GDPR 即将到来:对数字反馈收集的影响 2018 年 3 月 21 日
已发表: 2018-03-21你是否在想着GDPR的到来而彻夜难眠? 如果是这样,你并不孤单。 仍有许多组织(大小)不完全确定如何为即将到来的数据收集监管变化做好准备,尤其是与数字反馈有关的变化。 不过别担心,现在开始还为时不晚!
本文将引导您了解GDPR的基础知识(例如,它是什么以及谁会受到影响)、在数字反馈收集方面需要注意的最关键的变化、遵守这些法规的重要性、如果您选择的后果我们在 Mopinion 所做的工作是为了让我们自己和我们的客户为新立法做好准备。
让我们从基础开始。
什么是 GDPR?
通用数据保护条例(通常称为GDPR )是一项新的欧洲隐私条例,将于 2018 年 5 月 25 日生效。该条例将在欧盟和 EEA 地区的所有地方隐私法中实施,并适用于所有出售或存储有关欧盟和欧洲经济区公民个人数据的企业。 换句话说,它将永久改变企业收集、存储和使用客户数据的方式。 作为回报,欧盟和欧洲经济区公民将对他们的个人数据及其处理方式拥有更多控制权。 
什么被视为“个人数据”?
根据 GDPR 指令的定义,
“个人数据是与个人相关的任何信息,例如姓名、照片、电子邮件地址、银行详细信息、社交网站上的更新、位置详细信息、医疗信息或计算机 IP 地址。”
GDPR 会影响谁?
为了简化这一点,主要是“控制器”和“处理器”(数据)将直接受到 GDPR 的影响。
控制者(例如 Mopinion 的客户)是决定数据处理方式和原因的任何企业或政府实体。
处理者(例如 Mopinion)是代表控制者执行(技术方面)数据处理的企业。
重要的是要认识到,根据新规定,控制器/处理器在世界上的哪个位置或运行的位置并不重要。 如果他们与欧盟公司开展业务或从欧盟公民那里收集数据,他们与在欧盟/欧洲经济区地区运营的公司一样有义务遵守 GDPR。
免费白皮书:在线客户反馈的未来
了解如何利用在线客户反馈的力量来优化网站和应用程序。
注意:虽然本文将仅关注数字反馈收集,但重要的是要认识到,还有关于这对会话回放和记录工具意味着什么的讨论,尤其是这些类型的工具——最近——经常出现在新闻中由于“无意收集密码”。 要了解有关这些工具的更多信息,以及 GDPR 实施后它们在隐私方面可能存在的不足之处,请务必查看这篇文章。
GDPR 对反馈数据收集意味着什么?
数字优先企业的百万美元问题……这项新法规将如何影响我们目前在线收集反馈数据的方式? 解决这个问题的最简单方法是解决最关键和最受关注的主题/问题。
1. 数据同意/合法处理。 这也许是未来最大的变化之一。 GDPR 规定,收集个人数据(以及数据处理目的)的同意必须以您的客户易于访问的形式提供。 注意:同意必须像给予一样容易撤回。
很高兴知道:由于 GDPR 指日可待,如果没有任何软拷贝,PDF 上的电子签名是必不可少的。 您可以从如何编辑 PDF 指南中了解如何向 PDF 文件添加签名以及更多 PDF 提示和技巧。
由于客户反馈属于数据处理,因此也必须合法处理。 这意味着(如上所述)您只能在访问者同意的情况下收集他们的反馈。 但是,您可以辩称收集反馈符合您的合法利益,在这种情况下不需要征得同意。
注意:GDPR 非常明确地禁止组织使用“合法利益”条款作为营销活动的借口,因此将这些条款分开很重要! 当您计划将数据用于营销活动等目的时,您必须通知您的客户。 此外,如果您希望共享客户数据,客户必须首先表明他们是否愿意参与。
总而言之:
你会处理敏感数据吗?
然后,您需要明确同意才能收集反馈。
如果不是,则处理符合您的“合法利益”。
资料来源:CustomerSure
2. 访问权。 您正在收集其数据的个人有权确认对其个人数据的处理方式。 注意:此信息必须免费提供给个人。
3. 被遗忘的权利。 个人可以要求控制者从系统中删除他们的个人数据,并停止第三方处理。 只有当数据的可用性是公共利益问题时,控制者才能提出抗议。
4. 设计隐私。 这包括从一开始就促进隐私和数据保护合规性的需要。 这包括数据控制者采取技术和组织措施来满足法规要求。 例如,仅处理操作所需的数据。 
5. DPO。 也称为数据保护官,必须任命 DPO。 注意:这种情况有一些例外。 DPO 的作用是“遵守有关数据保护的法律和惯例,在内部进行隐私评估,并确保与数据有关的所有其他合规事项都是最新的。”
注意:这适用于处理或存储大量个人数据的任何组织,即处理者和控制者——除非控制者“满足强制指定的标准”,在这种情况下,处理者不需要指定 DPO。 
资料来源:Computing.co.uk
6. 数据可移植性。 这指的是正确的个人必须将他们的数据从控制器切换到控制器,这意味着企业必须能够以合适的机器可读格式(例如 CSV 文件)交付客户数据。 控制者必须在一个月内回复此请求。
7. 数据泄露。 如果您遭受数据泄露,必须在 72 小时内(即一旦发现泄露)向 ICO(信息专员办公室)发送通知,并且必须通知受泄露影响的个人。 在给 ICO 的通知中,重要的是要概述以下内容:被泄露数据的性质、将有多少人受到影响、泄露将对受影响的人产生什么样的后果,以及您将采取哪些行动以应对违规行为。
为此做好准备的一个好方法是通过彻底的数据映射。 这意味着反馈数据的控制者和处理者知道他们收集了哪些数据、存储在哪里、起源于哪里、谁可以访问它以及涉及哪些风险。
要查看 Mopinion 的数据泄露程序,请单击此处。 
提示:避免在反馈回复中收集个人数据
您的用户很可能会在您的反馈表的开放评论部分提交个人数据。 幸运的是,有几种方法可以防止这种情况发生。 其中之一是通过表单中的直接链接将用户转移到您的客户支持页面。 或者,您可以在反馈表中加入工具提示,提醒用户不要包含个人数据。 例如,“请不要在此文本字段中包含您的联系方式”。
为什么要遵守这些严格的规定?
在反馈数据收集方面遵守 GDPR 非常重要的原因有很多。 对于初学者来说,不遵守规定可能会受到各种罚款。 消息来源说:
您的数据保护机构可能会处以最高 2000 万欧元或全球年营业额 4% 的罚款,以较高者为准。
此外,它可能会严重损害您的品牌声誉。 例如,如果您的企业因未能遵守法规而被罚款,您的客户会认为您没有把他们的利益放在心上或重视他们的隐私。
遵守的另一个原因是简化的数据保护法规将减少所犯错误的数量。 换句话说,对错误处理数据的恐惧将导致数据存储和处理更加结构化和有组织。
注: GDPR 第 5 条规定:“控制者应对原则负责并能够证明其遵守原则”。 这意味着公司不仅必须遵守法规,还必须证明他们遵守规定。 许多人建议,为了做到这一点,您应该保留所有数据处理决策的记录。
后果是什么?
如前所述,违反 GDPR 中的任何条款的后果都可能对企业的声誉和财务造成损害。 后果的具体情况将根据几个因素而有所不同,包括:
- 侵权行为持续了多长时间
- 有多少人受到影响
- 侵权行为的总体影响水平
注意:控制者和处理者都可能承担后果。
Mopinion 正在为 GDPR 做哪些准备工作?
Mopinion 一直在积极采取措施为 GDPR 做准备。 与我们的法律团队密切合作,我们计划发布一份隐私声明附录,详细说明 Mopinion 将如何处理数据。 这将在 4 月初推出。
作为处理方,我们将确保/提供以下内容:
- 我们现有的隐私政策和条款将附有一份新的附录,该附录将根据 GDPR 提供有关政策变更的详细信息。
- 在数据保留方面,只要我们的客户签订合同,我们就会存储数据。 对于企业客户,我们遵守基于其安全策略的定制数据处理协议 (DPA),其中可以根据自定义时间间隔自动删除数据。 我们还将向客户提供 DPA。 这是使用我们自己的模板完成的,该模板可根据客户成功团队的要求提供。
- 所有隐私敏感数据(例如反馈表中的联系方式,包括电话号码、电子邮件地址和姓名)都将被加密。 此外,一旦呈现屏幕截图,使用我们的视觉反馈功能在输入字段中捕获的任何数据都将自动模糊(或屏蔽)。
- 对于欧洲客户:我们将您的所有个人数据保存在爱尔兰。
- 我们将组织额外的专业安全评估,以确保所有个人数据 100% 安全。
- 所有已处理数据的内部映射,我们在其中记录对上述原则的遵守情况并在需要时进行更改。
在 Mopinion,我们非常重视隐私。 我们一直在与一家律师事务所并肩工作,以确保在 GDPR 敲门之前一切就绪。 现在,距离这项新规定生效还有不到两个月的时间,Mopinion 团队仍然对我们为保护客户数据而实施的隐私和安全措施充满信心。 这当然是一个挑战,但为了互联网隐私,我们愿意接受这一挑战。
Kees Wolters,Mopinion 联合创始人/营销主管
使用客户反馈的公司的关键要点
您是否在您的网站或移动应用程序上收集客户反馈? 这些是本文最重要的内容:
- 隐私环境正在迅速变化,因此请不要拖延采取措施保护用户隐私并满足 GDPR 要求。
- 任命 DPO 处理所有合规事宜。
- 确保您的隐私政策和条款与条件文件清楚地说明您如何在您的网站或移动应用程序上使用您的反馈工具。
- 处理仅符合您“合法利益”的数据。 换句话说,尽量不要收集您不需要的数据,也不要将收集到的数据用于营销目的(除非您同意)
- 确保您(处理者)和您的反馈软件提供商(控制者)都遵守 GDPR。
还在为新规定感到迂腐?
请务必查看官方的通用数据保护条例。