ウェブサイトをGDPRに準拠させる方法

公開: 2021-07-19

GDPR要件は、英国のEU離脱期間中、およびEUと取引するすべての企業に引き続き適用されます。 法律の正しい側面を維持し、顧客を満足させるために、今すぐWebサイトに加える必要のある10の変更を次に示します。

この投稿では、ウェブサイトをGDPRに準拠させる方法の狭い領域を具体的に取り上げ、必要な特定の変更について推奨事項を示します。

Brexitと2020についてはどうですか... GDPRは依然として要件ですか?

一般データ保護規則(GDPR)は、EUに拠点を置くすべての企業、およびEU市民を顧客とする企業に適用されます。 英国の企業の場合、Brexit撤退協定は、移行期間中の遵守の必要性に変更を加えることはなく、EU内で取引する企業の要件も変更されません。

さらに、英国はGDPRの高水準を維持することを約束しています(そして政府は英国のEU離脱後にそれを英国の法律に組み込むことを計画しています。

現在のGDPR規制は、2018年5月25日に発効しました。

GDPR規制の施行を検討することは興味深いことであり、GDPR施行トラッカーのWebサイトには、EU内のデータ保護当局がGDPRに基づいて課した罰金と罰則のリストと概要が記載されています。

第一に、私は法律専門家ではないと言わざるを得ません。第二に、これは大雑把な分析です。 執筆時点では、データベースには次のものが含まれています。

  • 法律ニュースのウェブサイトの運営者に関する2019年12月の事件を含む、要約に「ウェブ」という単語が含まれる罰金と罰則の16件のプライバシーに関する声明は、オランダ語とフランス語を話すものでもありましたが、英語でのみ利用可能でした。聴衆。
  • 要約に「メール」という単語が含まれている5つのケース。これには、Vodaphoneがブラインドコピー機能を使用せずに多数の受信者(クライアント)にマーケティングメールを送信した2019年のケースが含まれます。 60.000ユーロの最初の罰金は36.000ユーロに減額されました。

一方で、これはコンプライアンス違反の訴追の数が多いわけではありませんが、このリスクと個人データ処理の機密性の向上および問題としての認識を組み合わせると、GDPRコンプライアンスは法定要件になるだけでなく、良いビジネスセンス。

GDPRはウェブサイトの計画と機能にどのように影響しますか?

GDPRは、ウェブサイトの要件に大きな影響を及ぼします。これは、ウェブサイトをメールマーケティング、ソーシャルメディア、eコマースアクティビティなどの他のデジタルアクティビティと統合する方法に波及効果をもたらします。

これらすべての推奨事項を結び付ける黄金の糸は、GDPRの下で、同意が自由に、具体的かつ情報に基づいて与えられるという概念が新しいルールで強化されていることです。つまり、私たちのような企業はより透明性を提供する必要があります。

ここにあなたがあなたのウェブサイトのためにレビューしたいと思うであろう10のステップがあります、そしてあなたのウェブ開発チームと必要な変更について話し合ってください。 ご不明な点がございましたら、お気軽にご連絡ください。

行う必要のある簡単な変更から始めて、より複雑な領域に移りましょう。

1.フォーム:アクティブなオプトイン

ニュースレターの購読をユーザーに勧めたり、連絡先の設定を示したりするフォームは、デフォルトで「いいえ」にするか、空白にする必要があります。 フォームをチェックして、これが当てはまるかどうかを確認する必要があります。

例として、GDPRに準拠する前の現在のブーツ登録フォームがオプトインボックスにチェックマークを付け、ユーザーに積極的にオプトアウトするように強制しました。 非常にいたずらでユーザーエクスペリエンスが悪いため、5月までに変更する必要があります。

GDPRオプトインの失敗

2020年には、GDPRの要件に従って、そのフォームのチェックが外されました。

Boots2020ウェブサイトGDPRコンプライアンス

一方、Sainsbury'sは、オプトインを想定し、オプトアウトするためにボックスにチェックマークを付けることを強制することによって、私に素晴らしい経験を与えていないことを主張します。 私は彼らがその上で風の近くを航行しているかもしれないと主張し、潜在的な顧客として私を喜ばせていないことは間違いありません:

2020 GDPRSainsburysがオプトアウト

2.バンドルされていないオプトイン

あなたが求めている同意は、利用規約に同意するために、そしてデータを使用する他の方法についての同意を受け入れるために別々に設定されるべきです。

この例では、Sainsbury'sは利用規約への同意を明確に示しており、連絡先の許可に対するアクティブなオプトインを個別に示しています。

Sainsbury'sが、通信のオプトイン設定(電子メール、SMS、投稿)に関してより詳細なオプションを取得できなかったのは残念です。

セインズベリーグラニュラーオプトイン

3.きめ細かいオプトイン

ユーザーは、さまざまな種類の処理に対して個別の同意を提供できる必要があります。

この例では、ABC Awardsは、各タイプの処理(郵便、電子メール、電話)の特定の許可を求めており、第三者に詳細を過去に渡す許可も求めています。

4.許可の取り消しまたはオプトアウトが簡単

同意を与えるのと同じくらい簡単に同意を削除する必要があり、個人は常に同意を取り消す権利があることを知る必要があります。

Webユーザーエクスペリエンスの観点から、これは、購読解除が特定の通信ストリームへの同意を選択的に撤回することで構成されている可能性があることを意味します。

同意を取り消すGDPR

または、通信の頻度を簡単に変更するか、すべての通信を完全に停止します。

同意の頻度なし

5.指名された当事者

Webフォームでは、同意が付与されている各当事者を明確に識別する必要があります。 サードパーティ組織の具体的に定義されたカテゴリを言うだけでは十分ではありません。 名前を付ける必要があります。

この例では、John Lewisが、Waitrose、John Lewis、およびJohn Lewis FinancialServicesからの更新にそれぞれ名前付きのアクセス許可を与える必要があるという要点を理解していることがわかります。

以前は、フォームはユーザーにオプトインではなくオプトアウトするように求めていました。

ジョンルイスの許可

6.プライバシーに関するお知らせと利用規約

情報コミッショナーオフィス(ICO)は、Webサイトで使用できるプライバシー通知のサンプルを非常に親切に提供してくれました。 簡潔で透明性が高く、簡単にアクセスできます。

また、GDPRの用語を参照するには、ウェブサイトの利用規約を更新する必要があります。 特に、情報を受け取った後の情報の取り扱いと、この情報をWebサイトとオフィスシステムの両方で保持する期間を明確にする必要があります。

また、データを収集する方法と理由を伝える必要があります。 プライバシーポリシーでは、ユーザーの操作を追跡するために使用しているアプリケーションを詳しく説明する必要があります。

7.オンライン支払い

あなたがeコマースビジネスであるなら、あなたは金融取引のために支払いゲートウェイを使用している可能性があります。 あなた自身のウェブサイトは、支払いゲートウェイに詳細を渡す前に個人データを収集している可能性があります。

この場合、情報が渡された後にWebサイトにこれらの個人情報が保存されている場合は、Webプロセスを変更して、妥当な期間(60日など)後に個人情報を削除する必要があります。 GDPR法は日数について明確ではなく、合理的かつ必要なものとして何を擁護できるかについてはあなた自身の判断です。

8.サードパーティの追跡ソフトウェア

サードパーティの追跡ソフトウェアに関しては、物事がトリッキーになり始めています。

多くのWebサイトは、Webサイトでサードパーティのマーケティング自動化ソフトウェアソリューションを使用しています。 これらは、Lead Forensics、Leadfeeder、CANDDIなどのリード追跡アプリケーションである可能性があります。 または、Infinity CallTrackingやRulerAnalyticsなどの通話追跡アプリケーションの場合もあります。

これらの追跡アプリケーションの使用は、GDPRコンプライアンスの観点からいくつかの非常に興味深い質問を提起し、私の意見では、これは灰色の領域のままです。 一見したところ、これらのアプリケーションは、ユーザーが予期しない方法でユーザーを追跡し、ユーザーは同意を与えいません。 たとえば、私があなたのWebサイトに戻ったり、あなたのサイトの特定のページを表示したりするたびに、私の行動を追跡しています。

ただし、これらのアプリケーションのサプライヤは、GDPRに準拠していることを保証します。

まず、CANNDIのようなサプライヤーは、Cookieが使用されていることを明確かつ明確に示すバナーにアドバイスしています。

CANNDIGDPRコンプライアンス

また、ソフトウェアサプライヤは、Cookie追跡テクノロジの使用は、データコントローラとしてのビジネスの正当な利益であり、具体的には「ダイレクトマーケティング目的の処理または不正の防止」を可能にするリサイタル47であると主張しています。

CANNDIのアドバイス:

正当な利益-ウェブサイトの追跡で正当な利益の原則を使用する場合は、GDPRの準備中にこれが事実であることを記録しておくことをお勧めします。 これには、これを使用している理由が含まれている必要があります。

GDPRの観点を共有してくれたCANNDIに感謝し、それを読むことをお勧めします(PDF)。

CANNDIOGDPRの視点

これらのツールのプロバイダーは、GDPRに準拠していると確信しています。 しかし、ソフトウェアが違法なことをしている場合、それはデータ管理者としてのあなたのビジネスの責任です。 本当の問題は、この種のソフトウェアを使用する際のGDPRコンプライアンスのリスクを特定し、ビジネスオーナーとしてのリスクを軽減することです。 その結果、これらのソフトウェアプロバイダーとの契約を注意深く確認する必要があります。

9. GoogleAnalyticsとGoogleTag Managerはどうですか?

GDPRに対するGoogleの取り組みに関心がある場合は、次のWebサイトから始めることをお勧めします。Googleがデータ保護法にどのように準拠しているか

多くのウェブサイトは、GoogleAnalyticsを使用してユーザーの行動を追跡するように構成されています。 GoogleAnalyticsは常に匿名の追跡システムでした。 収集される「個人データ」はないため、GDPRはその使用に影響を与えないと思います。

Googleタグマネージャーに関して; これは、少量のコードを挿入することでWebサイトがサードパーティのアプリケーションに情報を送信できるようにする強力なツールです。 社内のデータリポジトリ、外部のリマーケティングおよびリターゲティングシステム、およびその他の多数のサービスを統合できます。 タグマネージャーに関する企業の問題は、タグマネージャーにアクセスできる個人(Webデザイナーやデジタルマーケティングエージェンシーなど)と契約を結び、法的責任を次のように理解できるようにすることです。データ管理者としてあなたに代わってデータ処理者。

したがって、新しいGDPRの根本的な問題は、サードパーティのデータプロセッサを特定して契約を結び、両方の利益を保護することです。

10.そして最後に…GDPRに準拠する必要があるのはあなたのウェブサイトだけではありません

GDPRで導入された変更は、ビジネス全体に浸透します。この一連の記事では、純粋にデジタルマーケティングに焦点を当てています。

あなたがあなたのウェブサイトの詳細を計画し始めるとき、あなたはあなたが考慮する必要があるであろう問題のアラジンの洞窟を明らかにするでしょう。 情報コミッショナーは参考のために優れたリソースを提供していますが、5月の締め切りに近づくにつれ、今検討すべきいくつかの重要な質問があります。

  • あなたはおそらく、ビジネスのさまざまな場所にたくさんの個人データを保存しています。 あなたはあなたが保持しているデータの十分な理解と文書化された記録を持っていますか?
  • 保持しているデータの同意を取得または更新する必要がありますか?
  • 個人データを保持する期間について定義されたポリシーがあるので、不必要に保持せず、最新の状態に保つことができますか?
  • データセキュリティのテクノロジーと人的要因の両方を念頭に置いて、データは安全に保持されていますか?
  • あなたがデータ管理者またはデータ処理者(あるいはその両方)であるかどうかにかかわらず、あなたは正しい法的取り決めを持っていますか?

Webデザインとクリエイティブについてサポートが必要な場合は、遠慮なくお問い合わせください。