GDPR: Ce înseamnă pentru marketingul afiliat în APAC

Publicat: 2022-07-06

GDPR a fost un subiect fierbinte de ceva timp și acum este în sfârșit la noi. Dar ce înseamnă reglementările pentru cei dintre noi din afara UE?

markus-spiske-357131-unsplash

Cu toții am auzit de GDPR până acum și, dacă nu, acesta este motivul pentru care ați primit atât de multe e-mailuri despre actualizări ale politicii de confidențialitate - dintre care majoritatea în sine au fost inutile, dacă nu ilegale. Dar, într-un efort de a se conforma, companiile fac peste tot pentru a se asigura că nu vor avea probleme.

Deși GDPR se concentrează asupra cetățenilor UE, acesta poate avea implicații de mare anvergură pentru comercianții cu amănuntul, afiliații și rețelele australiene. Dacă desfășurați afaceri în UE sau dacă afacerea dvs. prelucrează informații personale ale persoanelor din UE, atunci trebuie să vă asigurați că afacerea dvs. respectă noile reglementări.

Ce este GDPR?

Regulamentul general al Uniunii Europene privind protecția datelor (GDPR) conține noi cerințe de protecție a datelor care vor intra în vigoare la 25 mai 2018 și impune obligații stricte întreprinderilor în ceea ce privește guvernanța, consimțământul, profilarea și portabilitatea datelor.

GDPR include cerințe care seamănă cu cele din Actul australian de confidențialitate din 1988 și măsuri suplimentare care urmăresc, în mod similar, să promoveze practici transparente de manipulare a informațiilor și responsabilitatea de afaceri în ceea ce privește gestionarea datelor. Introducerea unor legi clare și uniforme privind protecția datelor are scopul de a consolida securitatea juridică pentru întreprinderi și de a spori încrederea consumatorilor în serviciile online.

GDPR este conceput pentru a da putere consumatorilor din UE și drepturile acestora cu privire la modul în care datele lor pot fi utilizate. Pentru industriile digitale, cum ar fi cea a noastră și cea a comercianților cu amănuntul online, acest lucru capătă o importanță sporită, deoarece definiția a ceea ce sunt considerate date personale a fost extinsă pentru a include orice poate identifica o persoană, dar nu este neapărat identificabil personal în mod deschis. Deci, în timp ce o adresă de e-mail este în mod evident date personale, domeniul de aplicare include și identificatori pseudonimi, cum ar fi o adresă IP sau un ID de comandă.

Pentru a procesa aceste date, companiile vor trebui să aleagă un temei legal, dintre care există șase.

  1. Consimţământ
  2. Contracta
  3. Obligatie legala
  4. Interes vital
  5. Sarcina publică
  6. Interes legitim

Pentru unele companii va fi evident, dar pentru multe companii de marketing digital vor trebui să aleagă de obicei fie „consimțământ”, fie „interes legitim” .

Commission Factory folosește interesul legitim ca bază legală pentru prelucrarea datelor.

Îmi afectează GDPR afacerea?

Unele companii australiene acoperite de Australian Privacy Act 1988 (Cth) (The Privacy Act) (cunoscute sub numele de entități APP), ar putea fi nevoite să respecte GDPR dacă:

  • au un sediu în UE (indiferent dacă prelucrează date cu caracter personal în UE) sau
  • nu au un sediu în UE, dar oferă bunuri și servicii sau monitorizează comportamentul persoanelor din UE.

GDPR se aplică activităților de prelucrare a datelor ale întreprinderilor, indiferent de dimensiune, care sunt procesatori de date sau operatori cu sediu în UE. În general, un operator spune cum și de ce sunt prelucrate datele cu caracter personal, iar un operator acționează în numele operatorului.

În cazul în care o întreprindere are „un sediu” în UE, activitățile întreprinderii care implică prelucrarea datelor cu caracter personal vor trebui să respecte GDPR, indiferent dacă datele sunt efectiv prelucrate în UE.

GDPR se aplică și activităților de prelucrare a datelor ale procesatorilor și operatorilor din afara UE, indiferent de dimensiune, în cazul în care activitățile de prelucrare sunt legate de:

  • oferirea de bunuri sau servicii persoanelor fizice din UE (indiferent dacă este necesară o plată)
  • monitorizarea comportamentului persoanelor din UE, acolo unde acel comportament are loc în UE

Întreprinderile australiene care pot fi acoperite de GDPR includ:

  • o afacere australiană cu un birou în UE
  • o afacere australiană al cărei site web vizează clienții din UE, de exemplu, permițându-le să comande bunuri sau servicii într-o limbă europeană (alta decât engleza) sau permițând plata în euro
  • o companie australiană al cărei site web menționează clienți sau utilizatori din UE
  • o companie australiană care urmărește persoanele din UE pe internet și utilizează tehnici de prelucrare a datelor pentru a profila indivizii pentru a analiza și prezice preferințele, comportamentele și atitudinile personale.

Tabel comparativ

GDPR UE Actul australian de confidențialitate
Cui se aplică acest lucru? Activitățile de prelucrare a datelor ale întreprinderilor, indiferent de dimensiune, care sunt procesatori de date sau operatori Majoritatea agențiilor guvernamentale australiene, toate organizațiile din sectorul privat și non-profit, cu o cifră de afaceri anuală de peste 3 milioane de dolari, toți furnizorii privați de servicii de sănătate și unele întreprinderi mici.
La ce se aplica? Date personale – orice informație referitoare la o persoană fizică identificată sau identificabilă: Art. 4(1) Informații personale (PI) – informații sau o opinie despre o persoană identificată sau o persoană care poate fi identificată în mod rezonabil: art. 6(1)
Legătură jurisdicțională Se aplică procesatorilor de date sau operatorilor:
  • cu un sediu în UE, sau
  • în afara UE, care oferă bunuri sau servicii persoanelor din UE sau monitorizează comportamentul persoanelor din UE: Art. 3
 Se aplică afacerilor:
  • constituită în Australia, sau
  • care „desfășoară o afacere” în Australia și colectează PI din Australia sau dețin PI în Australia: s 5B
Responsabilitate și guvernare În general, controlorii trebuie:
  • implementați măsuri tehnice și organizaționale adecvate pentru a demonstra conformitatea cu GDPR și pentru a construi confidențialitate în mod implicit și proiectat: articolele 5, 24, 25
  • să efectueze evaluări obligatorii de impact privind protecția datelor: Art. 35
  • numiți responsabili cu protecția datelor: art 37
 Entitățile APP trebuie să ia măsuri rezonabile pentru a implementa practici, proceduri și sisteme pentru a asigura conformitatea cu APP-urile și pentru a permite reclamații: APP 1.2

Se așteaptă ca întreprinderile să numească roluri și responsabilități cheie pentru gestionarea confidențialității și să efectueze evaluări ale impactului asupra confidențialității pentru multe proiecte noi și actualizate.
Consimţământ Consimțământul trebuie să fie:
  • dat liber, specific și informat și
  • o indicare neechivocă a dorințelor persoanei vizate care, printr-o declarație sau printr-o acțiune afirmativă clară, semnifică acordul privind prelucrarea: articolul 4 alineatul (11)
 Elemente cheie:
  • persoana este informată în mod adecvat înainte de a-și da consimțământul și are capacitatea de a înțelege și de a comunica consimțământul
  • consimțământul este dat în mod voluntar
  • consimțământul este actual și specific: GL-urile APP ale OAIC
Notificări privind încălcarea datelor DBN-uri obligatorii ale operatorilor și procesatorilor (se aplică excepții): Art. 33-34 Din 22 februarie 2018, raportarea obligatorie pentru încălcările care ar putea avea ca rezultat un risc real de vătămare gravă
Drepturile individuale Drepturile individuale includ:
  • dreptul la ștergere: art 17
  • dreptul la portabilitatea datelor: Art 20
  • dreptul la opoziție: art 21
 Nu există echivalente cu aceste drepturi.
Cu toate acestea, afacerea trebuie să ia măsuri rezonabile pentru a distruge sau a de-identifica PI care nu mai este necesar pentru un scop permis: APP 11.2. În cazul în care accesul este acordat unui PI al unei persoane, acesta trebuie, în general, să fie acordat în modul solicitat: APP 12.5
Transferuri în străinătate Datele cu caracter personal pot fi transferate în afara UE în circumstanțe limitate, inclusiv:
  • către țările care oferă un nivel „adecvat” de protecție a datelor
  • unde se aplică „clauze standard de protecție a datelor” sau „reguli corporative obligatorii”.
  • coduri de conduită aprobate sau certificare în vigoare: Cap V
 Înainte de a dezvălui PI în străinătate, o companie trebuie să ia măsuri rezonabile pentru a se asigura că destinatarul nu încalcă APP-urile în legătură cu informațiile: APP 8 (se aplică excepții). Entitatea este responsabilă pentru o încălcare a APP-urilor de către destinatarul de peste mări în legătură cu informațiile: s 16C (se aplică excepții)
Sancțiuni Amenzi administrative de până la 20 milioane EUR sau 4% din cifra de afaceri anuală la nivel mondial (oricare dintre acestea este mai mare): Art. 83 Competențele de a colabora cu entitățile pentru a facilita conformitatea și cele mai bune practici, precum și competențe de investigare și de aplicare: părțile IV și V

Cum va afecta acest lucru industria afiliată?

Nu anticipăm că această actualizare a GDPR va afecta negativ agenții de marketing afiliați sau comercianții cu amănuntul online și este în mare măsură o mișcare de a formula și reglementa legi privind protecția datelor care există deja de câțiva ani.

Pentru Commission Factory și afiliații noștri, natura datelor cu caracter personal prelucrate este nesensibilă și în mare măsură tehnică și spre deosebire de alte canale care folosesc datele personale pentru a construi profiluri și comportamente ale consumatorilor pe care să le vizeze prin reclame.

Prin declararea temeiului nostru legal de colectare a datelor ca „Interes legitim” , încercăm să minimizăm sarcinile conformității pentru editorii noștri și nu este nevoie să le cerem editorilor să obțină Consimțământul de date pentru noi.

Pentru afiliații care nu operează, comercializează sau colectează informații în UE sau rezidenții acesteia, nu este fezabil să se solicite consimțământul. Rezidenții UE care accesează un site web în afara UE nu se află sub controlul dvs. Pur și simplu a putea accesa site-ul dvs. din UE nu este suficient pentru a stabili că face afaceri în UE, iar nivelul de implicare este un factor.

Asigurați-vă că aveți detalii de contact unde persoanele vă pot contacta pentru întrebări legate de confidențialitate. Controlorii și procesatorii trebuie, în anumite circumstanțe, să numească un responsabil cu protecția datelor care să monitorizeze și să ofere consiliere cu privire la conformitatea cu GDPR și cu politicile și procedurile interne de confidențialitate. Acesta a fost descris ca un rol de „campion al confidențialității”, care include rolul unui consilier de afaceri privind utilizarea responsabilă și inovatoare a datelor cu caracter personal. Aceasta era deja o cerință în temeiul legilor australiene privind protecția vieții private și ar trebui implementată indiferent.

Este Commission Factory un controler sau un procesor?

Commission Factory la fel ca partenerul nostru Awin și după ce consilierul juridic ne-am ales ca operator de date în comun cu agenții de publicitate și editori. Acest lucru nu înseamnă că această poziție este aceeași cu toate rețelele afiliate, deoarece unii au optat pentru poziția de procesator și fiecare afacere care se ocupă de date trebuie să decidă ce rol joacă în procesarea acelor date.

Commission Factory este un Controller deoarece am decis modelul economic și luăm decizii în comun cu afiliații noștri cu privire la ce date să procesăm pentru a livra campania de marketing afiliat a agentului de publicitate.

Ce rută pe care o luați poate fi determinată întrebând „Cum” și „De ce” . Dacă, în calitate de companie de marketing digital, decideți „De ce ar trebui prelucrate datele” și „Cum ar trebui prelucrate pentru a atinge scopul propus” sau, eventual, ambele, atunci vă încadrați sub definiția unui „Controller”.

Procesatorul nu stabilește Cum și De ce și poate lua decizii limitate cu privire la modul de prelucrare a datelor în scopurile determinate de operator.

În modelul de marketing afiliat, advertiserul va cădea întotdeauna sub statutul de Controlor. Acest lucru se datorează faptului că numai ei pot decide „de ce” să prelucreze datele și să ia decizii precum „Să participăm la marketingul afiliat și să plătim vânzările recomandate în schimbul unui comision” .

Motivul pentru care nu alegeți traseul unui Procesor provine din impracticabilitatea asociată acestuia. De exemplu, dacă Commission Factory sau afiliații noștri ar încerca să lucreze în limitele unui rol de procesator de date, ar trebui să obținem în avans aprobarea de fiecare dată când orice nouă prelucrare a datelor de către fiecare agent de publicitate respectiv. De asemenea, am solicita instrucțiuni scrise de la agenții de publicitate de fiecare dată când aceștia doresc să utilizeze remedieri de erori, actualizări, upgrade-uri sau funcții suplimentare ale produselor sau serviciilor noastre. Acest lucru ar fi împovărător.

Deoarece Commission Factory este o rețea afiliată pură, folosim date personale limitate pentru a urmări recomandările către site-urile web ale agenților de publicitate, tranzacțiile ulterioare și raportările noastre, dar nu reutilizam niciodată aceste date pentru a construi profiluri comportamentale de utilizator sau în alte scopuri de marketing. De asemenea, nu colectăm alte date pentru:

  1. Construirea profilurilor comportamentale ale utilizatorilor
  2. Retargeting comportamental
  3. Marketing în orice alte scopuri

Evitând acest tip de prelucrare, ne putem baza pe interesul legitim pentru a justifica prelucrarea și pentru a evita cerințele privind Consimțământul datelor de la editori sau agenți de publicitate pentru a urmări legal tranzacțiile.

Ce acum?

Deși GDPR este în principal o directivă a UE și o lege privind protecția datelor, este totuși prudent să vă asigurați că sunteți acoperit și să solicitați sfaturi cu privire la obligațiile dvs.

Având în vedere unele dintre asemănările cu Legea privind confidențialitatea și GDPR, afacerile australiene pot avea deja unele dintre măsurile impuse de GDPR. În ciuda acestui fapt, este esențial să vă asigurați că vă evaluați toate practicile și structurile de guvernare în lumina reglementărilor GDPR și că solicitați consiliere juridică acolo unde este necesar pentru a asigura o conformitate strictă.

Din punctul nostru de vedere ca rețea, vom lansa instrumente opționale de consimțământ și vom adăuga consimțământul pentru cookie-uri pe toate site-urile noastre web pentru concizia datelor, dar editorii sunt liberi să obțină consimțământul în orice mod consideră potrivit.

Este posibil ca unele modele de remunerare afiliate, cum ar fi cashback și editori de recompense, să nu aibă nevoie de un Consimțământ pentru cookie-uri pentru cookie-urile afiliate, deoarece cookie-urile afiliate sunt necesare pentru ca un tip de serviciu bazat pe cashback sau recompense să funcționeze.