Руководство MarTech по GDPR: Общий регламент по защите данных

Когда в 2018 году Европейский союз принял свой Общий регламент по защите данных, этот закон был провозглашен новаторским изменением правил конфиденциальности, которое откроет новую эру согласия в отношении сбора данных в Интернете и передаст право на защиту личной информации непосредственно в руки отдельных лиц.

Это также предназначалось для стандартизации законов о конфиденциальности в странах-членах ЕС. GDPR устранит необходимость для отдельных стран писать свои собственные правила, а также потребует от любой компании, независимо от местоположения, которая продает товары или услуги резидентам ЕС, соблюдать закон.

Но пять лет спустя правоприменение бросает вызов закону водораздела: жалобы, которые были поданы в день, когда вступил в действие GDPR, — в которых утверждалось, что Facebook, Instagram, WhatsApp и Google вынуждали пользователей раскрывать личную информацию без надлежащего согласия — все еще проходят через суд. система.

Тем временем технологии продолжают развиваться такими темпами, за которыми ледяная правовая система просто не может угнаться (эта статья о соблюдении GDPR и инструментах искусственного интеллекта, таких как ChatGPT, помогает нарисовать картину будущих проблем).

Этот разрыв, наряду с шумом по поводу слабого правоприменения, особенно в странах, где расположены штаб-квартиры крупных технологических поставщиков, — это лишь несколько причин, по которым регулирующие органы ЕС в настоящее время пытаются отрегулировать способ администрирования GDPR.

В этой части мы подробно рассмотрим эти процедурные изменения, а также другие правила конфиденциальности данных в бункере, рассмотрим некоторые из крупнейших на сегодняшний день штрафов по закону и рассмотрим, что нужно знать маркетологам во второй половине 2023 года. .

Процедурные изменения на горизонте

Ранее в этом году Европейская комиссия объявила, что будет стремиться упорядочить совместную работу органов по защите данных в ЕС при соблюдении GDPR в трансграничных случаях. «Это будет способствовать бесперебойному функционированию механизмов сотрудничества и разрешения споров GDPR», — отметила Комиссия. Инициатива под названием «Процедурные правила правоприменения» направлена ​​на решение множества проблем, от того, как обрабатываются жалобы GDPR, до продолжительности самих разбирательств. А когда консенсуса достичь не удастся, предлагаемые правила правоприменения «уточнят» процессуальные аспекты разрешения споров.

Критики говорят, что в новых правилах правоприменения мало деталей, но, поскольку в соответствии с GDPR находится около 800 дел, находящихся на рассмотрении, процессуальная реформа имеет решающее значение. Как заявляет NOYB, или Европейский центр цифровых прав, некоммерческая организация, базирующаяся в Вене, Австрия, GDPR применяется только теоретически, а технологические компании находят способы затормозить разбирательство, обжаловать решения и обойти штрафы. («NOYB» — это сокращение от «не твое дело».)

Влияние GDPR в США

В США новые или измененные законы о конфиденциальности данных находятся в силе в Вирджинии, Калифорнии, Колорадо, Коннектикуте и Юте, даты вступления в силу которых варьируются от 1 января этого года (Вирджиния) до 31 декабря (Юта), в Калифорнии, Колорадо. , и Коннектикут вступает в силу с 1 июля (в Калифорнии Закон штата Калифорния о правах на конфиденциальность (CPRA) вносит поправки в Закон штата Калифорния о конфиденциальности потребителей (CCPA)).

Кроме того, девять других штатов предложили законы, которые все еще находятся на рассмотрении, но маркетологи должны ожидать окончательного принятия.

Эти законы примечательны в нынешнем контексте, потому что — за исключением Калифорнии — все они «адаптируют терминологию» из GDPR, но различаются в том, как они применяются, с окружными прокурорами, генеральными прокурорами и, в случае Калифорнии, Калифорнийским Агентство по защите конфиденциальности, все в комплексе правоприменения.

Для маркетологов управление файлами cookie будет иметь первостепенное значение, поскольку бренды/веб-сайты продолжают понимать, как права потребителей в отношении конфиденциальных данных защищены законами штата.

На федеральном уровне предпринимаются двухпартийные усилия по принятию нового закона о конфиденциальности, который называется Американским законом о конфиденциальности и защите данных (ADPPA), который создаст национальный стандарт в отношении прав личности. А 1 марта комитет Палаты представителей по энергетике и торговле провел слушания по предложенному закону.

Хотя голосование не проводилось, группы по защите конфиденциальности и другие заинтересованные стороны отмечают, что желание принять федеральное законодательство о конфиденциальности существует и может в конечном итоге привести к действиям.

Копните глубже: только 11% предприятий США полностью соблюдают CCPA закон о конфиденциальности

GDPR налагает огромные штрафы

В Европе, помимо вопросов соблюдения GDPR, некоторые жалобы привели к крупным штрафам, наложенным на такие компании, как Meta, Amazon и Google.

Год начался со штрафа в размере 413 миллионов долларов против Meta за нарушение GDPR со стороны Facebook и Instagram. Представленные Ирландской комиссией по защите данных (DPC), которая, кстати, подверглась широкой критике за то, как она обрабатывает жалобы GDPR, действия агентства подтвердили решение Европейского совета по защите данных, в котором говорится, что «контрактная необходимость» не является подходящей причиной. для запуска поведенческой рекламы. (Поведенческая реклама относится к онлайн-рекламе или маркетинговым сообщениям, которые доставляются потребителям на основе их истории поиска).

В течение многих лет Meta объединяла свое соглашение о согласии пользователя с договорными условиями обслуживания своих приложений, что фактически вынуждало пользователей соглашаться на сбор данных, если они хотели использовать платформы.

Штраф Meta в начале января был наложен вслед за очень дорогим 2022 годом для компании, когда были выплачены штрафы на сумму более 800 миллионов долларов. Также было сказано, что у него есть три месяца, чтобы принять меры, чтобы запрашивать у пользователей разрешение на запуск поведенческой рекламы; в конце марта Wall Street Journal сообщил, что Meta позволит пользователям в Европе отказаться от целевой рекламы. Но компания не упрощает задачу, требуя от пользователей заполнить онлайн-форму с изложением своих возражений.

Наряду с мета-штрафами, другие известные санкции GDPR включают:

• 785 миллионов долларов против Amazon, решение, принятое в июле 2021 года органом данных Люксембурга. Это решение — на сегодняшний день крупнейшее наказание в соответствии с GDPR, которое касается того, как компания обрабатывает персональные данные, — в настоящее время находится на рассмотрении.
• 237 миллионов долларов против WhatsApp (служба обмена сообщениями, принадлежащая Meta), решение DPC в сентябре 2021 года стало кульминацией трехлетнего расследования того, как приложение обменивалось данными пользователей с Facebook.
• 52 миллиона долларов против поискового гиганта Google, ранний штраф GDPR (январь 2019 г.), который позже был оставлен в силе после апелляции во французском суде. Национальная комиссия по защите данных этой страны определила, что Google не соблюдает правила прозрачности данных GDPR и что компания недостаточно ясно объяснила, как данные пользователей собирались и использовались для целевой рекламы.

Что нужно знать маркетологам

Когда речь заходит о GDPR, в списке каждого маркетолога должны стоять два слова: соответствие и согласие. Соблюдение, конечно же, относится к необходимости для компаний с любым видом присутствия в Интернете, которые продают клиентам в ЕС, понимать правила, быть в курсе изменений по мере их возникновения и иметь возможность быстро реагировать при возникновении проблем.

Конечно, маркетологам необходимо понимать, какие типы данных собирают их компании, и, что более важно, как эти данные обрабатываются, хранятся и какую конфиденциальную личную информацию они содержат. Соответствие также зависит от сбора только необходимых данных.

В первую очередь для маркетологов должно быть другое ключевое слово: согласие. В целом компании с большей вероятностью будут соблюдать GDPR, если они получили надлежащее разрешение на сбор или использование личной информации пользователей. Это может показаться очевидным, но в GDPR есть конкретное определение согласия, которое представляет собой «любое свободно предоставленное, конкретное, информированное и недвусмысленное указание» на то, что субъект соглашается разрешить веб-сайтам собирать и обрабатывать свои личные данные.

Неудивительно, что маркетологи должны сыграть большую роль не только в понимании, но и в обеспечении соблюдения GDPR и действующих в США правил и норм, на которые он повлиял. В то время как нормативно-правовая база продолжает развиваться, растет и желание потребителей защитить свою конфиденциальность.

За пять лет существования GDPR доказал, что защита данных является корпоративной ответственностью. Компании, которые бережно обращаются с данными и показывают пользователям, что их опасения по поводу конфиденциальности в Интернете обоснованы, будут иметь преимущество перед своими менее осторожными конкурентами.

Копнуть глубже: построить доверять , увеличение продаж