Co RODO oznacza dla Twojej firmy

Dziś jest dobry dzień, aby dowiedzieć się więcej o tym, co RODO oznacza dla Twojej firmy.

Ogólne rozporządzenie o ochronie danych (RODO) Unii Europejskiej wchodzi w życie 25 maja 2018 r. I chociaż do tego czasu minie prawie rok, pod względem operacyjnym jest mnóstwo rzeczy, które musisz zrobić, aby zachować zgodność. (Tak, „metryczne obciążenie tyłka” to termin techniczny.)

W tym odcinku podcastu Rethink rozmawialiśmy z Davidem Fowlerem, który jest szefem Act-On ds. prywatności, zgodności i dostarczalności. Jak mówi David, RODO oznacza największą zmianę w unijnym prawie o ochronie danych od pokolenia. Dotyczy to 510 milionów obywateli UE, a także wszelkich firm prowadzących z nimi interesy, niezależnie od ich siedziby.

Ciesz się rozmową i mamy nadzieję, że zdobędziesz jedną lub dwie przydatne rzeczy na wynos, które możesz wnieść do swojej firmy.

Nathan Isaacs : David, czy możesz powiedzieć mi więcej o tym, co robisz w Act-On?

David Fowler : Pomagam naszym klientom poruszać się po cyfrowej mapie drogowej pod kątem ich zobowiązań wynikających z prawa lokalnego, stanowego, federalnego i międzynarodowego w odniesieniu do marketingu cyfrowego. Dbam również o to, aby nasi klienci, gdy klikną przycisk „wyślij” w swoich e-mailach, wiadomości miały wszelkie możliwości dotarcia do skrzynki odbiorczej. Digital Compliance w 2017 roku to bardzo głęboka i szeroka dziedzina. Na przykład, jeśli jesteś sprzedawcą w USA i wysyłasz pocztą do UE, Twoje obowiązki będą inne niż w przypadku sprzedawcy w USA i wysyłającego pocztę do Kanady. Naszym zadaniem jest informowanie naszych klientów o ich obowiązkach wynikających z tych szczegółowych planów legislacyjnych.

Nathan : Jedną z rzeczy, o których dzisiaj mówimy, jest ogólne rozporządzenie o ochronie danych, czyli RODO. Możesz mi powiedzieć, co to jest i o co w tym wszystkim chodzi?

David : RODO to prawo, które wejdzie w życie w Europie w 2018 roku, dokładnie 25 maja. Zasadniczo jest to całkowite przepisanie dyrektywy UE dotyczącej danych z 1995 r. A dla tych z was, którzy słuchają podcastu, w Europie nie ma uniwersalnych przepisów dotyczących zgodności cyfrowej. Istnieją interpretacje dyrektywy dotyczącej danych i każdy kraj może określić, jaka jest jego interpretacja tego prawa. Tak więc, jak mogłeś zobaczyć, samo to w efekcie stwarza ten ogromny potencjał zamieszania.

RODO to uniwersalne prawo, które będzie obowiązywać wszystkie firmy, które w swoich bazach danych mają obywateli europejskich. Będzie to dotyczyć wszystkich krajów w UE. To jedno prawo dla 500 milionów osób.

Nathan : W przypadku firm z siedzibą w USA lub w innym miejscu na świecie, które prowadzą interesy z osobami fizycznymi w Europie, dotyczy to ich. Czy to prawda?

Dawid : To prawda. Za nieprzestrzeganie przepisów grożą wysokie grzywny — do 4 procent całkowitych przychodów firmy. Jeśli na przykład jesteś Google, co to jest 4 procent z biliona dolarów?

Twoje obowiązki w ramach RODO

Nathan : Nowe prawo dotyczy tego, jak prowadzę interesy z osobami fizycznymi. Co muszę zrobić jako firma, aby zachować zgodność?

David : Ważne jest, aby zrozumieć obowiązki wynikające z RODO. A w Europie masz dwa smaki. Masz administratora i podmiot przetwarzający dane. Na przykład jesteś klientem Act-On. Byłbyś administratorem zgodnie z planem RODO. A my [Act-On] będziemy przetwarzać Twoje dane. Naszym obowiązkiem wynikającym z RODO jest oczywiście przestrzeganie prawa. Ale także B, buduj nasze produkty i usługi, które pozwolą Ci wywiązać się z obowiązków wynikających z RODO.

Nie jest naszym obowiązkiem upewnienie się, że przestrzegasz zasad. Ale naszym obowiązkiem jest pokazanie, że nasze produkty umożliwiają zachowanie zgodności, co oznacza zapewnienie mechanizmów zgody, tworzenie kopii zapasowych zgody, podwójną zgodę, wszystkie te rodzaje rzeczy, które uważamy za oczywiste w zakresie pozwolenia, nasze produkty powinny być do punktu, w którym to robią.

Korzystanie z platformy do automatyzacji marketingu w ramach RODO to coś, czego Ty jako administrator swoich danych i danych Twoich klientów będziesz musiał nie tylko przestrzegać, ale także rozumieć, w jaki sposób wykorzystujesz do tego technologię. Teraz prawa człowieka, jeśli chodzi o dane i dane osobowe oraz tego rodzaju rzeczy, jest o wiele więcej kwestii, które pojawiają się na stole w ramach RODO, jeśli jesteś odbiorcą relacji cyfrowej klienta. Operacyjnie jest wiele rzeczy, o których musisz pomyśleć, jeśli chodzi o przygotowanie się do tego. Ale ostatecznie, gdy guma styka się z drogą, jeśli masz klienta, któremu nie możesz udowodnić, w jaki sposób znalazł się na Twojej liście, nie możesz udowodnić, skąd pochodzi, lub nie możesz udowodnić mechanizmu zgody, który był używane do rozpoczęcia działań marketingowych w stosunku do nich, to w zasadzie byłbyś niezgodny z RODO.

Skutki operacyjne RODO

Nathan : Jakie są skutki operacyjne RODO?

Dawid : Świetne pytanie. Jest 10 obszarów, o których musisz pomyśleć z perspektywy swojej firmy, jeśli chodzi o przygotowanie się do operacyjnej strony RODO. Numer jeden to bezpieczeństwo danych i powiadamianie o naruszeniach.

Tak więc, jeśli doszło do naruszenia ochrony danych, Twoim obowiązkiem jest poinformowanie organu ochrony danych – organu ochrony danych – w ciągu 72 godzin o faktycznym wystąpieniu tego naruszenia lub o tym, że jesteś tego świadomy. Obowiązkowy DPO, czyli inspektor ochrony danych, jest czymś, co jest wdrażane na mocy RODO, co oznacza, że ​​jeśli jesteś firmą określonej wielkości, faktycznie musisz mieć pracownika, który zajmie się twoimi działaniami w zakresie ochrony danych.

Zgoda osoby, której dane dotyczą, to ogromny problem – jak uzyskać zgodę osoby, której dane dotyczą. Zgodnie z RODO osoba, której dane dotyczą, to rzeczywista osoba fizyczna, a nie anomalia. Transgraniczne transfery danych to duży problem. Jeśli przenosisz dane w Europie lub z Europy z powrotem do Stanów Zjednoczonych lub gdziekolwiek się znajdują, warto o tym pomyśleć. Jeśli chodzi o to, jak to się robi z punktu widzenia adekwatności, w obecnych warunkach transgraniczny mechanizm przesyłania danych między Europą a Stanami Zjednoczonymi jest regulowany przez program zwany Tarczą Prywatności, a my jako firma posiadamy certyfikat Tarczy Prywatności. Ale pojawią się inne byty, które przyjdą do gry, aby w tym pomóc.

Profilowanie i prawo do odrzucenia będą ogromnym problemem, jeśli chodzi o to, jak osoby są profilowane i jak mają prawo sprzeciwić się profilowaniu; to znaczy, jeśli dowiem się, że masz dziś na sobie białą koszulę, przeanalizuję twoje preferencje co do koszuli i może wyślę ci do tego białe spodnie. Jako osoba fizyczna, problem polega na tym, jak możesz sobie z tym poradzić, jeśli chodzi o możliwość rezygnacji z tego profilowania w przyszłości.

Kolejnym ważnym jest prawo do przenoszenia danych i prawo do bycia zapomnianym. Zgodnie z RODO koncepcja polega na tym, że jako osoba fizyczna masz prawo pobrać swoje dane z firmy A i przenieść je do firmy B w akceptowalnym formacie do odczytu maszynowego, a także masz prawo do tego, że kiedykolwiek miałeś zapomniano o cyfrowej relacji z tą konkretną marką. Jest to więc ogromny problem, jeśli chodzi o to, w jaki sposób firmy będą w stanie się do tego dostosować i naprawdę wdrożyć tego typu strategie wokół tych koncepcji. Wciąż jakoś to ogarniamy.

Siódmy obszar to obowiązki i odpowiedzialność administratorów i podmiotów przetwarzających. Jaka jest Twoja odpowiedzialność w ramach RODO jako podmiot przetwarzający, czyli Act-On, a jakie są Twoje obowiązki w ramach RODO jako administrator, który jest klientem Act-On. I są to dwie różne kwestie pod względem niektórych rzeczy, które pojawiają się wraz z tym.

Kolejną kwestią do rozważenia jest pseudonimizacja danych osobowych – jak mogę wykorzystać Twoje dane i stworzyć większy profil w oparciu o inne podmioty zewnętrzne, które mogłyby się z tym połączyć, w Twojej konkretnej mapie drogowej. Kodeksy postępowania, czyli jak i dlaczego należy postępować w określony sposób. I wreszcie, grzywny i procedury to duży problem; możesz zostać ukarany grzywną w wysokości 4 procent globalnych przychodów Twojej firmy, jeśli nie przestrzegasz przepisów.

Jest więc wiele rzeczy z operacyjnego punktu widzenia. I gwarantuję ci, jeśli masz osobę odpowiedzialną za prywatność, jeśli masz osobę zajmującą się zgodnością, a ci ludzie nie rozmawiają z twoimi technikami operacyjnymi ani inżynierami, to musisz zacząć myśleć o zebraniu tych ludzi razem, ponieważ to będzie weź wioskę, aby załatwić to z organizacyjnego punktu widzenia.

Prawa osób fizycznych w ramach RODO

Nathan : Jakie są prawa jednostek w tym wszystkim?

David : Tak, to świetne pytanie. Ponieważ zgodnie z RODO osoba ma prawo do bycia poinformowanym, do powiedzenia: „Dostałem stąd twoje informacje i to właśnie z nimi zrobię, a tego nie zamierzam zrobić z tym.' Prawo dostępu, więc ty jako osoba fizyczna możesz się z nami skontaktować i powiedzieć: „Hej, moje informacje są nieprawidłowe, są nieprawidłowe, niedokładne i potrzebuję, abyś to zmienił na podstawie profilu, który masz o mnie . Prawo do ponownej certyfikacji, co oznacza to samo – możesz faktycznie zmienić lub dostosować na podstawie tego, co wiesz. Prawo do wymazania: „Hej, Act-On, proszę wykasować wszystkie informacje o mnie” lub „Panie. i pani Klient, proszę wykasować wszystkie informacje o mnie” i jak zamierzasz to zrobić?

Masz prawo do ograniczenia przetwarzania, co oznacza „Hej, chciałbym otrzymywać od Ciebie e-maile, ale nie chcę otrzymywać SMS-ów”. Lub „Chciałbym otrzymywać e-maile, ale nie chcę otrzymywać SMS-ów”… lub cokolwiek innego. A potem prawo do ograniczenia przenoszenia danych, co oznacza, że ​​idę po swoje dane z firmy A i przenoszę je do firmy B. Teoretycznie możesz mieć klientów, którzy wychodzą w piątek o 17:00, a następnie idą do innej firmy w poniedziałek o 17:00. 8 rano I technicznie rzecz biorąc, powinny działać w tym środowisku.

I wreszcie prawo do sprzeciwu: „To jest słuszne, to jest złe, to jest obojętne”. I prawo do zautomatyzowanego podejmowania decyzji i profilowania, co oznacza, że ​​jesteśmy teraz w kanale cyfrowym z rzeczami takimi jak sztuczna inteligencja, że ​​możesz zacząć budować profile osób i podmiotów niezależnie od tego, czy o tym wiedzą, czy nie. Musisz być bardzo szczery, jeśli chodzi o to, jak ujawniasz te informacje i jak budujesz te profile.

Wyobrażam sobie, że firmy będą nadmiernie rekompensować zgodę. Myślisz o tym, w jaki sposób angażujesz się dzisiaj w relacje cyfrowe – ujawnienie, zgoda i wszystkie te rzeczy, które uważamy za oczywiste. Ale chodzi o to, że myślę, że zobaczysz wiele stron profilowych i stron wprowadzających, gdzie nie będziesz mieć wstępnie zaznaczonych pól, ale pozwolisz ludziom powiedzieć: „Chciałbym zaznacz to lub odznacz tamto. Wstępnie zaznaczone pola w RODO to kompletne nie-nie. To całkowicie nielegalne.

A to, co teraz zrobiłbym jako marketer, w twoich wysiłkach przygotowawczych, kiedy ta rzecz zostanie uruchomiona w maju przyszłego roku, nie będzie okresu karencji. Od maja 2018 r. wszystkie dane, które masz w swoim pliku, będą musiały być zgodne z przepisami w dniu ich udostępnienia. Powinieneś więc zacząć myśleć już teraz o tym, jak ponownie uzyskać pozwolenie lub dojść do momentu, w którym zaczniesz ujawniać różne rzeczy na temat osób, przygotowując się do wdrożenia RODO. Tak więc ponownie wyraź zgodę na swoje listy, uzyskaj zgodę, zacznij mówić o ujawnieniach i tego typu rzeczach. I właśnie to powinieneś zacząć dziś obejmować.

Dowiedz się więcej o RODO

Nathan : Mówimy o tym teraz tylko po to, aby ludzie mieli okazję zacząć się dostosowywać lub wprowadzać te mechanizmy, aby być zgodnymi, zarówno my, jak i wszyscy inni. Czy istnieje lista kontrolna?

David : Pełne ujawnienie, nie jesteśmy w stanie udzielić porady prawnej ani wskazówek. Jednak niektóre organy ochrony danych w UE są bardziej donośne i komunikatywne niż inne. Doskonałym przykładem organu ochrony danych, który opublikował wiele informacji, jest ICO, brytyjskie Biuro Komisarza ds. Informacji.

Jeśli wejdziesz na ich stronę internetową, mają mnóstwo informacji na temat tego, o czym powinieneś pomyśleć, jak się przygotować i jakie będą twoje obowiązki w przyszłym roku.

Nathan : Więc jest to temat do przedyskutowania przez cały zespół, od marketingu po zgodność, prawo i inżynierię, prawda?

Dawid : Absolutnie. Bo każdy inaczej to zinterpretuje. Mam na myśli, że dokumentacja ma setki stron. Jest to niezwykle uciążliwe. Ale to naprawdę zdroworozsądkowe podejście do cyfrowej relacji. I nie chodzi teraz tylko o jednostkę. Chodzi również o to, w jaki sposób prowadzisz interesy ze swoimi dostawcami i jak pociągasz ich do odpowiedzialności za rzeczy. Pod pewnymi względami jest to ramy zdroworozsądkowego podejścia cyfrowego nie tylko do marketingu, ale także do rezygnacji z pewnych rzeczy. To zdecydowanie coś, o czym powinieneś teraz pomyśleć. A jeśli nie, to jesteś trochę za kulą ósemką.

Streszczenie

Act-On będzie tworzyć seminaria internetowe i arkusze danych oraz inne treści dotyczące RODO przez cały następny rok. Jeśli masz pytanie, możesz również wysłać e-mail do Davida: [chroniony e-mailem] .