為 GDPR 做準備的電子商務專家指南
已發表: 2018-05-15這些天來,似乎每個對話都回到了在線隱私和數據濫用。 我們最近看到 Facebook 首席執行官馬克扎克伯格在美國參議院就 Facebook 上個人數據的使用作證——以及該公司隨後在醜聞後參與度下降而努力重建其聲譽。 似乎每天都有新的與數據相關的爭議需要解決。
隨著公眾對更加匿名的互聯網的渴望,以及私營部門承認收集用戶數據對企業有好處,爭論不斷展開。 與此同時,歐洲國家正在努力保護其公民免受數據管理不善的影響,這對全球企業的影響可能是巨大的。
2018 年 5 月 25 日,歐洲企業將被迫解決他們處理消費者數據的方式。 作為通用數據保護條例 (GDPR) 的一部分,企業必須讓客戶更好地控制其數據的收集、存儲和最終使用方式。
該法規旨在加強歐盟內部公民的數據保護和隱私,無論數據收集公司位於何處。 換句話說,如果您的企業對歐洲客戶開放,您需要在 GDPR 最終生效之前關注它。 如果您的公司處理來自歐盟用戶的數據,那麼您應該花一些時間來了解這項新規定。
什麼是 GDPR? 常見問題和解答
GDPR 於 2016 年 4 月 27 日正式通過,但由於旨在幫助公司適應新規則的兩年過渡期,它要到 2018 年 5 月 25 日才能強制執行。 簡而言之,該法規旨在讓消費者完全控制其數據的收集和使用方式。 歐盟將個人數據定義為“與已識別或可識別的自然人有關的任何信息”,包括生日、地址、電話號碼、工資、租金和 IP 地址。
以下是與此關鍵法規相關的一些常見問題,以便您更好地了解是否需要花費額外資源來為這一行業轉變做準備。
如果我不遵守,我會被罰款嗎?
是的,不遵守新規定的組織將面臨巨額罰款。 法規規定,任何違反 GDPR 的行為都可能導致高達全球年營業額的 4% 或 2000 萬歐元(約合 2400 萬美元)的罰款,以較高者為準。
它適用於我的業務嗎?
GDPR 的範圍無疑是巨大的。 它適用於任何處理歐盟居民數據的公司。 話雖如此,如果您僅將數據用於個人或家庭用途,則該法規不適用,並且對於員工人數少於 250 人的公司可能不那麼嚴格。 無論您的業務規模如何,您仍然需要保留詳細的內部記錄並遵守 GDPR,但記錄保存要求有所不同。
美國公司會被罰款嗎?
美國公司將對違規行為承擔責任,並且可以按照國際法的相同標準對其處以罰款。 專家們表示,即使是在歐盟沒有實體存在的企業也必須遵守新規定。
GDPR 保護什麼?
該立法的主要目標是為消費者提供關於數據收集的清晰、不混淆的選擇加入語言。 它為消費者提供了八項個人權利:被告知、訪問、糾正、刪除、限制處理、具有數據可移植性、反對和做出有關自動決策和分析的決定。
GDPR 如何使消費者受益?
新法規的主要好處是它可以保護消費者的數據隱私,這意味著對那些選擇保持隱私的人提供更好的保護。 正如我們將在下面介紹的那樣,新規則可能會給企業帶來一些可衡量的好處。
這對電子商務企業意味著什麼?
毫無疑問。 通過像 Springbot 這樣的電子商務分析工具了解你的消費者——它可以有效地收集你的消費者的有價值數據,用於重定向廣告、電子郵件營銷工作和廣告個性化——通常是大多數在線商店的一項重大投資。 面對 GDPR 和類似法規,您不必停止依賴這些有價值的工具,只要您負責任地收集數據。 底線是個人數據挖掘非常模糊,大多數消費者只有在他們能夠控制的情況下才支持它。
規則的轉變所代表的是推動更標準化的數據收集,這實際上可能對您的業務意味著更好的事情。 實際上,這意味著無論何時您處理一個人的數據——無論他們是註冊您的電子郵件列表還是進行購買——您都必須賦予他們審查、調整、刪除和限制訪問的權利。
從更大的角度來看,這意味著您將消費者放在首位,提高您企業的網絡安全,甚至維護其聲譽。 當您從願意分享的人那裡收集數據時,您仍然可以匯總關鍵分析,並最大限度地減少不希望存儲信息的人對客戶的不滿。
你應該做的前五件事準備
為正式實施 GDPR 做好準備,您可以做的最重要的事情就是學習法律。 正式法規冗長且充滿法律術語,但有優質的在線資源提供了有關數據收集的新規則的出色摘要。 例如,新法律規定,您必須在 72 小時內通知消費者數據洩露,您必須賦予消費者訪問其數據如何使用的權利,並且您必須允許他們被“遺忘”或從您的系統,根據要求。
接下來,您必須確定法律將如何具體影響您的業務。 如前所述,中小型企業 (SMB) 的報告方面和記錄保存規則與大型企業不同,因此您應該了解公司的責任。
當然,您可以做很多有益的事情來讓您的企業為合規做好準備。 除了以下推薦的提示外,我們還建議諮詢法律顧問,以確保您的流程不包含任何漏洞。
1. 轉向透明流程
該法規通過的關鍵要點是,人們希望——而且法律將強制執行——消費者有權了解他們的數據是如何被使用的一切。 這意味著與消費者就數據進行的每一次溝通都應盡可能透明。 了解您的公司如何處理數據將幫助您確定它是否合規——因此了解您的數據存儲在哪里以及如何使用它。
- 用清晰的語言重寫同意書。
- 收集用戶數據時,請獲得用戶的明確同意。
- 從“選擇退出”語言切換到“選擇加入”語言。
- 說明您處理某些數據的原因。
- 運行數據保護影響評估 (DPIA)。
2. 任命領導和共享信息
該法規的另一個重要方面是,一些公司將被要求任命一名數據保護官 (DPO),負責監督公司內部的數據保護流程。 並非所有公司都需要 DPO——只有那些處理大量個人數據的公司——但每家公司都應指定一名合規負責人,以幫助確保正確遵守所有法律。
- 了解您的企業是否需要 DPO。
- 即使您不需要 DPO,也要任命一名數據隱私負責人。
- 提醒每個部門注意新規則。
- 決定如何處理數據訪問請求。
3. 審查您的所有服務
公司只需要使用有助於實施合法數據存儲的數據處理器,這意味著您應該進行嚴格的審核,以確保您沒有任何可能嚴重無視新法規的工具。 例如,如果您使用任何分析插件,請確保它們以符合 GDPR 的方式存儲和管理消費者數據。 Springbot 致力於幫助客戶以合法和合乎道德的方式獲取數據。
- 確保任何第三方服務都合規。
- 了解您使用的工具是否需要用戶的同意。
- 尋找合作夥伴提供的工具,以加快您的流程。
4. 改進你的記錄保存
GDPR 最令人生畏的方面之一是記錄保存。 因為消費者現在有權了解、訪問和刪除他們的個人數據,所以您必須確保您的流程被精心記錄。 如果消費者向您請求,您還需要按需訪問客戶數據。
無論您是否與第三方共享,您都必須能夠識別和報告個人數據。 更嚴格的記錄保存規則的主要目的之一是確保個人數據的準確性。 記錄正確的個人數據並相應地更新其他組織將取決於您。
- 了解第 30 條,其中包括記錄保存。
- 記錄任何數據處理的目的。
- 記錄數據主體和接收者的類別。
- 記錄一切,超出第 30 條的要求。
5. 以正確的方式利用數據
最後,為過渡做好準備,您可以做的最後一件事是找出在這些新法規下利用客戶數據的最負責任的方式。 GDPR 規定,個人數據必須“以允許識別數據主體的形式保存,其時間不得超過處理個人數據的目的所必需的時間。” 因此,您仍然可以將數據用於重定向和其他長期營銷工作,只要您告知消費者您計劃將其用於所述目的。
- 了解您可以將個人數據記錄在案多長時間。
- 制定在該時間段之後何時以及如何銷毀數據的計劃。
- 嘗試盡可能地“匿名”數據,以便您可以將其存儲更長時間。
- 確定哪些類型的個人數據存在最高風險。
為什麼重要
這一切似乎都需要做很多工作,對吧? 但事情是這樣的:GDPR 與收集個人數據一樣有利於客戶體驗。 這是因為,儘管消費者非常喜歡個性化體驗並認識到數據聚合可以帶來更加個性化的在線體驗,但他們也希望完全控制自己的數據。 而且,由於 92% 的在線購物者認為安全和隱私是一個問題,因此應採取此類措施使在線購物更加私密。
考慮到這一切,重要的是我們所有人都要努力進行新的調整,以幫助我們更好地迎合客戶,而不會跨越重要的隱私界限。 在營銷、銷售和業務發展方面,GDPR 不應讓您退縮。
相反,它應該改變你做事的方式,以便你培養快樂、信任和忠誠的客戶。 因此,花一點額外的時間和金錢為 GDPR 準備您的業務將非常值得您付出努力。