• 公司已经开始了符合通用数据保护条例(GDPR)的旅程
  • 大多数SiriusDecisions客户已经通过入口端口分析审查了他们的数据输入,并正在采取措施改善合规的数据输入
  • 制定合规计划是做好GDPR准备工作的重要组成部分

一般资料保护规例(GDPR)执行日(2018年5月25日)正在迅速临近,全球营销团队明显有达成合规的紧迫感。公司已经开始了一段旅程,从各种各样的起点,越来越接近他们认为会满足利益相关者和当局的合规状态。那么沿着GDPR合规的旅程是你的公司吗?你想知道你的营销同行在做什么吗?

GDPR

在我之前的博客中,“遵守GDPR的五个组成部分,我讨论了SiriusDecisions数据遵从性模型,该模型允许营销领导者检查五个关键领域——数据输入、数据存储、数据使用、数据维护和数据处理——驱动遵从性营销引擎。到目前为止,最受关注的两个领域是数据摄取和数据维护。在这篇博文中,我报告了我在数据吸收领域所见证的;在我的下一篇博文中,我将转向数据维护。

数据摄取

到目前为止,与我交谈过的大多数公司都进行了全面的入境口岸分析。记录了数据进入营销技术系统的位置和方式。虽然劳动密集型,但这个过程是有逻辑性和启发性的,向营销人员强调了不合规数据的表现程度(例如,通过手动输入的销售联系人)。为了避免风险,公司已经开始讨论一种有纪律的方法来管理这种联系。我们的建议是要求在销售人员自动化(SFA)系统中记录数据源(例如名片、社交媒体触发)。让这些领域的人口成为进入成功的强制性要求。然后记录联系人提供的关于提供其数据的意图和目的的任何合法利益的理由。保存此联系人将自动触发一封电子邮件,要求向该联系人发送同意确认。

新数据的主要来源是在贸易展会上收集的Web表单和联系人。许多公司报告说,Web表单已经更新,大部分同意措辞都是由法律顾问提交的。对于是否需要两份请求同意处理数据和接收营销沟通的单独声明,还是一份包含这两者的声明就足够了,我没有找到共识。由于我不是律师,我不会在这个问题上提供建议,而只是强调这是一个政策裁决,你需要在内部做好准备。对于我们的大多数客户来说,联系人所在的县是一个标准和强制性的表格字段,并作为确定适当管辖权的基础。我听说展会的联系方式已经更新了,现在很多公司在面对面讨论时先征求同意,然后再转发一封电子邮件,要求确认同意。

GDPR允许处理个人数据的六种合法基础,而同意只是其中之一。然而,部分由于即将出台的《欧盟隐私条例》(EU privacy Regulation),以及许多其他司法管辖区出现的同意要求,与我交谈过的许多公司都决定将“同意”作为新营销联系的合规依据。这迫使组织开始在全公司范围内征求同意。有些人采取的立场是,对于所有的营销联系,无论在哪里,都需要确认的选择加入(通常称为双重选择加入)。虽然不是大多数,但采用这种方法的公司数量正在增加。它提供了高度的数据质量、跨公司的技术一致性和风险降低。一些公司指出了获得许可的成本(例如,由于未能完成同意程序而导致销售机会的损失),并选择了更灵活的结构——例如,根据国家领域严格按照司法要求获取同意。

每家公司都能在2018年5月25日前准备好吗?也许不是。虽然我不是律师,也不是任何欧洲监管机构的代表,但我想我可以肯定地说,到5月26日,如果不能做到百分之百合规,不会自动导致天塌下来,或者更糟的是,公司被处以全球收入4%的罚款。英国信息专员伊丽莎白·德纳姆(Elizabeth Denham)在2017年8月的一篇博客文章中表示:“这部法律不是关于罚款的……它是危言耸听,暗示我们将为轻微侵权的组织制定早期的例子,或最高罚款将成为常态……指导、建议和教育组织如何遵守法律的承诺不会在GDPR下改变。”我们一直喜欢胡萝卜而不是大棒。”

我可以证明,SiriusDecisions客户在完成完全符合GDPR的过程中所付出的巨大努力。各家公司都非常重视GDPR,并着手审查和修改与联系人数据摄入有关的流程。