电商店主已经够忙了。SEO,社交,设计。你不需要另一个待办事项。
所以我们要马上为增加一个道歉。只是,GDPR合规太重要了,不容忽视。
GDPR实施已经一年多了,而t当然,在加强GDPR合规性方面,我们仍有需要吸取的教训和需要采取的步骤。
这篇文章将着眼于GDPR的含义,GDPR合规对您意味着什么,合规需要什么,以及如何利用它为您服务。
文章内容
什么是GDPR?
GDPR是缩写一般保障资料规例.GDPR于2016年4月通过,为所有欧洲居民的数据必须如何管理制定了规则。GDPR于2018年5月生效,影响到从病史到财务记录到互联网活动等所有数据的处理。
在这个过程中,GDPR将重塑在欧洲做电子商务的意义,影响你与客户互动的方式、你使用的工具以及你使用它们的方式。
GDPR不是一份技术文件。在所有。事实上,电子商务只讨论一次。这是脚注。他们称之为“电子商务”。GDPR与其说是一本数字剧本,不如说是一份关于基本权利的声明:“个人数据处理的设计应该是为人类服务的。”
但店主们仍然需要注意很多问题。让我们来熟悉一下GDPR。
为什么GDPR很重要
GDPR的实施源于当今时代收集、传输、管理和使用的数据越来越多。欧盟已经有了数据保护指令,但该指令是在1995年颁布的,如今已经过时,并不完全适用于数字时代。
因此,GDPR被作为替代品实施,以继续妥善保护欧盟公民的数据。根据GDPR,组织有义务遵守负责任的数据收集和使用,以保护用户的权利和隐私。
通过将这一责任赋予组织,GDPR有效地赋予了欧盟个人更多权利,以了解他们的个人信息是如何以及为什么被收集和处理的。它还赋予了他们决定如何使用这些信息的权利。
如果你在运行一个电子商务业务当GDPR生效时,你可能已经做了相当多的遵守。但如果你刚刚开始作为一个崭露头角的电子商务企业家,还在思考GDPR的问题,我们原谅你感到不知所措。
我们不会美化它- gdpr合规是工作量很大。但它也非常重要,当然不是你可以把它扫到地毯下,然后希望它会消失。
根据欧盟委员会的数据,在GDPR实施后的第一年,大约有查询投诉14.5万件以及近9万份数据泄露通知。
不遵守GDPR可能会导致相当高额的罚款和处罚——高达公司年营业额的4% !举个例子:就在最近,一家波兰零售商受到了GDPR最大罚款然而65万欧元。
在以下部分中,我们将看看GDPR如何影响您以及如何合规。
GDPR适用于谁?
无论你在哪里,GDPR适用于所有向欧洲消费者提供产品或服务的公司。
公司的首席执行官Christoph Bauer博士说:“公司是在欧洲、欧洲以外,还是在某个岛上,这都不重要ePrivacy他告诉我们。“如果向欧洲客户提供服务,他们就需要遵守法律。”
所以如果你的电子商务商店在欧洲有售在美国,你可能不得不遵守GDPR。
请记住:GDPR合规不仅仅适用于向欧洲客户销售产品的欧洲公司。它涵盖了与欧洲客户的任何互动,就这样。
当然,GDPR不仅适用于店主。GDPR合规也适用于您最喜欢的工具。谷歌,Facebook和Shopify,举几个例子,也必须遵守GDPR。稍后,我们将看看这些工具和平台是如何解决GDPR合规问题的。
GDPR合规意味着什么?
在讨论如何遵守GDPR之前,我们首先必须了解合规到底意味着什么。
为了让你更轻松,我们还不打算讲太多技术知识,所以这里有一个了解GDPR合规性的简单方法。
浏览你的网站,想象自己是自己的电子商务网站的用户。无论何时你的数据被要求-无论是你的名字,电子邮件,电话号码,等等-问自己这四个问题:
- 我知道他们在收集什么数据,他们用这些数据做什么吗?
- 他们需要我在他们网站上执行的操作的信息吗?
- 我可否随时要求更改或删除我的资料?
- 我是否被告知我作为用户的权利?
如果任何一个问题的答案是否定的,那么你可能还没有完全符合GDPR的要求。如果所有问题的答案都是“是”,那么恭喜你,你选对了!无论哪种方式,接下来的几节将有助于整理您的知识,从而使您和您的企业符合gdpr。
小企业的GDPR是怎么回事?
GDPR影响各种规模的公司。从一名员工到一万名员工,如果一家公司处理欧洲人的数据,那么GDPR就适用。
大多数电商商店只有1名员工,而不是1万名,因此了解GDPR如何区分大公司和小公司很重要。
电商店主应该知道,GDPR对待他们的方式与对待大型企业不同。例如,GDPR中的某些记录保存要求仅适用于员工超过250人的公司。
当你阅读时建议如“现在就计划您的GDPR合规方法并获得组织关键人员的‘支持’是至关重要的,”您就可以放松了。如果你是一个网上商店的老板,那么“关键人物”和“组织”可能就是你。如果是这样的话,GDPR要简单一些。
但是!无论如何,仍然有大量的GDPR要求适用于每个人。让我们开始吧。
为了遵守GDPR,店主应该做些什么?
GDPR长达88页,超过5万字,写起来就像在邮局排长队一样有趣。如果你不想读GDPR,可以原谅你。
但这些规定适用于所有面向欧洲消费者的商店,而欧洲约占全球GDP的25%。因此,即使你懒得阅读GDPR,也有一些关于GDPR合规性的事情需要记住。
GDPR的要求是什么?
每一个管理机构或文本都提出原则和诫命,作为其提出的法规的基础。
GDPR当然也不例外——它有七项原则来指导其实施、监管和惩罚。下一节将会有一点点(我们保证只有一点点)更技术性的内容,因为我们将直接从GDPR圣经中了解GDPR的七项原则。
忍耐一下!
GDPR的七项原则
1.依法、公平、透明
这表明无论您从用户那里收集什么数据必须遵守GDPR要求。公平和透明是指数据的使用和这种使用的可见性。换句话说,你声称收集他们数据的目的必须与你的行动相符。用户还必须能够看到这些操作。
2.目的限制
对数据的处理必须是“指定的、明确的和合法的”,这意味着超出指定目的使用收集的数据被视为侵权。简单地说,如果用户同意给你他/她的电子邮件来接收时事通讯,这些信息不应该以任何其他方式使用,包括用于“统计目的”。
3.数据最小化
在数据最小化原则下,所收集的数据必须保持在最小值,并且只保留必要的数据。更具体地说,它必须“与处理它们的目的有关”。如果你要求的数据比实际需要的多,你可能会被认为是违法的。
4.精度
“准确”在这里的意思就像它听起来的那样——只有更新的信息,并努力确保它们是最新的。这意味着你应该定期检查和清理你的数据。被认为“不准确”的数据必须立即删除——或者如果你更愿意听别人亲口说,“立即删除或纠正”。
5.存储的限制
GDPR的第五条原则相当长,充满了行话,所以让我们为你简化一下——删除你不再需要的任何数据,除非你有真正和合法的理由存储它们。如果你决定存储数据,你需要确定它将存储多长时间和它的目的(GDPR没有明确规定个人数据应该保存多长时间)。
6.完整性和机密性(安全)
“完整性和保密性”旨在保护所收集的数据。根据这一原则,您必须有适当和充分的“技术或组织”安全措施,以防止数据盗窃和丢失(无论是内部还是外部)。所以绝对不像Facebook-Cambridge Analytica丑闻,或者任何类似的丑闻!
7.问责制
最终的GDPR原则是欧盟政府确保您符合GDPR的方式。它指出,您必须能够演示为实现合规所采取的步骤。这意味着要清楚地记录什么时候做了什么,你是否聘请了数据保护专家,你是否定期审查你的数据,总的来说,你是否以及如何遵守GDPR。
GDPR最佳实践
我们知道。GDPR的七项原则可能相当冗长。
它看起来像是一大堆毫无动力的技术和法律术语(事实也是如此),让你想做任何事情,但却不遵守它。但不要担心,我们在这里用简单的方式向你解释。
在下一节中,我们将讨论GDPR的最佳实践,并与您分享一些示例,让您成为遵守GDPR并完全合规的电子商务所有者。
如何获得GDPR合规?
同意为王。
GDPR授权欧洲人准确控制其数据的使用方式。因此,遵守GDPR意味着你不能假设用户想要什么。
例如,GDPR规定,“沉默、预先勾选的框或不活动不应构成同意。”这意味着你应该避免这样的事情:
咨询有一个好帖子当涉及到同意时,符合gdpr的用户体验是什么样的。
只收集你需要的数据。
GDPR合规的核心是保护人们的数据。你可以通过不收集你不需要的数据来限制你的暴露。
如果知道你的顾客为哪家公司工作没有任何商业价值,那么GDPR就会激励你甚至不问。
如果您使用Shopify,您可以在“Checkout”设置中调整您向访问者提出的问题:
如果你不打算使用这些信息,那就不要问。如果你要使用它,要非常清楚你要用它来做什么。
例如,有时您会看到要求购物者提供电话号码的结帐页面。店主需要问自己,“我要用这个人的电话号码做什么?”
询问电话号码绝对有正当的理由。可能是为了短信宣传,也可能是为了防止欺诈订单。如果送货地址和IP地址不在同一地点,Shopify的欺诈检测机制就会标记订单,然后使用电话号码来保护消费者并获得确认。就GDPR合规而言,这完全没问题。一定要把这些解释清楚条款和条件还有隐私政策。
把一切都说清楚。
负责GDPR合规的监管机构喜欢透明。你可以在你网站上的“订阅”旁边放一个“退订”链接。您可以从页脚直接链接到您的条款和条件。还有你的隐私政策。
将所有这些东西公开是保护自己免受GDPR合规担忧的最简单方法之一。如果您有经过认证或验证的流程,请告诉全世界!时尚巨头Zalando是这样做的:
不要做偷偷摸摸的事情。
对于雇员少于250人的公司来说,GDPR在很大程度上可以归结为不能鬼鬼祟祟。如果你诚实、透明,并实施最佳实践,你就不会面临GDPR带来的巨额罚款。
在关于GDPR的博客文章,科技安全提供商Sophos是这样说的:
尽管这一切看起来令人生畏,但小企业可以从中得到安慰:只要他们能证明他们已经尽了最大努力来满足GDPR的要求,监管机构就会与他们合作解决可能出现的任何问题。
这意味着……
继续在欧洲销售!
欧盟并没有试图关闭网上商店。事实上,在“数字单一市场”,数百亿欧盟一直痴迷于创建一个更强大的数字经济。
此外,监管机构明白,一些数据存储对于保持数字经济的运行至关重要。
因此,尽管GDPR看起来有点老派,但它并不是打击电子商务的协调努力的一部分。这意味着你可以在欧洲想卖多少就卖多少!
GDPR合规检查清单
简而言之,这里有一份GDPR清单,列出了你必须遵守的内容。
- 一定要得到明确的同意。这意味着既不是预先打勾,也不是假设。
- 只收集必要的东西。规则是,如果你不需要它,就不要要求它。
- 公开你的GDPR合规性。退出选项、条款和条件、隐私声明必须清晰可见。如果你有经过认证的信任标记,那就炫耀一下。
- 保持透明和诚实。完全遵守GDPR可能不是在公园里散步,如果你的方法是直接的,监管机构可能会对任何软违规行为视而不见,甚至会帮助你。
请注意,这份GDPR清单仅供参考。每个组织都有自己特定的GDPR要求和政策要陈述。
如何编写一份成功的符合GDPR的隐私政策
你可能已经注意到,“隐私政策”这个词一直在出现。这是因为它是GDPR的关键要求和组成部分之一。
你是否使用隐私策略生成器或者从头开始,你的隐私政策应该清楚地列出并阐明你如何收集和处理你收到的数据,以及你为防止违反数据保护原则而采取的措施。
首先,你的隐私政策必须
- 让你的网站的每一个页面都很容易访问;
- 清晰可见,不被颜色或定位所遮蔽;而且
- 使用常用的术语,如“隐私政策”或“隐私”或“数据保护通知”。
例如,下面是Shopify在页脚中的隐私政策。
在隐私政策本身,必须使用“清晰明了”的语言。这意味着避免使用类似于(来自欧盟官员的)措辞透明性准则):
“我们可能会使用您的个人数据来开发新服务”(因为目前尚不清楚“服务”是什么,也不清楚这些数据将如何帮助开发这些服务);
“我们可能会将您的个人数据用于研究目的(因为尚不清楚这指的是哪种类型的“研究”);而且
“我们可能会使用您的个人数据来提供个性化服务”(因为目前尚不清楚“个性化”意味着什么)。
这些都是模糊的,不足以让用户理解他们的数据是如何被使用的。
以下是欧盟提出的一个适用于电子商务企业的好例子:
“我们会保留你的购物历史,并使用你以前购买过的产品细节,为你提供我们相信你也会感兴趣的其他产品的建议。”
除了语言清晰简单之外,要使您的隐私政策符合GDPR要求,它还必须是全面的。以下是你需要包括的信息:
- 贵公司的详细联系方式。这至少包括你的姓名、地址、电话号码和电子邮件。
- 您正在收集什么数据以及如何处理这些数据。再次强调,必须使用清楚的语言。
- 数据将存储多长时间。如果你不能提供一个具体的时间段,简单地列出你用来确定这个时间段的标准。
- 如果数据将以任何方式被用于第三国(欧盟以外)。如果你不在欧盟,你可能会以这样或那样的方式传输数据。
- 您收集的数据是否会被共享。例如,这可能是与第三方提供商/供应商。
- 用户对其个人信息的权利。您必须明确地声明用户访问、修改、删除数据以及介于两者之间的一切权利。
- 用户撤回同意的权利。根据GDPR的指导方针,“撤回和表示同意一样容易。”
遵守GDPR对电商商店有好处吗?
大的时间。GDPR不仅仅是规则和麻烦。这是一个巨大的机会:如果你符合GDPR,欧洲客户会更喜欢你。
毫无疑问,数据隐私在欧洲是一件大事。你可以在网上看到与GDPR合规相乐鱼app官方在线关的话题。事实上,来自各个行业的欧洲公司都将数据保护和数据隐私作为卖点,商店老板也可以这样做。
例如,这里是德国连锁超市Edeka的主页。当你到达时,你会得到他们使用cookie的提示,以及其“隐私政策”页面的链接(“Datenschutzhinweisen”)。
数据隐私的问题道路比Edeka的标志还大它在前面和中心,而且很大:
感兴趣的客户还可以在印记中找到大量的cookie部分,以及数据隐私部分的另一个链接。乐鱼app官方在线围绕GDPR合规的话题遍布整个网站。
这不是金融机构或政府机构。这是一家超市。
这不仅仅是德国独有的问题。法国娱乐网站tf1.fr有一个关于cookie的浮动横幅-在其专用的“隐私政策”和“cookie”部分的右侧:
荷兰人可能会胜出。或者拿饼干来说。看看每个访问热门网站Marktplaats的人都会看到的这个巨大的cookie通知:
与此同时,荷兰顶级新闻网站Telegraaf在其页脚中有不少于三个与数据隐私相关的部分:
简单地说,数据隐私和数据保护在欧洲是一个巨大的话题。乐鱼app官方在线当然,有些国家要求网站提供有关cookie和数据保护的详细信息。但这些网站不仅仅提供细节。他们会炫耀。这是营销!
欧洲消费者希望在购买或使用某个品牌之前,能够放心地了解GDPR合规问题。这就是为什么从超市到新闻媒体的网站都如此重视与gdpr相关的话题,比如cookie和数据隐私。乐鱼app官方在线
你可以利用这些态度来提升你的电子商务业务.让人们知道你是GDPR合规的。将GDPR合规性作为条款和条件页面的一部分。把它放在电子邮件的页脚。每一个小优势都有帮助。
如果你符合GDPR,而你的竞争对手不符合——或者即使你们都符合GDPR,但只有你一个人在吹嘘——那么这可能是欧洲市场上的一个很大的卖点。
GDPR和市场营销如何?
假设你尽你所能做到GDPR合规。你删除了那些预先勾选的框,你只收集重要数据,你的政策得到了清楚的解释。太棒了。
还有一个工具的问题:Are他们GDPR兼容吗?
毕竟,商店老板通常使用少数几个平台和解决方案来优化他们的营销、分析、社交、电子邮件等。更重要的是,大多数电子商务工具都是基于欧洲以外的地区——谷歌Analytics,谷歌AdWords, Facebook,电子邮件服务等等。
商店老板在遵守GDPR的同时还能使用这些工具吗?让我们来看看。
谷歌和GDPR怎么办?
你很有可能每天都在使用谷歌的产品套件。作为世界上最常用的分析解决方案,谷歌分析可能已经是你在电子商务业务中使用的工具。另外,谷歌的AdWords在搜索营销中排名第一,你甚至可以用谷歌来运行你的电子邮件。
店主知道谷歌。谷歌知道GDPR吗?
绝对的。事实上,谷歌已经竭尽全力让电商商店放心
到2018年5月,它将完全符合GDPR的要求。随着谷歌所说的:
我们正在努力为欧盟的通用数据保护条例(GDPR)....做准备我们承诺遵守新法规,并将在整个过程中与合作伙伴合作。
谷歌AdWords更新了条款和条件2017年8月,该公司公布了“与欧盟通用数据保护条例有关”的数据保护措施。
谷歌也最近宣布它将停止扫描电子邮件以提供个性化广告和服务。专攻数字广告的英国组织PageFair推测GDPR合规“可能是谷歌宣布将停止从人们的电子邮件中挖掘广告的真正原因,或者至少是一个重要原因。”
在谷歌的专用URL为GDPR合规-google.com/cloud/security/gdpr-你可以找到谷歌关于GDPR合规和谷歌云的承诺:
您可以相信,谷歌致力于在谷歌云服务中遵守GDPR。我们还致力于通过多年来在我们的服务和合同中提供强大的隐私和安全保护,帮助客户完成GDPR合规之旅。
简而言之,谷歌计划做好准备。
Shopify和GDPR怎么办?
如果你的商店在Shopify上运行,不要担心。Shopify是一家彻头彻尾的全球化公司。其创始人兼首席执行官来自德国;该公司总部位于加拿大;他们目前正在旧金山和爱尔兰招聘;他们的用户分布在全球各地。
Shopify现在甚至在用户手册中有一个章节专门处理GDPR主题:乐鱼app官方在线
Shopify自成立以来一直在应对国际法规,这就是为什么该公司能说的,“Shopify预计在2018年5月25日生效时符合GDPR。”
Facebook和GDPR合规怎么办?
Facebook在欧洲确实存在法律问题。这家公司罚款1.1亿欧元2017年5月,Facebook和Facebook旗下的即时通讯应用WhatsApp之间链接了用户账户和用户数据。这正是GDPR要解决的数据隐私问题类型。
但即使Facebook与欧洲监管机构有过接触,他们也知道遵守GDPR是一项要求。他们希望每个使用他们营销工具的店主——Facebook自定义受众、Facebook Connect、Facebook Beacon等等——继续使用它们。
2017年8月,Facebook的一位发言人他告诉英国《金融时报》,
我们现在已经组建了Facebook家族公司历史上最大的跨职能团队。Facebook爱尔兰公司的数十人正全职致力于这项(GDPR)工作。
文章接着说,Facebook爱尔兰的数据保护团队今年将扩大250%,以支持GDPR合规工作。
关于店主遵守GDPR的结论
那么,这一切对GDPR和你的在线商店意味着什么呢?这是tl;dr版本:
- GDPR影响的是与欧洲消费者互动的企业可能与欧洲人互动——无论这些公司位于哪里。
- 对于小公司来说,GDPR合规要简单一些。这意味着GDPR合规对于你的电子商务企业和大型公司是不同的。
- 你可以帮助你的商店遵守GDPR,确保你的条款和条件是明确的;删除预先勾选的方框;一般来说,尊重客户和潜在客户的隐私。
- 你的电子商务业务可以利用GDPR。数据隐私在欧洲是一件大事,所以如果你采取措施遵守GDPR,你可以让所有的欧洲购物者知道这一点。
- 在GDPR于2018年5月生效之前,您在在线商店中使用的营销工具和渠道必须符合GDPR规定。你需要密切关注这一点,如果你有问题,直接联系他们。但GDPR对任何人来说都不是秘密。
资源
对于那些想知道GDPR如何影响他们的在线商店或dropshipping业务的人来说,有一些很好的资源。这里有一些好东西。
电子隐私的概览页面,其中包括网络研讨会、白皮书、“快速检查”等
有关的文章, GDPR: 10个获得营销许可的最佳实践例子
的GDPR部分微软的“信任中心”
一般数据保护条例部分的Shopify手册
Boxcryptor的概述GDPR应用程序
如果你觉得勇敢,实际的文本《一般资料保障规例》
本指南仅供参考。通过提供本指南,我们不作为您的律师或提供法律建议,我们不负责您如何使用它。
