GDPR 和营销

已发表: 2023-03-27

精明的消费者知道他们的活动和数据正在被在线跟踪。 这就是为什么提供隐私(尤其是在社交媒体上)并允许客户选择他们共享的个人信息的法规变得如此重要的原因。

通用数据保护条例 (GDPR) 是欧盟于 2018 年 5 月 25 日颁布的一项法律。该法律取代了数据保护指令 95/46/EC,旨在:

  • 协调整个欧洲的数据隐私法
  • 保护和授权所有欧盟公民的数据隐私
  • 重塑整个地区的组织处理数据隐私的方式

GDPR 对公司意味着什么?

作为一项可依法执行的法规,GDPR不是可有可无的。 如果一个人或组织想在欧盟内部或与欧盟公民做生意,就必须遵守这些规定。

根据 GDPR 立法,公司必须明确说明他们为营销目的收集个人数据的方式。 这意味着在他们收集信息时要征求具体的明确许可,并为消费者提供获取信息的正当理由。

本质上,GDPR:

  • 使个人能够更好地控制其个人数据的使用
  • 明确整个地区如何从一个欧盟国家到下一个(及其他国家)使用数据
  • 要求企业为数据隐私分配更多资源,并为此承担更多责任

处理数据的法律依据

为遵守法规,GDPR 为处理和存储个人数据提供了六个法律依据。 在数据保护中,法律依据是指处理个人数据的正当性。

根据 GDPR 法规处理数据的六个法律依据是:

  1. 个人关注的同意 -数据由个人在明确无误的情况下自由提供。
  2. 组织和个人之间的合同义务——组织需要某些数据来为他们提供服务——例如,电子商务交付的地址。
  3. 组织的法律义务——组织可能需要某些信息来遵守法律或法规要求。
  4. 个人的切身利益——组织可能需要处理某些数据以保护某人的生命
  5. 公共利益/公共任务——组织可以处理信息以执行法律规定的公共职能
  6. 合法利益 -组织有兴趣处理联系方式等数据,因为出于销售原因向个人发送电子邮件或致电个人具有合法商业利益。

数据营销人员的责任

数字营销人员必须了解他们在六个法律基础以及与数据处理和存储相关的规则方面的具体责任。

这些包括:

  • 数据同意规则:数据同意是指通过组织的各种数字营销渠道收集有关潜在客户和潜在客户的个人数据,并获得他们明确和明确的同意,以选择加入组织的听证会。
  • 数据处理规则:数据处理是指组织如何使用它收集的数据,以及潜在客户、潜在客户和客户是否理解为什么需要以这种方式进行处理。
  • 数据保留规则:数据保留是指组织保留个人数据的时间长短以及这样做的业务原因。
  • 数据传输规则:数据传输是指出于合法商业目的将欧盟公民的个人数据传输到欧盟境外。
  • 数据删除规则:数据删除是指何时以及如何从组织的系统中永久删除个人数据

营销部门在 GDPR 合规中的作用

营销部门——默认情况下,营销主管——在启用、支持和向高级管理层传达 GDPR 及其对业务的影响方面发挥着关键作用。

由于市场营销在收集、处理、保留、传输和删除属于公众以及组织用户和客户的数据方面的独特作用,因此团队中被提名实施 GDPR 合规性的人员必须充分了解范围和项目的职责。

这通常是跨职能团队的努力,因为领导 GDPR 相关活动的数字营销人员需要与 IT、销售、支持、工程、客户成功和产品部门合作,例如,以确保数据隐私流程和任何依赖项得到整个组织的理解和支持。

数据保护官

任命 DPO 或数据保护官将有助于引导资源到位以实现 GDPR 合规性:

[The] GDPR 要求为任何处理或存储大量个人数据的组织强制任命 DPO,无论是针对员工、组织外的个人,还是两者兼而有之。 DPO 必须“为所有公共机构任命,并且控制者或处理者的核心活动涉及‘大规模定期和系统地监控数据主体’,或者实体对‘特殊类别的个人数据’进行大规模处理”数据”,例如详细说明种族或民族或宗教信仰的数据。

数据控制器和数据处理器

数字营销团队成员还必须熟悉数据控制者和数据处理者的角色。 必须了解在哪些情况下他们是数据控制器或数据处理器。

数据控制器可以定义为:

确定处理个人数据的目的和方式的个人或机构。 用简单的英语来说,您决定数据的用途——以及数据将发生什么。

数据处理器可以定义为:

独立于数据控制者(即非雇员)并代表该数据控制者处理个人数据的个人或机构。 换句话说,控制器给处理器一个特定的工作来完成——处理器就会去做。

对于数字营销人员来说,每次在他们的角色中处理数据时,都知道他们何时扮演其中一个或两个角色很重要。

合法的商业利益

“合法商业利益”是指企业必须有明确的理由收集和处理有关数据主体的特定数据。 例如,这可能是披萨外卖业务客户的姓名和家庭住址。 仅仅因为一个人点了披萨并不自动意味着将此信息用于直接营销目的是合法的——例如,向他们发送传单。 将此信息传递给没有合法利益的第三方也可能被视为违反 GDPR。

收集和处理的理由不得侵犯自然人的任何权利。 作为数字营销人员,您必须仔细考虑:正在收集哪些数据,为什么?

因此,记录同意是 GDPR 的一项非常重要的要求。 同意必须是自由给予的、明确的、清楚的和对数据主体透明的。 一定不能有冗长、令人费解的法律术语让他们通读。 必须正确记录同意书。 此外,取消订阅的途径对于数据主体来说必须同样简单明了。

GDPR 和营销角色

直线经理和高级管理人员还应了解 GDPR 对整个团队以及个人贡献者的完整运作和影响。

考虑到一个普通的数字营销团队,个人贡献者及其经理必须意识到的一些关键角色和任务是什么:

开发商

  • 网站表单设置正确。
  • 网站插件是合规的。
  • 网站平台是安全的。
  • CMS 已正确集成。

数据分析师

  • 分析工具是合规的。
  • 在可能的情况下使用集成来防止将数据导出到计算机上。

平面设计师

  • 仅供内部使用的公司信息不会用于面向公众的图形。
  • 用于面向公众的内容的客户数据必须已签署并记录明确同意。

撰稿人

  • 仅供内部使用的公司信息不会用于面向公众的内容。
  • 用于面向公众的内容的客户数据必须已签署并记录明确同意。
  • 承包商不得未经授权访问 CMS 数据。

公关

  • 获得、记录并保持媒体联系人对发送材料的同意。
  • 准备数据泄露通信。
  • 在数据管理方面保持值得信赖的品牌。

事件

  • 在将展位访客添加到您的 CRM 进行营销之前,获得、记录并保持他们的同意。
  • 检查活动参与者列表条款和条件。 (与会者是否知道他们已注册接收贵组织的通讯,以及哪些通讯符合这些期望?)
  • 查看您用于运行或参加活动的任何第三方应用程序和服务的政策。 (谁拥有数据,数据安全吗?)

数字营销

  • 对所有流程和项目进行隐私影响评估 (PIA)

敏感数据

根据行业的不同,一些数字营销人员在 GDPR 法规方面会比其他人有更严格的要求。

这些包括:

  • 卫生保健
  • 金融或金融科技
  • 公共服务
  • 处理 16 岁以下人士数据的组织
  • 收集敏感和易受攻击的 PII 数据的组织。

所有这些组织都需要遵守最严格的数据隐私和数据保护政策

市场部职责

那么,数字营销团队在记录、维护和报告与 GDPR 相关的数据方面的职责是什么?

这些包括:

定义和记录电子邮件选择加入和选择退出
设计一个明确的选择加入和选择退出流程,可以明确解释同意; 确保选择退出与选择加入一样简单明了。

标准化新联系人如何通过所有营销渠道进入 CRM
了解营销团队管辖下的 CRM 的每个数据获取过程,并确保在欧盟公民的情况下,每个过程都有明确的同意指南。

概述尊重数据主体请求和删除的过程
试运行数据主体请求和数据删除请求; 细化并记录流程,并对相关团队成员进行培训。

沟通数据泄露
了解您必须发布有关数据泄露通知的时间范围,并为危机场景准备好预先批准的通信模板。

使网站的隐私页面和条款和条件页面保持最新
定期让您的 DPO、IT 团队和法律专家审查您面向公众的数据使用文档。

审查和批准 CRM 数据如何在内部和外部用于营销目的
确保您的团队成员在他们使用的工具中拥有适当的数据访问权限,并且他们知道他们有权访问的数据可以和不能用于营销。 制定有关联合营销或合作伙伴营销的既定政策,其中数据主体根据 GDPR 法规受到保护。

了解 GDPR 法规、最佳实践以及如何遵守道德规范对于您作为数字营销专业人士的角色至关重要。