اللائحة العامة لحماية البيانات: ماذا يعني ذلك للتسويق بالعمولة في منطقة آسيا والمحيط الهادئ

نشرت: 2022-07-06

لقد كان القانون العام لحماية البيانات (GDPR) موضوعًا ساخنًا لبعض الوقت وهو الآن يقع على عاتقنا أخيرًا. ولكن ماذا تعني اللوائح بالنسبة لنا خارج الاتحاد الأوروبي؟

ماركوس-سبيسكي -357131-أونسبلاش

لقد سمعنا جميعًا عن القانون العام لحماية البيانات (GDPR) الآن ، وإذا لم يكن الأمر كذلك ، فهذا هو السبب في تلقيك الكثير من رسائل البريد الإلكتروني حول تحديثات سياسة الخصوصية - ومعظمها في حد ذاته كان غير ضروري إن لم يكن غير قانوني. ولكن في محاولة للبقاء ملتزمة ، فإن الشركات تتفوق على ذلك لضمان عدم وقوعها في مشاكل.

بينما يركز القانون العام لحماية البيانات (GDPR) على مواطني الاتحاد الأوروبي ، فقد يكون له آثار بعيدة المدى على تجار التجزئة والشركات التابعة والشبكات الأسترالية. إذا كنت تمارس نشاطًا تجاريًا في الاتحاد الأوروبي أو إذا كان عملك يعالج المعلومات الشخصية للأفراد في الاتحاد الأوروبي ، فأنت بحاجة إلى التأكد من أن عملك يتوافق مع اللوائح الجديدة.

ما هو اللائحة العامة لحماية البيانات؟

تحتوي لائحة حماية البيانات العامة للاتحاد الأوروبي (GDPR) على متطلبات حماية البيانات الجديدة التي ستدخل حيز التنفيذ في 25 مايو 2018 وتفرض التزامات صارمة على الشركات فيما يتعلق بالحوكمة والموافقة والتوصيف وإمكانية نقل البيانات.

يتضمن القانون العام لحماية البيانات (GDPR) متطلبات تشبه تلك الموجودة في قانون الخصوصية الأسترالي لعام 1988 ، وتدابير إضافية تهدف بالمثل إلى تعزيز ممارسات معالجة المعلومات الشفافة ومساءلة الأعمال حول معالجة البيانات. يهدف إدخال قوانين حماية البيانات الواضحة والموحدة إلى بناء اليقين القانوني للشركات وتعزيز ثقة المستهلك في الخدمات عبر الإنترنت.

تم تصميم اللائحة العامة لحماية البيانات (GDPR) لتمكين المستهلكين في الاتحاد الأوروبي وحقوقهم حول كيفية استخدام بياناتهم. بالنسبة للصناعات الرقمية مثل صناعتنا وتجار التجزئة عبر الإنترنت ، فإن هذا يأخذ أهمية متزايدة لأن تعريف ما يعتبر بيانات شخصية قد تم توسيعه ليشمل أي شيء يمكن أن يميز فردًا ولكن ليس بالضرورة تحديدًا شخصيًا بشكل علني. لذلك ، بينما من الواضح أن عنوان البريد الإلكتروني هو بيانات شخصية ، فإن النطاق يتضمن أيضًا معرفات مستعارة مثل عنوان IP أو معرف الطلب.

من أجل معالجة هذه البيانات ، ستحتاج الشركات إلى اختيار أساس قانوني ، من بينها ستة.

  1. موافقة
  2. عقد
  3. التزام قانوني
  4. مصلحة حيوية
  5. مهمة عامة
  6. مصلحة مشروعة

سيكون الأمر واضحًا بالنسبة لبعض الشركات ، لكن بالنسبة للعديد من شركات التسويق الرقمي ، ستحتاج عادةً إلى اختيار إما "الموافقة" أو "المصلحة المشروعة" .

يستخدم Commission Factory المصلحة المشروعة كأساس قانوني لمعالجة البيانات.

هل تؤثر اللائحة العامة لحماية البيانات على أعمالي؟

قد تحتاج بعض الشركات الأسترالية التي يغطيها قانون الخصوصية الأسترالي لعام 1988 (Cth) (قانون الخصوصية) (المعروف باسم كيانات APP) إلى الامتثال للقانون العام لحماية البيانات (GDPR) إذا كانت:

  • لديك مؤسسة في الاتحاد الأوروبي (بغض النظر عما إذا كانت تقوم بمعالجة البيانات الشخصية في الاتحاد الأوروبي) ، أو
  • ليس لديك مؤسسة في الاتحاد الأوروبي ، ولكنك تعرض سلعًا وخدمات أو تراقب سلوك الأفراد في الاتحاد الأوروبي.

ينطبق القانون العام لحماية البيانات (GDPR) على أنشطة معالجة البيانات الخاصة بالشركات ، بغض النظر عن حجمها ، والتي هي معالجات بيانات أو وحدات تحكم مع مؤسسة في الاتحاد الأوروبي. بشكل عام ، تقول وحدة التحكم كيف ولماذا تتم معالجة البيانات الشخصية ويعمل المعالج نيابة عن المتحكم.

عندما يكون لشركة ما "مؤسسة" في الاتحاد الأوروبي ، فإن أنشطة الشركة التي تتضمن معالجة البيانات الشخصية ستحتاج إلى الامتثال للقانون العام لحماية البيانات (GDPR) ، بغض النظر عما إذا كانت البيانات قد تمت معالجتها بالفعل في الاتحاد الأوروبي أم لا.

ينطبق القانون العام لحماية البيانات (GDPR) أيضًا على أنشطة معالجة البيانات للمعالجات ووحدات التحكم خارج الاتحاد الأوروبي ، بغض النظر عن الحجم ، حيث ترتبط أنشطة المعالجة بما يلي:

  • تقديم سلع أو خدمات للأفراد في الاتحاد الأوروبي (بغض النظر عما إذا كان الدفع مطلوبًا)
  • مراقبة سلوك الأفراد في الاتحاد الأوروبي ، حيث يحدث هذا السلوك في الاتحاد الأوروبي

تشمل الشركات الأسترالية التي قد يشملها القانون العام لحماية البيانات (GDPR) ما يلي:

  • شركة أسترالية لها مكتب في الاتحاد الأوروبي
  • شركة أسترالية يستهدف موقعها الإلكتروني عملاء الاتحاد الأوروبي على سبيل المثال من خلال تمكينهم من طلب سلع أو خدمات بلغة أوروبية (بخلاف الإنجليزية) أو تمكين الدفع باليورو
  • شركة أسترالية يشير موقعها الإلكتروني إلى عملاء أو مستخدمين في الاتحاد الأوروبي
  • شركة أسترالية تتعقب الأفراد في الاتحاد الأوروبي على الإنترنت وتستخدم تقنيات معالجة البيانات لتحديد ملامح الأفراد لتحليل والتنبؤ بالتفضيلات والسلوكيات والمواقف الشخصية.

جدول المقارنة

اللائحة العامة لحماية البيانات في الاتحاد الأوروبي قانون الخصوصية الأسترالي
على من يتم تطبيق هذا؟ أنشطة معالجة البيانات الخاصة بالشركات ، بغض النظر عن حجمها ، أي معالجات البيانات أو وحدات التحكم معظم الوكالات الحكومية الأسترالية ، وجميع مؤسسات القطاع الخاص والمنظمات غير الهادفة للربح التي يبلغ حجم مبيعاتها السنوية أكثر من 3 ملايين دولار ، وجميع مزودي الخدمات الصحية الخاصة وبعض الشركات الصغيرة.
على ماذا تنطبق؟ البيانات الشخصية - أي معلومات تتعلق بشخص طبيعي محدد أو قابل للتحديد: المادة 4 (1) المعلومات الشخصية (PI) - معلومات أو رأي حول فرد محدد ، أو فرد يمكن التعرف عليه بشكل معقول: ق 6 (1)
رابط قضائي ينطبق على معالجات البيانات أو وحدات التحكم:
  • مع مؤسسة في الاتحاد الأوروبي ، أو
  • خارج الاتحاد الأوروبي ، التي تعرض سلعًا أو خدمات للأفراد في الاتحاد الأوروبي أو تراقب سلوك الأفراد في الاتحاد الأوروبي: المادة 3
 ينطبق على الشركات:
  • تأسست في أستراليا ، أو
  • التي "تمارس نشاطًا تجاريًا" في أستراليا وتجمع PI من أستراليا أو تحمل PI في أستراليا: s 5B
المساءلة والحوكمة يجب على المتحكمين بشكل عام:
  • تنفيذ التدابير التقنية والتنظيمية المناسبة لإثبات الامتثال للائحة العامة لحماية البيانات (GDPR) وبناء الخصوصية بشكل افتراضي وتصميم: المواد 5 و 24 و 25
  • إجراء تقييمات إلزامية لتأثير حماية البيانات: المادة 35
  • تعيين مسؤولي حماية البيانات: المادة 37
 يجب على كيانات APP اتخاذ خطوات معقولة لتنفيذ الممارسات والإجراءات والأنظمة لضمان الامتثال لـ APP وتمكين الشكاوى: APP 1.2

يُتوقع من الشركات تعيين الأدوار والمسؤوليات الرئيسية لإدارة الخصوصية وإجراء تقييمات تأثير الخصوصية للعديد من المشاريع الجديدة والمحدثة
موافقة يجب أن تكون الموافقة:
  • تمنح مجانًا ، ومحددة ومستنيرة ، و
  • إشارة لا لبس فيها إلى رغبات صاحب البيانات والتي ، من خلال بيان أو من خلال إجراء إيجابي واضح ، تشير إلى الموافقة على المعالجة: المادة 4 (11)
 العناصر الأساسية:
  • يتم إبلاغ الفرد بشكل كاف قبل إعطاء الموافقة ، ولديه القدرة على فهم وإبلاغ الموافقة
  • يتم منح الموافقة طواعية
  • الموافقة سارية ومحددة: تطبيقات GLs الخاصة بـ OAIC
إخطارات خرق البيانات DBN الإلزامي بواسطة وحدات التحكم والمعالجات (تطبق استثناءات): المواد 33-34 اعتبارًا من 22 فبراير 2018 ، من المحتمل أن يؤدي الإبلاغ الإلزامي عن الانتهاكات إلى خطر حقيقي بحدوث ضرر جسيم
الحقوق الفردية تشمل الحقوق الفردية:
  • الحق في المحو: المادة 17
  • الحق في نقل البيانات: المادة 20
  • حق الاعتراض: المادة 21
 لا مكافئ لهذه الحقوق.
ومع ذلك ، يجب على الأعمال التجارية اتخاذ خطوات معقولة لتدمير أو إلغاء تعريف الباحث الرئيسي الذي لم يعد مطلوبًا لغرض مسموح به: التطبيق 11.2. عندما يتم منح الوصول إلى PI للفرد ، يجب أن يتم بشكل عام بالطريقة المطلوبة: APP 12.5
التحويلات الخارجية قد يتم نقل البيانات الشخصية خارج الاتحاد الأوروبي في ظروف محدودة بما في ذلك:
  • إلى البلدان التي توفر مستوى "مناسبًا" من حماية البيانات
  • حيث يتم تطبيق "بنود حماية البيانات القياسية" أو "قواعد الشركة الملزمة"
  • قواعد السلوك أو الشهادات المعتمدة المعمول بها: الفصل الخامس
 قبل الكشف عن PI في الخارج ، يجب على الشركة اتخاذ خطوات معقولة للتأكد من أن المستلم لا يخرق التطبيقات فيما يتعلق بالمعلومات: APP 8 (تنطبق الاستثناءات). الكيان مسؤول عن خرق التطبيقات من قبل المستلم الخارجي فيما يتعلق بالمعلومات: s 16C (تنطبق الاستثناءات)
العقوبات غرامات إدارية تصل إلى 20 مليون يورو أو 4٪ من حجم المبيعات السنوي في جميع أنحاء العالم (أيهما أعلى): المادة 83 صلاحيات العمل مع الكيانات لتسهيل الامتثال وأفضل الممارسات ، وسلطات التحقيق والإنفاذ: الجزءان الرابع والخامس

كيف سيؤثر هذا على الصناعة التابعة؟

لا نتوقع أن يؤثر هذا التحديث على اللائحة العامة لحماية البيانات على المسوقين التابعين أو تجار التجزئة عبر الإنترنت بشكل سلبي وهو إلى حد كبير خطوة لصياغة وتنظيم قوانين حماية البيانات الموجودة منذ عدد من السنوات بالفعل.

بالنسبة إلى شركة Commission Factory والشركات التابعة لنا ، فإن طبيعة البيانات الشخصية المعالجة غير حساسة وتقنية إلى حد كبير وعلى عكس القنوات الأخرى التي تستخدم البيانات الشخصية لبناء ملفات تعريف وسلوكيات المستهلكين لاستهدافها من خلال الإعلانات.

من خلال ذكر الأساس القانوني لجمع البيانات لدينا على أنه "مصلحة مشروعة" ، فإننا نحاول تقليل أعباء الامتثال على ناشرينا ولا نحتاج إلى مطالبة الناشرين بالحصول على أي موافقة بيانات لنا.

بالنسبة للشركات التابعة التي لا تعمل أو تسوق أو تجمع المعلومات في الاتحاد الأوروبي أو المقيمين فيه ، ليس من الممكن طلب الموافقة. سكان الاتحاد الأوروبي الذين يدخلون إلى موقع ويب خارج الاتحاد الأوروبي ليسوا تحت سيطرتك. إن مجرد القدرة على الوصول إلى موقعك من الاتحاد الأوروبي لا يكفي لإثبات أنه يقوم بأعمال تجارية في الاتحاد الأوروبي وأن مستوى المشاركة يعد عاملاً.

تأكد من أن لديك تفاصيل الاتصال حيث يمكن للأفراد الاتصال بك للاستفسارات المتعلقة بالخصوصية. يجب على المتحكمين والمعالجات ، في ظروف معينة ، تعيين مسؤول حماية البيانات للمراقبة وتقديم المشورة بشأن الامتثال للقانون العام لحماية البيانات (GDPR) وسياسات وإجراءات الخصوصية الداخلية. وقد تم وصفه بأنه دور "بطل الخصوصية" الذي يتضمن دور مستشار الأعمال في الاستخدام المسؤول والمبتكر للبيانات الشخصية. كان هذا بالفعل أحد المتطلبات بموجب قوانين حماية الخصوصية الأسترالية ويجب تنفيذه بغض النظر.

هل مصنع العمولة مراقب أم معالج؟

إن شركة Commission Factory تشبه إلى حد كبير شريكنا Awin وبعد أن اختار المستشار القانوني أنفسنا كمراقب بيانات مشترك مع المعلنين والناشرين. هذا لا يعني أن هذا الموقف هو نفسه مع جميع الشبكات التابعة حيث اختار البعض منصب المعالج ويجب على كل شركة تتعامل مع البيانات أن تقرر الدور الذي تلعبه في معالجة تلك البيانات.

تعتبر شركة Commission Factory مراقبًا لأننا قررنا النموذج الاقتصادي واتخذنا قرارات مشتركة مع الشركات التابعة لنا بشأن البيانات التي يجب معالجتها لتقديم حملة التسويق التابعة للمعلن.

يمكن تحديد المسار الذي تسلكه بسؤال "كيف" و "لماذا" . إذا قررت بصفتك شركة تسويق رقمي "لماذا يجب معالجة البيانات" و "كيف يجب معالجتها لتحقيق الغرض المقصود" ، أو ربما كلاهما ، فإنك تندرج تحت تعريف "المتحكم".

لا يحدد المعالج كيف ولماذا ويمكنه اتخاذ قرارات محدودة حول كيفية معالجة البيانات للأغراض التي يحددها المتحكم.

في نموذج التسويق بالعمولة ، سيقع المعلن دائمًا تحت حالة المتحكم. هذا لأنهم هم وحدهم الذين يمكنهم تحديد "سبب" معالجة البيانات واتخاذ قرارات مثل "لنشارك في التسويق بالعمولة وسندفع مقابل المبيعات المشار إليها مقابل عمولة" .

ينبع سبب عدم اختيار مسار المعالج من الأمور غير العملية المرتبطة به. على سبيل المثال ، إذا حاولت شركة Commission Factory أو الشركات التابعة لنا العمل ضمن قيود دور معالج البيانات ، فسنحتاج إلى الحصول على أي معالجة بيانات جديدة يوافق عليها كل معلن مقدمًا في كل مرة. سنطلب أيضًا تعليمات مكتوبة من المعلنين في كل مرة يرغبون فيها في الاستفادة من إصلاحات الأخطاء أو التحديثات أو الترقيات أو الميزات الإضافية لمنتجاتنا أو خدماتنا. سيكون هذا مرهقا.

نظرًا لأن Commission Factory عبارة عن شبكة تابعة لـ Pureplay ، فإننا نستخدم بيانات شخصية محدودة لتتبع الإحالات إلى مواقع الويب الخاصة بالمعلنين والمعاملات اللاحقة وتقاريرنا ، لكننا لا نعيد استخدام هذه البيانات مطلقًا لإنشاء ملفات تعريف سلوكية للمستخدم أو لأغراض تسويقية أخرى. نحن أيضًا لا نجمع أي بيانات أخرى من أجل:

  1. بناء ملفات تعريف سلوكية للمستخدم
  2. إعادة الاستهداف السلوكي
  3. التسويق لأية أغراض أخرى

من خلال تجنب هذا النوع من المعالجة ، يمكننا الاعتماد على المصلحة المشروعة لتبرير المعالجة وتجنب متطلبات الموافقة على البيانات من الناشرين أو المعلنين لتتبع المعاملات بشكل قانوني.

ماذا الان؟

في حين أن اللائحة العامة لحماية البيانات هي في الغالب أمر توجيهي للاتحاد الأوروبي وقانون حماية البيانات ، فلا يزال من الحكمة التأكد من تغطيتك وطلب المشورة بشأن ماهية التزاماتك.

نظرًا لبعض أوجه التشابه مع قانون الخصوصية واللائحة العامة لحماية البيانات ، قد يكون لدى الشركات الأسترالية بالفعل بعض التدابير المعمول بها التي تتطلبها اللائحة العامة لحماية البيانات. على الرغم من ذلك ، من الضروري التأكد من تقييم جميع ممارساتك وهياكل الحوكمة الخاصة بك في ضوء لوائح الناتج المحلي الإجمالي وطلب المشورة القانونية عند الضرورة لضمان الامتثال الصارم.

من وجهة نظرنا كشبكة ، سنقوم بطرح أدوات الموافقة الاختيارية وإضافة موافقة ملفات تعريف الارتباط إلى جميع مواقعنا الإلكترونية لإيجاز البيانات ولكن للناشرين الحرية في الحصول على الموافقة بالطريقة التي يرونها مناسبة.

قد لا تحتاج بعض نماذج المكافآت التابعة ، مثل ناشري استرداد النقود والمكافآت ، إلى موافقة ملف تعريف الارتباط لملفات تعريف الارتباط التابعة لأن ملفات تعريف الارتباط التابعة ضرورية لعمل استرداد نقدي أو نوع من الخدمة القائمة على المكافآت.