为 GDPR 做准备的电子商务专家指南
已发表: 2018-05-15这些天来,似乎每个对话都回到了在线隐私和数据滥用。 我们最近看到 Facebook 首席执行官马克扎克伯格在美国参议院就 Facebook 上个人数据的使用作证——以及该公司随后在丑闻后参与度下降而努力重建其声誉。 似乎每天都有新的与数据相关的争议需要解决。
随着公众对更加匿名的互联网的渴望,以及私营部门承认收集用户数据对企业有好处,争论不断展开。 与此同时,欧洲国家正在努力保护其公民免受数据管理不善的影响,这对全球企业的影响可能是巨大的。
2018 年 5 月 25 日,欧洲企业将被迫解决他们处理消费者数据的方式。 作为通用数据保护条例 (GDPR) 的一部分,企业必须让客户更好地控制其数据的收集、存储和最终使用方式。
该法规旨在加强欧盟内部公民的数据保护和隐私,无论数据收集公司位于何处。 换句话说,如果您的企业对欧洲客户开放,您需要在 GDPR 最终生效之前关注它。 如果您的公司处理来自欧盟用户的数据,那么您应该花一些时间来了解这项新规定。
什么是 GDPR? 常见问题和解答
GDPR 于 2016 年 4 月 27 日正式通过,但由于旨在帮助公司适应新规则的两年过渡期,它要到 2018 年 5 月 25 日才能强制执行。 简而言之,该法规旨在让消费者完全控制其数据的收集和使用方式。 欧盟将个人数据定义为“与已识别或可识别的自然人有关的任何信息”,包括生日、地址、电话号码、工资、租金和 IP 地址。
以下是与此关键法规相关的一些常见问题,以便您更好地了解是否需要花费额外资源来为这一行业转变做准备。
如果我不遵守,我会被罚款吗?
是的,不遵守新规定的组织将面临巨额罚款。 法规规定,任何违反 GDPR 的行为都可能导致高达全球年营业额的 4% 或 2000 万欧元(约合 2400 万美元)的罚款,以较高者为准。
它适用于我的业务吗?
GDPR 的范围无疑是巨大的。 它适用于任何处理欧盟居民数据的公司。 话虽如此,如果您仅将数据用于个人或家庭用途,则该法规不适用,并且对于员工人数少于 250 人的公司可能不那么严格。 无论您的业务规模如何,您仍然需要保留详细的内部记录并遵守 GDPR,但记录保存要求有所不同。
美国公司会被罚款吗?
美国公司将对违规行为承担责任,并且可以按照国际法的相同标准对其处以罚款。 专家们表示,即使是在欧盟没有实体存在的企业也必须遵守新规定。
GDPR 保护什么?
该立法的主要目标是为消费者提供关于数据收集的清晰、不混淆的选择加入语言。 它为消费者提供了八项个人权利:被告知、访问、纠正、删除、限制处理、具有数据可移植性、反对和做出有关自动决策和分析的决定。
GDPR 如何使消费者受益?
新法规的主要好处是它可以保护消费者的数据隐私,这意味着对那些选择保持隐私的人提供更好的保护。 正如我们将在下面介绍的那样,新规则可能会给企业带来一些可衡量的好处。
这对电子商务企业意味着什么?
毫无疑问。 通过像 Springbot 这样的电子商务分析工具了解你的消费者——它可以有效地收集你的消费者的有价值数据,用于重定向广告、电子邮件营销工作和广告个性化——通常是大多数在线商店的一项重大投资。 面对 GDPR 和类似法规,您不必停止依赖这些有价值的工具,只要您负责任地收集数据。 底线是个人数据挖掘非常模糊,大多数消费者只有在他们能够控制的情况下才支持它。
规则的转变所代表的是推动更标准化的数据收集,这实际上可能对您的业务意味着更好的事情。 实际上,这意味着无论何时您处理一个人的数据——无论他们是注册您的电子邮件列表还是进行购买——您都必须赋予他们审查、调整、删除和限制访问的权利。
从更大的角度来看,这意味着您将消费者放在首位,提高您企业的网络安全,甚至维护其声誉。 当您从愿意分享的人那里收集数据时,您仍然可以汇总关键分析,并最大限度地减少不希望存储信息的人对客户的不满。
你应该做的前五件事准备
为正式实施 GDPR 做好准备,您可以做的最重要的事情就是学习法律。 正式法规冗长且充满法律术语,但有优质的在线资源提供了有关数据收集的新规则的出色摘要。 例如,新法律规定,您必须在 72 小时内通知消费者数据泄露,您必须赋予消费者访问其数据如何使用的权利,并且您必须允许他们被“遗忘”或从您的系统,根据要求。
接下来,您必须确定法律将如何具体影响您的业务。 如前所述,中小型企业 (SMB) 的报告方面和记录保存规则与大型企业不同,因此您应该了解公司的责任。
当然,您可以做很多有益的事情来让您的企业为合规做好准备。 除了以下推荐的提示外,我们还建议咨询法律顾问,以确保您的流程不包含任何漏洞。
1. 转向透明流程
该法规通过的关键要点是,人们希望——而且法律将强制执行——消费者有权了解他们的数据是如何被使用的一切。 这意味着与消费者就数据进行的每一次沟通都应尽可能透明。 了解您的公司如何处理数据将帮助您确定它是否合规——因此了解您的数据存储在哪里以及如何使用它。
- 用清晰的语言重写同意书。
- 收集用户数据时,请获得用户的明确同意。
- 从“选择退出”语言切换到“选择加入”语言。
- 说明您处理某些数据的原因。
- 运行数据保护影响评估 (DPIA)。
2. 任命领导和共享信息
该法规的另一个重要方面是,一些公司将被要求任命一名数据保护官 (DPO),负责监督公司内部的数据保护流程。 并非所有公司都需要 DPO——只有那些处理大量个人数据的公司——但每家公司都应指定一名合规负责人,以帮助确保正确遵守所有法律。
- 了解您的企业是否需要 DPO。
- 即使您不需要 DPO,也要任命一名数据隐私负责人。
- 提醒每个部门注意新规则。
- 决定如何处理数据访问请求。
3. 审查您的所有服务
公司只需要使用有助于实施合法数据存储的数据处理器,这意味着您应该进行严格的审核,以确保您没有任何可能严重无视新法规的工具。 例如,如果您使用任何分析插件,请确保它们以符合 GDPR 的方式存储和管理消费者数据。 Springbot 致力于帮助客户以合法和合乎道德的方式获取数据。
- 确保任何第三方服务都合规。
- 了解您使用的工具是否需要用户的同意。
- 寻找合作伙伴提供的工具,以加快您的流程。
4. 改进你的记录保存
GDPR 最令人生畏的方面之一是记录保存。 因为消费者现在有权了解、访问和删除他们的个人数据,所以您必须确保您的流程被精心记录。 如果消费者向您请求,您还需要按需访问客户数据。
无论您是否与第三方共享,您都必须能够识别和报告个人数据。 更严格的记录保存规则的主要目的之一是确保个人数据的准确性。 记录正确的个人数据并相应地更新其他组织将取决于您。
- 了解第 30 条,其中包括记录保存。
- 记录任何数据处理的目的。
- 记录数据主体和接收者的类别。
- 记录一切,超出第 30 条的要求。
5. 以正确的方式利用数据
最后,为过渡做好准备,您可以做的最后一件事是找出在这些新法规下利用客户数据的最负责任的方式。 GDPR 规定,个人数据必须“以允许识别数据主体的形式保存,其时间不得超过处理个人数据的目的所必需的时间。” 因此,您仍然可以将数据用于重定向和其他长期营销工作,只要您告知消费者您计划将其用于所述目的。
- 了解您可以将个人数据记录在案多长时间。
- 制定在该时间段之后何时以及如何销毁数据的计划。
- 尝试尽可能地“匿名”数据,以便您可以将其存储更长时间。
- 确定哪些类型的个人数据存在最高风险。
为什么重要
这一切似乎都需要做很多工作,对吧? 但事情是这样的:GDPR 与收集个人数据一样有利于客户体验。 这是因为,尽管消费者非常喜欢个性化体验并认识到数据聚合可以带来更加个性化的在线体验,但他们也希望完全控制自己的数据。 而且,由于 92% 的在线购物者认为安全和隐私是一个问题,因此应采取此类措施使在线购物更加私密。
考虑到这一切,重要的是我们所有人都要努力进行新的调整,以帮助我们更好地迎合客户,而不会跨越重要的隐私界限。 在营销、销售和业务发展方面,GDPR 不应让您退缩。
相反,它应该改变你做事的方式,以便你培养快乐、信任和忠诚的客户。 因此,花一点额外的时间和金钱为 GDPR 准备您的业务将非常值得您付出努力。