来自Adtech供应商的GDPR和Eprivacy常见问题

Adtech Industry.数据和隐私GDP.武装工业

来自Adtech供应商的GDPR和Eprivacy常见问题

2018年4月19日发布,于2020年11月27日更新

Despite the fact that the European Union’s General Data-Protection Regulation (GDPR) has come into force, and the ongoing coverage in the media, there still seems to be a lot of misinformation and confusion as to what the GDPR and the proposed ePrivacy regulation mean for AdTech companies.

为了帮助出版商,品牌,机构和Adtech供应商明确了解这些新规定,我们已经回答了一些最常见和最棘手的问题。

经常问的问题

GDPR和Eprivacy有什么区别?

如果我公司在美国,我还需要遵守GDPR和Eprivacy吗?

如果我的公司被纳入欧盟以外,我可以忽略GDPR吗?

我公司是数据控制器或数据处理器吗?

什么是个人数据?

什么是psevonmous数据?

什么是匿名数据?

Can Adtech公司(例如DSP,SSP,AD服务器,广告网络等)仍然收集GDPR下的Cookie,IP地址和设备和广告ID?

Do Do Adtech公司需要获取同意使用cookie并收集有关它们的数据吗?

无能为力的跟踪在GDPR下落后吗?

在哪些情况下,我可以收集和使用个人数据而无需获得同意?

获得用户同意看起来像什么?

Adtech公司可以索取处理个人数据的“合法利益”?

企业需要如何处理2018年5月25日之前收集的数据?

用户在GDPR下有哪些权利?

Adtech公司需要做些什么来遵守GDPR?

'数据保护通过设计和默认值'是什么意思?

谁是DPO,他们的角色是什么?

什么是DPIA?我应该如何行事?

不合规的罚款是什么?

GDPR和Eprivacy有什么区别?

虽然GDPR和Eprivacy都旨在保护用户数据,但两者之间存在一些差异。

GDP.

《gdp条例(欧盟)2016/679号条例》基于欧盟基本权利宪章第8条。本文件包含在欧盟受保护的权利和自由,旨在保障个人资料,将个人资料的控制权交还欧盟主体,并使国际商业的监管环境更简单。

eprivacy

eprivacy,被称为隐私和电子通信指令(2002/58 / EC),基于欧盟基本权利宪章第7条,并在使用电子通信时专门关注私生活。

此外,Eprivacy旨在涵盖不属于GDPR的特殊情况。出于这个原因,eprivacy是Lex Special在GDPR中,意味着当两个法规涵盖相同的情况或在GDPR中没有规定案件时,Eprivacy将覆盖它。

一种简单而简单的方式来记住差异是在用户隐私的背景下思考数据保护和eprivacy的上下文中的GDPR。

如果我公司在美国,我还需要遵守GDPR和Eprivacy吗?

有一种常见的误解,因为GDPR和Eprivacy是欧盟规定,那么他们只会影响欧盟和欧洲经济区(EEA)内的公司。出于这个原因,美国内部的许多公司认为将GDPR和Eprivacy视为欧洲问题。

事实是,如果您的公司收集有关数据主体的信息(直接或代表您的客户),那么是的,贵公司将需要遵守GDPR和Eprivacy。

如果我的公司被纳入欧盟以外,我可以忽略GDPR吗?

如上所述,如果您的公司位于EU / EEA之外,如果您从欧盟/ EEA中收集有关市民和居民的数据,您仍可能受到GPR和Eprivacy法规的约束。

如果您的公司不会收集来自欧盟/ EEA的公民和居民的任何数据,那么您将不必遵守GDPR或Eprivacy。请记住,欧盟公民的单一网络访问可能意味着您必须遵守这两个法规。

我公司是数据控制器或数据处理器吗?

数据控制器和数据处理器之间的区别仅在您使用供应商提供的软件时才进行,您不维护。但是,在本地软件的情况下,您的公司必须考虑控制器和处理器。

一种控制器收集有关欧盟公民和居民的收集和汇总数据。它可以是自然或法人,公共机构,机构或其他身体,单独或与他人共同,决定了个人数据处理的目的和手段。

例子:出版商,电子商务店,个人博客,品牌,以及通过另一家公司直接或间接地收集有关用户数据的公司。

一种处理器是任何提供服务或技术的人员或公司,并代表数据控制器收集数据。优德88备用网处理器是自然或法人,公共机构,代理商或其他机构,用于代表控制器处理个人数据,或者提供用于收集数据的工具。

例子:Adtech和Martech供应商。

两者之间的区别很好地说明了一个Infographic.由Piwik Pro团队创建。

什么是个人数据?

GDPR将个人数据定义为可用于识别数据主题的任何信息。

在这个意义上的身份不仅仅是指知道一个人的名字。如果用户访问您的网站或查看您的一个广告,则如果您稍后可以识别它们(通过他们的cookie ID或其他标识符),则它们被视为可识别,如果他们返回到您的网站或查看您的另一个广告。

GDPR还将设备和广告ID,Cookie,IP地址和位置数据添加到个人数据示例列表中,这意味着每个Adtech公司目前将收集个人数据。

什么是psevonmous数据?

Psevonmous数据是指已更改为非可识别格式的信息,呈现它无法识别某人而不使用其他数据,例如散列函数或加密密钥。

值得注意的是,虽然假名数据是为了帮助公司保护数据而设计的,但它仍然是个人数据的一个例子,因为它有可能恢复假帐数据回到原来的格式。

这意味着,如果Adtech公司将推荐的数据假名,他们仍将受到GDPR内的规则的束缚和eprivacy。

On a more positive note, the GDPR states that companies aren’t required to inform data subjects about a breach if the appropriate technical and organizational protection measures, such as one-way pseudonymization or encryption without the keys, have been put in place and applied to the data.

什么是匿名数据?

匿名数据意味着它不能用于识别一个人,因此,它不受GDPR的规则。这意味着如果公司收集匿名数据,则他们不必获得用户同意。

出于这个原因,匿名数据的价值很少,如果有的话,对于Adtech公司,这意味着它们无法根据个人数据运行有针对性的广告系列。

一些Adtech供应商声称它们仅收集匿名数据,这可能是真的,但这意味着他们无法根据任何类型的参数运行行为广告活动或目标用户。

Can Adtech公司(例如DSP,SSP,AD服务器,广告网络等)仍然收集GDPR下的Cookie,IP地址和设备和广告ID?

虽然个人数据的定义已经扩展到包括cookie, IP地址,设备和广告id, AdTech公司仍然可以使用个人数据来进行行为广告活动——但是,他们需要获得用户的同意才能这样做(参见上面关于用户同意的部分)。

Do Do Adtech公司需要获取同意使用cookie并收集有关它们的数据吗?

是的。如上所述,GDPR已添加Cookie,存储在cookie,设备和广告ID中的ID,以及设备指纹到其个人数据列表,因此如果公司希望在用户上删除Cookie并收集他们的数据,则它们必须从用户那样清楚同意。

对于希望基于个人数据开展定向活动(如在线行为广告和重新定向活动)的AdTech供应商和广告商来说,获得用户同意至关重要,因为没有用户同意,任何广告或营销公司都无法合法收集、使用或存储用户数据。

无能为力的跟踪在GDPR下落后吗?

简而言之,是的。如果它涉及“跟踪”,那么它可能会在GDPR下降。从GDPR中排除的唯一数据类型是匿名数据,这在用户跟踪感觉中是无用的。

此外,由于大多数无能为力的跟踪方法涉及创建设备指纹,这将意味着它落在GDP下,因为它们被归类为个人数据。

在哪些情况下,我可以收集和使用个人数据而无需获得同意?

关于在线广告和营销,很少有允许公司收集和使用个人数据的情况,而无需获得同意。这两个主要的情况是欺诈预防和计费,这两者都是从广告视角中没用的。

今天的大多数广告和营销活动,如针对性和个性化,都需要用户提供同意。

获得用户同意看起来像什么?

虽然没有普遍接受的方法或行业标准来获取用户同意,但最明显的方式是通过弹出窗口或其他消息询问用户。

为了遵守获取同意的规则,该消息必须包含以下内容:

  • 正在收集用户个人数据的原因(例如,用于行为广告,分析和个性化)。
  • 用户数据将共享的公司的名称。
  • 用户数据将存储的时间长度(例如六个月)。

有关该过程从稍微技术的角度来看的更多信息,查看我们的信息图表

为了帮助出版商,广告商和Adtech公司获得用户同意,许多公司已经发布了同意经理,可用于管理获取,存储和管理用户同意决策和用户权限的技术实现。

互动广告局(IAB)也发布了一个用户同意框架为帮助出版商,广告商和Adtech公司浏览这个障碍;但是,它遭到了一些强烈的批评

Adtech公司可以索取处理个人数据的“合法利益”?

它是目前的,Adtech公司将无法索取合法利益用于收集和处理个人数据进行广告目的。

然而,许多Adtech公司都在留下深刻的印象,即他们将能够收集和使用个人数据来分析和定位,因为合法利益的概念,这在GDPR中解释如下:

除了需要保护个人数据的利益或基本权利和基本权利,特别是在数据的情况下,这些利益覆盖了这些利益的合法利益的处理是必要的。主题是一个孩子。

GPR第6条,1(f)

出版商,广告商和Adtech公司很可能无法根据合法兴趣处理用户数据,因为这些处理和分析将被用户的基本权利和自由覆盖。

企业需要如何处理2018年5月25日之前收集的数据?

一种part from obtaining proper consent after May 25, 2018, data controllers also need to analyze whether the user data stored in their databases (e.g. CRM systems, DMPs, and DSPs) before the GDPR kicked in was collected according to the rules set out in the GDPR. It is not necessary for the data subject to give his or her consent again if the manner in which the consent was given is in line with the Regulation.

对于营销人员来说,如果他们没有通过GDPR关于同意的规则尚未这样做,这意味着再次从现有数据库中获得的数据科目获得许可,这是极不可能的。在大多数情况下,这涉及发出,最有可能通过电子邮件,符合GDPR的同意请求要求数据受试者重新同意使用其历史数据。

另一方面,对于广告商来说,由于与接触到他们的广告的用户的间接关系,这种重新同意的过程是更加艰难的 - 只是考虑所有饼干广告商通过Cookie-Syncing等进程收集。这种情况下的解决方案非常极端,从大规模删除用户数据删除到所有人都无所不在,后者是最不吸引人的选择,并受到严重的财务后果。

目前,出版商是代表广告商和Adtech公司收集同意的人。

用户在GDPR下有哪些权利?

GDPR给用户提供了与其数据有关的许多权利,并指出公司需要允许用户在没有延迟的情况下行使这些权利(一个月内)。

具体而言,用户将在GDP下具有以下权限:

有权了解关于剖面的存在,这种谱的后果,处理操作及其目的。

访问权限由控制器确认是否正在处理有关其个人资料。这项权利已经是数据保护指令的一部分。

纠正的权利有关他或她的个人数据不准确。考虑到处理的目的,数据主体应有权完成不完整的个人数据,包括提供补充声明。

擦除的权利(在没有过度延误的情况下,关于他或她的个人数据的“被遗忘的权利”)有义务侵犯个人数据而无需过度延迟。

限制处理的权利如果数据主题对个人数据的准确性进行了竞争,则处理是非法的,并且控制器不再需要为处理的目的需要个人数据。

数据便携性的权利,意味着他们有权通过控制器接收已收集的个人数据。数据必须是结构化,常用和机器可读格式。

对象的权利随时处理有关它们的个人数据。

Adtech公司需要做些什么来遵守GDPR?

Adtech公司需要从技术角度来看,遵守GDPR,包括:

  • 确保获得适当的同意。
  • 从提供用户同意之前撤销射击标签。
  • 管理用户同意的决策和用户权限。
  • 添加额外的数据保护措施(例如,假义和加密),以确保用户数据受到保护和安全。
  • 应用“设计和默认的数据保护”方法来构建新的平台、工具和特性。

要了解更多信息,请下载我们的免费指南:GDPR和Eprivacy:从技术角度对Adtech&Martech的影响

'数据保护通过设计和默认值'是什么意思?

公司应将数据保护和用户隐私放在所有活动的最前沿,从收集用户数据到设计和构建新软件。

通过设计和默认数据保护的概念是基于Ann Cavoukian的7个隐私通过设计原则。它的GDPR介绍提升了隐私和数据保护的概念,从事设计和开发过程的中央组成部分。这涉及新的软件应用程序,例如Adtech平台以及策略和协议。

简而言之,设计和默认的数据保护意味着构建具有隐私功能的软件,让用户可以选择如何收集和使用他们的数据,并确保软件的默认设置和配置是数据保护友好的。

通过设计和默认了解有关数据保护和隐私的更多信息阅读我们的帖子

谁是DPO,他们的角色是什么?

数据保护人员(DPO)的作用是教育公司及其员工对重要的合规要求,为参与数据处理的员工提供支持,并进行定期的安全审核。

通过引入收集或处理欧盟公民个人数据的公司的GDPR,将成为强制性的作用。此外,DPO旨在作为公司与任何监督当局之间的中介机构。

欧洲数据保护主管指出DPO必须:

  • 确保这件事控制器数据科目获悉他们的数据保护权,义务和责任,并提高对他们的认识。
  • 向该机构提供关于数据保护规则的解释或申请的建议和建议。
  • 在机构内创建一个处理操作的登记通知EDP​​.那些呈现特定风险的人(所谓的前检查)。
  • 确保其机构内的数据保护合规性,并帮助后者责任在这方面。
  • 处理查询或抱怨根据机构,控制员,其他人或自己的倡议要求。
  • 与之合作EDP​​.(响应关于的要求调查,投诉处理,由EDPS等检查)。
  • 将机构注意任何未能遵守适用的数据保护规则。

什么是DPIA?我应该如何行事?

数据保护影响评估(DPIA)是一些公司需要作为其遵守GDPR遵守方式的一部分来执行的过程。

如果公司执行的数据处理可能会以高风险提出个人权利和自由,那么他们需要完成DPIA。

第29条数据保护工作方(WP29),将成为欧洲数据保护委员会(EDPB),并执行GDPR,提供一些指导方针关于是否需要DPIA。此类指南包括处理大规模和匹配或组合数据集的数据。

由于大多数Adtech公司做一个或两者,很可能他们必须进行DPIA。

不合规的罚款是什么?

根据侵权的严重程度,GDPR有两层罚款:

1
行政罚款高达10 000欧元,或者在违反本财政年度全球全球营业额的总营业额的2%,以较高,侵犯和侵权行为:

  • 从孩子获取同意以使用他们的数据(第8条)。
  • 不需要识别的处理(第11条)。
  • 指定数据保护官及其任务(第39条)。
  • 认证机构和监测机构义务的义务(第41,22和43条)。
  • 通过设计和默认数据保护(第25条)。

2级

行政罚款高达20 000欧元,或者在违反前一财政年度全球年度营业额的占总营业额的4%,以侵犯和侵权与:

  • 处理个人数据和该处理的合法性(第5条和第6条)。
  • 同意条件(第7条)。
  • 处理特殊类别的个人数据(第9条)。
  • 用户权利(第12-22条)。
  • 将用户数据传输到第三国的收件人(第44-49条)。

有关GDPR对Adtech和Analytics供应商的常见问题的列表,阅读Piwik PRO的这篇文章

有关于GDPR的问题吗?

我们专注于建立符合GDPR的Adtech和Martech平台。今天问我们的团队一个问题!

收到您的问题

标记为

搜索

获取我们的免费指南!

GDPR&Eprivacy:对技术透视指南的对Adtech&Martech的影响

GDPR和Eprivacy:
从技术角度对Adtech&Martech的影响

下载我们的免费指南并发现adtech和martech供应商的GDPR和Eprivacy的意思,并找出他们必须做些什么来遵守

现在下载

分享这篇文章

免费Adtech&Martech Resouw88优德中文rces

成千上万的C级高管,软件工程师,营销人员和广告商都学会了Adtech和Martech的内部工作与我们的双月刊通讯 - 所以你也可以!今天订阅并访问最新和最佳文章,视频和指南!