GDPR 即將到來:對數字反饋收集的影響 2018 年 3 月 21 日
已發表: 2018-03-21你是否在想著GDPR的到來而徹夜難眠? 如果是這樣,你並不孤單。 仍有許多組織(大小)不完全確定如何為即將到來的數據收集監管變化做好準備,尤其是與數字反饋有關的變化。 不過別擔心,現在開始還為時不晚!
本文將指導您了解GDPR的基礎知識(例如,它是什麼以及誰會受到影響)、在數字反饋收集方面需要注意的最關鍵的變化、遵守這些法規的重要性、如果您選擇的後果我們在 Mopinion 所做的工作是為了讓我們自己和我們的客戶為新立法做好準備。
讓我們從基礎開始。
什麼是 GDPR?
通用數據保護條例(通常稱為GDPR )是一項新的歐洲隱私條例,將於 2018 年 5 月 25 日生效。該條例將在歐盟和 EEA 地區的所有地方隱私法中實施,並適用於所有出售或存儲有關歐盟和歐洲經濟區公民個人數據的企業。 換句話說,它將永久改變企業收集、存儲和使用客戶數據的方式。 作為回報,歐盟和歐洲經濟區公民將對他們的個人數據及其處理方式擁有更多控制權。 
什麼被視為“個人數據”?
根據 GDPR 指令的定義,
“個人數據是與個人相關的任何信息,例如姓名、照片、電子郵件地址、銀行詳細信息、社交網站上的更新、位置詳細信息、醫療信息或計算機 IP 地址。”
GDPR 會影響誰?
為了簡化這一點,主要是“控制器”和“處理器”(數據)將直接受到 GDPR 的影響。
控制者(例如 Mopinion 的客戶)是決定數據處理方式和原因的任何企業或政府實體。
處理者(例如 Mopinion)是代表控制者執行(技術方面)數據處理的企業。
重要的是要認識到,根據新規定,控制器/處理器在世界上的哪個位置或運行的位置並不重要。 如果他們與歐盟公司開展業務或從歐盟公民那裡收集數據,他們與在歐盟/歐洲經濟區地區運營的公司一樣有義務遵守 GDPR。
免費白皮書:在線客戶反饋的未來
了解如何利用在線客戶反饋的力量來優化網站和應用程序。
注意:雖然本文將僅關注數字反饋收集,但重要的是要認識到,還有關於這對會話回放和記錄工具意味著什麼的討論,尤其是這些類型的工具——最近——經常出現在新聞中由於“無意收集密碼”。 要了解有關這些工具的更多信息,以及 GDPR 實施後它們在隱私方面可能存在的不足之處,請務必查看這篇文章。
GDPR 對反饋數據收集意味著什麼?
數字優先企業的百萬美元問題……這項新法規將如何影響我們目前在線收集反饋數據的方式? 解決這個問題的最簡單方法是解決最關鍵和最受關注的主題/問題。
1. 數據同意/合法處理。 這也許是未來最大的變化之一。 GDPR 規定,收集個人數據(以及數據處理目的)的同意必須以您的客戶易於訪問的形式提供。 注意:同意必須像給予一樣容易撤回。
很高興知道:由於 GDPR 指日可待,如果沒有任何軟拷貝,PDF 上的電子簽名是必不可少的。 您可以從如何編輯 PDF 指南中了解如何向 PDF 文件添加簽名以及更多 PDF 提示和技巧。
由於客戶反饋屬於數據處理,因此也必須合法處理。 這意味著(如上所述)您只能在訪問者同意的情況下收集他們的反饋。 但是,您可以辯稱收集反饋符合您的合法利益,在這種情況下不需要徵得同意。
注意:GDPR 非常明確地禁止組織使用“合法利益”條款作為營銷活動的藉口,因此將這些條款分開很重要! 當您計劃將數據用於營銷活動等目的時,您必須通知您的客戶。 此外,如果您希望共享客戶數據,客戶必須首先表明他們是否願意參與。
總而言之:
你會處理敏感數據嗎?
然後,您需要明確同意才能收集反饋。
如果不是,則處理符合您的“合法利益”。
資料來源:CustomerSure
2. 訪問權。 您正在收集其數據的個人有權確認對其個人數據的處理方式。 注意:此信息必須免費提供給個人。
3. 被遺忘的權利。 個人可以要求控制者從系統中刪除他們的個人數據,並停止第三方處理。 只有當數據的可用性是公共利益問題時,控制者才能提出抗議。
4. 設計隱私。 這包括從一開始就促進隱私和數據保護合規性的需要。 這包括數據控制者採取技術和組織措施來滿足法規要求。 例如,僅處理操作所需的數據。 
5. DPO。 也稱為數據保護官,必須任命 DPO。 注意:這種情況有一些例外。 DPO 的作用是“遵守有關數據保護的法律和慣例,在內部進行隱私評估,並確保與數據有關的所有其他合規事項都是最新的。”
注意:這適用於處理或存儲大量個人數據的任何組織,即處理者和控制者——除非控制者“滿足強制指定的標準”,在這種情況下,處理者不需要指定 DPO。 
資料來源:Computing.co.uk
6. 數據可移植性。 這指的是正確的個人必須將他們的數據從控制器切換到控制器,這意味著企業必須能夠以合適的機器可讀格式(例如 CSV 文件)交付客戶數據。 控制者必須在一個月內回复此請求。
7. 數據洩露。 如果您遭受數據洩露,必須在 72 小時內(即一旦發現洩露)向 ICO(信息專員辦公室)發送通知,並且必須通知受洩露影響的個人。 在給 ICO 的通知中,重要的是要概述以下內容:被洩露數據的性質、將有多少人受到影響、洩露將對受影響的人產生什麼樣的後果以及您將採取哪些行動以應對違規行為。
為此做好準備的一個好方法是通過徹底的數據映射。 這意味著反饋數據的控制者和處理者知道他們收集了哪些數據、存儲在哪裡、起源於哪裡、誰可以訪問它以及涉及哪些風險。
要查看 Mopinion 的數據洩露程序,請單擊此處。 
提示:避免在反饋回復中收集個人數據
您的用戶很可能會在您的反饋表的開放評論部分提交個人數據。 幸運的是,有幾種方法可以防止這種情況發生。 其中之一是通過表單中的直接鏈接將用戶轉移到您的客戶支持頁面。 或者,您可以在反饋表中加入工具提示,提醒用戶不要包含個人數據。 例如,“請不要在此文本字段中包含您的聯繫方式”。
為什麼要遵守這些嚴格的規定?
在反饋數據收集方面遵守 GDPR 非常重要的原因有很多。 對於初學者來說,不遵守規定可能會受到各種罰款。 消息來源說:
您的數據保護機構可能會處以最高 2000 萬歐元或全球年營業額 4% 的罰款,以較高者為準。
此外,它可能會嚴重損害您的品牌聲譽。 例如,如果您的企業因未能遵守法規而被罰款,您的客戶會認為您沒有把他們的利益放在心上或重視他們的隱私。
遵守的另一個原因是簡化的數據保護法規將減少所犯錯誤的數量。 換句話說,對錯誤處理數據的恐懼將導致數據存儲和處理更加結構化和有組織。
注: GDPR 第 5 條規定:“控制者應對原則負責並能夠證明其遵守原則”。 這意味著公司不僅必須遵守法規,還必須證明他們遵守規定。 許多人建議,為了做到這一點,您應該保留所有數據處理決策的記錄。
後果是什麼?
如前所述,違反 GDPR 中的任何條款的後果都可能對企業的聲譽和財務造成損害。 後果的具體情況將根據幾個因素而有所不同,包括:
- 侵權行為持續了多長時間
- 有多少人受到影響
- 侵權行為的總體影響水平
注意:控制者和處理者都可能承擔後果。
Mopinion 正在為 GDPR 做哪些準備工作?
Mopinion 一直在積極採取措施為 GDPR 做準備。 與我們的法律團隊密切合作,我們計劃發布一份隱私聲明附錄,詳細說明 Mopinion 將如何處理數據。 這將在 4 月初推出。
作為處理方,我們將確保/提供以下內容:
- 我們現有的隱私政策和條款將附有一份新的附錄,該附錄將根據 GDPR 提供有關政策變更的詳細信息。
- 在數據保留方面,只要我們的客戶簽訂合同,我們就會存儲數據。 對於企業客戶,我們遵守基於其安全策略的定制數據處理協議 (DPA),其中可以根據自定義時間間隔自動刪除數據。 我們還將向客戶提供 DPA。 這是使用我們自己的模板完成的,該模板可根據客戶成功團隊的要求提供。
- 所有隱私敏感數據(例如反饋表中的聯繫方式,包括電話號碼、電子郵件地址和姓名)都將被加密。 此外,一旦呈現屏幕截圖,使用我們的視覺反饋功能在輸入字段中捕獲的任何數據都將自動模糊(或屏蔽)。
- 對於歐洲客戶:我們將您的所有個人數據保存在愛爾蘭。
- 我們將組織額外的專業安全評估,以確保所有個人數據 100% 安全。
- 所有已處理數據的內部映射,我們在其中記錄對上述原則的遵守情況並在需要時進行更改。
在 Mopinion,我們非常重視隱私。 我們一直在與一家律師事務所並肩工作,以確保在 GDPR 敲門之前一切就緒。 現在,距離這項新規定生效還有不到兩個月的時間,Mopinion 團隊仍然對我們為保護客戶數據而實施的隱私和安全措施充滿信心。 這當然是一個挑戰,但為了互聯網隱私,我們願意接受這一挑戰。
Kees Wolters,Mopinion 聯合創始人/營銷主管
使用客戶反饋的公司的關鍵要點
您是否在您的網站或移動應用程序上收集客戶反饋? 這些是本文最重要的內容:
- 隱私環境正在迅速變化,因此請不要拖延採取措施保護用戶隱私並滿足 GDPR 要求。
- 任命 DPO 處理所有合規事宜。
- 確保您的隱私政策和條款與條件文件清楚地說明您如何在您的網站或移動應用程序上使用您的反饋工具。
- 處理僅符合您“合法利益”的數據。 換句話說,盡量不要收集您不需要的數據,也不要將收集到的數據用於營銷目的(除非您同意)
- 確保您(處理者)和您的反饋軟件提供商(控制者)都遵守 GDPR。
還在為新規定感到迂腐?
請務必查看官方的通用數據保護條例。