最後の試み:eコマースがGDPRの準備ができているかどうかを確認する

公開: 2018-05-24

一般データ保護規則の原則が施行されるまで、わずか数時間です。 これは、eコマースビジネスがEUのすべての要件に準拠していることをGDPRに準拠しているかどうかを確認する時間がまだ短いことを意味します。

この投稿では、ユーザーの個人データの管理と処理に関する迫り来る法律について、一言で言えば最も必要な情報を提供しようとします。 GDPRがどのように機能するかを詳細に調べることができる便利なリンクを含めるだけでなく。 また、この投稿の下部に短いGDPRチェックリストがあり、2018年5月25日以降の巨額の罰金を回避するのに役立つ可能性があります。

GDPR:ルーツとフルーツ

2010年、欧州委員会はEUのデータ保護規則を強化し、EUの1995年のデータ保護指令と1998年の英国のデータ保護法を改正する戦略を打ち出しました。

彼らはEU市民を対象に調査を実施し、ユーザーの61%が個人情報のプライバシーeコマースWebサイトの保持を心配しており、懸念の半分以上(55%)がオンラインショッピングでの詐欺についてであることが明らかになりました。
調査によると、回答者の75%は、いつでもオンラインで個人情報を要求および削除できるようにしたいと考えています。 そして、90%以上の人々が、ヨーロッパ全体で同じデータ保護権を持ちたいと考えていました。

購読して、注目を集め、受信トレイにすぐに実用的なマーケティングのヒントを入手してください。

6年間、欧州委員会は、ユーザーデータ保護の原則と、世界中のインターネットへのそれらの実装の効率的な方法を詳しく説明してきました。 そして最後に、2016年にGDPRはEU議会を通過しました。 これらの原則を一般的に考えてみましょう。

GDPRの原則

  • 合法性、正義、透明性
    訪問者に提供するすべての同意は、シンプルで明確な言語で書かれている必要があります。 プライバシーポリシーと利用規約も同様です。 消費者や可能性のある人に送信するあらゆる種類の電子メールには、「購読解除」ボタンを含め、電子メールを受信した理由の説明を含める必要があります。 欧州連合は、顧客が処理するデータの目的、方法、および量を認識する権利を持っている必要があることを要求しています。
  • 妥当性、関連性、および制限
    GDPRは、無関係な個人データと、保持している偽名のユーザーデータを最小限に抑えることを目的としています。 メールマーケティング、コールドメールで使用する予定のデータのみを収集し、不要な連絡先や受動的な連絡先を取り除く必要があります。
  • 正確さ
    保持する個人データは正確で最新のものでなければなりません。 これを確実にするために、あなたの顧客は彼らが望むときはいつでも彼らの個人情報を変える機会を持たなければなりません。 また、会社が処理する個人データに関する情報を要求し、忘れられる権利を行使することもできます。
  • ストレージの制限
    処理目的で必要となる期間を超えて個人データを保持しないでください。 とにかく、コントローラーはこれまでのところデータ保持の時間制限を設定していません。 したがって、この原則は「忘れられる権利」に照らして検討する必要があります。
  • 誠実さと守秘義務
    データ所有者の同意なしに、顧客の他の人や企業の個人データを共有または販売してはなりません。 すべての企業はデータベースに責任があり、セキュリティを適切に管理する必要があります。

GDPR個人データリスト

法律では、「個人データ」という用語は、「生きている、識別された、または識別可能な自然人に関連する情報」として定義されています。 これらの原則は、EU市民のデータを保持および追跡するすべての公的機関に適用されます。

したがって、GDPRは次の場合に懸念します。

  • あなたの顧客と可能性は欧州連合の市民です
  • あなたのEメール購読者はEU出身です
  • コールドメールマーケティングのデータベースは、EU居住者の個人データで構成されています。

eコマースWebサイトがWordPress、Magento、WooCommerce、またはJoomlaを使用して構築されているか、独自のCMSでサイトを開発しているかは関係ありません。 GDPRは、ユーザーとその個人データのセキュリティに関するものです。

GDPRの下での「個人データ」とは何ですか?

  • 名前;
  • 識別番号;
  • 位置データ;
  • クッキー識別子;
  • オンライン識別子;
  • 生体認証データ;
  • 所得;
  • 対象の「身体的、生理学的、遺伝的、精神的、経済的、文化的または社会的アイデンティティ」に固有の1つ以上の要因で、個人の特定に役立ちます。

GDPR料金

GDPRの原則は、コンプライアンス違反に対する多額の罰金のために多くの話題を呼んでいます。 最大の罰金は、最大20,000,000ユーロ、または前会計年度の全世界の年間売上高の最大4%のいずれか高い方になります。 これが、大企業の大多数がGDPRコンプライアンスに100万ドル以上を費やすことを決定した理由です。
ただし、状況はそれぞれ異なるため、罰金の額は1対1で見積もられることを覚えておく必要があります。
一般に、小売企業に罰金が科せられる主な理由は2つあります。それは、個人データの大量漏洩と機密性の高い個人データの侵害です。

データ保護スペシャリスト

これは、開始する必要のある必須の手順です(まだこれを行っていない場合)。 eコマース会社には、GDPRのすべての詳細に精通し、顧客のデータ保護を担当する弁護士/弁護士が必要です。 開示のリスクが高い機密データを保持および処理する場合、またはデータの大量の違反が予想される場合は、データ保護責任者を雇う必要があります。
彼らの責任の中には、顧客の苦情に対応し、eコマースウェブサイトのGDPRコンプライアンスを監視することが含まれます。特に、会社が新しいソリューション、フォーム、マーケティングメールをテストし、新しいウェブサイトインターフェースまたはアプリを開発している場合はそうです。
また、データ保護担当者(またはスペシャリスト)は、これがシステム障害、ハッキング攻撃、または顧客のセキュリティに深刻な結果をもたらす可能性のあるその他の問題である場合、72時間以内にICOにデータ侵害通知を通知する必要があります。

GDPRはeコマースにとって良いことですか?

一般データ保護規則は、オンライン小売セクターにプラスの効果をもたらす可能性があります。 これにより、顧客の信頼と忠誠心が高まり、支払いプロセスへの信頼が高まる可能性があります。 そのため、お客様の個人データの非開示を最善の方法で処理することをお客様に通知することをお勧めします。

GDPREコマースチェックリスト

主要なGDPR文書には、膨大な数の要件と詳細があります。 しかし、私たちはこのチェックリストに最も必要なものを含めるように努めました。 これを見て、Webサイト、電子メール、連絡フォーム、およびすべての同意フォームに実装するものを見逃していないかどうかを確認してください。

データ保護スペシャリスト

  • データ処理者として、機密データを処理している場合は、データ保護スペシャリストまたはデータ保護責任者を雇っています。

同意コンプライアンスチェックリスト

  • あなたの同意は、あなたの顧客が彼らの個人情報が何のために何のために処理されるかを簡単に理解できるように、そして彼らが何に同意したかについても明確に理解できるように、単純かつ明確に書かれています。
  • 同意書は明示的です。 これらには、デフォルトで事前にチェックされたボックスやその他の同意は含まれていません。
  • 肯定的な同意を得た「回答ボタン」は、別の色で強調表示されません。
  • 同意書は目立ち、利用規約のセクションとは別のものです。
  • フォームの下部に組織とサードパーティの名前を付けました。
  • あなたはあなたの顧客がこの同意を拒否することができると指摘しました。
  • あなたはあなたの顧客が彼らの同意を撤回する方法を説明しました。
  • オンラインの顧客が子供である可能性があることを期待または知っている場合は、同意書に年齢確認と保護者の同意の要求が含まれています。

GDPRに適した同意フォームテンプレートを作成する方法についても、ここでいくつかのオプションを見つけることができます。
コンテンツの要件に関する詳細については、英国のICOGDPR同意ガイダンスをご覧ください。

プライバシーポリシーGDPR-コンプライアンスチェックリスト

  • 利用規約とプライバシーポリシーをすでに確認しました。 そして、あなたはこれらがあなたの顧客のために明確な言語で書かれていると確信しています。 プライバシーポリシーは、ユーザーデータの処理方法の説明と、ユーザーデータの処理に使用するサードパーティのサービスのリストで構成されています。
  • あなたはあなたのウェブサイトで、あなたが保持している情報を顧客がどのように要求し、あなたのウェブサイトからデータを変更または撤回することができるかを指摘しました。
  • あなたは、顧客が彼らに影響を与えるGDPR原則の違反としてあなたを報告する方法についての指示を追加しました。
  • あなたは、顧客の同意を撤回したことで顧客にペナルティを課さないことを指摘しました。
  • DPOの電子メールアドレスをプライバシーポリシーに含めました。
  • あなたはあなたのウェブサイトのフッターの目立つ場所にあなたのプライバシーポリシーへのリンクを含めました。

同意の管理

  • いつ、どこで、どのように各顧客の同意を得たかを記録します。
  • あなたはあなたの顧客があなたに提供する正確な情報の記録を保持します。
  • 関係、処理、目的が変更されていないことを定期的にチェックするときに、すでにスケジュールを設定しています。
  • ユーザーデータを更新する期間はすでにスケジュールされています。

メールアドレス、名前、ユーザーID、場所データ、トランザクションID、IPアドレスなどの顧客の個人データをコードレベルでGoogleアナリティクスに送信しないようにしてください。 詳細については、このGoogleの記事をお読みください。

残念ながら、ユーザーはほとんどの同意を積極的にクリックすることに慣れています。 そのため、顧客が残したデータを確実に理解できるように、追加の再同意ポップアップを作成することをお勧めします。

リスクアセスメント

  • データ保護スペシャリストのチームは、リスク評価を準備する必要があります。これは、会社が収集する特定のデータ、それらを処理する方法と目的を示す必要があるドキュメントです。
  • あなたはリスクを分析し、潜在的な弱点を見つけ、何かがうまくいかない場合の行動を予測しました。

このドキュメントをWebサイトにアップロードする必要はありませんが、これは、苦情を受けたときの行動の強力な正当な根拠となる可能性があります。

GDPRの概要をまとめましょう

今日、GDPRはまだ初期段階にあり、時間とともに進化していきます。 それにもかかわらず、これは現在、ビジネスの透明性に対する世界的な傾向の観点から、顧客に対する一般的な礼儀です。

  • 顧客が残すことができる個人情報の種類を決定できるようにします。
  • データを処理できる理由とその理由を理解できるようにします。
  • 個人情報を要求する方法、同意を取り消す方法、または登録を解除する方法を説明します。
  • 聴衆と話すときは、簡単な言葉を使ってください。コピーライターに、誰も理解できない何千もの役に立たない言葉を使うように頼む必要はありません。
  • 同意書を再設計します。
  • メールマーケティングの対象者を注意深くターゲットにします。
  • データ保護責任者の責任を作成します。 別のメールアドレスを有効にします。
  • 受け取って処理したユーザー情報を記録しておきます。
  • 利用規約とプライバシーポリシーファイルを更新します。

これには時間とリソースが必要であることを私たちは知っています。 しかし、準拠するためのあなたの努力と努力は、顧客の信頼を得るでしょう。