действует как согласие на другое действие

Отзыв согласия – не заставлять посетителей прыгать через обручи

Еще одна вещь, над которой вам нужно поработать, — предоставить пользователям возможность отказаться от участия в ваших программах. Статья 7 продолжается:

Субъект данных имеет право отозвать свое согласие в любое время. Отзыв согласия не влияет на законность обработки, основанной на согласии до его отзыва. Прежде чем дать согласие, субъект данных должен быть проинформирован об этом. Отказаться будет так же легко, как и дать согласие.

Если у вас есть рассылки по электронной почте в виде рекламных акций или информационных бюллетеней, у них всегда должны быть четкие способы отказаться от участия в ваших программах. И они должны быть на виду.

Раньше было лучше с точки зрения конверсии, чтобы в вашей базе данных были только люди, которые ХОТЯТ быть там. Это лучше и с юридической точки зрения.

Стек технологий — без безопасности, без имен

Если вы играли быстро и свободно с чем-либо, содержащим личную информацию, вам лучше быстро увеличить свой технологический стек. Это означает, что вы не можете иметь конфиденциальную информацию о клиентах и ​​создавать профили без обеспечения псевдонимизации или связанных технологий.

Файлы Excel с настоящими именами и конфиденциальной информацией всегда должны были быть в компании, но теперь у вас больше причин не допускать этого.

Статья 25, защита данных по дизайну и по умолчанию , содержит довольно жесткие положения для компаний с низким уровнем безопасности:

Принимая во внимание уровень техники, стоимость реализации и характер, объем, контекст и цели обработки, а также риски различной вероятности и серьезности для прав и свобод физических лиц, связанные с обработкой, контролер должен, как во время определения средств для обработки, так и во время самой обработки применять соответствующие технические и организационные меры, такие как псевдонимизация, которые предназначены для реализации принципов защиты данных, таких как минимизация данных, в эффективной способом и интегрировать в обработку необходимые меры безопасности для выполнения требований настоящего Регламента и защиты прав субъектов данных.

Контролер должен принять соответствующие технические и организационные меры для обеспечения того, чтобы по умолчанию обрабатывались только те персональные данные, которые необходимы для каждой конкретной цели обработки. Это обязательство распространяется на объем собираемых персональных данных, степень их обработки, период их хранения и их доступность. В частности, такие меры должны гарантировать, что по умолчанию персональные данные не станут доступными без вмешательства человека для неопределенного числа физических лиц.

Суть в том, что если вы хотите хранить личную информацию, вам нужно позаботиться о том, чтобы сохранить эту информацию в безопасности.

Соответствие GDPR: сложный зверь

Избегайте попадания со штрафами. Если вы отстаете в работе по соблюдению GDPR, вам необходимо, как минимум, сделать…

• аудит того, сколько данных вы собираете и нужно ли вам минимизировать данные,
• подробное описание того, как вы превращаете личные данные в анонимные данные, и
• проверка того, насколько четко вы даете согласие на использование данных посетителей