《通用数据保护条例》于 2016 年 4 月通过,旨在协调和现代化整个欧盟的隐私保护法。其前身是 1995 年《数据保护指令》,该指令诞生于一个截然不同的时代,已成为监管现代数据处理实践的不充分工具。它还催生了不同欧盟国家制定的不同数据保护规则,这给试图在欧盟开展业务的公司带来了法律噩梦。
那么,营销人员需要了解哪些有关 GDPR 的信息?我们咨询了 Woodroffes 的律师 Sherree Westell,她负责Emarketeers 的 GDPR 培训课程,并在数据保护领域工作了 20 多年。
GDPR何时生效?
“GDPR 将于 2018 年 5 月 25 日生效。无论英 特别领导 国是否脱欧,它都会生效。到那时,我们仍将是欧盟的一部分,法规将直接生效。无论如何,英国政府已经出台了一项数据保护法案,以确保 GDPR 确实生效,并且无论英国脱欧结果如何,它都会得到保留。”
谁会受到影响?
“它适用于收集和使用与欧盟任何在世个人相关 廣告庫 的数据的任何企业。它肯定会影响任何从事任何营销的组织。难以想象,如果不以某种方式处理个人数据,你还能从事营销活动。”
为什么营销人员需要认真对待它?
“遵守法规的一个令人信服的理由是,违规行为可 为什么每家高科技公司都需要一名增长经理——以及如何发展这一职位 能会造成负面宣传,并损害声誉和品牌。另一个需要大家关注的方面是,对于某些违规行为,罚款最高可达 2000 万欧元,或全球年营业额的 4%(以较高者为准)。相比之下,现行法律规定的最高处罚为 50 万英镑。”
您认为营销人员需要注意的与现有法规最重要的区别是什么?
“大多数营销活动都是在用户同意的基础上进行的。GDPR 提高了获得满意同意的门槛。组织需要审查其现有的同意,以确保其合规。
新法规的重点是,需要更详细地解释收集数据的原因、数据将用于什么用途以及谁可以访问数据。同意必须具体明确——不再是默示选择和预先勾选的同意框。
营销人员还必须在更大程度上记录这种同意,并更加具体地说明个人可以随时撤回该同意,并为他们提供一个非常简单直接的程序。”
很多营销数据库肯定不符合这些新的同意标准。除了寻求新的同意(这可能会导致大量客户数据无法使用)之外,营销人员还能做什么?
“越来越多的组织将依赖这样一个事实:他们拥有法规所定义的‘合法利益’来处理数据。当前的指导方针确实指出,直接营销可以是一种合法利益。然而,企业将需要进行并记录所谓的‘平衡测试’,以权衡公司以这种方式使用数据的合法利益与个人的法定权利和利益。
总之,如果您已获得个人对多项特定营销目的的广泛同意,并且有证据表明该同意是最近才做出的(比如说不到 2 年),那么只要您已制定相关合规通知,您就可能找到一个合理的理由继续存储和处理这些数据。当然,营销人员还需要了解《电子隐私条例》,该条例也要求对某些活动进行特定同意,并且该条例将在 GDPR 生效的同时进行更新。”
如果出现像 Uber 遭遇的数据泄露事件,新法规下会发生什么情况?
“就目前情况而言,如果您发生了重大违规行为,最好通知 ICO,并与他们合作减少违规行为的负面影响,并确保尽可能妥善保管个人数据。今后,通知某些违规行为(向 ICO 以及受影响的个人)将成为一项法律义务,否则可能会面临巨额罚款。”