营销人员的最终 GDPR 清单

许多营销人员对数据隐私法规(尤其是 GDPR)仍然感到困惑。需要了解的内容很多,但从实际角度来看,它如何发挥作用?以下营销人员指南应能帮助您在处理 GDPR 法规时理顺营销流程要了解一些背景信息,您可能还想阅读我们对GDPR 和营销的概述,并收听我们与专家 Steven Roberts 关于数据隐私 101 的播客。

GDPR 准备

审计您的数据

本指南适用于在处理欧盟公民信息的公司工作的营销人员。许多位于欧盟以外的公司也可能无意中处理与欧盟公民有关的数据 – 因此这些公司的第一步是审核其数据并查明其中是否有任何与欧盟公民有关的数据。

专业提示:不要误以为,如果您符合 GDPR 规定,那么您可能在所有市场都符合规定。尽管 GDPR 可以说是世界上最严格的数据法规,但您还必须了解您交易的任何市场中当地法规的细微差别,例如《加州消费者隐私法案》(CCPA)。有关受影响人员和地点的完整信息,请查阅欧盟 GDPR 官方网站

熟悉你的 IT 团队

GDPR 合规的大部分工作都属于营销和 IT 部门的责任。在本指南中,我们将讨论属于营销部门的项目,但您需要与 IT 部门或提供商密切合作。

IT 部门需要您的帮助来涵盖 GDPR 合规性中非常重要的要素,例如:

  • 了解数据存储在何处(存储在哪个国家?是在传统机器上还是在本地服务器上?是在云中吗?)
  • 为安全漏洞做好准备
  • 确保数据处理的每个步骤都有安全措施

遵守 GDPR

数据通常被视为“新石油”。采取措施确保以合规方式使用数据是明智之举。

近年来,我们看到了许多备受瞩目的数据泄露事件,这些事件造成了财务和声誉损失。英国航空公司因未能保护超过 40 万名客户的个人和财务信息而被罚款 2000 万英镑。万豪酒店集团因未能保护数百万客户的个人数据安全而被罚款 8050 万英镑。 

不合规可能由多种因素造成。这可能是一个故意的决定。例如,许多组织在使用个人数据方面被发现不然而,在许多情况下,这仅仅是人为错误或组织疏忽的结果。(这就是为什么持续培训如此重要!)

您知道吗?截至 2022 年 1 月的 12 个月内,欧盟数据保护机构开出了近 11 亿欧元的罚款!

为了确保遵守 GDPR,公司需要:

  • 透明地说明他们如何收集和使用个人数据。
  • 制定流程和程序来保护这些数据。 
  • 当数据受到泄露时要承担责任。

有关营销人员对 GDPR 合规性的责任的更多信息,  请参阅我们的GDPR 和营销文章。

GDPR 合规的 8 个步骤

以下是 GDPR 合规性的八步检查表:

  1. 使您的隐私政策页面达到最新状态。
  2. 审核您当前的数据库以获取选择加入的同意。
  3. 重新加入当前数据库的活动。
  4. 创建一个选择加入同意的流程。
  5. 让销售团队参与进来。
  6. 审查有权访问您数据库的第三方。
  7. 拥有简化的信息请求流程。
  8. 为安全漏洞做好准备。

步骤 1. 完善您的隐私政策页面

GDPR 对您的隐私政策包含严格的规定 – 它必须如何编写、必须包含哪些内容以及如何访问。

  • 虽然您应该与您的法律团队或法律顾问一起制定隐私政策的措辞,但 GDPR 法规规定,它必须以“简洁、透明、易懂、易于访问,使用清晰、平易近人的语言”编写。
  • 您必须提供“预期处理的有意义的概述”——您将如何使用所收集的数据。
  • 提供您所在组织的数据控制者和数据保护官员的身份和联系方式。
  • 如果您打算与第三方共享数据,请确定这些组织以及为保护所传输数据而采取的措施。

此外,请提供以下详细信息:

  • 预期保留期限或确定该期限所用的标准
  • 有关访问、更正或删除个人数据的权利的详细信息 
  • 关于撤回任何及所有数据处理同意的权利的详细信息
  • 向监管机构投诉的权利
  • 任何自动决策的详细信息,包括所用逻辑的详细信息以及对个人的潜在影响 

重要提示:从高层领导开始,并确定整个组织中数据保护的倡导者。GDPR 不仅仅是一个营销问题!

第 2 步:审核当前数据库以获取选择加入同意信息

首先确定您是否明确同意使用当前数据库的个人详细信息,以及他们同意将其数据 用于哪些具体目的。

确保记录了他们对每个目的的同意,然后根据记录的同意按目的将数据库划分为单独的列表。接下来,为每个列表创建“后续步骤”计划 – 联系以重新确认同意或为不同目的请求同意。您可能需要在以下情况下重新确认选择加入:

  • 来自第三方的联系方式
  • 未记录选择加入
  • 不明确的选择(没有明确同意每次使用数据)
  • 不选择加入您一直使用或希望使用数据的某些方式
  • 如果记录了您选择加入但您长时间未参与

步骤 3. 重新选择加入当前数据库的活动

根据您在步骤 1 中确定的列表,创建引人入胜的活动来请求联系人选择加入或重新选择加入,以实现您希望使用其数据的某些目的。

这绝非易事,因为消费者对个人数据隐私的担忧从未如此强烈。如果人们不相信您会以合理和公平的方式使用这些数据,他们就不愿意与您分享这些宝贵的数据。通过展示您对 GDPR 的承诺,您可以帮助安抚客户并提高您的声誉。 

向消费者清楚地传达他们应该同意您使用其数据的好处,并向他们保证将尽最大努力保护他们的数据。

  • 为每个活动创建正确的信息。
  • 创建有吸引力的登陆页面和选择加入表格。
  • 如果与您的业务相关或可行,请通过营销或销售团队的个性化电话跟进电子邮件。 

注意:口头同意在录音电话中提出明确问题是一种有效的选择加入形式。为进行这些通话的团队成员创建脚本。

步骤 4. 创建选择加入同意流程

对于审核后添加到数据库的任何新联系人详细信息,您需要确保有一个流程来收集每个新联系人所需的选择加入级别,并将其详细信息添加到适当的列表中。 

GDPR 法规规定,现在必须由客户主动选择加入来征得同意,而不是默认加入,然后客户必须选择退出。例如,这意味着联系表单末尾允许销售和营销沟通的复选框必须默认取消选中,用户必须选中复选框才能选择加入。 
以下是人们可以主动选择加入的一些示例:

  1. 勾选加入复选框
  2. 点击选择加入按钮或链接
  3. 从“是/否”选项下拉菜单或按钮中选择
  4. 在他们的帐户仪表板中设置首选项。
  5. 回复请求同意的电子邮件
  6. 对明确的口头同意请求回答“是”——当面或通过电话
  7. 在纸质表格上签署同意声明。 

选择加入同意

对于您希望使用其数据的每种方式,您还需要单独获得选择加入的同意。一旦您决定了新的选择加入流程:

  • 调整您网站上的博客或新闻通讯订阅表格,以包含您希望使用数据的每种方式的具体和明确的选择加入。
  • 调整您网站上的所有表格(联系方式、报价请求、演示请求等)以包含特定的明确选择。
  • 从所有表格链接到您的隐私政策。
  • 提供明确的取消订阅方式。
  • 如果您出于任何原因保留了数据库的副本,请记录一个流程,如果客户要求退出所有或特定类型的联系信息,则可以从每个副本中删除所有客户信息
  • 培训所有现有和新团队成员遵循此程序的重要性。
  • 询问每个新项目、工具或流程如何影响您的数据收集、处理和存储程序。

请记住:您的业务的合规性取决于您团队中受培训最少的人员,因此对现有员工的持续培训至关重要!

第 5 步:让销售团队参与进来

如果您的业务是销售线索生成业务(而不是零售或电子商务),那么营销可能会带来销售线索并将其传递给销售团队进行转化。

过去,您的销售团队可能会获取潜在客户的数据库,这些潜在客户会提供电子邮件来下载受限内容或订阅新闻通讯,并通过推销或提供免费试用或演示来联系他们。但是,根据 GDPR,除非潜在客户明确同意销售团队联系他们,否则这种做法不再被允许。

为销售团队举办 GDPR 培训,以:

  • 为减少引线数量做好准备。
  • 教育他们不遵守 GDPR 的后果。
  • 让他们知道他们可以与哪些潜在客户互动。
  • 教育他们如何在社交、与冷门线索接触或在 LinkedIn 上时获取和记录选择加入的同意。
  • 审查销售线索从营销部门转移到销售部门的过程,并与 IT 部门合作,确保该路径上的所有步骤都是安全的。

第 6 步:审查有权访问数据库的第三方

您与哪些第三方共享数据?他们如何使用数据?他们的 GDPR 政策是什么?

  • 审查所有访问您客户数据的合作伙伴。他们需要访问权限吗?他们用这些数据做什么?如果需要,撤销访问权限。
  • 联系所有仍必须访问您的数据库的外部合作伙伴,并确认他们的工作流程是安全的且符合 GDPR 要求。
  • 这同样适用于您输入或通过其收集客户数据的软件提供商。询问他们将数据存储在哪里(国家/地区),以及是否需要在有关该软件的隐私政策中添加任何内容。

对于营销机构

如果您是代理机构的数字营销人员(而不是公司内部人员),您很可能是处理许多公司数据库的第三方之一。例如,您可能有客户与您共享文档、Excel 文件、CRM 访问权限或网站 CMS 访问权限,这些访问权限会向您显示其客户的个人数据。 

审计您与每个客户的交易和访问级别,以及您发现您可以访问个人数据的地方:

  • 要求修改您对可以访问个人数据的软件的访问级别,以便仅允许您查看所需的内容 – 例如交易号码和收入,但不包含任何个人数据。
  • 让客户所有者访问 Google Ads 之类的内容(如果他们还没有的话),并培训他们上传自己的数据库列表。

第 7 步:建立简化的信息请求流程

遵守 GDPR 有助于确保您能够及时、适当地响应数据访问请求。请记住,GDPR 的一项关键原则是合理使用个人数据,客户可能会就此向您提出询问。 

您知道吗?这有时被称为“合理人测试”。一个合理的人会认为什么样的做法是合法和公平的?通俗地说,这个人通常被称为克拉珀姆公共汽车上的人! 

GDPR 规则规定,您必须能够在最迟一个月内对信息请求提供完整回复。“完整回复”必须包括:

  • 记录了哪些关于个人的数据
  • 数据存储在哪里
  • 为什么记录和使用这些数据
  • 你打算保留多长时间

建立一个检索这些数据的简化流程:

  • 在您的网站上创建一个带有信息请求表的登录页面。
  • 指定一名(或多名)团队成员负责检查请求、提取数据(如果可能,从自动化工具中提取)并在一个月内做出回应。
  • 起草一个模板回复电子邮件,其中可以添加个人数据,其中还包括取消订阅或管理同意级别的选项,以及更新或删除数据的选项。

第 8 步:为安全漏洞做好准备

虽然您的 IT 团队将承担预防、准备和处理技术安全漏洞的大部分工作,但当安全漏洞成为头条新闻时,营销和客户服务部门通常会站在第一线,处理客户投诉和疑问。

准备应对可能发生的安全漏洞的样板危机沟通文件,包括:

  • 包括联络点、紧急联系电话、发言人等的流程文件
  • 媒体声明草稿、博客和社交媒体更新
  • 一份草稿脚本以及通过电话或社交媒体对现场客户问题的简短回复
  • 单页文件和问答文件,概述了各部门为遵守 GDPR 和 IT 安全而采取的步骤

数据保护实践的 5 条最后建议

在我们的,Steven Roberts 提出了以下五点要点。

  1. 审计您的数据
  2. 仔细查看您的流程和程序 
  3. 定期培训
  4. 掌握基础知识并不断巩固。
  5. 确定营销团队中的数据保护倡导者

不要惊慌。记录您的 GDPR 流程。

GDPR 合规性可帮助您检查是否已实施强大的数据保护流程,并且是否能够有效应对任何数据泄露。 

遵守 GDPR 并非“好事”。如果组织未能保护个人数据,可能会面临巨额罚款和声誉损害。遵守法规具有商业意义,要保持合规,您必须随时了解最新的数据趋势和威胁。 

如果您遵循上述指南并记录您的流程,您可以表明您正在尽最大努力遵守法规。 

注意:请勿将此清单视为法律建议 – 您应该与您的 IT 团队和法律团队合作,以确保在合规性方面没有任何疏漏。

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top