GDPR:APACのアフィリエイトマーケティングにとっての意味
公開: 2022-07-06GDPRは以前から話題になっていますが、ついに注目を集めています。 しかし、EU外の私たちにとって規制は何を意味するのでしょうか?
GDPRについては今までに聞いたことがあると思いますが、そうでない場合は、プライバシーポリシーの更新について多くのメールを受け取っているのはそのためです。そのほとんどは、違法ではないにしても、それ自体は不要です。 しかし、コンプライアンスを維持するために、企業はトラブルに巻き込まれないようにするために何度も繰り返しています。
GDPRはEU市民に焦点を当てていますが、オーストラリアの小売業者、関連会社、ネットワークに大きな影響を与える可能性があります。 EUでビジネスを行っている場合、またはビジネスがEU内の個人の個人情報を処理している場合は、ビジネスが新しい規制に準拠していることを確認する必要があります。
GDPRとは何ですか?
欧州連合の一般データ保護規則(GDPR)には、2018年5月25日に発効する新しいデータ保護要件が含まれており、ガバナンス、同意、プロファイリング、およびデータの移植性に関して企業に厳格な義務を課しています。
GDPRには、 1988年オーストラリアプライバシー法の要件に類似した要件と、データ処理に関する透明性のある情報処理慣行とビジネスの説明責任を促進することを同様に目的とする追加の措置が含まれています。 明確で統一されたデータ保護法の導入は、企業の法的確実性を構築し、オンラインサービスに対する消費者の信頼を高めることを目的としています。
GDPRは、EUの消費者と、データの使用方法に関する権利を強化するように設計されています。 私たち自身やオンライン小売業者のようなデジタル業界では、個人データと見なされるものの定義が拡大され、個人を特定できるものの、必ずしも明白に個人を特定できるとは限らないものが含まれるため、これは非常に重要になります。 したがって、電子メールアドレスは明らかに個人データですが、スコープにはIPアドレスや注文IDなどの仮名の識別子も含まれます。
このデータを処理するために、企業は法的根拠を選択する必要があります。そのうちの6つがあります。
- 同意
- 契約
- 法的義務
- 重要な関心
- パブリックタスク
- 正当な利益
一部の企業にとっては明らかですが、多くのデジタルマーケティング企業にとっては、通常、 「同意」または「正当な利益」のいずれかを選択する必要があります。
コミッションファクトリーは、データを処理するための法的根拠として正当な利益を使用しています。
GDPRは私のビジネスに影響を与えますか?
1988年オーストラリアプライバシー法(Cth)(プライバシー法)(APPエンティティとして知られる)の対象となる一部のオーストラリア企業は、次の場合にGDPRに準拠する必要があります。
- EUに事業所がある(EUで個人データを処理するかどうかに関係なく)、または
- EU内に施設はありませんが、商品やサービスを提供したり、EU内の個人の行動を監視したりします。
GDPRは、規模に関係なく、EUに事業所を持つデータ処理者または管理者である企業のデータ処理活動に適用されます。 一般的に、コントローラーは個人データが処理される方法と理由を示し、プロセッサーがコントローラーに代わって動作します。
企業がEUに「事業所」を持っている場合、個人データの処理を伴う企業の活動は、データが実際にEUで処理されているかどうかに関係なく、GDPRに準拠する必要があります。
GDPRは、サイズに関係なく、EU外のプロセッサーおよびコントローラーのデータ処理アクティビティにも適用されます。処理アクティビティは次の場合に関連します。
- EU内の個人に商品またはサービスを提供する(支払いが必要かどうかに関係なく)
- EU内で個人の行動を監視します。EU内でその行動が発生します。
GDPRの対象となる可能性のあるオーストラリアの企業は次のとおりです。
- EUにオフィスを持つオーストラリアの企業
- たとえば、EUの顧客がヨーロッパ言語(英語以外)で商品やサービスを注文できるようにしたり、ユーロでの支払いを可能にしたりすることで、ウェブサイトがEUの顧客をターゲットにしているオーストラリアの企業
- ウェブサイトがEUの顧客またはユーザーに言及しているオーストラリアの企業
- インターネット上でEU内の個人を追跡し、データ処理技術を使用して個人のプロファイルを作成し、個人の好み、行動、態度を分析および予測するオーストラリアの企業。
比較表
| EU GDPR | オーストラリアのプライバシー法 | |
| これは誰に適用されますか? | データ処理者または管理者である、規模に関係なく、企業のデータ処理活動 | ほとんどのオーストラリア政府機関、すべての民間部門、および年間売上高が300万ドルを超える非営利組織、すべての民間医療サービスプロバイダー、および一部の中小企業。 |
| それは何に適用されますか? | 個人データ–特定されたまたは特定可能な自然人に関連する情報:第4条(1) | 個人情報(PI)–識別された個人、または合理的に識別可能な個人に関する情報または意見:■6(1) |
| 管轄リンク | データプロセッサまたはコントローラに適用されます。
| ビジネスに適用:
|
| 説明責任とガバナンス | コントローラは通常、次のことを行う必要があります。
| APPエンティティは、APPのコンプライアンスを確保し、苦情を有効にするための慣行、手順、およびシステムを実装するための合理的な手順を実行する必要があります。APP1.2 企業は、プライバシー管理の主要な役割と責任を任命し、多くの新規および更新されたプロジェクトのプライバシー影響評価を実施することが期待されています。 |
| 同意 | 同意は次のとおりである必要があります。
| 重要な要素:
|
| データ侵害の通知 | コントローラとプロセッサによる必須のDBN(例外が適用されます):Arts 33-34 | 2018年2月22日以降、重大な危害の実際のリスクにつながる可能性のある違反の報告義務 |
| 個人の権利 | 個人の権利は次のとおりです。
| これらの権利に相当するものはありません。 ただし、ビジネスでは、許可された目的で不要になったPIを破棄または匿名化するための合理的な措置を講じる必要があります:APP11.2。 個人のPIにアクセスできる場合は、通常、要求された方法でアクセスできるようにする必要があります。APP12.5 |
| 海外送金 | 個人データは、次のような限られた状況でEU外に転送される場合があります。
| PIを海外に開示する前に、企業は、受信者が情報に関連してAPPに違反しないようにするための合理的な措置を講じる必要があります:APP 8(例外が適用されます)。 エンティティは、情報に関連して海外の受信者によるAPPの違反について責任を負います。■16C(例外が適用されます) |
| 制裁 | 最大2,000万ユーロまたは世界の年間売上高の4%(いずれか高い方)の罰金:Art 83 | コンプライアンスとベストプラクティスを促進するためにエンティティと連携する権限、および調査と執行の権限:パートIVとV |
これはアフィリエイト業界にどのように影響しますか?
GDPRのこの更新が、アフィリエイトマーケターやオンライン小売業者に悪影響を与えることはないと予想しており、これは主に、すでに数年前から存在しているデータ保護法を策定および規制する動きです。
コミッションファクトリーとその関連会社にとって、処理される個人データの性質は機密性が低く、主に技術的であり、個人データを利用して広告を通じてターゲットとする消費者プロファイルと行動を構築する他のチャネルとは異なります。
データ収集の法的根拠を「正当な利益」と記載することにより、出版社のコンプライアンスの負担を最小限に抑えるよう努めており、出版社にデータ同意の取得を依頼する必要はありません。
EUで情報を運営、販売、収集していないアフィリエイトまたはその居住者の場合、同意を要求することは現実的ではありません。 EU外のウェブサイトにアクセスするEU居住者はあなたの管理下にありません。 EUからサイトにアクセスできるだけでは、EUでビジネスを行っていることを証明するのに十分ではなく、エンゲージメントのレベルが要因になります。
個人がプライバシー関連の質問であなたに連絡できる連絡先の詳細があることを確認してください。 管理者と処理者は、特定の状況では、GDPRおよび内部プライバシーポリシーと手順の遵守を監視および助言するデータ保護責任者を任命する必要があります。 これは、個人データの責任ある革新的な使用に関するビジネスアドバイザーの役割を含む「プライバシーチャンピオン」の役割として説明されています。 これはオーストラリアのプライバシー保護法の下ですでに要件であり、関係なく実装する必要があります。
コミッションファクトリーはコントローラーですか、それともプロセッサーですか?
コミッションファクトリーは、パートナーのAwinとよく似ており、法律顧問が広告主およびパブリッシャーとの共同データ管理者として自分自身を選択した後です。 これは、一部のアフィリエイトネットワークがプロセッサの位置を選択し、データを処理するすべての企業がそのデータの処理でどのような役割を果たすかを決定する必要があるため、この位置がすべてのアフィリエイトネットワークで同じであるということではありません。
コミッションファクトリーは、経済モデルを決定し、広告主のアフィリエイトマーケティングキャンペーンを配信するために処理するデータについてアフィリエイトと共同で決定するため、コントローラーです。
どのルートを取るかは、 「方法」と「理由」を尋ねることで判断できます。 あなたがデジタルマーケティング会社として「データを処理する理由」と「意図した目的を達成するためにデータを処理する方法」 、またはその両方を決定した場合、あなたは「コントローラー」の定義に該当します。
プロセッサーは、方法と理由を決定せず、コントローラーによって決定された目的のためにデータを処理する方法について限定的な決定を下すことができます。
アフィリエイトマーケティングモデルでは、広告主は常にコントローラーのステータスに分類されます。 これは、データを処理する「理由」を決定し、 「アフィリエイトマーケティングに参加して、手数料と引き換えに紹介された売上の支払いを行う」などの決定を下せるのは彼らだけだからです。
プロセッサーのルートを選択しない理由は、それに関連する非実用性に起因します。 たとえば、Commission Factoryまたはその関連会社がデータ処理者の役割の制約内で作業しようとする場合、毎回、それぞれの広告主によって事前に承認された新しいデータ処理を取得する必要があります。 また、広告主が当社の製品またはサービスのバグ修正、更新、アップグレード、または追加機能を利用するたびに、書面による指示が必要になります。 これは面倒です。
コミッションファクトリーはpureplayアフィリエイトネットワークであるため、広告主のWebサイトへの紹介、結果として生じるトランザクション、およびレポートの追跡に限られた個人データを使用しますが、このデータを行動ユーザープロファイルの作成やその他のマーケティング目的に再利用することはありません。 また、以下のデータは収集しません。
- 行動ユーザープロファイルの構築
- 行動のリターゲティング
- その他の目的のためのマーケティング
このタイプの処理を回避することにより、処理を正当化する正当な利益に依存し、サイト運営者または広告主からのデータ同意の要件を回避して、取引を合法的に追跡することができます。
今何?
GDPRは主にEU指令およびデータ保護法ですが、対象となることを確認し、義務が何であるかについてアドバイスを求めることは依然として賢明です。
プライバシー法およびGDPRとの類似点のいくつかを考えると、オーストラリアの企業は、GDPRで要求されるいくつかの措置をすでに実施している可能性があります。 それにもかかわらず、GDPR規制に照らしてすべての慣行とガバナンス構造を評価し、厳格なコンプライアンスを確保するために必要な場合は法的助言を求めることが不可欠です。
ネットワークとしての観点から、オプションの同意ツールを展開し、データを簡潔にするためにすべてのWebサイトにCookieの同意を追加しますが、発行者は適切と思われる方法で自由に同意を取得できます。
キャッシュバックやリワードベースのサービスが機能するにはアフィリエイトCookieが必要であるため、キャッシュバックやリワードパブリッシャーなどの一部のアフィリエイト報酬モデルでは、アフィリエイトCookieのCookie同意が必要ない場合があります。