GDPR influențează o mare parte din inițiativele de marketing coordonate de agenții de media și advertising. Reglementările sunt menite să crească transparența companiilor în privința folosirii de date personale și să îmbunătățească modul în care sunt utilizate acestea. În primul rând, va fi chestionat felul în care companiile și agențiile informează și implementează soluții pentru protejarea proceselor de colectare și folosire a datelor cu caracter personal.
Implementarea GDPR presupune că datele personale vor fi prelucrate în mod legal, echitabil și transparent față de persoana vizată. Totodată, vor fi colectate în scopuri determinate, explicite, legitime, adecvate la ce e necesar. Mai mult, procesarea este legală numai dacă persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal.
Consimțământul userului este definit, potrivit Art. 4 pct. 11 GDPR ca “orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate”.
În cazul în care userul se opune prelucrării în scopuri de marketing, datele nu mai sunt prelucrate în acest scop. Pot fi însă procesate dacă se invocă motive legitime și justificate care prevalează intereselor utilizatorului.
Ce obligații are operatorul de date personale
Pentru a garanta securitatea prelucrării de date, operatorul poate lua măsuri precum pseudonimizare și criptarea datelor cu caracter personal, precum și procese de testare, evaluare și apreciere ale măsurilor de respectare reglementări.
Cu alte cuvinte, sunt trei direcții majore pe care marketerii trebuie să le aibă în vedere: consimțământ, profilare, claritate și transparență.
Consimțământ
GDPR arată că acesta trebuie să fie dat în mod liber, specific, informat, concis și însoțit de o confirmare clară și articulată. Acest lucru înseamnă că activitățile de marketing nu mai pot funcționa cu un simplu proces de introducere în baza de date cu un acord uneori prea puțin vizibil exprimat sau lipsa unui mecanism de dezabonare. Optimul de comunicare, așa cum îl prevede activitatea de GDPR, înseamnă că aplicațiile web și mobile trebuie să ceară un acord de stocare a datelor. Este, de asemenea, obligatoriu ca acordul să fie arhivat și să poată fi pus la dispoziția autorităților atunci când este cerut.
Claritate și transparență
Modul în care datele sunt colectate este un alt aspect foarte important al noilor reglementări. Utilizatorii ar trebui să fie informați în privința modului în care datele personale le sunt colectate. Este o reală provocare să poți opera cu transparență totală atunci când vine vorba de Internet of Things, machine learning process și inteligență artificială.
O grijă majoră este legată de monitorizarea și salvarea datelor prin cerința unei identificări personale. Vor fi întrebări la care marketerii trebuie să răspundă, de exemplu: “Utilizatorii au înțeles pe deplin cum le sunt colectate datele personale și cum sistemele de inteligență artificială sau machine learning iau decizii pe baza acelor date stocate?”
Profilare
O altă preocupare inclusă în ghidul GDPR este legată de utilizarea datelor colectate pentru a face profilul consumatorilor.
Definiția profilării în GDPR este:
"Orice formă de procesare automată a datelor personale cu scopul de a face evaluări asupra obiceiurilor acelei persoane, pentru a face predicții în privința performanțelor profesionale, situației economice, de sănătate, interese, comportamente, preferințe personale, localizare sau deplasare."
Misiunea marketerilor este de a dovedi că acest tip de analiză îndeplinește anumite criterii. sunt deciziile rezultate luate spre binele consumatorului? Poate consumatorul să aibă o explicație clară asupra acestor decizii? Ia compania măsuri pentru a preveni discriminarea pe criterii etnice, în funcție de opțiunile politice, religioase etc. ?
Ghid de implementare tehnică a măsurilor GDPR
1. Formularele
Sunt folosite pentru colectarea datelor oferite de vizitatori, invitați și membri. Cum se poate menține respectarea normelor GDPR prin aceste formulare? Mai jos câteva explicații despre cum noile reglementări se aplică în mod specific platformei web.
Ce formulare intră sub incidența GDPR?
În primul rând, trebuie să știm că nu toate formularele se vor schimba după intrarea în vigoare a GDPR. Dezvolți un studiu anonim? Un quiz? Dacă nu colectezi date personale prin care userii să poată fi identificați, atunci mecanismul tău nu intră în sfera GDPR. Dacă însă colectarea este de date personale, atenție sporită la următoarele aspecte:
A. Cât mai puține date cu putință în solicitare
Pare tentant să ajungi să inserezi cât mai multe câmpuri pentru date, însă doar dacă nu sunt esențiale pentru livrarea serviciului tău, atunci nu ar trebui colectate. Numele ar trebui mereu colectate. Însă numerele de telefon sau adresa de acasă - doar dacă serviciul tău are legătură cu livrarea unui colet. Altfel, nu sunt necesare.
B. Checkbox pentru consimțământ
Este una dintre cele mai mari schimbări care vor intra în vigoare de la 25 mai. Sintagma “Accept termenii și condițiile” nu va mai fi suficient de acoperitoare pentru acordul de procesare a datelor. Așadar, pentru fiecare activitate distinctă de procesare de date va fi necesară existența unui checkbox separat la rubrica de înregistrare. Acordurile date de useri ar trebui păstrate în coloane diferite în baza de date, iar userii să aibă permisiunea de a-și retrage consimțământul dat la un moment dat prin debifare. Ideal ar fi ca opțiunea de bifare să fie afișată încă din etapa de procesare a înregistrărilor.
C. Colectarea de date trebuie făcută cu un scop expus transparent și justificat
Datele nu pot fi folosite în alt scop decât cel agreat cu utilizatorul. Înainte de a decide să procesezi datele prin machine learning, este nevoie de o informare către întreaga bază de date.
D. Recomandăm folosirea unui mecanism de double opt-in
Este vorba de acordarea explicită a consimțământului. Double opt-in este deja valid în țări precum Germania și odată cu GDPR va avea parte de o extindere. Cum funcționează? Cei mai mulți probabil ați trecut deja printr-un astfel de flow de navigare: se petrece înregistrarea pe un webpage și se primește un email automat cu un buton de confirmare. Abia apoi se activează contul.
E. Mentionarea distribuirii de date către terți
Pentru fiecare terț care procesează datele este nevoie de o verificare individuală a respectării politicii de confidențialitate prevăzute în GDPR.
2. Cookies
Când acestea ajută la identificarea unei persoane prin dispozitivul folosit, atunci intră în sfera datelor personale. Pentru a fi în acord cu normele GDPR, userii trebuie să poată să își exprime acordul asupra colectării de date prin cookies printr-un opt-in box sau prin alegerea unor preferințe din meniul de setări.
Mesajele de tipul ‘Navigând pe acest site, accepți utilizarea de cookies’ nu mai sunt suficiente. Dacă nu există acord nedeterminat, atunci nu e valid. Site-urile ar trebui să le permită utilizatorilor să își și retragă acordul, la fel de facil cum l-au dat.
Ce se întâmplă când un utilizator invocă ștergerea datelor sale personale de pe o platformă online? Impactul asupra campaniilor digitale a aplicării dreptului de a fi uitat
Medii afectate: toate aplicațiile online ale operatorului. Recomandarea este ca toate formularele de pe aceste site-uri să aibă opțiunea - bifa - de opt-in sau chiar și de double opt-in. Tot ca recomandare este și păstrarea în baza de date a log-urilor pentru a demonstra consimțământul, cât și notificarea userilor despre utilizarea datelor metrice, a cookie-urilor și a contactelor salvate în baza de date.
Raport către utilizator
Userului trebuie să îi poată fi pus la dispoziție de către operatorul de date un raport care să conțină următoarele:
• bazele de date în care acesta se află înscris
• pentru ce anume i-au fost colectate datele și ce date, în mod specific, i-au fost colectate
• perioada de stocare
• dreptul de a solicita ștergerea datelor total/parțial din baza de date.
Este important de menționat că cererea de ștergere va putea fi făcută numai de pe adresa de email folosită la înregistrarea pe platformă.
Land of Web oferă servicii de consultanță GDPR în domeniul dezvoltării web și mobile.
Scurtă descriere servicii
1. Audit
a. Identificarea aplicațiilor web sau mobile
b. Principalul obiectiv al platformei/aplicației
c.Analiza tehnică a serviciului
d. Recomandări GDPR
e. DPIA - pentru a propune modul în care clienții se pot alinia standardelor GDPR, este nevoie să cunoaștem în mod clar tipul de date stocate, pentru ce sunt folosite, unde sunt păstrate și care este scopul utilizării lor. DPIA este modelul de exercițiu pentru evaluarea impactului potențial al riscurilor asupra protecției datelor cu caracter personal.
Un proces de audit ne ajută să identificăm părțile vulnerabile ale website-ului. Un exemplu în acest sens ar putea fi un terț care nu este GDPR compliant. Oricare ar fi punctul slab, rolul nostru este de a remedia problema.
2. Implementarea tehnică
Cele mai multe dintre recomandările GDPR pot fi implementate de echipa noastră în câteva săptămâni. Odată ce auditul este finalizat, se trece la implementarea planului tehnic.
3. Planul de contingență
Planul de contingență este menit să reducă efectele negative ale problemelor neprevăzute. În cazuri precum devoalarea de informații strict confidențiale, regulamentul GDPR impune alertarea autorităților. Este nevoie de declarații legate de tipul de date devoalate, câte părți sunt implicate și posibil afectate, ce consecințe sunt pentru userii înregistrați, ce măsuri vor fi luate pentru a evita o astfel de situație.
4. Supervizare permanență a modului de respectare a recomandărilor și implementărilor tehnice
Este clar că obiectivul pe termen scurt este asigurarea că firmele se vor alinia standardelor GDPR până pe 25 mai 2018, însă respectarea acestor standarde pe termen lung este un alt task. Echipa Land of Web oferă consultanță și supraveghere pentru a asigura păstrarea implementărilor tehnice la început.