如果您過去幾個月沒有躲藏在一塊岩石下,您可能已經聽說過很多有關GDPR的信息。 關於GDPR如果是美國的土地法律,其標準可以防止Equifax的數據洩露(現在是歷史上最大的數據洩露)。 關於GDPR如何全力以赴-像Google這樣的龐然大物對其產品進行大修以使其合規。 甚至關於美國國會在劍橋分析公司(Cambridge Analytica)醜聞的激勵下如何抨擊馬克·扎克伯格(Mark Zuckerberg),在他任職期間,Facebook是否將其符合GDPR要求的隱私工具擴展到全球用戶 國會關於隱私的聽證會
無論您是躲在岩石之下,還是在GDPR上達到速度,您的業務在法律上也必須遵守May 25th的具有里程碑意義的法律。 在如此短的時間內改變這麼多,入門可能會讓人感到壓力。 為了幫助您完成這一旅程,我們在GDPR上創建了這個3-part系列。 在其中,我們將涵蓋您需要了解的所有內容,以符合法律的主要部分:
- 什麼是GDPR以及它如何影響CRM? (第1部分)
- Vtiger如何幫助您遵守GDPR,包括強大的同意管理(第2部分)
- 如何設置Vtiger的新隱私功能以符合GDPR(第3部分)
揭露聲明
本系列文章涵蓋了對GDPR主要原則和權利的一般遵守情況(文章 5年到23年)。 您必須遵守其他流程,職責和標準(文章 24年到43年)並未包含在本系列中。
這個系列和產品的變化來自幾個不同的來源。 從法律文本及其普遍接受的解釋。 通過與客戶及其律師的討論,以及其他有關我們正在解決的法律同意問題解決方案的高等研究。 它已經被提煉出來的一般指導應該有助於普通企業開始遵守法規,但不應該被視為法律建議,我們仍然建議您在為特定情況解釋GDPR時尋求。
如果您已經了解GDPR的重要性並且不需要入門,請隨時跳到標題為“ GDPR如何改變您的業務”的部分。
什麼是GDPR?
GDPR是一項新的歐洲法律,將於5月25th 2018生效,該法律規定企業如何收集,存儲和使用歐洲公民的數據。 更多關於這一點。
為何GDPR頒布?
簡而言之–阻止企業以可能傷害他們的方式濫加收集和使用人們的數據。 如今,企業對待數據的方式與帝國主義經濟國家對待外國的方式相同。 他們盡可能多地捕獲並利用它,而很少尊重所有者的意願,也不必擔心所有者對其的有害影響。
這種比較似乎很苛刻,因為當一家公司未經同意購買線索和市場清單時,沒人會喪命。 但是,當Equifax嚴重丟失了超過140億人的敏感數據,然後從根本上讓他們去處理後果時,這種傷害要明顯得多。 他們的私人身份和金融期貨注定要在黑市上流通的不確定的未來。 這很可能就是您的Google搜索歷史記錄或私人消息,但是如果發生的話,您幾乎沒有法律追索權。
那麼,對此的邏輯反應是
如果只有某人給我選擇誰可以擁有我的數據的權利,他們可以和不能使用它的權利,將確保他們保持安全,並懲罰他們侵犯這些權利!
這正是GDPR對歐盟公民的作用。
我必須遵守GDPR嗎?
如果您符合以下任何條件,GDPR將適用於您:
- 您在歐盟擁有客戶
- 您向歐盟公民提供(付費或免費)服務
- 您向歐盟公民推銷
- 您監控歐盟公民的活動
如果您的業務完全是歐盟內部和外部的業務,則可能不必擔心GDPR。 即使來自歐盟的某人在您的網站前停留並最終進入了您的分析解決方案,但俄亥俄州農村地區的一家花店只向市場銷售並運送到當地小鎮,這不太可能必須遵守。
但是,僅僅因為您的企業規模很小,並不意味著GDPR不適用。 一家小型的SEO公司可以在線銷售其服務,並且已經有來自其他一些國家的一些客戶,即使它沒有專門針對歐盟的客戶,也可能必須遵守GDPR,因為可以預見到如果SEO公司出現,它將歡迎歐洲客戶的業務。
我必須遵守哪些權利?
現在,歐盟公民甚至合法擁有您所擁有的有關他們的數據。 他們擁有一些基本權利。 我們正在使用80/20規則將以下文本總結為一類。 與任何摘要一樣,總有一些警告,因此,如果您好奇,請單擊包含的鏈接以閱讀完整的法律文本和例外(它們不長!):
- 當您從某人那裡收集數據時,您必須在收集時披露您計劃使用的數據以及您計劃保留的時間以及其他信息(文章) 7, 12, 13, 14)
- 當您使用某人的數據時,您的所有使用都應該在獲得該用途的同意下進行,與已經商定的使用直接相關,或者因為它已通過 平衡利益測試,有一些警告(文章 6)
- 您必須在請求的1月份內回復來自聯繫人的以下權利請求(文章 12)
- 您不得使用或存儲數據超過需要的時間(演奏 39)
- 您必須以安全性相稱的方式使用安全數據,以防止數據暴露時數據主體可能發生的潛在危害(文章 25, 32)
GDPR如何影響我的業務?
如何存儲和處理聯繫人數據
在GDPR下需要考慮2類型的數據。 敏感數據和個人數據。 以下是按類型分組的數據的具體示例。
不敏感 | 敏感 | |
不是個人識別 | 最喜歡的芯片品牌 郵政編碼 |
性別 宗教 種族 政治派別 |
個人識別 | 名稱 電子郵件 Facebook的ID |
身份證號碼 信用卡號 |
敏感數據
這些數據不是公開可用的,可能被濫用以傷害他人,例如護照號碼或某人的政治隸屬關係。 GDPR建議獲得存儲敏感數據的同意,並隨後對其進行保護。 通過執行以下操作可以最好地保護這些數據:
- 加密數據庫中的這些字段,以防止在數據洩露時被濫用
- 在員工視圖中隱藏這些字段以防止員工在不需要訪問時濫用(例如:僅顯示CC#的最後4個數字)
- 當員工在需要訪問時無法模糊值以阻止濫用時進行記錄
親自識別數據
數據只有在可以鏈接回個人的情況下才有害。 GDPR允許您的聯繫人要求您刪除他們的個人識別數據(受制於 一定條件下).
一旦個人數據被刪除,對於商業決策非常重要的相關信息(如購買歷史記錄和與您的數字服務的互動)可以安全存儲,因為它們不再與可識別的人員相關聯。
小心使用非個人識別信息的組,因為如果該組對於單個人而言是唯一的,則可以識別該組信息。 例如,當您知道某人的郵政編碼,性別,種族和出生日期時-這些屬性可能對一個人來說是唯一的,並且可以通過其他一些信息源與他們相關-因此,重要的是要確保這不會發生刪除的數據集還剩下什麼。
存儲限制
沒有人應該永遠留在你的數據庫中,因為他們曾經一次填寫你的網絡表格。 您現在必須自動停止使用,並最終在不再需要時刪除個人識別數據。 適當的使用時限因具體情況而異。 在我們的情況下,我們將在聯繫停止直接與我們聯繫一年後刪除我們的聯繫人數據。
您如何呈現網站表單
披露
如果人們知道收件人將如何處理它,那麼人們應該只在線提交信息。 因此,您的網絡表單現在必須直接說明信息的使用方式,或鏈接到有關如何使用其數據的信息。 這可以通過工具提示或直接鏈接到數據使用策略來完成。
電子郵件選擇加入
如果您想在提交表單後訂閱某人進行電子郵件營銷,他們現在也必須明確同意。 這意味著顯示一個未勾選的複選框,其中包含清晰的語言,例如“我希望收到來自[公司]的營銷電子郵件”。 簡單地不詢問或提供預先勾選的複選框不再重要。
您如何撰寫隱私政策
每當您從某人那裡收集信息或計劃將其用於新目的時,都需要告知他們一些通常通過隱私政策傳達的基本信息。 必須使用清晰,易於理解的語言編寫,並且要分節使用,以便分別使用其數據和用途。 此政策要包括的最重要的內容是:
- 貴公司的業務以及如何與您聯繫
- 您如何使用他們的數據,以及您不會尋求同意的目的
- 你將與誰分享他們的數據
- 您是否將數據傳輸到聯繫人所在國家/地區之外
- 您計劃使用數據的時間
- 所有主題的權利(訪問,更正,刪除,限製或端口數據,或提出投訴)
- 如果聯繫人未提供數據,會發生什麼
- 如果您使用他們的數據做出自動決策
你如何進行電子郵件營銷
雙重選擇
要向某人發送營銷電子郵件,您必須擁有他們希望從您那裡收到的不可證偽的證明。 因為任何人都可以在您的網站上填寫聲稱是其他人的表單,獲得該證明的最佳方式是使用雙重選擇加入電子郵件。
雙重選擇接收電子郵件的工作原理是這樣的-當有人指出他們想要接收您的電子郵件(口頭或通過在Web表單上選中一個框)時,您會向他們發送一封包含特殊鏈接的電子郵件。 如果他們單擊,則記錄其點擊,並將其添加到您的電子郵件列表中。
管理偏好並選擇退出
每當您向聯繫人發送電子郵件時,他們必須選擇退出,因為他們選擇加入。這通常意味著在電子郵件底部包含取消訂閱鏈接。 更強大的解決方案可讓聯繫人管理從電子郵件頁腳可訪問的頁面中選擇的特定電子郵件列表。
如何在網站,電子郵件和文檔上跟踪客戶
您提供給客戶的許多數字服務將跟踪他們的行為並為您提供分析,以便您可以學習如何改善他們的體驗。 這可能是網站,電子郵件廣告系列或您與他們共享的文檔。 無論如何執行跟踪,在大多數情況下,您應該告訴用戶他們正在被跟踪,並為他們提供退出跟踪的功能。
使用客戶數據時
您將客戶數據用於多種用途。 從簡單地存儲,發送營銷電子郵件,檢查他們的信用記錄或與第三方共享,將有助於他們更好地使用您的產品。
無論您使用何種客戶數據,通常都應該出於以下三個原因之一:
- 您已獲得此用途的明確事先許可
- 該用途與您已經獲得同意的另一個目的有關
- 目的是符合您的合法利益,並且不違反聯繫人的權利(平衡測試)
我們始終建議您盡可能多地獲得同意,因為這是使用聯繫人數據的唯一無可爭議的方法。 無論您出於何種目的獲得同意,獲得它的最佳方式都是某種不可證偽的方式。 這些範圍從記錄的通信(如電子郵件)到聯繫人可以登錄以管理其同意的首選項管理門戶。 與電子郵件首選項一樣,讓聯繫人至少像提供其同意一樣容易地撤銷其同意也很重要。
您必須提供新的合法權利
有權知道您存儲的數據以及導出該數據的能力
如果聯繫人要求您提供所持有的信息,則您有法律義務這樣做。 此外,您必須披露您使用它的對象,與您共享的對象,計劃保留的時間以及他們擁有的其他權利。 他們還可能以機器可讀格式(如CSV文件或數據庫)要求提供所有此類信息的副本,因此用於存儲其信息的CRM系統應有助於創建此類文件。
有權更新他們的信息
如果聯繫人要求您更新不正確或缺失的信息,一旦您能夠確認他們是誰,您就需要在系統中更新該信息。 如果您使用該數據手動或通過算法對其進行決策,這一點尤為重要。
被遺忘的權利
聯繫人有權刪除您的數據。 雖然最簡單的解決方案是刪除與其關聯的所有記錄,但這通常是不受歡迎的,因為它可能會刪除重要的業務信息,如購買數據,收入和其他報告不正確。 解決此問題的理想方法是從聯繫人記錄中刪除個人身份信息,以便您無法再識別這些信息。 最符合GDPR標準的CRM解決方案將促進這種類型的擦除。
反對你的一個目的的權利
聯繫人可以請求您不將其數據用於特定目的。 這可能意味著選擇退出營銷,要求不與第三方共享,或任何其他特定目的。 為了在不需要艱苦的記錄管理的情況下實現這一點,請選擇一種CRM解決方案,讓您的聯繫人自動管理他們對您使用的同意,以便負責採取該權限的團隊只能對已同意的聯繫人採取行動。
有權停止使用其全部記錄
聯繫人最終有權要求您將其從您執行的所有形式的處理中取出。 無論您使用何種系統存儲其信息,都應該能夠凍結其記錄,以便用戶無法修改這些記錄,也無法手動或自動通過電子郵件發送商業用途。
還有很多事要做! Vtiger將如何幫助我遵守規定?
可能會有許多新法規要遵守,但5月9th對Vtiger的更改使企業能夠毫不費力地推出GDPR合規性。 無論您的客戶是在美國,歐盟還是其他任何地方,這些更改都將幫助您提供披露信息,更安全地存儲敏感數據,合法地發送電子郵件市場,並讓您的聯繫人提供和管理他們自己的同意,具有其他任何其他方式無法提供的體驗CRM今天在市場上。
您可以在中找到這些更改的完整演練 本系列的第2部分。
敬請關注!