هل أنت مستعد للوائح الاتحاد الأوروبي الجديدة لحماية البيانات؟

ما هي لوائح حماية البيانات الجديدة؟

سيقوم الاتحاد الأوروبي قريبًا بسن لوائح جديدة تحكم البيانات التي يمكنك جمعها عن عملائك وكيف يمكنك استخدامها. يسمى هذا القانون البيانات تنظيم حماية عام أو GDPR. بالطبع ، كما يوحي الاسم ، فإن اللائحة العامة لحماية البيانات عامة ولذا فهي تغطي أي مؤسسة تقوم بجمع البيانات عن الأشخاص. لأغراضنا هنا ، سنركز ببساطة على العلاقة بين عملك وعملائك (المحتملين) عبر الإنترنت.

سوف GDPR حيز التنفيذ ^بتاريخ 25 من مايو 2018 الذي يترك لكم سنة للحصول على استعداد للامتثال. إلى جانب اللائحة العامة لحماية البيانات ، من المحتمل أن يكون هناك تحديث جديد للائحة الخصوصية الإلكترونية للاتحاد الأوروبي . تدخل هذه اللائحة في تفاصيل أكثر تحديدًا لجمع البيانات عبر الإنترنت وتخزينها واستخدامها. لا تزال لائحة الخصوصية الإلكترونية في مرحلة الاقتراح وقد تتغير لكن المشرعين يستهدفون نفس تاريخ التنفيذ كما هو الحال بالنسبة للائحة العامة لحماية البيانات (GDPR).

لماذا من المهم لشركتك الامتثال

بالنسبة للشركات الأوروبية ، قد تكون الحاجة إلى الامتثال واضحة ولكنها في الواقع شيء يجب على الشركات في جميع أنحاء العالم الانتباه إليه. هذا هو الحال بشكل خاص بالنسبة لمواقع الويب والشركات عبر الإنترنت حيث تطبق اللائحة العامة لحماية البيانات نفسها على أي عمل تجاري على مستوى العالم يجمع البيانات عن مواطني الاتحاد الأوروبي. إذا كنت تقوم بجمع البيانات على موقع الويب الخاص بك وتمت زيارة موقع الويب الخاص بك من قبل مواطني الاتحاد الأوروبي ، فإن اللائحة العامة لحماية البيانات ستحمل عملك مسؤولية ما تفعله بهذه البيانات بغض النظر عن مكان عملك. يمكن أن تكون العقوبات المفروضة على الشركات التي تنتهك اللائحة العامة لحماية البيانات شديدة مع غرامة قدرها 20 مليون يورو أو 4٪ من حجم المبيعات السنوي العالمي - أيهما أعلى.

أهم جوانب التسويق الرقمي الخاص بك

بالنسبة للمسوقين الرقميين ، هناك عدد من التشريعات الأساسية التي تحتاج إلى معرفتها. النقاط الأربع التالية هي الأهم في التأكد من أن برنامج البيانات الخاص بك على الإنترنت متوافق.

1. البيانات الشخصية

الأول هو فهم ما يغطيه القانون العام لحماية البيانات (GDPR) وتنظيم الخصوصية الإلكترونية. لقد أشرت بالفعل إلى أن القانون ينطبق على بيانات جميع مواطني الاتحاد الأوروبي ولكنه أكثر تحديدًا قليلاً ؛ ينطبق على بياناتهم الشخصية.

البيانات الشخصية هي أي بيانات خاصة بالمستخدم يمكن أن تسمح بتحديد هويته أو تحديده. يغطي هذا معلومات مثل الاسم أو العنوان أو الموقع الجغرافي أو رقم الهاتف أو عنوان البريد الإلكتروني أو رقم الهوية. ومع ذلك ، فإنه يغطي أيضًا المعرفات عبر الإنترنت التي يمكن أن تكون اسم مستخدم أو عناوين IP.

2. الموافقة

ربما يكون أكبر تغيير ستجريه اللائحة العامة لحماية البيانات على المشهد الحالي هو فكرة الموافقة. يجب أن تكون الموافقة واضحة ومستنيرة وحرية.

هذا يعني أنه بموجب القانون العام لحماية البيانات (GDPR) ، لن تكفي إشعارات ملفات تعريف الارتباط القياسية الموجودة في معظم مواقع الويب. يشترط القانون أن يعطي المستخدمون موافقتهم من خلال "إجراء إيجابي". يحتاج المستخدم إلى اتخاذ خطوة نشطة للموافقة. الصمت والموافقة الضمنية لن يكونا كافيين. لا يمكن جمع بيانات المستخدم حتى يتم إعطاء الموافقة.

بالإضافة إلى ذلك ، نظرًا لأن القانون يصر على إبلاغ الموافقة ، فستحتاج الشركات إلى إخبار المستخدم بالضبط بالبيانات التي يتم جمعها ، وكيفية تخزينها ، ولماذا تستخدم الشركة البيانات.

يصر التشريع أيضًا على الطريقة المتاحة دائمًا لإلغاء الاشتراك في التتبع. هذا يعني أنه في أي وقت يجب أن يكون مستخدم موقع الويب قادرًا على إلغاء الموافقة.

3. أمن البيانات

يصبح أمن البيانات الشخصية للأشخاص مسؤولية مراقب البيانات. يتم تعريف وحدة التحكم في البيانات على أنها الكيان الذي يقرر الغرض من جمع البيانات وطريقة جمعها. لذلك ، على سبيل المثال ، بصفتك مالكًا لموقع الويب ، فأنت المتحكم في البيانات. يجب عليك التأكد من أن الأدوات والموفرين الذين تستخدمهم لجمع بياناتك وتخزينها وتصورها تتمتع بأمان مناسب لحماية عملائك.

4. موقع البيانات

يمتد جزء من جهود اللائحة العامة لحماية البيانات لحماية بيانات مواطني الاتحاد الأوروبي إلى مكان معالجة هذه البيانات وتخزينها. تصر اللائحة العامة لحماية البيانات (GDPR) على أن البيانات يتم الاحتفاظ بها ومعالجتها في الاتحاد الأوروبي أو على الأقل في دولة لديها حماية بيانات مماثلة للاتحاد الأوروبي. يمكنك العثور على قائمة بهذه البلدان هنا .

يطرح هذا مشكلة عند استخدام الأدوات مع الخوادم ومراكز البيانات الموجودة في بلدان ، مثل الولايات المتحدة ، التي لا تتمتع بحماية البيانات المكافئة. يسمح درع الخصوصية بين الولايات المتحدة والاتحاد الأوروبي للشركات في الولايات المتحدة بالتوقيع على إعلان بأنها ستلتزم بنفس المعايير مع البيانات التي تخزنها كما تتطلب اللائحة العامة لحماية البيانات (GDPR).

ومع ذلك ، لا تزال صلاحيتها محل نزاع حيث يشعر المشرعون في الاتحاد الأوروبي بالقلق من أنه مع عدم وجود قانون يحكمهم ، فإن قوى السوق ستجبر الشركات على استخدام البيانات بطرق تتعارض مع القانون. مصدر قلق آخر هو أنه حتى إذا التزمت الشركات بشروط Privacy Shield ، فإنها لا تزال تعمل بموجب قانون قد يتطلب منها الكشف عن البيانات الشخصية لمواطني الاتحاد الأوروبي إلى حكومتها.

الشاغل الأخير الذي يجب معالجته عندما يتعلق الأمر بموقع البيانات هو الموافقة المسبقة. إذا تم نقل البيانات خارج الاتحاد الأوروبي ، فيجب توضيح ذلك للمستخدم عند الموافقة على جمع بياناته.

ما الذي يجب أن تفعله لتكون جاهزًا للائحة العامة لحماية البيانات (GDPR)؟

1. إخفاء هوية عناوين IP

إذا كنت تستخدم أداة ، مثل Google Analytics ، لرؤية أنماط السلوك في البيانات مجهولة المصدر على موقع الويب الخاص بك دون تحديد المستخدمين الفرديين ، فأنت تستخدم تتبع موقع الويب المجمع. بالنسبة لهذا النوع من التتبع ، هناك نقطتا بيانات فقط يجب أن تهتم بها جميع مواقع الويب. هاتان النقطتان الأساسيتان هما عنوان IP الخاص بالمستخدم وملف تعريف ارتباط التتبع الخاص بالأداة.

بالنسبة لعنوان IP ، توجد طريقة بسيطة نسبيًا للتأكد من أنك متوافق ولا تتطلب موافقة المستخدم. تسمح لك معظم الأدوات المستخدمة للتتبع الكلي لمواقع الويب بإخفاء هوية عنوان IP الخاص بالمستخدمين. من خلال التأكد من تشغيل هذا الإعداد ، يجب ألا تكون هناك طريقة لتحديد هوية المستخدم بشكل فردي.

2. حدد ما إذا كنت تشترط موافقة المستخدم

باستخدام عنوان IP مجهول المصدر ، يمكننا الآن إلقاء نظرة على ملفات تعريف الارتباط للتتبع. توفر لوائح الخصوصية الإلكترونية المقترحة إعفاءً لموافقة المستخدم على ملفات تعريف الارتباط لأدوات مواقع الويب الإجمالية. ومع ذلك ، في الوقت الحالي ، ليس من الواضح ما إذا كان هذا الإعفاء سيكون فقط للأدوات التي يديرها موقع الويب أو ما إذا كان سيغطي أدوات الطرف الثالث مثل Google Analytics. سيصبح هذا أكثر وضوحًا مع الانتهاء من لوائح الخصوصية الإلكترونية الجديدة والتصديق عليها.

3. استخدم أداة تحليلات ذاتية الاستضافة

مع وجود عدم يقين بشأن ما إذا كانت أدوات الجهات الخارجية ستتطلب الموافقة ، سيكون الخيار الأكثر أمانًا هو تنفيذ أداة تحليلات الويب ذاتية الاستضافة. تسمح لك هذه الأدوات باستضافة مثيل كامل من الأداة على البنية التحتية الخاصة بك. هذا يعني أن عملك هو الوحيد الذي يمكنه الوصول إلى البيانات ويمكنك التأكد من أنك لن تحتاج إلى موافقة لتتبع موقع الويب الخاص بك.

4. احصل على الاشتراك

إذا لم تتمكن من استخدام أداة مستضافة ذاتيًا ، فسيتعين عليك حث المستخدمين على الاشتراك. هناك نوعان من الحلول الممكنة لهذا.

الأول هو نهج Soft Opt-In. باستخدام هذا النهج ، يجب عليك إبلاغ الزائر عند وصوله لأول مرة إلى موقعك أنه سيتم تتبع أي إجراء آخر يتم اتخاذه على الموقع. يجب أن توفر لهم خيار الانسحاب من التعقب في هذه المرحلة. تُستخدم هذه الطريقة بشكل شائع في البلدان الأوروبية التي لديها قوانين صارمة لخصوصية البيانات الحالية مثل ألمانيا. من غير الواضح في هذه المرحلة ما إذا كان سيظل مقبولاً مع لائحة الخصوصية الإلكترونية الجديدة.

النهج الثاني هو التقيد الصعب. هذا هو النهج الأكثر أمانًا لأنه سيكون بالتأكيد متوافقًا عند نشر القوانين ولكنه أكثر تدخلاً للمستخدم. باستخدام هذا النهج ، ستطلب من المستخدم موافقته قبل أن يتمكن من بدء تصفح موقع الويب. يمكن القيام بذلك من خلال مربع منبثق في الصفحة الأولى من زيارتهم الأولى.

5. توفير إمكانية الانسحاب

إذا طُلب منك الحصول على موافقة المستخدمين للحصول على بياناتهم بموجب اللوائح الجديدة ، فأنت بحاجة إلى تزويدهم بطريقة لتغيير رأيهم وإلغاء الاشتراك في أي وقت. ينص القانون على أن هذا يجب أن يكون متاحًا دائمًا للمستخدم. أفضل طريقة للقيام بذلك هي الحصول على صفحة مخصصة توضح تفاصيل التتبع الخاص بك والتي تتيح للمستخدمين إلغاء الاشتراك. يمكن بعد ذلك ربط هذه الصفحة في التذييل الخاص بك بحيث تكون موجودة دائمًا على موقعك.

6. كن حذرًا مع ملفات تعريف المستخدمين وأتمتة التسويق

إذا كان برنامج بيانات عملك يتجاوز التجميع وقمت بإعداد ملفات تعريف المستخدمين ، فأنت بحاجة إلى مزيد من التفكير في تجهيز نفسك للائحة العامة لحماية البيانات (GDPR). هذا صحيح بشكل خاص إذا كنت تقوم بتشغيل برنامج أتمتة التسويق أو إعادة الاستهداف أو حتى التسويق المستهدف يدويًا. تتطلب جميع أنشطة تحديد سمات المستخدم وكل نوع من أنواع الاتصالات التسويقية التي ترسلها بناءً على هذه الملفات الشخصية موافقة المستخدمين. يجب تحديد جميع البيانات الشخصية أو بيانات التوصيف التي ستلتقطها وجميع عمليات التسويق المباشر التي سترسلها إليهم في الوقت الذي تطلب فيه من المستخدمين موافقتهم. بالإضافة إلى ذلك ، يجب توفير طريقة لإلغاء موافقتهم - الانسحاب -.

أخبرنا إذا كانت لديك أسئلة حول اللائحة العامة لحماية البيانات (GDPR) القادمة ولائحة الخصوصية الإلكترونية المقترحة. تحقق من عمليات تدقيق الامتثال والائحة العامة لحماية البيانات (GDPR) إذا كنت ترغب في التأكد من أن التسويق الرقمي الخاص بك متوافق.