GDPR چیست و بازاریاب‌ها برای پیروی از این قانون چه کارهایی را می‌توانند انجام دهند؟

این روزها صحبت‌های زیادی راجع به قانون GDPR می‌شنویم. پیروی از قانون GDRP که مخفف کلمات General Data Protection Regulation به معنای قانون حفاظت از داده‌های عمومی است، از تاریخ ۲۵ می ‌سال ۲۰۱۸ برای تمام کسانی که در کشورهای عضو اتحادیه اروپا فعالیت تجاری دارند، الزام آور می‌شود.

اما کارفرمایانی که کمپانی آنها عضو این اتحادیه نیست، هم باید با این قانون آشنایی داشته باشند. به هر حال اگر این امکان وجود داشته باشد که شما هم روزی با یک شهروند اروپایی تجارت و کسب و کار داشته باشید – که در دنیای امروز بعید نیست – باید حتما از این قانون پیروی کنید.

اما متاسفانه خیلی از بازاریاب‌ها با این قانون آشنایی ندارند و شاید حتی اسم آن را نشنیده باشند. البته نمی‌توان آنها را مقصر دانست چون بیشتر اطلاعات موجود درباره این قانون بیش از حد گیج کننده و غیرقابل درک هستند و سند اصلی این قانون که ۱۱ فصل و صدها صفحه دارد، به معنای واقعی غیرقابل خواندن است و اصطلاحات آن تنها برای قانون‌گذاران و کسانی که در این حوزه کار می‌کنند قابل درک است.

هر بازاریابی با ابزارهای مختلفی کار می‌کند از صفحات لندینگ گرفته تا lead magnet‌ ها و ابزارهای بهبود نرخ تبدیل. بنابراین ممکن است این سوال ایجاد شود که این قانون بر کدامیک از این موارد تاثیرگذار است؟ پاسخ این است که: همه چیز!

اما سوال واقعی این است که چطور باید با قوانین GPDR سازگار بود؟ آیا امکان استفاده از پنجره‌های پاپ آپ برای تبلیغات وجود دارد؟ آیا به بازاریاب‌ها امکان ارسال ایمیل داده می‌شود؟ اگر از این قوانین پیروی نشود چه اتفاقی می‌افتد؟

اما GDPR دقیقا چیست؟

برای شروع بهتر است درباره خود GDPR توضیح بدهیم که اصول کلی آن به صورت زیر است:

• قانون GDPR از تمام افرادی که در حوزه اتحادیه اروپا و منطقه اقتصادی اروپا (که اروپا، لیختن اشتاین، نروژ و ایسلند را در برمی گیرد) هستند، محافظت می‌کنند.
• این قانون، یکسری مقررات را تعیین کرده که مربوط به حفظ حریم خصوصی و حفاظت از داده‌ها است و داده‌هایی که به خارج از اتحادیه اروپا صادر می‌شوند را هم در بر می‌گیرد.
• این قانون دارای یک ماده تحت عنوان ePrivacy Regulations است که جزئیات بیشتری را به قانون GDPR اصلی اضافه کرده است.
• هر کشور اروپایی این اختیار را دارد که این قانون را طوری تغییر بدهد که برای آن کشور مناسب تر باشد.
• این قانون بسته به این که شما کنترل کننده داده یا پردازش کننده آن باشید، تفاوت‌هایی دارد.
• این قانون از ۲۵ می ‌۲۰۱۸ اجرایی می‌شود.
• هر کسی که با شهروندان اروپایی کسب و کاری انجام می‌دهد، مشمول این قانون است.
• این قانون به گذشته نیز اعمال می‌شود یعنی به هر داده‌ای که پیش از این جمع‌آوری کرده‌اید اعمال می‌شود هر چند آن داده خیلی قدیمی باشد.
• جریمه‌های سنگینی در انتظار افرادی است که از این قانون تبعیت نکنند (تا حدود ۲۴ میلیون دلار یا ۴ درصد از فروش سالیانه فرد یا شرکت متخلف).

به طور خلاصه و در مجموع، هدف اصلی این قانون این است که به شهروندان اروپایی کنترل کاملی بر اطلاعاتشان بدهد. صرف نظر از تاثیرات این قانون بر کسب و کارها، پیش از این هم انتظار می‌رفت که در آینده شاهد چنین قانونی باشیم.

آن طور که Sam Hurley (که وبسایت Webinale رتبه یکی از پرنفوذترین افراد در دنیای دیجیتال را به او اختصاص داده) می‌گوید، قانون GDPR “آنچه را که باید اول از همه درخواست شود یعنی اجازه گرفتن را الزام آور می‌کند.”

اما بعضی افراد با این نظر موافق نیستند و این قانون را برای بعضی کمپانی‌ها یک بار اضافه تلقی می‌کنند که ممکن است بر تجربیات کاربران تاثیر منفی داشته باشد و ضرورتا منجر به افزایش امنیت یا پیشگیری از فروش داده‌ها و اطلاعات افراد در راستای مقاصد بازاریابی نمی‌شود. خیلی از وبسایت ها امروزه طبق گفته خودشان از کوکی برای ارسال ایمیل و کارهای این چنینی استفاده می کنند.

در مجموع هرچند ممکن است هدف این افراد مخرب نباشد اما روش پیاده‌سازی آن در خیلی موارد نامناسب است و می‌تواند عواقبی برای کاربر داشته باشد.

تفکیک آیتم‌ها

داده‌های شخصی شامل چه مواردی هستند؟

یکی از دلایل ابهام در این قانون این است که هیچ تعریف یکپارچه و سراسری از چیزهایی که شامل “داده‌های شخصی” می‌شوند وجود ندارد. هر کشوری با توجه به ویژگی‌های خاص خودش می‌تواند تعریف متفاوتی از داده‌های شخصی داشته باشد.

اما برای این قانون که کشورهای اروپایی را در بر می‌گیرد می‌توان به قانون محافظت از داده‌ها (Data Protection Act یا به اختصار DPA) ارجاع کرد چون در این قانون تعریف پایه و مشخصی از این مفهوم ارائه داده:

“داده‌های شخصی به معنی هر گونه اطلاعاتی است که مربوط به یک فرد طبیعیِ قابل شناسایی یا شناخته شده باشد (که به وی data subject یا موضوعِ داده گفته می‌شود)؛ فرد قابل شناسایی کسی است که می‌توان هویت او را به صورت مستقیم یا غیر مستقیم تشخیص داد؛ به طور خاص با ارجاع به یک شناسه مثل نام، شماره شناسایی، اطلاعات مربوط به موقعیت جغرافیایی، شناسه آنلاین یا فاکتورهای جسمی، فیزیولوژیکی، ژنتیکی، ذهنی، اقتصادی و فرهنگی یا هویت اجتماعی آن فرد طبیعی.”

برای مثال:

• اسم قانونی یا مستعار
• آدرس ایمیل
• تاریخ تولد
• اعتقادات مذهبی
• زمینه قومی
• علایق جنسی
• پرونده‌های سلامتی
• پرونده جنایی
• وابستگی سیاسی
• و غیره

رضایت چطور تعریف می‌شود؟

در قانون GDPR  گفته شده “درخواست رضایت باید به صورتی بیان شده باشد که تشخیص آن از سایر موضوعات به وضوح ممکن باشد، بتوان به آسانی به آن دسترسی داشت و قابل فهم باشد و به زبانی ساده و شفاف بیان شده باشد”.

به عبارت دیگر باید کاملا و به وضوح مشخص کنید که چه اطلاعاتی را جمع‌آوری می‌کنید و از این اطلاعات چه استفاده‌ای می‌کنید. نباید در لحن بیان شما جایی برای تفسیر یا برداشت دو پهلو وجود داشته باشد و باید به صورت شفاف و خاص این اطلاعات را مشخص کنید تا بعداً کسی نتواند بگوید که “اما من نمی‌دانستم که قرار است ….”

کارهایی که نمی‌توانید انجام دهید:

• رضایت همراه (همراه با دانلود یا استفاده از چیزی) – مثلاً رضایتنامه‌هایی مثل “با دریافت این پی دی اف رایگان، شما با عضویت در لیست ایمیل خبرنامه ما موافقت کرده اید” قانونی نیستند.
• ارائه رضایت شخص ثالث – “من تمایل دارم که اطلاعاتی را از کمپانی شما و از اشخاص ثالث علاقمند دریافت کنم” قانونی نیست مگر اینکه نام آن شخص ثالث را ذکر کرده باشید و یک چک باکس مجزا برای آن قرار داده باشید.
• دریافت نام افراد و ایمیل آنها برای تهیه لیست ایمیل و بعد ارسال نامه پستی یا زنگ زدن به آنها – برای هر یک از این روش‌های تماس نیاز به یک رضایت نامه مجزا دارید.
• ارائه باکس عضویت یا رضایتی که از قبل تیک خورده باشد – خود کاربر باید به صورت دستی آن‌ها را تیک بزند.
• الزام کاربران به تیک زدن باکس “نمی خواهم آپدیتی دریافت کنم” یا موارد مشابه – چون این opt-out (رد کردن یا انتخاب برای خروج از چیزی) محسوب می‌شود و نه opt-in یا انتخاب برای ورود در چیزی.
• ارسال ایمیل به فردی صرفا به این دلیل که در گذشته از شما خرید داشته است. حتی در صورتیکه فرد به صورت شفاهی به شما اعلام کرده باشد که تمایل دارد اطلاعات بیشتری از شما دریافت کند یا اینکه مثلاً دائم در فیسبوک درباره شما مطلب پست کند، چون اظهار تمایل باید به صورت قانونی باشد. به هر حال سعی کنید از چنین خطراتی اجتناب کرده و حتما رضایت کتبی را دریافت کنید.

درباره Opt- Out یا رد کردن:

اساسا باید رد کردن پیشنهاد یا انتخاب برای خروج از لیست، به اندازه انتخاب برای ورود به آن شفاف و واضح باشد.

اگر فرد تصمیم بگیرد که دیگر تمایلی به دریافت ایمیل از سوی شما ندارد باید وی را – به همراه تمام اطلاعاتش – ظرف مدت ۳۰ روز از سیستم حذف کنید و این به آن معنا نیست که فقط اسم فرد را از لیست ایمیل خط بزنید بلکه باید تمام اطلاعاتی که از او جمع‌آوری کردید را از سیستم تان پاک کنید.

و البته اگر این اطلاعات را در اختیار اشخاص ثالث قرار داده‌اید، باید اطمینان حاصل کنید که آنها هم این اطلاعات را پاک کنند.

تفاوت بین “کنترل کننده” داده و “پردازش کننده” داده چیست؟

• کنترل کننده داده: نهاد یا موجودیتی که مسئول ذخیره کردن و استفاده از اطلاعات شخصی است.
• پردازش کننده داده: نهاد یا موجودیتی که داده‌ها را از طرف کنترل کننده داده پردازش می‌کند (اما مسئولیت داده را بر عهده نمی‌گیرد یا کنترلی بر آن ندارد).
• ممکن است شما همزمان کنترل کننده و پردازش کننده داده باشید پس باید دقت کنید که چه قوانینی به شما اعمال می‌شود.

برای مثال اگر شما با استفاده از داده‌های جمع‌آوری شده توسط فیسبوک (مثل تاریخ تولد، تحصیلات، حقوق و غیره) تبلیغاتی را به کاربران نمایش می‌دهید، فیسبوک کنترل کننده است چون خود فیسبوک داده‌ها را جمع‌آوری کرده و بنابراین مسئولیت سازگاری با قوانین بر عهده آنهاست.

اما اگر شما تبلیغی را بر اساس داده‌هایی که خودتان جمع‌آوری کرده اید (مثل آدرس ایمیل یا اطلاعات افرادی که از سایتتان بازدید کرده اند) پخش کنید، در این صورت شما کنترل کننده هستید و سازگاری با قوانین بر عهده شماست.

توضیحاتی راجع به ePrivacy Regulation

اما بحث ePrivacy Regulation به خودی خود می‌تواند یک مقاله کامل باشد اما در این قانون پردازش داده‌های شخصی هم مورد بررسی قرار گرفته است.

نکته مهمی که باید از آن اطلاع داشته باشید این است که در مواقعی که اطلاعات این دو قانون با هم تلاقی داشته باشند، قانون ePrivacy Regulation بر GDPR مقدم است.

قطعاً چنین مواد و قانون‌هایی ممکن است پیچیده و آزاردهنده به نظر برسند؛ اما سازگاری با این قوانین در عمل می‌تواند ساده تر از آنچه به نظر می‌رسد باشد.

کارهایی که شما باید در قبال این قانون انجام دهید

قطعاً این قوانین تا حدی مبهم هستند و قسمت‌های خاکستری زیادی در آنها دیده می‌شود بخصوص در رابطه با مفهوم “منافع مجاز”.

نکته کلی که باید به خاطر داشته باشید این است که: همیشه اعلام رضایت را دریافت کنید.

چک لیست GDPR

آموزش:

ورودی‌ها و خروجی‌های قانون GDPR را خوب یاد بگیرید و در صورت نیاز با یک وکیل مشورت کنید.

ارزیابی:

• آیا رضایت نامه‌های فعلی ما با الزامات این قانون سازگار هستند؟
• در حال حاضر چه داده‌هایی را جمع‌آوری می‌کنید؟ این داده‌ها از کجا می‌آیند؟
• برای داده‌هایی که در گذشته جمع‌آوری شده اند: آیا این داده‌ها منصفانه جمع‌آوری شده اند؟ آیا به خوبی اجازه و رضایت کاربر را دریافت کرده‌ایم؟
• آیا در حال حاضر از کوکی‌ها استفاده می‌کنیم؟ آیا اطلاعاتی که جمع‌آوری می‌کنیم برای کسب و کارمان ضرورت دارند؟
• از چه تصاویری استفاده می‌کنیم و آیا این کار ضرورت دارد؟
• آیا خط مشی ما درباره حریم خصوصی، با قوانین و مقررات جدید سازگاری دارد؟

برای پردازش اطلاعات مشتریان از چه نرم‌افزارهایی استفاده می‌کنیم و آیا این نرم‌افزارها با این قانون منطبق هستند؟

اقدامات مورد نیاز

• هر گونه اطلاعات قدیمی که دیگر مورد استفاده نیستند را حذف کنید.
• پیش از شروع پردازش اطلاعات افراد از آنها اجازه بگیرید – تمام فرم‌ها را آپدیت کرده و چک باکس‌های لازم را در آنها قرار دهید.
• فرم‌های عضویت ایمیل را آپدیت و منطبق با GDPR کنید. تمام فرم‌ها، انتخاب‌های کاربر، صفحات اسپلش و غیره را چک کنید.
• لیست فعلی ایمیل را بررسی کرده و افرادی که مربوط به حوزه اتحادیه اروپا هستند را حذف و یا یک کمپین هدف گیری مجدد راه اندازی کنید.
• یک رویه مناسب برای حذف داده‌ها در صورت تمایل فرد به خروج از لیست تهیه کنید.

پیگیری

به صورت دوره‌ای و منظم سیاست‌های حفظ حریم خصوصی، جمع‌آوری داده، فرم‌ها و لیست‌ها را بررسی کرده و اطمینان حاصل کنید که همه چیز در تبعیت از این قانون قرار داشته باشد.

اعمال این قانون برای سایر مناطق

اما قانون GDPR برای سایر مناطق و کشورها از جمله امریکا چطور اعمال می‌شود؟ هیچ کس هنوز پاسخ دقیق این سوال را نمی‌داند!

در وبسایت‌های مختلف دائما در حال مشاهده مقالات مختلفی هستیم که یکی بعد از دیگری درباره جریمه‌های ۲۰ میلیون یورویی (حدود ۲۴ میلیون دلار امریکا) صحبت می‌کنند اما هیچ کدام درباره این که این جریمه چطور و چه موقع اعمال می‌شود صحبتی نکرده است.

تا به حال این طور به نظر می‌رسد که اگر کسب و کاری در اتحادیه اروپا حضور فیزیکی داشته باشد، قانون GDPR به صورت مستقیم بر آن اعمال می‌شود. برای کسانی که در اتحادیه اروپا نیستند (مثل کسب و کارهایی که صرفاً به صورت آنلاین فعالیت دارند) شرایط کمی غیرشفاف است.

بعضی این طور پیش بینی می‌کنند که محدوده این قانون هم در نهایت مثل حوزه قانون CAN-SPAM خواهد بود چون علیرغم اهداف پسندیده‌ای که این قانون دارد اما هیچ راه واضحی برای اعمال آن به صورت جهانی وجود ندارد و خیلی از کسب و کارها امکان سازگاری و تبعیت کامل از این قانون را ندارند.

در واقع الزام آور کردن این قوانین در سطح جهانی نیاز به مقرراتی بین المللی دارد. تا به امروز هیچ مکانیزم خاصی برای اجبار این جریمه‌ها ایجاد نشده است.

آیا پیروی از این قانون ارزش صرف زمان و هزینه لازم را دارد؟

شاید شما به عنوان صاحب یک کسب و کار از خودتان بپرسید که آیا این قوانین که ممکن است در نهایت منجر به از دست رفتن فروش یا در حداقل حالت از دست دادن وقت و زمان شوند، ارزش تبعیت را دارند؟ همانطور که پیش از این گفتیم این که جریمه‌های تعیین شده اعمال شوند یا خیر در حال حاضر کاملا مشخص نیست. اما مسلما ارزش ریسک و خطر را ندارد.

قطعاً در آینده نزدیک این قوانین در اشکال مختلف در خیلی از کشورها الزام آور می‌شوند. به نظر می‌رسد که در امریکا هم بزودی شاهد قوانین مشابهی باشیم که تاثیرات زیادی بر خیلی از فعالیت‌های بازاریابی و تبلیغاتی دارد از جمله خرید لیست‌های عمومی، جمع‌آوری کوکی به صورت مخفیانه، ارسال ایمیل‌های اسپم و غیره. قطعاً سازگاری با چنین قوانینی نیاز به زمان و تلاش دارد و به احتمال زیاد می‌تواند بر نرخ تبدیل تاثیرگذار باشد.

اما جنبه مثبت چنین قوانینی این است که هر بازاریابی لیستی قوی از افرادی را در اختیار خواهد داشت که واقعاً به محصول او علاقمند باشند و نه اینکه صرفا در قبال انجام کارهایی مثل دانلود یک پی دی اف رایگان در لیست عضو شده باشند.

خلاصه و نتیجه‌گیری

پیروی از قوانین GDPR آنطور که به نظر می‌رسد پیچیده نیست.

مزیت این قانون این است که اعتماد بین شما و مخاطبین را افزایش داده و باعث می‌شود که لیست مخاطبین بهتر و مفیدتر باشد و وقت خودتان را صرف افرادی نکنید که تمایلی به دریافت ایمیل‌های شما ندارند.

نکته منفی این قانون این است که پیاده سازی آن می‌تواند پرزحمت باشد.

خوشبختانه در این قانون تمام کسب و کارها مشمول قوانینی یکسان هستند (حداقل از نظر تئوری) و این امر به ایجاد توازن در عرصه رقابت کمک می‌کند.

در مجموع:

• GDPR به تمام داده‌ها اعمال می‌شود – حتی اگر این داده‌ها را قبل از ۲۵ می‌۲۰۱۸ جمع‌آوری کرده باشید یا ده سال پیش آنها را جمع‌آوری کرده باشید یا خود ملکه مستقیما این اطلاعات را به شما داده باشد!!
• رضایت نامه مشتریان باید مختصر و شفاف باشد – و درباره کارهایی که قرار است روی داده‌ها انجام بدهید به صورت گنگ و دوپهلو صحبت نشده باشد.
• اگر قرار است مثلاً برای سه کار مختلف موافقت کاربر را دریافت کنید باید سه چک باکس مختلف برای هر یک در نظر بگیرید. مثلاً ۱) من موافقت می‌کنم که ایمیل من را به لیست ایمیل‌های بازاریابی خودتان اضافه کنید ۲) اجازه می‌دهم که کد تخفیف محصول xx را برای من ارسال کنید ۳) اجازه می‌دهم که اطلاعات من را در اختیار کمپانی xx قرار دهید.
• اگر کسی تمایل دارد که از لیست شما خارج شود، این کار را انجام داده و انجام آن را برای کاربر سخت نکنید.
• حتی اگر کسب و کار شما در اتحادیه اروپا نباشد باز هم این قوانین به شما اعمال می‌شود.

نکته‌ای که در نهایت باید به آن اشاره کنیم این است که بازاریابی یعنی پیدا کردن مخاطبین مناسب و صحبت کردن درباره محصول و افزایش آگاهی نسبت به آن و همیشه ممکن است مشکلات جدید یا قوانین جدیدی ایجاد شوند که کسب و کار شما را تهدید کنند اما باید بدانید که چطور با این مشکلات مقابله کنید؛ همانطور که پیش از این هم قطعاً چنین کارهایی را انجام داده اید.

اما نظر شما درباره قانون GDPR چیست، فکر می‌کنید این قانون چه تاثیراتی بر کسب و کار شما خواهد داشت؟ آیا تا به امروز اثرات منفی آن را مشاهده کرده اید یا خیر؟

لطفا نظراتتان را با ما در میان بگذارید و بگویید که فکر می‌کنید این قانون چه تاثیری بر قیف فروش دارد و شما برای سازگاری با آن چه تغییراتی ایجاد کرده اید.