營銷人員的權威 GDPR 清單

許多營銷人員在涉及數據隱私法規時仍然感到困惑，尤其是 GDPR。 有很多東西要吸收，但它在實際中是如何工作的呢？ 以下營銷人員指南可幫助您在處理 GDPR 法規時讓您的營銷流程井然有序。

對於某些背景，您可能還想閱讀我們的 GDPR 和營銷概述，並收聽我們與專家 Steven Roberts 就數據隱私 101 進行的播客。

GDPR 準備

審核您的數據

本指南適用於在處理歐盟公民信息的公司工作的營銷人員。 許多位於歐盟以外的公司也可能無意中處理了與歐盟公民有關的數據——因此這些公司的第一步是審核他們的數據並發現其中是否有任何與歐盟公民有關的數據。

專業提示 ：不要錯誤地認為如果您符合 GDPR，那麼您可能在所有市場都合規。 儘管 GDPR 可以說是世界上最強大的數據法規，但您還必須了解您交易的任何市場中當地法規的細微差別，例如加州消費者隱私法 (CCPA)。有關受影響人員的完整信息以及在哪裡，請諮詢歐盟 GDPR 官方網站。

熟悉您的 IT 團隊

大多數 GDPR 合規性屬於營銷和 IT 的責任。 在本指南中，我們將討論屬於營銷的項目，但您需要與您的 IT 部門或提供商密切合作。

IT 部門將需要您的幫助來涵蓋 GDPR 合規性中非常重要的元素，例如：

知道在哪裡數據存儲(存儲在哪個國家/地區？是在舊機器上還是本地服務器上？是在雲中嗎？)

• 為安全漏洞做準備
• 確保數據的每一步都有安全措施流程

遵守GDPR

數據通常被視為“新石油”。 採取措施確保您以合規的方式使用它是有意義的。

近年來，我們已經看到許多引人注目的數據洩露事件，造成了財務和聲譽方面的後果。 英國航空公司因未能保護其超過 400,000 名客戶的個人和財務詳細信息而被罰款 2000 萬英鎊。 萬豪酒店集團因未能保護數百萬客戶的個人數據安全而被罰款 8050 萬英鎊。

不合規可能由多種因素引起。 這可能是一個深思熟慮的決定。 例如，許多組織在如何使用個人數據方面被發現不夠透明。 然而，在許多情況下，這僅僅是人為錯誤或組織疏忽的結果。 (這就是持續培訓如此重要的原因！)

你知道嗎？ 歐盟數據保護機構在截至 2022 年 1 月的 12 個月內開出了近 11 億歐元的罰款！

為確保 GDPR 合規性，公司需要：

• 成為 透明的 關於他們如何收集和使用個人數據。
• 有 用於保護此數據的流程和程序 。
• Be accountable when that data is妥協。

請參閱我們的 GDPR 和營銷文章，了解有關營銷人員對 GDPR 合規性責任的更多信息。

GDPR 合規的 8 個步驟

這是我們的 GDPR 合規性八步檢查清單：

1. 獲取您的隱私政策頁面從頭開始。
2. 審核您當前的數據庫以獲取同意。
3. 當前數據庫的重新選擇加入活動。
4. 創建一個選擇同意的流程。
5. 讓銷售團隊參與進來。
6. 審查有權訪問您的數據庫的第三方。
7. 簡化信息請求流程。
8. 準備對於安全漏洞。

第 1 步。讓您的隱私政策頁面從頭開始

GDPR 包含有關您的隱私政策的嚴格規定 – 必須如何編寫、必須包含的內容以及必須如何訪問。

• 雖然您應該與您的法律團隊或法律顧問就您的隱私政策的措辭進行合作，但 GDPR 法規規定，它必須以“簡潔、透明、易懂且易於訪問，使用清晰明了”的語言編寫語言”。
• 您必須提供“對預期處理的有意義的概述”——您將如何使用數據您收集。

提供您組織中數據控制者和數據保護官的身份和聯繫方式。

• 如果您打算與第三方共享數據，請確定這些組織以及為保護數據而採取的保障措施轉入。

此外，請提供以下詳細信息：

• 預期保留期限或用於確定該期限的標準
• 有關訪問和更正或刪除個人數據的權利的詳細信息
• 有關為任何和所有數據處理目的撤回同意的權利的詳細信息
• 向監管機構投訴的權利
• 任何自動決策的細節，包括所用邏輯的詳細信息和對個人的潛在後果

重要提示：從高層領導並確定整個組織的數據保護倡導者。 GDPR 不僅僅是一個營銷問題！

第 2 步。審核您當前的數據庫以獲得選擇同意

首先確定您是否有 明確的 同意使用您當前數據庫的個人詳細信息，並且 確切 他們同意使用他們的數據的目的。

確保記錄他們對每個目的的同意，然後根據目的的書面同意將您的數據庫分成單獨的列表。 接下來，為每個列表創建一個“後續步驟”計劃——再次確認同意或為不同目的請求同意。 在以下情況下，您可能需要重新確認選擇加入：

• 來自第三方的詳細聯繫信息
• 沒有選擇加入記錄
• 不明確的選擇加入(未明確同意每次使用數據)

對於您一直在使用或希望將數據用於

• 的某些方式不選擇加入-in 已記錄，但您已經很長時間沒有參與了

步驟 3. 為當前數據庫重新選擇加入活動

根據您在第 1 步中確定的列表，創建有吸引力的活動以請求聯繫人選擇加入或重新選擇加入您希望使用他們的數據的某些目的。

這絕非易事，因為消費者對其個人數據隱私的情緒從未如此緊張。 如果人們不相信您會以合理和公平的方式使用這些有價值的數據，他們將不願意與您共享這些數據。 通過表明您對 GDPR 的承諾，您可以幫助讓客戶放心並提高您的聲譽。

清楚地傳達 好處 向消費者說明為什麼他們應該同意您使用他們的數據，並向他們保證將盡最大努力保護他們的數據。

• 為每個活動創建正確的信息。
• 創建引人入勝的登陸頁面和選擇加入表格。
• 如果與您的業務相關或可能，請通過個性化電話跟進電子郵件來自營銷或銷售團隊。

注意：口頭同意錄音電話中的明確問題是一種有效的選擇加入形式。 為進行這些調用的團隊成員創建一個腳本。

第 4 步。創建一個選擇加入的流程同意

對於您在審核後添加到數據庫中的任何新聯繫人詳細信息，您要確保有一個流程來收集每個新聯繫人所需的選擇加入級別，並將他們的詳細信息添加到適當的列表中。

GDPR 法規規定，現在必須由主動選擇加入的客戶徵得同意，而不是默認情況下他們必須選擇退出。 例如，這意味著默認情況下必須取消選中聯繫表單末尾允許銷售和營銷溝通的複選標記，並且用戶必須選中復選框才能選擇加入。
以下是人們可以主動選擇加入的一些方式示例：

1. 選中一個選擇加入複選框
2. 單擊選擇加入按鈕或鏈接
3. 從是/否選項下拉列表或按鈕中選擇
   

   在他們的帳戶儀表板中設置首選項。

   回復請求同意的電子郵件

   對明確的口頭同意請求回答是——在-親自或通過電話

   在紙質表格上簽署同意聲明。

選擇同意

對於您希望使用其數據的 每種 方式，您還需要單獨的選擇加入同意書。 一旦您決定了新的選擇加入流程：

• 調整您的博客或時事通訊訂閱表格網站包括特定和明確的選擇加入 每個
  您希望使用數據的方式。
• 調整所有表格(聯繫人、報價請求、演示請求等)在您的網站上包含特定的明確選擇加入。
• 鏈接到您的隱私各種形式的政策。
• 提供清晰的取消訂閱方式。
• 如果您出於任何原因保留數據庫的副本，請記錄一個過程，如果要求退出

  ，可以通過該過程從每個副本中刪除所有客戶信息全部或特定類型的聯繫人

• 對所有現有和新團隊成員進行培訓，使其了解遵循此程序的重要性。
  

  詢問每個新項目、工具或過程可能如何影響您的數據收集、處理和存儲過程。

  記住：您的企業是否合規取決於團隊中受過最少培訓的人員，因此對現有員工進行持續培訓至關重要！

  第 5 步。讓銷售團隊參與進來

  如果您的業務是銷售線索業務(而不是零售或電子商務)，市場營銷很可能會將銷售線索帶入並將其傳遞給銷售團隊進行轉換。

  過去，您的銷售團隊可能已經收集了提供電子郵件以下載門控內容或訂閱時事通訊的潛在客戶數據庫，並通過銷售宣傳或免費試用或演示的提議與他們聯繫。 但是，根據 GDPR，除非潛在客戶明確同意銷售團隊聯繫他們，否則不再允許這種做法。

  為銷售團隊舉辦 GDPR 培訓，以：

  • 為減少潛在客戶數量做好準備。
• 教育他們不遵守 GDPR 的後果。
• 讓他們知道他們可以接觸哪些線索。
• 教育他們在網絡、與冷線索或 LinkedIn 互動時如何獲得和記錄選擇加入同意。

評論潛在客戶如何從營銷轉移到銷售並與 IT 合作以確保該路徑上的所有步驟都是安全的。

步6. 查看有權訪問您的數據庫的第三方

您與哪些第三方共享數據？ 他們如何使用它？ 他們的 GDPR 政策是什麼？

• 查看訪問您的客戶數據的所有合作夥伴。 他們需要訪問權限嗎？ 他們用它做什麼？ 如果需要，撤消訪問權限。
• 聯繫所有仍未訪問的外部合作夥伴 st 訪問您的數據庫並確認他們的工作流程是安全的並且符合 GDPR。
• 這同樣適用於軟件提供商您在其中輸入或通過其收集客戶數據。 詢問他們在哪裡存儲數據(國家/地區)，以及您是否需要在有關該軟件的隱私政策中添加任何內容。

對於營銷機構

如果您是代理機構(而不是內部機構)的數字營銷人員，您很可能是處理許多公司數據庫的第三方之一。 例如，您的客戶可能會與您共享文檔、Excel 文件、CRM 訪問權限或網站 CMS 訪問權限，從而向您顯示他們客戶的個人數據。

審核每個客戶的交易和訪問級別，以及您發現可以訪問個人數據的位置：

要求將您可以訪問個人數據的軟件的訪問級別修改為只允許您查看您需要的內容——例如交易號碼和收入，而沒有任何個人數據。

讓客戶所有者可以訪問諸如 Google Ads 之類的東西(如果他們還沒有的話)，並培訓他們上傳自己的數據庫列表。

第 7 步。簡化信息請求流程

遵守 GDPR 將有助於確保您能夠及時、適當地響應數據訪問請求。 請記住，GDPR 的一項關鍵原則是您合理使用個人數據，客戶可能會就此向您提出詢問。

你可知道？ 這有時被稱為合理的人測試。 一個理性的人會認為什麼樣的做法是合法和公平的？ 通俗地說，這個人通常被稱為 Clapham 公共汽車上的人！

GDPR 規則規定，您必須能夠最遲在一個月內對信息請求做出完整回應。 “完整回复”必須包括：

• 關於個人的哪些數據被記錄
9. 數據存儲在哪裡
10. 你為什麼記錄和使用這些數據
11. 你打算保留它多長時間
12. 設置檢索此數據的簡化流程：
    • 在您的網站上創建包含信息請求的登錄頁面form.
    • 指派一名(或多名)團隊成員負責檢查請求、拉取數據(如果可能的話，從自動化工具中獲取)並在一個月內回复。可以添加，其中還包括取消訂閱或管理同意級別的選項，以及更新或刪除數據的選項。