Что такое GDPR и как он повлияет на ваш бизнес?

Смотреть на GDPR и то, как платформа управления согласием может повлиять на ваш бизнес, — это то, чем мы все должны заниматься. Поле битвы между согласием клиента и законным интересом является ожесточенным. Когда Великобритания приняла свой стандарт GDPR в отношении того, как компании могут собирать и обрабатывать данные о потребителях, это потрясло весь мир. Тем не менее, это был только первый такой стандарт. С тех пор Канада выпустила свой собственный стандарт, как и штат Калифорния .

Что такое GDPR?

Определение GDPR: GDPR расшифровывается как Общий регламент по защите данных. Это самый жесткий закон о конфиденциальности и безопасности данных в мире. Несмотря на то, что GDPR был разработан и подписан Европейским союзом (ЕС), GDPR влечет за собой серьезные юридические обязательства для организаций по всему миру, если они собирают данные, касающиеся граждан ЕС. GDPR вступил в силу 25 мая 2018 года.

Вскоре обновления операционных систем Apple и Google сделают данные еще более анонимными, из-за чего компаниям будет сложнее понять, как пользователи нашли их сайты. Это очень беспокоит Facebook , учитывая, что его основным источником дохода является рекламный продукт, и без надлежащей атрибуции компании не смогут сказать, насколько эффективна реклама на Facebook или в других ее ресурсах, таких как Instagram. Скоро все компании будут использовать платформу управления согласием.

Влияние Общего регламента по защите данных (GDPR) на онлайн-бизнес

А пока давайте посмотрим на GDPR, изначальную политику конфиденциальности данных потребителей. Все остальные используют схожие формулировки и варианты использования, что делает GDPR стандартной политикой. В частности, есть два раздела, которые маркетологи должны знать в документации GDPR:

• Статья 6(1)(a) GDPR – Согласие как законное основание для обработки данных: Субъект данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей;
• Статья 6(1)(f) Общего регламента по защите данных. Обработка необходима в целях законных интересов , преследуемых контролером или третьей стороной, за исключением случаев, когда такие интересы перекрываются интересами или основными правами и свободами субъекта данных, которые требуют защита персональных данных, в частности, если субъектом данных является ребенок.

Эти две статьи разбивают то, что известно как сбор согласия и сбор законных интересов. Давайте удостоверимся, что вы хорошо понимаете оба.

Как ваша организация может соответствовать требованиям GDPR: раз и навсегда разобраться с согласием клиентов

Обеспечение соответствия GDPR зависит от согласия клиента.

Согласие клиента считается золотым стандартом сбора данных: потребитель должен нажать кнопку (которую нельзя заполнить заранее), чтобы сказать, что он согласен предоставить свою информацию компании. Платформа управления согласием упрощает процесс получения согласия.

Вы, несомненно, видели их на различных сайтах, которые вы недавно посещали. Вот пример с веб-сайта SAP Future of Commerce:

Согласие клиента требует от клиента — каждого отдельного человека — физического согласия на сбор и обработку своих данных.

Действительно, политика SMS TCPA требует чего-то подобного для маркетинга текстовых сообщений.

Подобно требованию согласия клиента не иметь предварительно отмеченного поля и требовать физического согласия, политики TCPA также требуют физического согласия для отправки текстовых сообщений, и это соглашение не может быть предварительно проверено. Кроме того, формулировка соглашения должна включать информацию о том, как часто пользователь будет получать отправленные сообщения и как отказаться от подписки и остановить все сообщения.

Таким образом, GDPR не одинок в этом требовании более ручного процесса получения согласия. Организации могут подождать, но необходимость платформы управления согласием — это запись на стене GDPR.

Как создать политику конфиденциальности, соответствующую GDPR, и определить законные интересы

Законный интерес — это скорее серая зона GDPR, и поэтому многие маркетологи предпочитают его. Добавление требования о ручном соглашении о сборе данных увеличивает трения на веб-сайте, а трения могут серьезно снизить конверсию. Понятно, что может возникнуть сопротивление внедрению платформы управления согласием, однако, в конце концов, это принесет пользу как потребителям, так и компаниям.

Офис Комиссара по информации (ICO), независимый орган в Великобритании, который консультирует предприятия по вопросам применения британских законов о конфиденциальности данных , таких как GDPR , предложил компаниям руководство по созданию политики конфиденциальности, соответствующей GDPR, и интерпретации законных интересов. ИКО объясняет :

1. Обработка не требуется по закону, но приносит явную пользу вам или другим лицам;
2. Воздействие на конфиденциальность человека ограничено ;
3. Человек должен разумно ожидать, что вы будете использовать его данные таким образом; и
4. Вы не можете или не хотите предоставлять пользователю полный предварительный контроль (т.е. согласие) или беспокоить его деструктивными запросами на согласие, когда маловероятно, что он будет возражать против обработки.

Это делает законный интерес гораздо более гибким, чем согласие клиента.

Когда использовать согласие против законного интереса: удобная оценка законного интереса

Основываясь на нашей разбивке согласия и законных интересов, вы можете подумать, что проще использовать законные интересы во всех случаях. Это не обязательно так. Фактически, ICO ясно дало понять, что вы не можете использовать законные интересы в качестве метода сбора по умолчанию для вашей компании.

Хотя законный интерес является гибкой концепцией и часто будет уместным, он не применим ко всему, и вы не можете использовать его в качестве основы по умолчанию для всей вашей обработки.

Вот почему большинство веб-сайтов запрашивают согласие, когда вы заходите на сайт. Платформа управления согласием упрощает этот процесс.

Итак, когда вы можете использовать законный интерес? К счастью, ICO предлагает тест из трех частей, чтобы определить, может ли законный интерес применяться к вашему проекту, веб-сайту и т. д.

1. Целевой тест — есть ли законный интерес за обработкой? В рамках целевого теста вам необходимо спросить себя, является ли сбор данных этичным, законным и полезным как для вашей компании, так и для потребителя. Затем вам необходимо четко указать цель обработки этих данных без согласия (или в соответствии с законным интересом).
2. Тест на необходимость – необходима ли обработка для этой цели? Используя тест необходимости, вам нужно продемонстрировать, что нет другого менее инвазивного способа достижения вашей цели, и убедиться, что обработка пропорциональна достижению ваших целей.
3. Балансирующий тест – превалирует ли законный интерес над интересами, правами или свободами личности? Наконец, в рамках теста баланса вам необходимо убедиться, что обработка данных не ущемляет права и свободы человека.

Итак, этот тест из трех частей не так уж и полезен. Вместо этого давайте рассмотрим несколько примеров.

Применение теста, состоящего из трех частей: примеры законных интересов GDPR

Следующие сценарии предлагаются ICO в своей документации , чтобы помочь компаниям лучше понять, как применять тест, состоящий из трех частей, и, в конечном итоге, какие методы сбора данных и информации использовать.

Дело о благотворительности.

Благотворительная организация хочет рассылать материалы по сбору средств по почте лицам, которые делали им пожертвования в прошлом, но ранее не возражали против получения от них маркетинговых материалов.

Цель благотворительной организации в области прямого маркетинга, заключающаяся в поиске средств для продвижения своего дела, является законным интересом.

Затем благотворительная организация проверяет, необходима ли отправка рассылки для сбора средств. Он решает, что для этой цели необходимо обработать контактные данные и что рассылка по почте является пропорциональным способом обращения к людям за пожертвованиями.

Благотворительная организация рассматривает балансирующий тест и принимает во внимание, что природа обрабатываемых данных - это только имена и адреса, и что для этих лиц было бы разумно ожидать, что они могут получать маркетинговые материалы по почте, учитывая их предыдущие отношения.

Благотворительная организация определяет, что влияние почтовой рассылки по сбору средств на этих людей, вероятно, будет минимальным, однако она включает в рассылку (и каждую последующую) подробную информацию о том, как люди могут отказаться от получения почтового маркетинга в будущем.

Кейс GDPR на бизнес-семинаре.

Отдельные лица посещают бизнес-семинар, и организатор собирает визитные карточки некоторых делегатов.

Организатор определяет, что у него есть законный интерес к созданию сетей и развитию своего бизнеса. Они также решили, что для этой цели необходим сбор контактных данных делегатов с визитных карточек.

Рассмотрев цель и необходимость, организатор затем оценивает, что баланс благоприятствует их обработке, поскольку для делегатов, передающих визитные карточки, разумно ожидать, что их деловые контактные данные будут обработаны, и влияние на них будет низким. Организатор также гарантирует, что делегатам будет предоставлена ​​информация о конфиденциальности, включая сведения об их праве на возражение. Затем организатор сопоставляет контактные данные делегатов и добавляет их в свою базу данных деловых контактов.

Нет никаких лазеек для законных интересов: речь идет об этических методах работы с данными

На заборе о том, что использовать? Начните с золотого стандарта согласия. Оттуда переходите к законным интересам, но всегда делайте все возможное, чтобы заранее объяснить, какие данные будут собираться и для каких целей. Наконец, всегда позволяйте получателям маркетинговых материалов отказаться от списка отправляемой информации, даже если эта информация основана на согласии или законном интересе. Начните продвигаться к платформе управления согласием, установив, как ваша компания будет относиться к согласию и данным в качестве практики.

Другими словами, обращайтесь с потребительскими данными так, как хотели бы, чтобы обращались с вашими. GDPR требует от компаний просто подумать о том, какие данные они собирают, если они нужны, и как это сделать с соблюдением этических норм.

Некоторые компании выводят этот стандарт на новый уровень и используют сбор этических данных и прозрачность в качестве самостоятельной маркетинговой тактики. Возьмем, к примеру, Lush. Они сделали этику данных основой ценностей своей компании.

«Сейчас как никогда люди осознают, насколько критически ценны их личные данные. В самой легкой форме это твиты, которые вы публикуете, фотографии, которые вы загружаете, люди, которым вы пишете личные сообщения. В своих самых темных формах это средство отслеживания вашей личности, алгоритм, решающий, должны ли вы быть в списке уничтоженных. Мы убеждены, что конфиденциальность данных является одним из основных прав человека. Политика этических данных направлена ​​на обеспечение безопасности и прозрачности всех данных сотрудников и клиентов Lush. Наши клиенты и сотрудники имеют право знать, что мы имеем о них».

По мере того, как все больше и больше стран, штатов и т. п. принимают стандарты типа GDPR, мы, вероятно, увидим, что все больше и больше компаний принимают лучшие практики цифровой этики в качестве внутренних ценностей, а затем используют их в качестве маркетингового корма. Это идеальная цель политики конфиденциальности и защиты данных потребителей. Интеграция платформы управления согласием — это прозрачная инвестиция в уважение ваших клиентов.