RODO: co to oznacza dla marketingu afiliacyjnego w regionie Azji i Pacyfiku

Opublikowany: 2022-07-06

RODO było gorącym tematem od jakiegoś czasu, a teraz w końcu je do nas dotarliśmy. Ale co regulacje oznaczają dla nas spoza UE?

markus-spiske-357131-unsplash

Wszyscy słyszeliśmy już o RODO, a jeśli nie, to jest to powód, dla którego otrzymujesz tak wiele e-maili o aktualizacjach polityki prywatności – z których większość sama w sobie była niepotrzebna, jeśli nie nielegalna. Ale starając się zachować zgodność, firmy robią wszystko, aby upewnić się, że nie popadają w kłopoty.

Chociaż RODO koncentruje się na obywatelach UE, może mieć daleko idące konsekwencje dla australijskich sprzedawców detalicznych, oddziałów i sieci. Jeśli prowadzisz działalność gospodarczą w UE lub jeśli Twoja firma przetwarza dane osobowe osób fizycznych w UE, musisz upewnić się, że Twoja firma jest zgodna z nowymi przepisami.

Co to jest RODO?

Ogólne rozporządzenie Unii Europejskiej o ochronie danych (RODO) zawiera nowe wymogi dotyczące ochrony danych, które wejdą w życie 25 maja 2018 r. i nakłada na firmy ścisłe obowiązki w zakresie zarządzania, zgody, profilowania i przenoszenia danych.

RODO zawiera wymagania, które przypominają te z australijskiej ustawy o prywatności z 1988 roku, a także dodatkowe środki, które podobnie mają na celu promowanie przejrzystych praktyk przetwarzania informacji i odpowiedzialności biznesowej w zakresie przetwarzania danych. Wprowadzenie jasnych, jednolitych przepisów o ochronie danych ma na celu budowanie pewności prawa dla przedsiębiorstw i zwiększenie zaufania konsumentów do usług online.

RODO ma na celu wzmocnienie praw konsumentów w UE i ich praw dotyczących sposobu wykorzystania ich danych. W przypadku branż cyfrowych, takich jak nasza własna i branża sprzedawców internetowych, nabiera to większego znaczenia, ponieważ definicja tego, co jest uważane za dane osobowe, została rozszerzona o wszystko, co może wyróżnić daną osobę, ale niekoniecznie jest to jawna identyfikacja osobowa. Tak więc, o ile adres e-mail jest oczywiście danymi osobowymi, zakres obejmuje również pseudonimowe identyfikatory, takie jak adres IP lub identyfikator zamówienia.

Aby przetwarzać te dane, firmy będą musiały wybrać podstawę prawną, której jest sześć.

  1. Zgoda
  2. Kontrakt
  3. Prawne zobowiązanie
  4. Żywotne zainteresowanie
  5. Zadanie publiczne
  6. Uzasadniony interes

Dla niektórych firm będzie to oczywiste, ale wiele firm zajmujących się marketingiem cyfrowym będzie musiało zazwyczaj wybrać „zgodę” lub „uzasadniony interes” .

Commission Factory wykorzystuje prawnie uzasadniony interes jako podstawę prawną przetwarzania danych.

Czy RODO ma wpływ na moją firmę?

Niektóre australijskie firmy objęte australijską ustawą o ochronie prywatności z 1988 r . (Cth) (ustawą o prywatności) (znane jako podmioty APP) mogą być zmuszone do przestrzegania RODO, jeśli:

  • mieć siedzibę w UE (niezależnie od tego, czy przetwarzają dane osobowe w UE), lub
  • nie mają siedziby w UE, ale oferują towary i usługi lub monitorują zachowanie osób w UE.

RODO ma zastosowanie do czynności przetwarzania danych przedsiębiorstw, niezależnie od ich wielkości, będących podmiotami przetwarzającymi lub administratorami danych mającymi siedzibę w UE. Ogólnie rzecz biorąc, administrator określa, w jaki sposób i dlaczego przetwarzane są dane osobowe, a podmiot przetwarzający działa w imieniu administratora.

Jeżeli firma ma „zakład” w UE, działalność firmy, która obejmuje przetwarzanie danych osobowych, będzie musiała być zgodna z RODO, niezależnie od tego, czy dane są faktycznie przetwarzane w UE.

RODO dotyczy również czynności przetwarzania danych przez podmioty przetwarzające i administratorów poza UE, niezależnie od wielkości, gdzie czynności przetwarzania dotyczą:

  • oferowanie towarów lub usług osobom fizycznym w UE (niezależnie od tego, czy wymagana jest płatność)
  • monitorowanie zachowania osób w UE, jeżeli takie zachowanie ma miejsce w UE

Australijskie firmy, które mogą być objęte RODO, obejmują:

  • australijska firma z biurem w UE
  • firma australijska, której strona internetowa jest skierowana do klientów z UE, na przykład umożliwiając im zamawianie towarów lub usług w języku europejskim (innym niż angielski) lub umożliwiając płatność w euro
  • australijska firma, której strona internetowa zawiera informacje o klientach lub użytkownikach w UE
  • australijska firma, która śledzi osoby w UE w Internecie i wykorzystuje techniki przetwarzania danych do profilowania osób w celu analizowania i przewidywania osobistych preferencji, zachowań i postaw.

Tabela porównawcza

RODO UE Australijska ustawa o ochronie prywatności
Kogo to dotyczy? Czynności przetwarzania danych przedsiębiorstw, niezależnie od wielkości, które są podmiotami przetwarzającymi lub administratorami danych Większość agencji rządu australijskiego, wszystkie sektory prywatne i organizacje non-profit o rocznych obrotach przekraczających 3 miliony dolarów, wszyscy prywatni dostawcy usług zdrowotnych i niektóre małe firmy.
Czego to dotyczy? Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej: Art. 4 ust. 1 Dane osobowe (PI) – informacje lub opinia o zidentyfikowanej osobie lub osobie, którą można w uzasadniony sposób zidentyfikować: s 6(1)
Link do jurysdykcji Dotyczy podmiotów przetwarzających lub administratorów danych:
  • z siedzibą w UE, lub
  • spoza UE, które oferują towary lub usługi osobom w UE lub monitorują zachowanie osób w UE: art. 3
 Dotyczy firm:
  • zarejestrowana w Australii lub
  • które „prowadzą działalność gospodarczą” w Australii i zbierają PI z Australii lub przechowują PI w Australii: s 5B
Odpowiedzialność i zarządzanie Kontrolerzy generalnie muszą:
  • wdrożyć odpowiednie środki techniczne i organizacyjne, aby wykazać zgodność z RODO i domyślnie zapewnić prywatność i projekt: Art. 5, 24, 25
  • przeprowadzić obowiązkową ocenę skutków w zakresie ochrony danych: art. 35
  • wyznaczyć inspektora ochrony danych: art. 37
 Podmioty APP muszą podjąć uzasadnione kroki w celu wdrożenia praktyk, procedur i systemów w celu zapewnienia zgodności z APP i umożliwienia składania skarg: APP 1.2

Oczekuje się, że firmy wyznaczą kluczowe role i obowiązki w zakresie zarządzania prywatnością oraz będą przeprowadzać oceny wpływu na prywatność dla wielu nowych i zaktualizowanych projektów
Zgoda Zgoda musi być:
  • dobrowolnie podane, konkretne i poinformowane oraz
  • jednoznaczne wskazanie woli osoby, której dane dotyczą, co w formie oświadczenia lub wyraźnego działania potwierdzającego oznacza zgodę na przetwarzanie: art. 4 ust. 11
 Kluczowe elementy:
  • dana osoba jest odpowiednio poinformowana przed wyrażeniem zgody i ma zdolność rozumienia i komunikowania zgody;
  • zgoda jest wyrażona dobrowolnie
  • zgoda jest aktualna i konkretna: APP GLs OAIC
Powiadomienia o naruszeniu danych Obowiązkowe DBN przez administratorów i podmioty przetwarzające (obowiązują wyjątki): art. 33-34 Od 22 lutego 2018 r. obowiązkowe zgłaszanie naruszeń mogących skutkować realnym ryzykiem poważnej szkody
Indywidualne prawa Prawa indywidualne obejmują:
  • prawo do usunięcia: art. 17
  • prawo do przenoszenia danych: art. 20
  • prawo do sprzeciwu: art. 21
 Brak odpowiedników tych praw.
Firma musi jednak podjąć uzasadnione kroki w celu zniszczenia lub usunięcia danych identyfikacyjnych, które nie są już potrzebne do dozwolonego celu: APP 11.2. Jeżeli dostęp do PI danej osoby jest przyznany, musi on być ogólnie przyznany w żądany sposób: APP 12.5
Transfery zagraniczne Dane osobowe mogą być przekazywane poza UE w ograniczonych okolicznościach, w tym:
  • do krajów, które zapewniają „odpowiedni” poziom ochrony danych
  • gdzie mają zastosowanie „standardowe klauzule ochrony danych” lub „wiążące reguły korporacyjne”
  • zatwierdzone kodeksy postępowania lub obowiązujące certyfikacje: Chp V
 Przed ujawnieniem PI za granicą firma musi podjąć uzasadnione kroki w celu zapewnienia, że ​​odbiorca nie naruszy APP w odniesieniu do informacji: APP 8 (obowiązują wyjątki). Podmiot odpowiada za naruszenie APP przez zagranicznego odbiorcę w odniesieniu do informacji: s 16C (obowiązują wyjątki)
Sankcje Kary administracyjne w wysokości do 20 milionów euro lub 4% rocznego światowego obrotu (w zależności od tego, która z tych wartości jest wyższa): art. 83 Uprawnienia do współpracy z podmiotami w celu ułatwienia przestrzegania przepisów i najlepszych praktyk oraz uprawnienia dochodzeniowe i egzekucyjne: części IV i V

Jak to wpłynie na branżę afiliacyjną?

Nie przewidujemy, że ta aktualizacja RODO wpłynie negatywnie na sprzedawców stowarzyszonych lub sprzedawców internetowych i jest w dużej mierze krokiem w kierunku sformułowania i uregulowania przepisów o ochronie danych, które istnieją już od wielu lat.

W przypadku Commission Factory i naszych podmiotów stowarzyszonych charakter przetwarzanych danych osobowych jest niewrażliwy i w dużej mierze techniczny, w przeciwieństwie do innych kanałów, które wykorzystują dane osobowe do tworzenia profili konsumentów i zachowań w celu kierowania reklam.

Określając naszą podstawę prawną gromadzenia danych jako „Uzasadniony interes” , staramy się zminimalizować obciążenia naszych wydawców dotyczące zgodności i nie musimy prosić wydawców o uzyskanie dla nas jakiejkolwiek zgody dotyczącej danych.

W przypadku podmiotów stowarzyszonych, które nie działają, nie sprzedają ani nie zbierają informacji w UE lub ich mieszkańców, nie jest możliwe wymaganie zgody. Mieszkańcy UE uzyskujący dostęp do strony internetowej spoza UE nie są pod Twoją kontrolą. Sama możliwość uzyskania dostępu do Twojej witryny z UE nie wystarczy, aby stwierdzić, że prowadzi ona działalność w UE, a poziom zaangażowania jest tu istotnym czynnikiem.

Upewnij się, że masz dane kontaktowe, dzięki którym osoby mogą się z Tobą kontaktować w sprawach dotyczących prywatności. Administratorzy i podmioty przetwarzające muszą w pewnych okolicznościach wyznaczyć inspektora ochrony danych, który będzie monitorował i doradzał w zakresie zgodności z RODO oraz z wewnętrznymi politykami i procedurami prywatności. Została opisana jako rola „mistrza prywatności”, która obejmuje rolę doradcy biznesowego w zakresie odpowiedzialnego i innowacyjnego wykorzystywania danych osobowych. Był to już wymóg na mocy australijskich przepisów o ochronie prywatności i powinien zostać wdrożony niezależnie.

Czy Komisja Factory jest kontrolerem lub podmiotem przetwarzającym?

Commission Factory podobnie jak nasz partner Awin i po radcy prawnym wybraliśmy siebie jako współadministratora danych z Reklamodawcami i Wydawcami. Nie oznacza to, że stanowisko to jest takie samo we wszystkich sieciach afiliacyjnych, ponieważ niektórzy zdecydowali się na stanowisko przetwarzającego i każda firma, która przetwarza dane, musi zdecydować, jaką rolę odgrywa w przetwarzaniu tych danych.

Commission Factory jest Administratorem, ponieważ ustaliliśmy model ekonomiczny i wspólnie z naszymi podmiotami stowarzyszonymi podejmujemy decyzje, jakie dane przetwarzać w celu realizacji kampanii marketingu afiliacyjnego reklamodawcy.

Którą trasę wybierzesz, możesz określić, pytając „Jak” i „Dlaczego” . Jeśli jako firma zajmująca się marketingiem cyfrowym decydujesz „Dlaczego dane powinny być przetwarzane” i „W jaki sposób powinny być przetwarzane, aby osiągnąć zamierzony cel” lub potencjalnie jedno i drugie, wówczas wchodzisz w zakres definicji „Administratora”.

Podmiot przetwarzający nie określa, w jaki sposób i dlaczego , i może podejmować ograniczone decyzje dotyczące sposobu przetwarzania danych w celach określonych przez administratora.

W modelu marketingu afiliacyjnego Reklamodawca zawsze będzie miał status Administratora. Dzieje się tak, ponieważ tylko oni mogą decydować „dlaczego” przetwarzać dane i podejmować takie decyzje, jak „Uczestniczymy w marketingu afiliacyjnym i płacmy za polecaną sprzedaż w zamian za prowizję” .

Przyczyna niewybrania drogi procesora wynika z niepraktyczności, która jest z nim związana. Na przykład, jeśli Commission Factory lub nasze podmioty stowarzyszone miałyby próbować działać w ramach ograniczeń związanych z rolą podmiotu przetwarzającego dane, musielibyśmy za każdym razem uzyskać zgodę każdego nowego przetwarzania danych przez każdego odpowiedniego reklamodawcę. Będziemy również wymagać od Reklamodawców pisemnych instrukcji za każdym razem, gdy chcieliby skorzystać z poprawek błędów, aktualizacji, uaktualnień lub dodatkowych funkcji naszych produktów lub usług. Byłoby to uciążliwe.

Ponieważ Commission Factory jest siecią afiliacyjną pureplay, wykorzystujemy ograniczone dane osobowe do śledzenia odesłań do witryn reklamodawców, wynikających z nich transakcji i naszych raportów, ale nigdy nie wykorzystujemy tych danych ponownie do tworzenia behawioralnych profili użytkowników lub do innych celów marketingowych. Nie zbieramy również żadnych innych danych dla:

  1. Budowanie behawioralnych profili użytkowników
  2. Retargeting behawioralny
  3. Marketing do innych celów

Unikając tego rodzaju przetwarzania, możemy polegać na uzasadnionym interesie, aby uzasadnić przetwarzanie i uniknąć wymagań dotyczących zgody na dane od wydawców lub reklamodawców w celu legalnego śledzenia transakcji.

Co teraz?

Chociaż RODO jest głównie dyrektywą UE i ustawą o ochronie danych, nadal rozsądne jest zapewnienie, że jesteś objęty ochroną i zasięgniesz porady na temat swoich obowiązków.

Biorąc pod uwagę niektóre podobieństwa z ustawą o prywatności i RODO, australijska firma może już wprowadzić niektóre środki wymagane przez RODO. Mimo to konieczne jest upewnienie się, że oceniasz wszystkie swoje praktyki i struktury zarządzania w świetle przepisów RODO, a w razie potrzeby zasięgasz porady prawnej, aby zapewnić ścisłą zgodność.

Z naszego punktu widzenia jako sieci będziemy wprowadzać opcjonalne narzędzia do wyrażania zgody i dodawać zgodę na pliki cookie do wszystkich naszych witryn internetowych w celu zapewnienia zwięzłości danych, ale Wydawcy mogą uzyskać zgodę w dowolny sposób, który uznają za stosowny.

Niektóre modele wynagradzania partnerów, takie jak wydawcy cashbacku i nagród, mogą nie wymagać zgody na pliki cookie dla plików cookie partnerów, ponieważ pliki cookie partnerów są niezbędne do działania usług typu cashback lub nagrody.