电商店主已经够忙的了。SEO,社交,设计。你不需要再做了。
所以我们马上为添加一个道歉。只是,嗯,GDPR合规太重要了,不容忽视。
GDPR实施已经一年多了这里当然有一些教训需要吸取,也有一些步骤需要采取来加强你的GDPR合规性。
本文将探讨GDPR的含义,遵从GDPR对你来说意味着什么,遵从GDPR需要做些什么,以及如何利用它来发挥你的优势。
文章内容
什么是GDPR?
GDPR是《一般资料保护规例》.GDPR于2016年4月通过,为如何管理所有欧洲居民的数据制定了规则。GDPR于2018年5月生效,影响从病史到财务记录再到互联网活动的所有数据的处理。
在此过程中,GDPR将重塑在欧洲开展电子商务的意义,影响你与客户互动的方式、你使用的工具以及你使用它们的方式。
GDPR不是一份技术文件。在所有。事实上,电子商务只讨论一次。这是一个脚注。他们称之为“电子商务”。GDPR与其说是一本数字剧本,不如说是一份关于基本权利的声明:“个人数据的处理应旨在为人类服务。”
但店主仍有很多需要注意的地方。让我们来熟悉一下GDPR。
为什么GDPR很重要
GDPR的实施源于当今时代越来越多的数据被收集、传输、管理和使用。欧盟已经制定了数据保护指令,但该指令早在1995年就颁布了,如今已经过时,并不完全适用于数字时代。
因此,GDPR被实施为替代,以继续适当保护欧盟公民的数据。根据GDPR,组织有义务遵守负责任的数据收集和使用,以保护用户的权利和隐私。
通过将这一责任交给组织,GDPR有效地赋予了欧盟个人更多的权利来了解他们的个人信息是如何以及为什么被收集和处理的。它还赋予他们决定如何使用这些信息的权利。
如果你在运行一个电子商务业务当GDPR生效时,你可能已经做了相当多的遵守。但如果你刚刚成为一名崭露头角的电子商务企业家,还在纠结于GDPR,我们原谅你感到不知所措。
我们不会粉饰它——符合gdp标准是很多工作。但它也非常重要,当然不是你可以把它扫到地毯下面,希望它会消失的东西。
根据欧盟委员会的数据,在GDPR实施后的第一年,大约有查询和投诉14.5万件还有近9万份数据泄露通知。
未能遵守GDPR可能会导致相当沉重的罚款和处罚-高达公司年营业额的4% !举个例子:就在最近,一家波兰零售商遭到了最大的GDPR罚款然而,65万欧元。
在接下来的章节中,我们将看看GDPR如何影响您以及如何遵守。
GDPR适用于谁?
无论你在哪里,GDPR适用于所有向欧洲消费者提供产品或服务的公司。
“无论公司是在欧洲、欧洲以外,还是在某个岛屿上,这都无关紧要,”公司首席执行官克里斯托弗•鲍尔(Christoph Bauer)博士说ePrivacy他告诉我们。“如果这些服务是提供给欧洲客户的,他们就需要遵守法律。”
所以如果你的电子商务商店是在欧洲有售,你可能必须遵守GDPR。
请记住:GDPR合规不仅仅是针对向欧洲客户销售产品的欧洲公司。它涵盖了与欧洲客户的任何互动。
当然,GDPR不仅仅适用于店主。GDPR合规性也适用于您最喜欢的工具。谷歌、Facebook和Shopify等公司也必须遵守GDPR。稍后,我们将了解这些工具和平台如何处理GDPR合规性。
GDPR合规意味着什么?
在我们讨论如何遵守GDPR之前,我们首先必须了解合规实际上意味着什么。
为了让你放松,我们现在还不打算太过技术化,所以这里有一个简单的方法来掌握GDPR合规性。
浏览你的网站,想象自己是你自己的电子商务网站的用户。无论何时你的数据被索要——无论是你的姓名、电子邮件、电话号码等等——问自己这四个问题:
- 我知道他们在收集什么数据,他们用这些数据做什么吗?
- 他们需要这些信息来执行我在他们网站上执行的操作吗?
- 我可否随时要求修改或删除我的资料?
- 我是否被告知我作为用户的权利?
如果任何一个问题的答案是否定的,那么你可能还不完全符合GDPR。如果有一个或所有问题的答案是肯定的,那么恭喜你,你走上了正确的道路!无论哪种方式,接下来的几个部分将帮助您整理知识,并最终使您和您的业务符合gdpr。
GDPR对小企业有何影响?
GDPR影响着各种规模的公司。从一名员工到一万名员工,如果一家公司处理欧洲人的数据,那么GDPR就适用。
大多数电子商务商店更接近于一名员工,而不是10,000名员工,因此了解GDPR如何区分大公司和小公司非常重要。
电子商务商店老板应该知道,GDPR对待他们的方式与对待大型企业的方式不同。例如,GDPR中的某些记录保存要求仅适用于员工超过250人的公司。
当你阅读时建议如“现在就计划你的GDPR合规方法,并从你的组织中获得关键人物的‘支持’是至关重要的,”你可以放松了。如果你是一个网上商店的老板,那么“关键人物”和“组织”可能就是你。如果是这样的话,GDPR就简单多了。
但是!无论如何,仍然有许多GDPR要求适用于每个人。让我们开始吧。
为了遵守GDPR,店主应该做些什么?
GDPR长达88页,5万多字,写作就像在邮局排长队一样有趣。如果你不想读GDPR,你可以原谅。
但这些规定适用于所有在欧洲销售商品的商店,而欧洲约占全球GDP的25%。因此,即使你懒得阅读GDPR,关于GDPR合规性,也有一些事情需要记住。
GDPR的要求是什么?
每一个理事机构或文件都提出原则和命令,作为它所提出的规章的基础。
GDPR当然也不例外——它有七条原则来指导其实施、监管和惩罚。下一节我们将直接从GDPR圣经中了解GDPR的七项原则,这一节将会有一点点(我们保证只是一点点)更技术性的内容。
忍耐一下!
GDPR的七项原则
1.合法、公平、透明
这表明,无论您从用户那里收集什么数据必须遵守GDPR要求。公平性和透明性指的是数据使用情况和这种使用情况的可见性。换句话说,你声称收集他们数据的目的必须与你的行动相符。用户还必须对这些操作具有可见性。
2.目的限制
数据处理必须“明确、明确和合法”,这意味着使用超出其规定目的的数据被视为侵权。简单地说,如果用户同意给你他/她的电子邮件来接收通讯,这些信息不应该被用于任何其他方式,包括“统计目的”。
3.数据最小化
在数据最小化原则下,收集的数据必须保持在最低限度,并且只保留必要的数据。更具体地说,它必须“与它们被处理的目的有关”。如果您要求提供比实际所需更多的数据,您可能会被认为是违反规定的。
4.精度
这里的“准确性”就是它的意思——只提供最新的信息,并努力确保它们是最新的。这意味着你应该定期检查和清理你的数据。被认为“不准确”的数据必须立即删除——或者,如果你更愿意从当事人口中听到,“立即删除或纠正”。
5.存储的限制
GDPR的第五条原则相当长,充满了行话,所以让我们为你简化一下——删除任何你不再需要的数据,除非你有真正的和合法的理由来存储它。如果您决定存储数据,则需要确定将存储多长时间及其目的(GDPR没有明确规定个人数据应保存多长时间)。
6.完整性和机密性(安全性)
“诚信和保密”旨在保护所收集的数据。根据这一原则,您必须有适当和充分的“技术或组织”安全措施,以防止数据被盗和丢失-无论是内部还是外部。所以绝对没有Facebook-Cambridge Analytica丑闻或任何类似的丑闻!
7.问责制
GDPR的最后一个原则是欧盟政府确保你符合GDPR的方式。它指出,您必须能够证明所采取的步骤是符合要求的。这意味着要清楚地记录何时做了什么,是否聘请了数据保护专家,是否定期审查数据,以及总体而言,是否以及如何遵守GDPR。
GDPR最佳实践
我们知道。GDPR的七项原则可能相当拗口。
它可能看起来像一大堆毫无动力的技术和法律术语(确实如此),让你想做任何事情,但却不遵守它。但别担心,我们在这里用简单的术语为你解释。
在下一节中,我们将深入探讨GDPR的最佳实践,并与您分享一些示例,以帮助您成为遵守GDPR的电子商务所有者并完全合规。
如何实现GDPR合规?
同意为王。
GDPR使欧洲人能够准确控制他们的数据如何被使用。因此,遵从GDPR意味着你不能假设你的用户想要什么。
例如,GDPR规定,“沉默、预先打勾或不活动不应构成同意。”这意味着你应该避免这样的事情:
咨询公司有好帖子当涉及到同意时,符合gdpr的用户体验是什么样的。
只收集你需要的数据。
GDPR合规的核心是保护人们的数据。你可以通过不收集你不需要的数据来限制你的曝光。
如果知道你的顾客为哪家公司工作没有商业价值,那么GDPR就会给你一个根本不问的动力。
如果您使用Shopify,您可以在“Checkout”设置中调整您向访问者提出的问题:
如果你不打算使用这些信息,那就不要问。如果你要用它,一定要弄清楚你要用它做什么。
例如,有时您会看到要求提供购物者电话号码的结帐页面。店主需要问问自己,“我要用这个人的电话号码做什么?”
要电话号码肯定是有正当理由的。可能是SMS活动,或作为防止欺诈性订单的保障。如果送货地址和IP地址在不同的地方,Shopify的欺诈检测机制会标记订单,然后使用电话号码来保护消费者并获得确认。就GDPR合规性而言,这完全没问题。一定要把这些解释清楚条款和条件还有隐私政策。
把每件事都弄清楚。
负责GDPR合规的监管机构喜欢透明度。你可以在网站的“订阅”旁边放一个“退订”链接。你可以从页脚直接链接到你的条款和条件。还有你的隐私政策。
将所有这些东西公开是保护自己免受GDPR合规担忧的最简单方法之一。如果您有经过认证或验证的流程,请告诉全世界!时尚巨头Zalando就是这么做的:
不要做偷偷摸摸的事情。
对于250名员工以下的公司来说,GDPR在很大程度上可以归结为不能鬼鬼祟祟。如果你诚实、透明并实施最佳实践,你就不会面临GDPR带来的巨额罚款。
在一篇关于GDPR的博文在美国,科技安全供应商Sophos是这样说的:
尽管这一切看起来令人生畏,但小企业可以放心:只要他们能够证明自己已经尽了最大努力满足GDPR的要求,监管机构就会与他们合作解决可能出现的任何问题。
这意味着……
继续在欧洲销售!
欧盟并没有试图关闭网上商店。事实上,在“数字化单一市场”,数百亿在宽带网络的大力投入下,欧盟一直痴迷于创造一个更强大的数字经济。
此外,监管机构明白,一些数据存储对于保持数字经济的运行至关重要。
因此,尽管GDPR看起来有点老派,但它并不是打击电子商务的协调努力的一部分。这意味着你可以在欧洲销售任何你想要的东西!
GDPR合规清单
简而言之,这里有一个GDPR清单,列出了您必须遵守的内容。
- 一定要得到明确的同意。这意味着既不是预先打勾,也不是假设。
- 只收集必要的。规则是,如果你不需要,就不要开口。
- 公开你的GDPR合规性。选择退出选项、条款和条件、隐私声明必须清晰可见。如果你有认证的信任标志,炫耀一下。
- 保持透明和诚实。完全遵守GDPR可能不是在公园里散步,如果你对自己的方法很直率,监管机构可能会对任何轻微的违规行为视而不见,甚至帮助你解决问题。
请注意,此GDPR清单仅供参考。每个组织都有自己特定的GDPR要求和政策。
如何成功编写符合GDPR的隐私政策
到目前为止,你可能已经注意到“隐私政策”这个词不断出现。这是因为它是GDPR的关键要求和组成部分之一。
你是否在使用隐私政策生成器或者从头开始,您的隐私政策应该清楚地列出并阐明您如何收集和处理您收到的数据,以及您为防止违反您的数据保护原则而采取的措施。
所以首先,你的隐私政策必须
- 从你网站的每一页都可以轻松访问;
- 清晰可见的,不被颜色或位置所遮蔽的;和
- 使用常用的术语,如“私隐政策”或“私隐”或“资料保障通知”。
例如,Shopify在其页脚中有这样的隐私政策。
在隐私政策本身,必须使用“清晰易懂”的语言。这意味着要避免像欧盟官员所说的那样透明性准则):
“我们可能会使用您的个人数据开发新服务”(因为尚不清楚“服务”是什么,也不清楚这些数据将如何帮助开发新服务);
我们可能会将您的个人资料用于研究目的(因为我们不清楚这指的是哪种“研究”);和
“我们可能会使用您的个人数据来提供个性化服务”(因为目前还不清楚“个性化”意味着什么)。
这些都是模糊的,不够简洁,用户无法理解他们的数据是如何被使用的。
以下是欧盟提出的一个适用于电子商务企业的好例子:
“我们将保留您的购物历史,并使用您以前购买过的产品的详细信息,向您推荐我们认为您也会感兴趣的其他产品。”
除了清晰简单的语言,您的隐私政策要符合GDPR要求,还必须全面。以下是你需要包括的内容:
- 贵公司的详细联系方式。这至少包括你的姓名、地址、电话号码和电子邮件。
- 你在收集什么数据,你如何处理这些数据。我们再一次强调,必须使用明确的语言。
- 数据将存储多长时间。如果不能提供具体的时间段,只需列出用于确定该时间段的标准。
- 如果数据将以任何方式被用于第三国(欧盟以外)。如果你不在欧盟,你可能会以这样或那样的方式传输数据。
- 如果您收集的数据将被共享。例如,这可能是与第三方提供商/供应商。
- 用户对其个人信息的权利。您必须明确地声明用户访问、修改、删除其数据以及介于两者之间的所有内容的权利。
- 用户撤销同意的权利。根据GDPR的指导方针,“撤销应该和给予同意一样容易。”
遵守GDPR对电子商务商店有好处吗?
大的时间。GDPR不仅仅是规则和麻烦。这是一个巨大的机会:如果你符合GDPR,欧洲客户会更喜欢你。
毫无疑问,数据隐私在欧洲是个大问题。你可以在网上看到与GDPR合规相乐鱼app官方在线关的话题。事实上,各行各业的欧洲公司都把数据保护和数据隐私作为卖点,商店老板也可以这样做。
例如,这里是德国连锁超市Edeka的主页。当你到达时,你会得到一个提示,他们使用cookie,以及一个到其“隐私政策”页面的链接(Datenschutzhinweisen”)。
这些数据隐私的东西道路比Edeka的标志还大。它位于正前方,巨大无比。
感兴趣的客户还可以在印记中找到一个巨大的cookie部分,以及另一个数据隐私部分的链接。乐鱼app官方在线围绕GDPR合规的话题遍布整个网站。
这不是一个金融机构或政府机构。这是一家超市。
这不仅仅是德国的事情。法国娱乐网站tf1.fr在专门的“隐私政策”和“cookie”部分下面有一个关于cookie的浮动横幅:
荷兰人可能会拿走蛋糕。或者拿饼干来说吧。只要看看这个巨大的cookie通知,每个访问者在访问热门网站Marktplaats时都会看到:
与此同时,荷兰顶级新闻网站Telegraaf在其页脚有不少于三个与数据隐私相关的部分:
简而言之,数据隐私和数据保护在欧洲是一个巨大的话题。乐鱼app官方在线当然,一些国家要求网站提供有关cookie和数据保护的详细信息。但这些网站不只是提供细节。他们会炫耀。这是营销!
欧洲消费者在购买或与品牌互动之前,希望对GDPR合规问题感到放心。这就是为什么从超市到新闻媒体的网站都对cookie和数据隐私等与gdp相关的话题如此重视的原因。乐鱼app官方在线
你可以利用这些态度来成长电子商务业务.让人们知道你是符合GDPR的。让GDPR合规成为您的条款和条件页面的一部分。把它放在电子邮件的页脚。每一个小优势都有帮助。
如果你符合GDPR,而你的竞争对手不符合——或者即使你们都符合GDPR,但你是唯一一个吹嘘这一点的人——那么这可能是欧洲市场上的一个大卖点。
GDPR和市场营销如何?
假设你尽了一切力量来符合GDPR。你删除那些预先打勾的框,你只收集重要的数据,你的政策被清楚地解释。太棒了。
还有你的工具的问题:是他们GDPR兼容吗?
毕竟,商店老板通常会使用一些平台和解决方案来优化他们的营销、分析、社交、电子邮件等。更重要的是,大多数这些电子商务工具都是基于欧洲以外的——谷歌分析、谷歌AdWords、Facebook、电子邮件服务等等。
店主是否可以在符合GDPR的情况下仍然使用这些工具?让我们来看一看。
谷歌和GDPR怎么样?
你很有可能每天都与谷歌的产品套件互动。作为世界上最常用的分析解决方案,谷歌分析可能已经是您在电子商务业务中使用的工具。另外,Google AdWords在搜索营销中排名第一,你甚至可以用Google来运行你的电子邮件。
店主们都知道谷歌。谷歌知道GDPR吗?
绝对的。事实上,谷歌已经竭尽全力让电子商务商店放心
业主表示,到2018年5月,它将完全符合GDPR标准。随着谷歌所说的:
我们正在努力为欧盟的通用数据保护条例(GDPR)....做准备我们致力于遵守新法规,并将在整个过程中与合作伙伴合作。
谷歌AdWords更新了条款和条件2017年8月,公布了“与欧盟通用数据保护条例相关”的数据保护措施。
谷歌也最近宣布它将停止扫描电子邮件以提供个性化广告和服务。PageFair是一家专门从事数字广告的英国集团,推测遵守GDPR“可能是谷歌宣布将停止从人们的电子邮件中挖掘广告的真正原因,或者至少是一个促成原因。”
在谷歌的GDPR合规专用网址-google.com/cloud/security/gdpr-你可以找到谷歌关于GDPR合规性和谷歌云的承诺:
你可以相信,谷歌致力于所有谷歌云服务的GDPR合规性。多年来,我们还致力于通过在我们的服务和合同中提供强大的隐私和安全保护,帮助客户完成GDPR合规之旅。
简而言之,谷歌计划做好准备。
Shopify和GDPR怎么样?
如果你的商店在Shopify上运行,不要担心。Shopify是一家完全全球化的公司。其创始人兼首席执行官来自德国;公司总部设在加拿大;他们目前正在旧金山和爱尔兰招聘;它们的用户遍布全球。
Shopify现在甚至在其用户手册中有专门处理GDPR主题的章节:乐鱼app官方在线
自成立以来,Shopify一直在处理国际法规,这就是为什么该公司能说的“Shopify预计在2018年5月25日生效时符合GDPR标准。”
Facebook和GDPR合规性如何?
Facebook在欧洲无疑遇到了法律问题。这家公司是罚款1.1亿欧元2017年5月,他将Facebook和Facebook旗下的即时通讯应用WhatsApp之间的用户账户和用户数据联系起来。这正是GDPR要解决的数据隐私问题。
但即使Facebook与欧洲监管机构有过渊源,他们也知道遵守GDPR是一项要求。他们希望每一个使用他们的营销工具的店主——Facebook Custom Audiences、Facebook Connect、Facebook Beacon等等——都能继续使用这些工具。
2017年8月,脸书发言人表示他告诉《金融时报》,
我们现在已经组建了Facebook家族公司历史上最大的跨职能团队。Facebook爱尔兰公司的数十名员工正全职致力于这项[GDPR]工作。
这篇文章接着说,Facebook爱尔兰的数据保护团队今年将扩大250%,以支持围绕GDPR合规的努力。
关于店主GDPR合规的结论
那么,这对GDPR和你的在线商店意味着什么呢?以下是tl;dr版本:
- GDPR影响的是与欧洲消费者互动的企业可能与欧洲人互动——不管这些公司位于哪里。
- 对于小公司来说,遵守GDPR要简单一些。这意味着你的电子商务业务与大公司的GDPR合规是不同的。
- 您可以帮助您的商店遵守GDPR,确保您的条款和条件是明确的;移除预先打勾的框;尊重客户和潜在客户的隐私。
- 你的电子商务业务可以利用GDPR。数据隐私在欧洲是一件大事,所以如果你采取措施遵守GDPR,你可以让所有的欧洲购物者都知道这一点。
- 在2018年5月GDPR生效之前,您在在线商店中使用的营销工具和渠道需要符合GDPR要求。你需要密切关注这一点,如果你有问题可以直接联系他们。但GDPR对任何人来说都不是秘密。
资源
对于那些想知道GDPR如何影响他们的在线商店或直销业务的人来说,这里有一些很好的资源。这里有一些好吃的。
电子隐私的概述页面,其中包括网络研讨会、白皮书、“快速检查”等
有关的文章GDPR:获得营销许可的10个最佳实践示例
的GDPR部分微软的“信任中心”
《一般数据保护条例》部分Shopify手册
Boxcryptor的概述GDPR应用程序
如果你感到勇敢,实际文本《一般资料保护规例》的规定
本指南仅供参考。通过提供本指南,我们不作为您的律师或提供法律建议,我们不负责您如何使用它。
