過去数か月間岩の下に隠れていなかった場合は、GDPRについて多くのことを聞いたことがあるでしょう。 GDPRが米国の土地の法律である場合、その基準によってEquifaxのデータ侵害(現在は歴史上最大のXNUMXつ)を防ぐことができたはずです。 GDPRがどのように誰も惜しまないかについて–グーグルのような巨大なものが彼らの製品を準拠するためにオーバーホールします。 そして、ケンブリッジアナリティカのスキャンダルによって活気づけられた米国議会が、FacebookがGDPR準拠のプライバシーツールを世界中のユーザーに拡大するかどうかについて、マーク・ザッカーバーグを焼きました。 プライバシーに関する議会公聴会
あなたが岩の下に隠れていたとしても、あるいはGDPRにスピードをかけようとしているとしても、あなたのビジネスも5月25thまでに画期的な法律に従うことが法的に不可欠です。 ほんの少しの時間で変更することが多すぎるため、作業を開始するのは圧倒的なものになる可能性があります。 あなたがその旅をナビゲートするのを助けるために我々はGDPRの上にこの3パートシリーズを作成しました。 その中で、法の主要部分に準拠するためにあなたが知る必要があるすべてをカバーします:
- GDPRとは何ですか?またそれはCRMにどのように影響しますか? (パート1)
- 強力な同意管理を含め、VtigerがGDPRへの準拠をどのように支援するか(パート2)
- GDPRに準拠するようにVtigerの新しいプライバシー機能を設定する方法(パート3)
開示
このシリーズはGDPRの主な原則と権利の一般的な順守をカバーしています(記事 5〜23) あなたが従わなければならない他のプロセス、責任および標準があります(記事 24〜43)とこのシリーズではカバーされていません。
このシリーズと今後の製品の変更は、いくつかの異なるソースから派生しています。 法律文書とその一般に認められている解釈から。 顧客やその弁護士との議論から、そして私たちが取り組んでいた法的同意の問題をカバーする解決策についての他の三次研究から。 一般的なガイダンスは、平均的なビジネスがコンプライアンスへの道を切り開くのに役立ちますが、法律上のアドバイスとは見なされるべきではありません。GDPRを特定のシナリオに解釈するときに求めることを推奨します。
GDPRの重要性をすでに理解していて、入門書が必要ない場合は、「GDPRがビジネスをどのように変えるか」というタイトルのセクションに進んでください。
GDPRとは何ですか?
GDPRは、企業がヨーロッパ市民のデータを収集、保存、および使用する方法を規制する5月の25th、2018から施行される新しいヨーロッパの法律です。 もう少しでそれについての詳細。
GDPRが制定されたのはなぜですか。
簡単に言うと、企業が人々のデータを無差別に収集して、害を及ぼす可能性のある方法で使用することを阻止することです。 今日、企業は経済帝国主義国が外国を扱うのと同じようにデータを扱います。 彼らは可能な限り多くを捕らえ、所有者の希望やそれが彼らに与える悪影響をほとんど尊重せずにそれを利用します。
企業がリードのリストを購入し、同意なしにそれに売り込むときに誰も死なないので、その比較は厳しいように思えるかもしれません。 しかし、Equifaxが140億XNUMX万人を超える人々の機密データを重大に失い、その結果に対処するために本質的に彼らを任せたとき、その傷ははるかに明白でした。 彼らの私的アイデンティティと金融先物は、闇市場で循環している不確実な未来に運命づけられました。 それはあなたのグーグル検索履歴、またはプライベートメッセージと同じくらい簡単かもしれません、そしてそれでもそれが起こったとしてもあなたはほとんど法的手段を持っていません。
これに対する論理的な反応は、
誰かが私のデータを持っていることができる人、それを使うことができる人、使うことができない人を選ぶ権利を私に与えさえすれば、彼らはそれを安全に保ち、これらの権利を侵害したとして彼らを罰するでしょう!
そしてそれはまさにGDPRがEU市民のために行うことです。
GDPRを遵守する必要がありますか?
以下のいずれかの条件を満たす場合、GDPRはあなたに適用されます。
- あなたはEUに顧客がいます
- あなたはEU市民に(有料または無料で)サービスを提供します
- あなたはEU市民に売り込みます
- あなたはEU市民の活動を監視します
ビジネスが排他的にローカルでEUの外部にある場合は、GDPRについて心配する必要はありません。 EUの誰かがあなたのウェブサイトに立ち寄ってあなたの分析ソリューションにたどり着いたとしても、地元の町に売り込み、出荷するだけのオハイオ州の田舎にあるフラワーショップは、従う必要はほとんどありません。
ただし、ビジネスが小さいからといって、GDPRが適用されないわけではありません。 サービスをオンラインで販売し、他のいくつかの国からのクライアントがすでに数社ある小さな町のSEO企業は、特にEUの顧客をターゲットにしていない場合でも、GDPRに従わなければならない可能性があります。 SEO企業は、ヨーロッパの顧客からのビジネスが出現した場合、それを歓迎します。
どの権利を遵守する必要がありますか?
EU市民は現在、あなたが所有している彼らに関するデータでさえ合法的に所有しています。 そして、彼らはその所有権を持って行くためのいくつかの基本的な権利を持っています。 以下のテキストをワンライナーに要約するために、80/20ルールを使用しています。 他の要約と同様に、常に警告があります。したがって、興味がある場合は、含まれているリンクをクリックして、完全な法的テキストと例外を読んでください(長くはありません!)。
- あなたが誰かからデータを収集しているとき、あなたはあなたがそれをどうするつもりであるか、そしてあなたがそれを保持することを計画している期間、他の情報の中でも 7, 12, 13, 14)
- あなたが誰かからのデータを使用しているとき、あなたの使用はすべて、その使用についての同意を得て、すでに合意された使用に直接関係して、あるいはそれが合格したために行われるべきです。 いくつか注意点がありますが、興味のバランステスト 6)
- あなたは要求の1月以内に連絡先から以下の権利要求に返答しなければなりません(記事 12)
- あなたは必要以上にデータを使用または保存してはいけません(リサイタル) 39)
- データが公開された場合にデータ主体に起こり得る潜在的な害にセキュリティに比例した方法で安全なデータを使用する必要があります(記事 25, 32)
GDPRは私のビジネスにどのように影響しますか?
連絡先データの保存方法と処理方法
GDPRのもとで考慮すべき2タイプのデータがあります。 機密データ、および個人データ タイプ別に分類されたデータの具体例は次のとおりです。
敏感ではない | センシティブ | |
個人を特定しない | チップの好きなブランド 郵便番号 |
性別 宗教 民族性 政治的所属 |
個人を特定する | お名前 メールアドレス FacebookのID |
国民ID番号 クレジットカード番号 |
機密データ
これは公開されていないデータであり、パスポート番号や誰かの政党など、人々に危害を加えるために悪用される可能性があります。 GDPRは、機密データの保存について同意を取得し、その後可能な限り保護することを推奨しています。 これらのデータは、次の手順で最もよく保護されます。
- データ侵害があった場合の誤用を防ぐためにデータベース内のこれらのフィールドを暗号化する
- アクセスが不要な場合に従業員による誤用を防ぐために従業員ビューでこれらのフィールドを隠します(例:CC#の最後の4桁のみを表示)
- アクセスが必要なときに誤用を防ぐために従業員が値を難読化しないときに記録する
個人を特定するデータ
データが人にリンクされる可能性がある場合にのみ、データが有害になる可能性があります。 GDPRを使用すると、連絡先から個人を特定するデータを消去するよう依頼することができます( 特定の条件).
個人データが消去されると、購入履歴やデジタルサービスとの関わりなど、ビジネス上の意思決定に重要な関連情報は、識別可能な人物と関連付けられなくなるため、安全に保存できます。
個人を特定しない情報のグループには注意してください。そのグループがXNUMX人の個人に固有であるかどうかを特定する可能性があるためです。 たとえば、誰かの郵便番号、性別、民族性、生年月日がわかっている場合、これらのプロパティはXNUMX人の個人に固有であり、他の情報ソースを通じてそれらに関連している可能性があります。そのため、それが発生しないようにすることが重要です。消去したデータセットの残りは何ですか。
保管限界
誰かがあなたのデータベースに永遠にとどまるべきではありません、彼らがあなたのウェブフォームを一度に記入したという理由だけで。 あなたは今自動的に使用を停止し、そしてもはや必要でなくなったときには最終的に個人を特定するデータを削除しなければなりません。 使用する適切な制限時間は場合によって異なります。 私たちの場合、連絡先が私たちと直接関わるのをやめてから1年後に連絡先データを削除します。
Webサイトフォームの表示方法
開示
受信者がそれをどうしようとしているのかを知っている場合に限り、人々は本当にオンラインで情報を送信するべきです。 ですから、あなたのWebフォームはその情報がどのように使われるのかを直接述べるか、あるいはあなたがそれらのデータをどのように使うのかについての情報にリンクしなければなりません。 これは、ツールチップを通じて、またはデータ使用ポリシーに直接リンクすることによって行うことができます。
メールのオプトイン
フォーム送信後にあなたのEメールマーケティングに誰かを購読したい場合、彼らは今また明示的にそれに同意しなければなりません。 これは、「[company]からマーケティングEメールを受け取りたい」のように、明確な言葉でチェックマークが付いていないチェックボックスを表示することを意味します。 単に尋ねたり、チェックマークを付けたりしなくてもかまいません。
プライバシーポリシーの書き方
あなたが誰かから情報を収集するとき、またはそれを新しい目的のために使用することを計画するときはいつでも、あなたは彼らに通常プライバシーポリシーを通して伝えられるいくつかの基本を知らせる必要があります。 これは、明確で理解しやすい言語で書かれ、データの使用と目的が別々に書かれるようにセクション化されている必要があります。 このポリシーに含める最も重要なことは次のとおりです。
- あなたの会社がすることとあなたに連絡する方法
- あなたは彼らのデータをどのように使用するのか、そしてどの目的のために同意を求めないのか
- 誰とデータを共有するのですか
- 連絡先の国外にデータを転送するかどうか
- どのくらいの期間データを使用する予定ですか
- 対象のすべての権利(データへのアクセス、修正、消去、制限、または移植、または苦情の申し立て)
- 連絡先がデータを提供していない場合はどうなりますか
- あなたが彼らのデータで自動決定をするなら
メールマーケティングの方法
ダブルオプトイン
マーケティングEメールを送信するには、偽造不可能な証拠を持っている必要があります。 誰かがあなたのサイト上の他の誰かであると主張するフォームに記入することができるので、その証明を得るための最良の方法は二重オプトインEメールを使うことです。
ダブルオプトインメールは次のように機能します。誰かが(口頭で、またはWebフォームのチェックボックスをオンにして)メールの受信を希望している場合は、特別なリンクを含むメールを送信します。 彼らがそれをクリックすると、彼らのクリックが記録され、あなたの電子メールリストに追加されます。
設定の管理と除外
連絡先にEメールを送信するときはいつでも、オプトインするのと同じくらい簡単にオプトアウトすることができます。これは通常、Eメールの下部に購読解除リンクを含めることを意味します。 より堅牢なソリューションでは、連絡先がオプトインを管理し、電子メールフッターからアクセス可能なページから特定の電子メールリストを除外することができます。
Webサイト、電子メール、およびドキュメントで顧客を追跡する方法
あなたが顧客に提供する多くのデジタルサービスは彼らの行動を追跡し、あなたに分析を提供するので、あなたは彼らの経験を改善する方法を学ぶことができます。 それはウェブサイト、Eメールキャンペーン、またはあなたがそれらと共有した文書かもしれません。 追跡がどのように実行されるかにかかわらず、ほとんどの状況下で、あなたは彼らが追跡されていることをユーザーに伝え、あなたの追跡からオプトアウトする能力を彼らに提供するべきです。
顧客データを使用するとき
顧客データはさまざまな目的に使用します。 それを単に保存することから、彼らにマーケティングEメールを送ること、彼らの信用履歴をチェックすること、または彼らがあなたの製品をよりよく使うのを助けるであろう第三者とそれを共有することまで。
あなたが顧客データを使うために何でも一般的にこれら3つの理由のうちの1つのためにされるべきです:
- その使用について明示的な事前許可を得ました
- その使用は、あなたが既に同意を得た別の目的に関連しています
- 目的はあなたの合法的な利益のためであり、連絡先の権利を侵害しません(バランステスト)。
連絡先のデータを使用する唯一の明白な方法であるため、できるだけ多くの目的で同意を取得することを常にお勧めします。 目的のために取得する同意が何であれ、それを取得するための最良の方法は、改ざんできない方法です。 これらは、電子メールのような記録された通信から、連絡先が同意を管理するためにログインできる設定管理ポータルにまで及びます。 電子メールの設定と同様に、連絡先が少なくとも提供したのと同じくらい簡単に同意を取り消せるようにすることが重要です。
あなたが促進しなければならない新しい法的権利
どのデータを保存しているか、およびそのデータをエクスポートする機能を知る権利
連絡先からあなたが持っている情報を尋ねられた場合、あなたは法的にそうする義務があります。 さらに、あなたはあなたがそれを何に使用するのか、誰と共有するのか、どれくらいの期間それを保持する予定であるのか、そして彼らが持つその他の権利を開示しなければなりません。 彼らはさらに、CSVファイルやデータベースのような機械可読フォーマットでこの情報すべてのコピーを要求するかもしれないので、あなたが彼らの情報を保存するのに使用するCRMシステムはそのようなファイルの作成を容易にするべきです。
彼らの情報を更新する権利
連絡先から誤った、または欠落している情報を更新するように求められた場合、その情報を確認できたら、システム内のその情報を更新する必要があります。 これを手動でまたはアルゴリズム的に決定するためにそのデータを使用する場合、これは特に重要です。
忘れられる権利
連絡先には、自分のデータを消去する権利があります。 最も簡単な解決策はそれらに関連するすべてのあなたの記録を消去することですが、これはそれが購入データのような重要なビジネス情報を削除し、収入や他のレポートを不正確にするので望ましくないです。 これを回避するための理想的な方法は、連絡先のレコードから個人を特定する情報を削除して、それらを特定できなくすることです。 最高のGDPR準拠のCRMソリューションは、この種の消去を容易にします。
あなたの目的の1つに反対する権利
連絡先は、特定の目的に自分のデータを使用しないように要求することができます。 これは、マーケティングを中止すること、第三者と共有しないことを要求すること、またはその他の特定の目的を要求することを意味します。 面倒な記録管理を必要とせずにこれを容易にするには、連絡先が自分の使用に対する同意を自動的に管理できるCRMソリューションを選択し、その許可に基づいて行動する責任を負うチームが同意した連絡先に対してのみ行動できるようにします。
レコード全体の使用を停止する権利
連絡先には、最終的に、あなたがしているすべての処理形式からそれらを削除するように依頼する権利があります。 あなたが彼らの情報を保存するためにあなたが使うどんなシステムでもそれらがあなたのユーザーによって修正されることができないように彼らの記録を凍結することができるべきです。
やることがたくさんあります! Vtigerはどのように順守するのに役立ちますか?
従うべき多くの新しい規制があるかもしれませんが5月9thまでにVtigerに来る変更は企業が楽々とGDPRコンプライアンスをロールアウトすることを可能にします。 あなたの顧客が米国、EU、その他どこにいようと、これらの変更はあなたが開示を提示し、機密データをより安全に保存し、合法的にEメールで市場に送り、あなたの連絡先が他人には得られない経験で彼ら自身の同意を提供し管理するのを助ける今日市場に出ているCRM。
あなたはこれらの変更の完全なチュートリアルを見つけることができます。 このシリーズのパート2。
乞うご期待!