如果您过去几个月没有躲藏在一块岩石下,您可能已经听说过很多有关GDPR的信息。 关于GDPR如果是美国的土地法律,其标准可以防止Equifax的数据泄露(现在是历史上最大的数据泄露)。 关于GDPR如何全力以赴– Google之类的庞然大物对其产品进行大修以使其合规。 甚至关于美国国会在剑桥分析公司(Cambridge Analytica)丑闻的鼓舞下如何抨击马克·扎克伯格(Mark Zuckerberg)在Facebook任职期间Facebook是否会向全球用户扩展其符合GDPR的隐私工具 国会关于隐私的听证会
无论您是躲在岩石之下,还是在GDPR上达到速度,您的业务在法律上也必须遵守May 25th的具有里程碑意义的法律。 在如此短的时间内改变这么多,入门可能会让人感到压力。 为了帮助您完成这一旅程,我们在GDPR上创建了这个3-part系列。 在其中,我们将涵盖您需要了解的所有内容,以符合法律的主要部分:
- 什么是GDPR以及它如何影响CRM? (第1部分)
- Vtiger如何帮助您遵守GDPR,包括强大的同意管理(第2部分)
- 如何设置Vtiger的新隐私功能以符合GDPR(第3部分)
有关声明
本系列文章涵盖了对GDPR主要原则和权利的一般遵守情况(文章 5到23)。 您必须遵守其他流程,职责和标准(文章 24到43)并未包含在本系列中。
这个系列和产品的变化来自几个不同的来源。 从法律文本及其普遍接受的解释。 通过与客户及其律师的讨论,以及其他有关我们正在解决的法律同意问题解决方案的高等研究。 它已经被提炼出来的一般指导应该有助于普通企业开始遵守法规,但不应该被视为法律建议,我们仍然建议您在为特定情况解释GDPR时寻求。
如果您已经了解GDPR的重要性并且不需要入门,请随时跳到标题为“ GDPR如何改变您的业务”的部分。
什么是GDPR?
GDPR是一项新的欧洲法律,将于5月25th 2018生效,该法律规定企业如何收集,存储和使用欧洲公民的数据。 更多关于这一点。
为何GDPR颁布?
简而言之–阻止企业以可能伤害他们的方式随意收集和使用人们的数据。 如今,企业对待数据的方式与帝国主义经济国家对待外国的方式相同。 他们尽可能多地捕获并利用它,而很少尊重所有者的意愿,也不必担心所有者对其的有害影响。
这种比较似乎很苛刻,因为当一家公司未经同意购买线索和市场清单时,没人会丧命。 但是,当Equifax严重丢失了超过140亿人的敏感数据,然后从根本上让他们去处理后果时,这种伤害要明显得多。 他们的私人身份和金融期货注定要在黑市上流通的不确定的未来。 这很可能就是您的Google搜索历史记录或私人消息,但是如果发生的话,您几乎没有法律追索权。
那么,对此的逻辑反应是
如果只有某人给我选择谁可以拥有我的数据的权利,他们可以和不能使用它的权利,将确保他们保持安全,并惩罚他们侵犯这些权利!
这正是GDPR为欧盟公民所做的。
我必须遵守GDPR吗?
如果您符合以下任何条件,GDPR将适用于您:
- 您在欧盟拥有客户
- 您向欧盟公民提供(付费或免费)服务
- 您向欧盟公民推销
- 您监控欧盟公民的活动
如果您的业务完全是欧盟内部和外部的业务,则可能不必担心GDPR。 俄亥俄州农村地区的一家花店仅向当地城镇销售并运送商品,即使欧盟的某人在您的网站前驻足并出现在您的分析解决方案中,也不太可能必须遵守。
但是,仅仅因为您的企业规模很小,并不意味着GDPR不适用。 一家小型的SEO公司可以在线销售其服务,并且已经有来自其他一些国家的一些客户,即使它没有专门针对欧盟的客户,也可能必须遵守GDPR,因为可以预见到如果SEO公司出现,它将欢迎欧洲客户的业务。
我必须遵守哪些权利?
现在,欧盟公民甚至合法拥有您所拥有的有关他们的数据。 他们拥有一些基本权利。 我们正在使用80/20规则将以下文本总结为一类。 与任何摘要一样,总有一些警告,因此,如果您好奇,请单击包含的链接以阅读完整的法律文本和例外(它们不长!):
- 当您从某人那里收集数据时,您必须在收集时披露您计划使用的数据以及您计划保留的时间以及其他信息(文章) 7, 12, 13, 14)
- 当您使用某人的数据时,您的所有使用都应该在获得该用途的同意下进行,与已经商定的使用直接相关,或者因为它已通过 平衡利益测试,有一些警告(文章 6)
- 您必须在请求的1月份内回复来自联系人的以下权利请求(文章 12)
- 您不得使用或存储数据超过需要的时间(演奏 39)
- 您必须以安全性相称的方式使用安全数据,以防止数据暴露时数据主体可能发生的潜在危害(文章 25, 32)
GDPR如何影响我的业务?
如何存储和处理联系人数据
在GDPR下需要考虑2类型的数据。 敏感数据和个人数据。 以下是按类型分组的数据的具体示例。
不敏感 | 敏感 | |
不是个人识别 | 最喜欢的芯片品牌 邮政编码 |
性别 宗教 种族 政治派别 |
个人识别 | 名字 邮箱 Facebook的ID |
身份证号码 信用卡号 |
敏感数据
这些数据不是公开可用的,可能被滥用以伤害他人,例如护照号码或某人的政治隶属关系。 GDPR建议获得存储敏感数据的同意,并随后对其进行保护。 通过执行以下操作可以最好地保护这些数据:
- 加密数据库中的这些字段,以防止在数据泄露时被滥用
- 在员工视图中隐藏这些字段以防止员工在不需要访问时滥用(例如:仅显示CC#的最后4个数字)
- 当员工在需要访问时无法模糊值以阻止滥用时进行记录
亲自识别数据
数据只有在可以链接回个人的情况下才有害。 GDPR允许您的联系人要求您删除他们的个人识别数据(受制于 一定条件下).
一旦个人数据被删除,对于商业决策非常重要的相关信息(如购买历史记录和与您的数字服务的互动)可以安全存储,因为它们不再与可识别的人员相关联。
请小心使用非个人识别信息组,因为如果该组对于单个人而言是唯一的,则可以识别该组信息。 例如,当您知道某人的邮政编码,性别,种族和出生日期时-这些属性可能对一个人来说是唯一的,并且可以通过其他一些信息源与他们相关-因此,务必要避免这种情况的发生删除的数据集还剩下什么。
存储限制
没有人应该永远留在你的数据库中,因为他们曾经一次填写你的网络表格。 您现在必须自动停止使用,并最终在不再需要时删除个人识别数据。 适当的使用时限因具体情况而异。 在我们的情况下,我们将在联系停止直接与我们联系一年后删除我们的联系人数据。
您如何呈现网站表单
披露
如果人们知道收件人将如何处理它,那么人们应该只在线提交信息。 因此,您的网络表单现在必须直接说明信息的使用方式,或链接到有关如何使用其数据的信息。 这可以通过工具提示或直接链接到数据使用策略来完成。
电子邮件选择加入
如果您想在提交表单后订阅某人进行电子邮件营销,他们现在也必须明确同意。 这意味着显示一个未勾选的复选框,其中包含清晰的语言,例如“我希望收到来自[公司]的营销电子邮件”。 简单地不询问或提供预先勾选的复选框不再重要。
您如何撰写隐私政策
每当您从某人那里收集信息或计划将其用于新目的时,都需要告知他们一些通常通过隐私政策传达的基本信息。 必须使用清晰,易于理解的语言编写,并且要分节使用,以便分别使用其数据和用途。 此政策要包括的最重要的内容是:
- 贵公司的业务以及如何与您联系
- 您如何使用他们的数据,以及您不会寻求同意的目的
- 你将与谁分享他们的数据
- 您是否将数据传输到联系人所在国家/地区之外
- 您计划使用数据的时间
- 所有主题的权利(访问,更正,删除,限制或端口数据,或提出投诉)
- 如果联系人未提供数据,会发生什么
- 如果您使用他们的数据做出自动决策
你如何进行电子邮件营销
双重选择
要向某人发送营销电子邮件,您必须拥有他们希望从您那里收到的不可证伪的证明。 因为任何人都可以在您的网站上填写声称是其他人的表单,获得该证明的最佳方式是使用双重选择加入电子邮件。
双重选择接收电子邮件的工作原理是这样的-当有人指出他们想要接收您的电子邮件(口头或通过在Web表单上选中一个框)时,您会向他们发送一封包含特殊链接的电子邮件。 如果他们单击,则记录其点击,并将其添加到您的电子邮件列表中。
管理偏好并选择退出
每当您向联系人发送电子邮件时,他们必须选择退出,因为他们选择加入。这通常意味着在电子邮件底部包含取消订阅链接。 更强大的解决方案可让联系人管理从电子邮件页脚可访问的页面中选择的特定电子邮件列表。
如何在网站,电子邮件和文档上跟踪客户
您提供给客户的许多数字服务将跟踪他们的行为并为您提供分析,以便您可以学习如何改善他们的体验。 这可能是网站,电子邮件广告系列或您与他们共享的文档。 无论如何执行跟踪,在大多数情况下,您应该告诉用户他们正在被跟踪,并为他们提供退出跟踪的功能。
使用客户数据时
您将客户数据用于多种用途。 从简单地存储,发送营销电子邮件,检查他们的信用记录或与第三方共享,将有助于他们更好地使用您的产品。
无论您使用何种客户数据,通常都应该出于以下三个原因之一:
- 您已获得此用途的明确事先许可
- 该用途与您已经获得同意的另一个目的有关
- 目的是符合您的合法利益,并且不违反联系人的权利(平衡测试)
我们始终建议您尽可能多地获得同意,因为这是使用联系人数据的唯一无可争议的方法。 无论您出于何种目的获得同意,获得它的最佳方式都是某种不可证伪的方式。 这些范围从记录的通信(如电子邮件)到联系人可以登录以管理其同意的首选项管理门户。 与电子邮件首选项一样,让联系人至少像提供其同意一样容易地撤销其同意也很重要。
您必须提供新的合法权利
有权知道您存储的数据以及导出该数据的能力
如果联系人要求您提供所持有的信息,则您有法律义务这样做。 此外,您必须披露您使用它的对象,与您共享的对象,计划保留的时间以及他们拥有的其他权利。 他们还可能以机器可读格式(如CSV文件或数据库)要求提供所有此类信息的副本,因此用于存储其信息的CRM系统应有助于创建此类文件。
有权更新他们的信息
如果联系人要求您更新不正确或缺失的信息,一旦您能够确认他们是谁,您就需要在系统中更新该信息。 如果您使用该数据手动或通过算法对其进行决策,这一点尤为重要。
被遗忘的权利
联系人有权删除您的数据。 虽然简单的解决方法是删除与其相关联的所有记录,这通常是不可取,因为它会删除喜欢购买数据,使收入和其他报告不正确的重要业务信息。 解决此问题的理想方法是从联系人记录中删除个人身份信息,以便您无法再识别这些信息。 最符合GDPR标准的CRM解决方案将促进这种类型的擦除。
反对你的一个目的的权利
联系人可以请求您不将其数据用于特定目的。 这可能意味着选择退出营销,要求不与第三方共享,或任何其他特定目的。 为了在不需要艰苦的记录管理的情况下实现这一点,请选择一种CRM解决方案,让您的联系人自动管理他们对您使用的同意,以便负责采取该权限的团队只能对已同意的联系人采取行动。
有权停止使用其全部记录
联系人最终有权要求您将其从您执行的所有形式的处理中取出。 无论您使用何种系统存储其信息,都应该能够冻结其记录,以便用户无法修改这些记录,也无法手动或自动通过电子邮件发送商业用途。
还有很多事要做! Vtiger将如何帮助我遵守规定?
可能会有许多新法规要遵守,但5月9th对Vtiger的更改使企业能够毫不费力地推出GDPR合规性。 无论您的客户是美国,欧盟,或任何其他地方,这些变化将有助于你目前披露敏感数据存储更安全,电子邮件市场法律,并让您的联系人提供和管理的经验,自己同意不提供任何其他CRM今天在市场上。
您可以在中找到这些更改的完整演练 本系列的第2部分。
敬请关注!