GDPR:对亚太地区的联盟营销意味着什么
已发表: 2022-07-06GDPR 一直是一个热门话题,现在它终于出现在我们身上。 但这些规定对我们这些欧盟以外的人意味着什么?
到目前为止,我们都听说过 GDPR,如果没有,这就是您收到如此多关于隐私政策更新的电子邮件的原因——如果不是非法的话,其中大部分本身就是不必要的。 但为了保持合规,公司正在竭尽全力确保他们不会陷入困境。
虽然 GDPR 的重点是欧盟公民,但它可能对澳大利亚零售商、附属公司和网络产生深远的影响。 如果您在欧盟开展业务,或者您的业务处理欧盟境内个人的个人信息,那么您需要确保您的业务符合新法规。
什么是 GDPR?
欧盟通用数据保护条例(GDPR) 包含将于 2018 年 5 月 25 日生效的新数据保护要求,并在治理、同意、分析和数据可移植性方面对企业施加了严格的义务。
GDPR 包括类似于1988 年澳大利亚隐私法中的要求,以及旨在促进透明的信息处理实践和围绕数据处理的业务责任的其他措施。 引入明确、统一的数据保护法旨在为企业建立法律确定性并增强消费者对在线服务的信任。
GDPR 旨在赋予欧盟消费者及其关于如何使用其数据的权利。 对于我们自己和在线零售商等数字行业而言,这具有更高的重要性,因为被视为个人数据的定义已扩大到包括任何可以单独识别个人但不一定可以公开识别个人身份的内容。 因此,虽然电子邮件地址显然是个人数据,但其范围还包括假名标识符,例如 IP 地址或订单 ID。
为了处理这些数据,企业需要选择一个法律依据,其中有六个。
- 同意
- 合同
- 法律义务
- 切身利益
- 公共任务
- 合法权益
对于一些公司来说这很明显,但对于许多数字营销公司来说,他们通常需要选择“同意”或“合法利益” 。
Commission Factory 将合法利益作为处理数据的法律依据。
GDPR 会影响我的业务吗?
一些受1988 年澳大利亚隐私法(联邦)(隐私法)涵盖的澳大利亚企业(称为 APP 实体)在以下情况下可能需要遵守 GDPR:
- 在欧盟设有机构(无论他们是否在欧盟处理个人数据),或
- 在欧盟没有机构,但在欧盟提供商品和服务或监控个人的行为。
GDPR 适用于企业的数据处理活动,无论其规模大小,这些企业都是在欧盟设有机构的数据处理者或控制者。 一般来说,控制者说明个人数据的处理方式和原因,并且处理者代表控制者行事。
如果企业在欧盟设有“机构”,则涉及处理个人数据的企业活动将需要遵守 GDPR,无论数据是否在欧盟实际处理。
GDPR 还适用于欧盟以外的处理者和控制者的数据处理活动,无论其规模大小,其中处理活动与:
- 向欧盟境内的个人提供商品或服务(无论是否需要付款)
- 监控欧盟个人的行为,该行为发生在欧盟
GDPR 可能涵盖的澳大利亚企业包括:
- 在欧盟设有办事处的澳大利亚企业
- 一家澳大利亚企业,其网站针对欧盟客户,例如通过使他们能够以欧洲语言(英语除外)订购商品或服务或支持以欧元付款
- 一家澳大利亚企业,其网站提及欧盟的客户或用户
- 一家澳大利亚企业,在互联网上跟踪欧盟境内的个人,并使用数据处理技术对个人进行分析,以分析和预测个人偏好、行为和态度。
比较表
| 欧盟 GDPR | 澳大利亚隐私法 | |
| 这适用于谁? | 企业的数据处理活动,无论规模大小,都是数据处理器或控制器 | 大多数澳大利亚政府机构、所有私营部门和年营业额超过 300 万澳元的非营利组织、所有私人医疗服务提供者和一些小企业。 |
| 它适用于什么? | 个人数据——与已识别或可识别的自然人有关的任何信息:第 4(1) 条 | 个人信息 (PI) – 有关已识别个人或可合理识别的个人的信息或意见:第 6(1) 条 |
| 管辖链接 | 适用于数据处理器或控制器:
| 适用于企业:
|
| 问责制和治理 | 控制器通常必须:
| APP 实体必须采取合理措施实施实践、程序和系统,以确保遵守 APP 并允许投诉:APP 1.2 企业应为隐私管理指定关键角色和职责,并对许多新项目和更新项目进行隐私影响评估 |
| 同意 | 同意必须是:
| 关键要素:
|
| 数据泄露通知 | 控制者和处理者的强制性 DBN(例外情况适用):第 33-34 条 | 从 2018 年 2 月 22 日起,强制性报告可能导致严重伤害风险的违规行为 |
| 个人权利 | 个人权利包括:
| 没有这些权利的等价物。 但是,企业必须采取合理措施销毁或取消识别不再需要用于允许目的的 PI:APP 11.2。 在授予个人 PI 访问权的情况下,通常必须以要求的方式提供:APP 12.5 |
| 海外转账 | 在有限的情况下,个人数据可能会转移到欧盟以外,包括:
| 在向海外披露 PI 之前,企业必须采取合理措施确保接收者不会违反与信息相关的 APP:APP 8(例外情况适用)。 实体应对海外接收者违反与信息相关的 APP 负责:第 16C 条(例外情况适用) |
| 制裁 | 最高 2000 万欧元或全球年营业额 4% 的行政罚款(以较高者为准):第 83 条 | 与实体合作以促进合规和最佳实践的权力,以及调查和执法权力:第四部分和第五部分 |
这将如何影响联盟行业?
我们预计 GDPR 的此次更新不会对联属营销商或在线零售商产生不利影响,并且主要是为了制定和规范已经存在多年的数据保护法。
对于 Commission Factory 和我们的附属公司而言,所处理的个人数据的性质是非敏感的,并且主要是技术性的,并且与其他利用个人数据来建立消费者档案和行为以通过广告定位的渠道不同。
通过将我们的数据收集法律依据声明为“合法权益” ,我们试图将发布者的合规负担降至最低,并且我们不需要要求发布者为我们获得任何数据同意。
对于不在欧盟或其居民经营、营销或收集信息的附属公司,要求同意是不可行的。 访问欧盟以外网站的欧盟居民不受您的控制。 仅仅能够从欧盟访问您的网站并不足以确定它在欧盟开展业务,并且参与程度是一个因素。
确保您有联系方式,以便个人可以就隐私相关问题与您联系。 在某些情况下,控制者和处理者必须任命一名数据保护官来监控 GDPR 以及内部隐私政策和程序的合规性并提供建议。 它被描述为“隐私拥护者”角色,其中包括商业顾问在负责任和创新地使用个人数据方面的角色。 这已经是澳大利亚隐私保护法的一项要求,无论如何都应该实施。
委托工厂是控制器还是处理器?
Commission Factory 与我们的合作伙伴 Awin 非常相似,并且在法律顾问选择自己作为广告商和出版商的联合数据控制者之后。 这并不是说所有附属网络的这个位置都是一样的,因为有些人选择了处理器的位置,每个处理数据的企业都必须决定他们在处理数据中扮演什么角色。
Commission Factory 是一个控制者,因为我们已经决定了经济模型,并与我们的关联公司共同决定处理哪些数据来交付广告商的联属网络营销活动。
您可以通过询问“如何”和“为什么”来确定您走哪条路线。 如果您作为数字营销公司决定“为什么要处理数据”和“应该如何处理数据以实现预期目的” ,或者可能两者兼而有之,那么您属于“控制者”的定义。
处理者不能确定如何和为什么,并且可以就如何为控制者确定的目的处理数据做出有限的决定。
在联属网络营销模型中,广告商将始终处于控制器状态。 这是因为只有他们才能决定“为什么”要处理数据并做出诸如“让我们参与联属网络营销并支付推荐销售以换取佣金”之类的决定。
不选择处理器路由的原因源于与之相关的不切实际。 例如,如果 Commission Factory 或我们的附属公司试图在数据处理器角色的限制内工作,我们每次都需要事先获得每个广告商批准的任何新数据处理。 每次广告商想要使用我们产品或服务的错误修复、更新、升级或附加功能时,我们还需要他们提供书面说明。 这会很麻烦。
由于 Commission Factory 是一个纯粹的附属网络,我们使用有限的个人数据来跟踪对广告商网站的推荐、后续交易和我们的报告,但我们从不重复使用这些数据来建立行为用户档案或用于其他营销目的。 我们也不会收集任何其他数据:
- 建立行为用户档案
- 行为重定向
- 用于任何其他目的的营销
通过避免此类处理,我们可以依靠合法利益来证明处理的合理性,并避免要求发布商或广告商提供数据同意以合法跟踪交易。
现在怎么办?
虽然 GDPR 主要是一项欧盟指令和数据保护法案,但确保您被涵盖并就您的义务是什么寻求建议仍然是谨慎的做法。
鉴于《隐私法》和 GDPR 的一些相似之处,澳大利亚企业可能已经采取了 GDPR 要求的一些措施。 尽管如此,确保您根据 GDPR 法规评估您的所有实践和治理结构并在必要时寻求法律建议以确保严格合规是至关重要的。
从我们作为一个网络的角度来看,我们将推出可选的同意工具,并为我们的所有网站添加 cookie 同意以确保数据简洁,但发布商可以自由地以他们认为合适的任何方式获得同意。
一些会员薪酬模式(例如返现和奖励发布商)可能不需要会员 cookie 的 Cookie 同意,因为会员 cookie 对于现金返还或基于奖励的服务类型的工作是必需的。