GDPR: что это значит для партнерского маркетинга в Азиатско-Тихоокеанском регионе

Опубликовано: 2022-07-06

GDPR был горячей темой в течение некоторого времени, и теперь он, наконец, настал. Но что означают правила для тех из нас, кто находится за пределами ЕС?

Маркус-spiske-357131-unsplash

Мы все уже слышали о GDPR, а если нет, то именно по этой причине вы получаете так много писем об обновлениях политики конфиденциальности, большинство из которых сами по себе были ненужными, если не незаконными. Но, стремясь соответствовать требованиям, компании делают все возможное, чтобы не попасть в беду.

Хотя GDPR ориентирован на граждан ЕС, он может иметь далеко идущие последствия для австралийских ритейлеров, филиалов и сетей. Если вы ведете бизнес в ЕС или ваш бизнес обрабатывает личную информацию физических лиц в ЕС, вам необходимо убедиться, что ваш бизнес соответствует новым правилам.

Что такое GDPR?

Общий регламент Европейского Союза по защите данных (GDPR) содержит новые требования к защите данных, которые вступят в силу 25 мая 2018 года, и налагает на предприятия строгие обязательства в отношении управления, согласия, профилирования и переносимости данных.

GDPR включает требования, схожие с требованиями австралийского Закона о конфиденциальности 1988 года, и дополнительные меры, которые также направлены на поощрение прозрачных методов обработки информации и подотчетности бизнеса при обработке данных. Введение четких и единых законов о защите данных призвано обеспечить правовую определенность для бизнеса и повысить доверие потребителей к онлайн-сервисам.

GDPR предназначен для расширения прав потребителей из ЕС в отношении того, как могут использоваться их данные. Для цифровых отраслей, таких как наша собственная и для онлайн-ритейлеров, это приобретает повышенное значение, поскольку определение того, что считается персональными данными, было расширено и теперь включает все, что может выделить человека, но не обязательно может быть открыто идентифицировано лично. Таким образом, в то время как адрес электронной почты, очевидно, является личными данными, область действия также включает псевдонимные идентификаторы, такие как IP-адрес или идентификатор заказа.

Для обработки этих данных предприятиям необходимо будет выбрать правовую основу, которых шесть.

  1. Согласие
  2. Договор
  3. Правовое обязательство
  4. Жизненно важный интерес
  5. Публичное задание
  6. Законный интерес

Для некоторых компаний это будет очевидно, но для многих компаний, занимающихся цифровым маркетингом, им, как правило, потребуется выбрать либо «согласие», либо «законный интерес» .

Commission Factory использует законный интерес в качестве правовой основы для обработки данных.

Влияет ли GDPR на мой бизнес?

Некоторым австралийским предприятиям, подпадающим под действие Закона Австралии о конфиденциальности 1988 г. (Cth) (Закон о конфиденциальности) (известных как организации APP), может потребоваться соблюдение GDPR, если они:

  • иметь учреждение в ЕС (независимо от того, обрабатывают ли они персональные данные в ЕС), или
  • не имеют представительства в ЕС, но предлагают товары и услуги или следят за поведением людей в ЕС.

GDPR распространяется на деятельность по обработке данных предприятий, независимо от размера, которые являются обработчиками данных или контролерами с учреждением в ЕС. Вообще говоря, контролер сообщает, как и почему обрабатываются персональные данные, и обработчик действует от имени контролера.

Если у бизнеса есть «предприятие» в ЕС, деятельность бизнеса, связанная с обработкой персональных данных, должна соответствовать GDPR, независимо от того, действительно ли данные обрабатываются в ЕС.

GDPR также применяется к действиям по обработке данных обработчиков и контролеров за пределами ЕС, независимо от размера, когда действия по обработке связаны с:

  • предложение товаров или услуг физическим лицам в ЕС (независимо от того, требуется ли оплата)
  • мониторинг поведения людей в ЕС, если такое поведение имеет место в ЕС

Австралийские предприятия, на которые может распространяться GDPR, включают:

  • австралийский бизнес с офисом в ЕС
  • австралийский бизнес, веб-сайт которого ориентирован на клиентов из ЕС, например, позволяя им заказывать товары или услуги на европейском языке (кроме английского) или разрешая оплату в евро.
  • австралийская компания, на веб-сайте которой упоминаются клиенты или пользователи в ЕС.
  • австралийский бизнес, который отслеживает людей в ЕС в Интернете и использует методы обработки данных для профилирования людей, чтобы анализировать и прогнозировать личные предпочтения, поведение и отношения.

Сравнительная таблица

GDPR ЕС Австралийский закон о конфиденциальности
К кому это относится? Действия по обработке данных предприятий, независимо от размера, которые являются обработчиками данных или контролерами Большинство государственных учреждений Австралии, все частные и некоммерческие организации с годовым оборотом более 3 миллионов долларов, все частные поставщики медицинских услуг и некоторые малые предприятия.
К чему это относится? Персональные данные – любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу: Статья 4(1) Личная информация (PI) – информация или мнение об идентифицированном лице или лице, которое можно достоверно идентифицировать: статья 6(1)
Юрисдикционная ссылка Применяется к обработчикам данных или контроллерам:
  • с учреждением в ЕС, или
  • за пределами ЕС, которые предлагают товары или услуги физическим лицам в ЕС или отслеживают поведение физических лиц в ЕС: статья 3
 Применяется к предприятиям:
  • зарегистрирована в Австралии или
  • которые «ведут бизнес» в Австралии и собирают личные данные из Австралии или владеют личными данными в Австралии: s 5B
Подотчетность и управление Обычно контролеры должны:
  • внедрить соответствующие технические и организационные меры, чтобы продемонстрировать соответствие GDPR и обеспечить конфиденциальность по умолчанию и в дизайне: статьи 5, 24, 25.
  • провести обязательную оценку воздействия на защиту данных: статья 35
  • назначить сотрудников по защите данных: статья 37
 Субъекты APP должны предпринимать разумные шаги для внедрения практик, процедур и систем для обеспечения соответствия APP и возможности подачи жалоб: APP 1.2.

Ожидается, что предприятия назначат ключевые роли и обязанности по управлению конфиденциальностью и проведут оценку воздействия на конфиденциальность для многих новых и обновленных проектов.
Согласие Согласие должно быть:
  • свободно данное, конкретное и информированное, и
  • недвусмысленное указание на пожелания субъекта данных, которое посредством заявления или явного положительного действия означает согласие на обработку: статья 4(11)
 Ключевые элементы:
  • лицо надлежащим образом проинформировано перед тем, как дать согласие, и способно понять и сообщить о согласии
  • согласие дается добровольно
  • согласие является текущим и конкретным: OAIC APP GLs
Уведомления об утечке данных Обязательные DBN для контролеров и обработчиков (применяются исключения): статьи 33–34. С 22 февраля 2018 г. обязательное сообщение о нарушениях, которые могут привести к реальному риску причинения серьезного вреда
Индивидуальные права Индивидуальные права включают в себя:
  • право на стирание: статья 17
  • право на переносимость данных: статья 20
  • право на возражение: статья 21
 Нет эквивалентов этим правам.
Тем не менее, бизнес должен предпринять разумные шаги для уничтожения или деидентификации PI, которые больше не нужны для разрешенной цели: ПРИЛОЖЕНИЕ 11.2. Если доступ предоставляется к личным данным физического лица, он, как правило, должен предоставляться запрошенным способом: ПРИЛОЖЕНИЕ 12.5.
Трансферы за границу Персональные данные могут быть переданы за пределы ЕС при ограниченных обстоятельствах, включая:
  • в страны, которые обеспечивают «адекватный» уровень защиты данных
  • где применяются «стандартные положения о защите данных» или «обязательные корпоративные правила»
  • действуют утвержденные кодексы поведения или сертификации: Глава V
 Прежде чем раскрывать личные данные за границей, компания должна принять разумные меры, чтобы гарантировать, что получатель не нарушил положения ПРИЛОЖЕНИЙ в отношении информации: ПРИЛОЖЕНИЕ 8 (применяются исключения). Организация несет ответственность за нарушение Приложений зарубежным получателем в отношении информации: s 16C (применяются исключения)
Санкции Административные штрафы в размере до 20 миллионов евро или 4% годового мирового оборота (в зависимости от того, что больше): статья 83. Полномочия работать с юридическими лицами для обеспечения соблюдения и передовой практики, а также полномочия по расследованию и обеспечению соблюдения: Части IV и V

Как это повлияет на партнерскую индустрию?

Мы не ожидаем, что это обновление GDPR негативно повлияет на аффилированных маркетологов или интернет-магазинов, и в значительной степени является попыткой сформулировать и регулировать законы о защите данных, которые существуют уже несколько лет.

Для Commission Factory и наших аффилированных лиц характер обрабатываемых персональных данных не является конфиденциальным и в значительной степени техническим, и в отличие от других каналов, которые используют личные данные для создания профилей потребителей и моделей поведения, на которые нацелена реклама.

Обозначая правовую основу сбора данных как «законный интерес» , мы пытаемся свести к минимуму бремя соблюдения для наших издателей, и нам не нужно просить издателей получить какое-либо согласие на использование данных для нас.

Для аффилированных лиц, которые не работают, не продают и не собирают информацию в ЕС или его резидентах, невозможно требовать согласия. Резиденты ЕС, получающие доступ к веб-сайту за пределами ЕС, не находятся под вашим контролем. Простого доступа к вашему сайту из ЕС недостаточно, чтобы установить, что он ведет бизнес в ЕС, и уровень вовлеченности является фактором.

Убедитесь, что у вас есть контактные данные, по которым люди могут связаться с вами по вопросам, связанным с конфиденциальностью. Контроллеры и обработчики должны при определенных обстоятельствах назначать сотрудника по защите данных для мониторинга и консультирования по вопросам соблюдения GDPR, а также внутренних политик и процедур конфиденциальности. Он был описан как роль «защитника конфиденциальности», которая включает в себя роль бизнес-консультанта по ответственному и новаторскому использованию личных данных. Это уже было требованием австралийских законов о защите конфиденциальности и должно быть реализовано в любом случае.

Является ли Commission Factory контроллером или процессором?

Commission Factory, как и наш партнер Awin, и после того, как юрисконсульт, выбрали себя в качестве совместного контроллера данных с рекламодателями и издателями. Это не означает, что эта позиция одинакова для всех партнерских сетей, поскольку некоторые из них выбрали позицию процессора, и каждый бизнес, который обрабатывает данные, должен решить, какую роль они играют в обработке этих данных.

Commission Factory является контролером, потому что мы выбрали экономическую модель и совместно с нашими аффилированными лицами принимаем решения о том, какие данные обрабатывать для проведения партнерской маркетинговой кампании рекламодателя.

Какой маршрут вы выберете, можно определить, спросив «Как» и «Почему» . Если вы, как компания, занимающаяся цифровым маркетингом, решаете, «Почему данные должны обрабатываться» и «Как их следует обрабатывать для достижения намеченной цели» или, возможно, и то, и другое, то вы подпадаете под определение «Контролер».

Процессор не определяет, как и почему , и может принимать ограниченные решения о том, как обрабатывать данные для целей, определенных контроллером.

В модели партнерского маркетинга Рекламодатель всегда будет находиться под статусом Контроллера. Это связано с тем, что только они могут решать, «зачем» обрабатывать данные и принимать такие решения, как «Давайте участвовать в партнерском маркетинге и платить за реферальные продажи в обмен на комиссию» .

Причина отказа от выбора маршрута процессора связана с непрактичностью, связанной с ним. Например, если Commission Factory или наши аффилированные лица попытаются работать в рамках ограничений роли обработчика данных, нам потребуется каждый раз заранее получать одобрение любой новой обработки данных от каждого соответствующего рекламодателя. Мы также будем требовать письменных инструкций от рекламодателей каждый раз, когда они хотят использовать исправления ошибок, обновления, обновления или дополнительные функции наших продуктов или услуг. Это было бы обременительно.

Поскольку Commission Factory — это чисто партнерская сеть, мы используем ограниченные личные данные для отслеживания переходов на веб-сайты рекламодателей, последующих транзакций и наших отчетов, но мы никогда не используем эти данные повторно для построения поведенческих профилей пользователей или для других маркетинговых целей. Мы также не собираем никакие другие данные для:

  1. Создание поведенческих профилей пользователей
  2. Поведенческий ретаргетинг
  3. Маркетинг для любых других целей

Избегая этого типа обработки, мы можем полагаться на законный интерес для обоснования обработки и избегать требований о согласии на данные от издателей или рекламодателей для законного отслеживания транзакций.

Что теперь?

Несмотря на то, что GDPR в основном является директивой ЕС и законом о защите данных, все же разумно убедиться, что вы защищены, и обратиться за советом относительно ваших обязательств.

Учитывая некоторое сходство с Законом о конфиденциальности и GDPR, австралийский бизнес может уже принять некоторые меры, требуемые GDPR. Несмотря на это, важно убедиться, что вы оцениваете все свои практики и структуры управления в свете правил GDPR и при необходимости обращаетесь за юридической консультацией для обеспечения строгого соблюдения.

С нашей точки зрения как сети мы будем развертывать дополнительные инструменты согласия и добавлять согласие на использование файлов cookie на все наши веб-сайты для краткости данных, но издатели могут получать согласие любым способом, который они считают нужным.

Некоторые модели партнерского вознаграждения, такие как кэшбэк и поощрения издателей, могут не требовать согласия на использование файлов cookie для партнерских файлов cookie, поскольку партнерские файлы cookie необходимы для работы типа кэшбэка или вознаграждений.