营销人员的GDPR指南

gdpr.illo_.300x700.jpg
欧盟的“通用数据保护条例”(GDPR)即将于2018年5月25日生效——数字广告业刚刚开始兴起。

但是关于监管的错误观念是无处不在的。 尽管公司为准备和遵守GDPR需要做大量的工作,但许多人仍然拖延着自己的脚步。

数字数据治理解决方案提供商Evidon的首席隐私官Todd Ruback说:“过去六个月里,我听到了很多事情,让我十分头疼“。

随着时间的流逝,这是一个快速和肮脏的指南,是过去二十年欧洲隐私监管最重要的一块。 还有很多事情要做。

什么是GDPR?

GDPR于2016年4月由欧洲议会和欧洲理事会经过四年多的谈判通过,赋予欧盟公民更多的个人数据控制权,使得收集,处理和存储个人数据的公司需要负更多的责任,特别是数据泄露。

从五月份开始,公司将不再被允许收集或处理一个欧洲公民的消费者数据,除非获得明确的合法基础,例如获得(公民)自由给予和“明确的”同意。 如果没有提供适当的通知和同意措施,公司也将被禁止使用以前收集的数据。

这个规定是为了协调28个欧盟成员国和欧洲经济区内的隐私保护法律并使之现代化。 GDPR取代了1995年正式确定的数据保护指令。之前,根据1995年的指令,每个成员国都制定了自己的数据保护规则,这导致了在欧盟开展业务的公司监管环境和合规不一致的难题。

GDPR中所蕴含的大部分内容实际上并不新鲜,而且还包含了“数据保护指令”中已有的思想。 但GDPR确实引入了一些新的概念,包括针对不合规的巨额罚款和增强的数据主体权利,这对任何在欧盟开展业务的公司或任何在其数据库中存有欧盟公民个人数据的公司都是有约束力的。

GDPR有什么新东西?

个人数据:在GDPR下处理个人特征数据如氪石。

以前的隐私制度将个人数据定义为姓名,照片,电子邮件地址,电话号码,实际地址或个人身份证号码,如银行帐号或社会安全号码。

但GDPR扩大了定义,包括“已确定”和“可识别”的数据。 这意味着个人数据现在是可用于识别个人的任何信息,包括位置数据,移动设备ID以及某些情况下的IP地址。 (生物特征数据和遗传数据被认为是“敏感的个人数据”)

匿名数据:是一种潜在的合规性信息,即经过散列,加密或以某种技术方法进行匿名处理的个人数据。 通过将其与附加数据相结合后重新定位识别的数据也被视为个人数据。

个人权利:以前的数据保护指令已经赋予了如果该数据被非法处理或不再用于其原始目的,欧盟公民可以要求公司删除其数据的权利。

GDPR通过要求数据管理员采取合理步骤,确保参与数据共享的第三方删除,扩大了被删除的权利,也被称为被遗忘的权利。

数据主体也有权在在线平台之间进行数据移植; 不受自动数据处理(如分析)的权利; 以及根据要求以电子形式免费获得经处理的个人数据副本的权利,包括使用地点和目的。

记录保存要求:数据管理员和任何外包商必须保存其数据处理活动的书面记录,包括他们处理数据的原因以及他们计划保存数据的时间。 此信息必须根据要求提供给数据保护机构。

问责原则:虽然GDPR并没有详细说明问责制,但数据控制者必须清楚地记录他们为遵守所采取的所有行动。GDPR称之为“通过设计和默认的数据保护”。如果监管机构要求提供合规证明,公司必须能够轻松提供。

数据保护官员(DPO):核心活动涉及大规模系统数据监控或处理的组织(如医院,保险公司和银行)必须指定一个DPO。 根据法律如何广泛地解释“系统地监督或处理”仍然是一个悬而未决的问题。
privacy.jpg

DPO旨在帮助企业遵守GDPR,直接向高管汇报,同时保持完全自主。 一些广告行业内部人士认为,拥有DPO也是一种自信的表现,可能会使监管者处于困境。

更大的罚款:GDPR违规行为将受到高达2000万欧元的严重处罚,或者上一年全球年营业额的4%,以较高者为准。

监管部门在设定罚款时可以考虑减轻因素。 尽快遵守和报告违规行为的公司可以受到稍微轻点的处罚。

无论如何,这些罚款的可能规模可能意味着小公司的全部(资产),“这是不小的讽刺,”Ruback说。

他说:“要么他们会倒闭,要么就会被吞并。” “我们将最终形成一个更清洁的生态系统,但也会减少竞争。 脸书和谷歌受到欧盟委员会严格的审查,实际上可能意外取胜”。

数据控制方与数据处理方

GDPR为数据控制方和数据处理方建立了不同的规则。

数据控制方决定为什么以及如何处理个人数据,并被要求建立处理数据的法律依据。条例规定数据处理方“代表控制方处理个人数据”。

处理方必须合法和负责任地进行处理,控制方必须确保处理方做着合规的工作。

虽然对控制方的规则更为严格,但控制方和处理方都处于GDPR之下。与以前的隐私制度不同,处理方需要遵守合规行动,如果不遵守,可能要承担重大处罚。

不过,目前还不清楚,广告技术公司将被视为控制方还是处理方?广告技术人员开始从数据中收集见解(处理方),尽管是聚合层面,以使客户受益。他们也有可能跨越线路进入控制方领域,合规负担可能会变得更重。

合法理由

如果公司有法律依据,则可以处理数据。 例如,保险公司必须处理客户数据才能执行合同条款。 银行必须处理数据以遵守法律。

但营销人员应该知道两个法律基础:合法利益和许可

合法利益

能够证明“合法利益”的公司在某些情况下可以在未经同意的情况下合法处理个人数据:数据是合法收集的,是否有正当理由使用以及处理是否合规负责的。

建立合法的利益需要数据控制方进行一个称为“平衡测试”的练习,在这个练习中,它将权衡自己的利益与数据主体的权利进行权衡,包括个人对数据处理方式的合理期望以及控制方有正确的保障措施。

合法利益的例子包括预防犯罪,欺诈检测,网络安全,进行员工背景调查等。 “直接营销”在GDPR中也被认为特殊的对个人数据的合法使用,但也有一定的注意事项。

只要控制方确保用户可以随时轻松退出,个性化的沟通,定向广告,汇总分析以创建趋势报告和跟踪广告效果,点击后跟踪和受众测量在GDPR下都可行。

目前尚不清楚的是,参与在线行为广告和程序化广告的公司是否可以要求合法利益。 PageFair生态系统负责人Johnny Ryan说,这是不太可能的。

他说:“有些广告技术公司似乎已经相信自己被合法利益所覆盖,但是你不能用合法利益来证明RTB发生的所有疯狂的事情。 “任何知道他们在说什么的人都会承认,至少在私下里。”

许可

许可一直是欧洲隐私法的基石,但GDPR大大提高了这个标准。

数据控制方 - 决定如何使用个人数据的各方 - 必须得到他们计划使用数据的目的“明确的”许可。换句话说,一个公司不能被许可做一件事,然后转而使用这些数据来做其他事情。

许可必须是自由的,具体的。

选择模式(aka预选框)将不会起作用。知情许可模式也不是什么知识同意模式,即当网站在加载页面的同时加载cookie跟踪通常以弹出窗口的简要通知,提醒访问者网站会使用cookie。在用户同意启用跟踪之前需要有一个屏蔽页阻塞内容的展示。

底线是消费者对行为必须是肯定的和知情的。英国,法国和德国的数据保护机构都同意,消费者可以通过在网站上勾选一个框来表示同意处理,但是只有在事先他们已经被用简单明了语言的通知告知了的情况下才能表示同意处理。

gdprcompliance-1.jpg

广告技术和营销技术供应商通常与消费者没有直接联系,因此获得跟踪或数据收集的同意是一个棘手的问题。他们很可能不得不依赖面向消费者的实体,比如向出版商和营销人员代表取得同意。
Evidon正在通过通用的GDPR合规平台采取不同的方式,声称为消费者提供选择数据收集的能力,了解正在收集的信息并修改正在跟踪的内容。
但是并不是每个人都相信中间商能在GDPR下蓬勃发展。
Tealium的首席技术官兼创始人Mike Anderson说:“第三方生态系统不会在GDPR世界中占据一席之地。 GDPR是关于第一方关系的。“

当有问题时谁负责?

市场营销人员和出版商可能会对第三方犯下的错误负责,这意味着他们将更加挑剔与谁合作。 GDPR因此促进了尽职调查和供应商管理的重要性。

许可不是GDPR合规的保障。 得到它后,“你必须确保供应链中没有人会滥用你所分享的数据以至于使你面临法律风险,”Ryan说。

然而,希望在营销人员和广告技术公司之间永远存在,这些公司似乎在问责制问题上埋头。

Forrester公司副总裁兼研究总监Melissa Parrish说:“事实是:如果出现问题,他们都会陷入困境。 没有任何方法可以推卸责任。”

与ePrivacy不一致

尽管GDPR成为头条新闻,但ePrivacy,也就是Cookie指令,对于营销人员来说可能更具影响力。 GDPR涉及处理个人数据,ePrivacy涵盖与电子通信相关的隐私。

如果您访问过欧洲的一个网站,看到一个弹出式横幅广告,警告您“访问本网站,您需要接受使用Cookie”,那么您已经体验过ePrivacy的措施。

这是自2002年指令通过以来的常态。但很快基本的cookie通知不会削弱它(GDPR)。

欧洲监管机构正在更新ePrivacy,以使其与GDPR更加一致,并简化了cookie合规性,这已经转化为大量的许可请求。监管机构希望在5月份之前完成ePrivacy并使之生效,以便正式推出GDPR。

但是,如果ePrivacy和GDPR都包含处理相同情况的法规,则以ePrivacy规则为准。其中存在的一个问题是:目前正在审查的ePrivacy草案不包括作为因此处理合法利益的法律依据,因为5月份营销人员处理数据的唯一可能的法律依据是许可。 (在某些情况下,合同的履行可能会成为法律依据。)

经过修订的ePrivacy规定极有可能在五月份获得批准 - 用了四年的时间才能通过GDPR,而且ePrivacy草案自一月份以来一直在审核之中,这就造成了不确定性。

Acxiom全球首席隐私官Sheila Colclasure表示:“目前,ePrivacy与GDPR不协调,所以我们有一个差距。 “我们需要确保Cookie法认可合法利益,并且不会破坏创新,但是,如果ePrivacy法规不规定,GDPR生效的时候仍然存在一个灰色地带,ePrivacy将如何运作以及欧洲如何在ePrivacy指令下运作。“

无论哪种方式,如果ePrivacy regs不包括合法利益,“这对于广告技术公司来说是个坏消息,”国际隐私专业协会研究和教育副总裁Omer Tene说。

Tene说:“除非有合法利益修改,否则很难看出广告高科技企业可以如何遵守ePrivacy。 这对广告中介人来说是非常重要的。”

特别是考虑到违规的可能性。 ePrivacy草案中规定的罚款与GDPR中的罚款密切相关:高达2000万欧元,即全球年营业额的4%。

GDPR的误解

对GDPR最大的误读:不在欧洲的公司不必担心GDPR。

不对。 GDPR对欧盟公民的个人资料拥有管辖权,无论在哪里(进行数据)处理。

Tene说:“GDPR将在欧盟诞生,但它适用于世界上任何以欧洲受众为目标服务的公司,以有意义的方式收集个人数据或定期监控欧洲人的信息。与以前你必须在场才受到数据保护指令的政权相比,这是一个巨大的变化,。”

无论如何,许多中小型广告技术公司和营销技术公司似乎都采取观望GDPR的方法 - 这不是一个明智之举,Evidon的Ruback说。

“他们没有积极主动,这是一个糟糕的商业战略,特别是当出版商和品牌已经与他们的数字供应链进行对话,并修改他们由于第三方违规的赔偿协议情况下,” Ruback说。

但是,公司正在开始获得提示。根据国际隐私专业人员协会和安永会计师事务所10月份发布的联合年度治理报告,95%的受访者(75%位于欧盟以外)认为GDPR适用于他们,而美国的50%公司认为GDPR法规正在推动他们的隐私计划。

隐私盾

Privacy Shield是取代Safe Harbor的EU-US数据传输协议。 它在十月中旬通过了第一次年度审查,这意味着欧洲官员认为它提供了适当的跨境数据保护。 在2018年5月之前通过Privacy Shield进行自我认证是美国公司确保其拥有有效机制在欧盟和美国之间传输个人数据的一种方法。

同样,隐私保护只适用于国际数据传输,并不保证遵守GDPR的其他关键原则,包括获得许可,进行隐私影响评估和任命数据保护人员等。

清单

GDPR是一个庞大的立法文件,有99个密集的文章,要确保合规性并不容易。在处理最棘手的问题之前,最好先处理更简单的问题。

Ruback表示:“监管机构需要的只是一台浏览器,一台笔记本电脑和一系列网站,以查看谁是透明的。 您是否有一种以消费者为中心的简单方式来沟通您的数据实践,并让个人控制他们的个人数据?在监管机构开始深入公司内部流程并查看是否实现信息可被遗忘的权利之前,这是他们的最低期望“

确定您的公司是控制方还是处理方。这种区别将影响您如何遵守法规。

进行数据保护影响评估(DPIA):对数据流程进行风险分析。第一步是映射您的数据流,并清楚地了解您从哪里收集数据,您与谁共享数据,数据泄漏的可能性以及在您如何维护,保留和保护数据。 DPIA帮助企业弄清楚他们是否符合GDPR和/或他们还需要做多少工作才能满足。

看看你的合同:检查你的供应链,以确定你与合作伙伴的协议是否是最新的,并包括与GDPR有关的条款 - 例如,如果出现违反或执法的情况,该怎么办。这可以是DPIA流程的一部分。

需要一个DPO吗?一家公司是否需要任命一名数据保护官员取决于其数据追踪的范围和规模。法律规定:“定期和系统的大规模监督......”但是拥有DPO永远比没有DPO好。

文档:控制方必须证明,表现他们完成的数据处理符合GDPR的标准,包括(用户)许可选择,数据保存和管理的内部政策。如果一个数据保护监督机构敲门,你需要手头的书面证明。

本文由adblockchain翻译校正,原文:A Marketer’s Guide To GDPR

gdpr

赞 (0)

添加新评论