GDPR:
Konsekvenserne for den mobile marketingindustri
GDPR og konsekvenserne for den mobile reklamebranche
1. Hvad du skal vide om GDPR
Databeskyttelse er gået ind i en æra med hidtil usete forandringer. I december 2015, efter mere end tre års hårde forhandlinger og flere udkast, blev tre store EU-institutioner - Europa-Parlamentet, Rådet for Den Europæiske Union og Europa-Kommissionen - enige om teksten til den generelle forordning om databeskyttelse (GDPR).
Forordningen træder i kraft den 25. maj 2018 og erstatter databeskyttelsesdirektivet, som har været grundlaget for europæisk databeskyttelse i mere end to årtier.
Her er de vigtigste årsager til GDPR:
1. Revolutionerende ændring i, hvordan vi bruger og deler information
Databeskyttelsesdirektivet blev vedtaget i 1995, da internettet ikke var så udbredt, og folk næsten ikke havde mobiltelefoner. Da direktivet ikke længere passer til formålet, er GDPR designet til at sikre sikkerheden af personlige data i vores moderne, teknologiske verden.
2. Stigende antal højt profilerede brud på datasikkerheden
Efter at teknologivirksomheder som Uber og Yahoo har været udsat for omfattende databrud, der har påvirket mere end 3 milliarder brugerkonti, er forbrugere og lovgivere blevet mere og mere bekymrede over håndteringen af personlige data.
3. Klart behov for mere omfattende sanktioner
De berømte sager, hvor magtfulde tech-giganter brød loven (f.eks. brugte Facebook en generisk opt-in til at flette Whatsapp-data), understregede, hvor ubetydelige de eksisterende bøder for overtrædelse af privatlivsbestemmelser er, hvilket yderligere understøtter behovet for en ny lovgivning.
Ved at indføre strengere krav til overholdelse af databeskyttelse er GDPR en game changer for virksomheder i flere brancher. Det kommer ikke som nogen overraskelse, at den nye forordning også har en kritisk indvirkning på mobilmarkedsføringsbranchen. Mobilmarkedsførere, udgivere og teknologivirksomhederne bag dem - alle virksomheder, der opererer i branchen - skal sikre overholdelse af GDPR, når den træder i kraft i maj senere i år.
Manglende overholdelse har en pris - bøder kan nå op på 20 millioner euro eller 4% af den årlige bruttoomsætning, alt efter hvilket beløb der er størst.
Uret tikker, og med kun få uger tilbage bør virksomheder have gennemført en konsekvensanalyse af databeskyttelse og være godt på vej til at udbedre eventuelle huller. Hvis din virksomhed opererer inden for mobil markedsføring, er denne guide designet til at hjælpe dig med at handle nu - uanset om du lige er begyndt på dine forberedelser eller allerede har krydset de sidste felter af på din tjekliste for grundarbejdet.
GDPR
2. Hvad GDPR betyder
for den mobile marketingindustri
Selvom GDPR giver nogle udfordringer for mobilbranchen, medfører den også positive ændringer ved at harmonisere loven på tværs af de 28 EU-medlemsstater og gøre det komplekse databeskyttelseslandskab lettere at navigere i. Vigtigst af alt tydeliggør den databeskyttelsesloven ved at fjerne "gråzoner", som var udbredte før GDPR.
Følgende liste skitserer de mest betydningsfulde ændringer under GDPR:
Definition af personlige data
Definitionen er meget bredere under GDPR og omfatter typer af data, der ikke tidligere blev klassificeret som persondata. GDPR definerer klart, at alle enhedsidentifikatorer, herunder AAID (Android Advertising ID), IDFA (Apple ID for Advertising) samt cookie-id'er og placeringsdata betragtes som personoplysninger.
Konsekvenser for mobil markedsføring
Alle oplysninger om en identificeret eller identificerbar fysisk person bliver til personoplysninger og skal behandles som sådan (herunder hashede værdier).
Nye rettigheder
GDPR indfører nye rettigheder for forbrugerne. Retten til sletning gør det muligt for enkeltpersoner at bede dataansvarlige om at slette alle personlige data uden unødig forsinkelse. Retten til dataportabilitet giver enkeltpersoner mulighed for at anmode om, at deres data "porteres" fra en virksomhed til en anden. Retten til adgang gør det muligt for brugere at få adgang til deres personlige data for at verificere lovligheden af behandlingen.
Konsekvenser for mobil markedsføring
Virksomheder skal have processer, så kunderne til enhver tid kan anmode om opt-out, og sikre, at der bliver handlet på dem. Samtykkedatabaser skal spore, hvornår samtykket blev givet, og om det er blevet trukket tilbage. Systemer skal være i stand til at udføre opt-outs og gennemføre sletninger hurtigt og fuldstændigt.
Privatliv gennem design
Data skal kontrolleres og behandles med klart definerede sikkerhedsforanstaltninger. Privatliv skal indbygges i nye produkter og funktioner helt fra begyndelsen, herunder passende tekniske og organisatoriske foranstaltninger for at opfylde alle GDPR-krav.
Konsekvenser for mobil markedsføring
Virksomheder har en juridisk forpligtelse til at minimere mængden af data; de må ikke opbevares længere end nødvendigt. Pseudonymisering bør anvendes for at reducere risikoen ved databehandling.
Håndtering af samtykke
Behandling af persondata kræver et solidt juridisk grundlag i henhold til GDPR, f.eks. udtrykkeligt samtykke fra en bruger eller i nogle tilfælde en legitim interesse i databehandling. At bede om samtykke betyder at give forbrugerne kontrol og et reelt valg. Brugerens opt-in skal være skrevet i et klart sprog og indeholde detaljer såsom formål med behandlingen, de typer data, der vil blive behandlet, og de ansvarlige dataansvarlige, der vil behandle dataene.
Konsekvenser for mobil markedsføring
Hvis samtykke vælges som juridisk grundlag for databehandling, skal virksomheder kunne bevise, at en kunde har givet sit udtrykkelige samtykke til dataindsamling. Opt-ins skal være skrevet i et klart sprog uden juristeri, skal dokumenteres og være tilgængelige i hele kæden af dataansvarlige og -behandlere.
For bedre at kunne dokumentere og administrere brugernes samtykke findes der specialiserede Consent Management-løsninger . Disse løsninger aflaster de dataansvarlige ved at opfylde krav om problemfri opt-ins og opt-outs samt give detaljeret dokumentation af specifikke tilfælde for individuelle brugere.
IAB Europe har taget initiativ til en brancheomspændende Consent Management Solution. Mere information på http://advertisingconsent.eu/.
3. Forstå din rolle i databehandlingskæden
At være i stand til korrekt at identificere din - og dine partneres - rolle i databehandlingskæden har en
Under GDPR er både dataansvarlige og databehandlere ansvarlige for sikker håndtering af persondata og rapportering af brud på datasikkerheden. Dataansvarlige har dog flere muligheder for at arbejde med data og har derfor et større ansvar for dokumentation af interne processer, konsekvensanalyse af privatlivets fred, opt-outs og tredjepartsrevisioner.
Med så mange aktører og mellemmænd i det komplekse og evigt foranderlige mobilmarkedsføringsrum kan det nogle gange være en udfordring at tildele virksomheder de rigtige roller.
For at gøre det hele mere overskueligt er her en oversigt over databehandlingskæden:
Registreret person: Den person, der er genstand for personoplysninger.
Eksempel fra den mobile marketingindustri: App-bruger.
Dataansvarlig: Den virksomhed, der bestemmer formålet med og måden, hvorpå personoplysninger behandles. Den dataansvarlige kan levere data til andre dataansvarlige såvel som til databehandlere.
Eksempel fra den mobile marketingbranche: App-udgiver, annoncør, SSP, DMP, DSP.
Databehandler: Den virksomhed, der behandler data på vegne af en dataansvarlig. Databehandleren kan kun levere data til underbehandlere, aldrig tilbage til den dataansvarlige.
Eksempel fra mobilmarkedsføringsbranchen: Analysevirksomhed, der udelukkende handler på vegne af en dataansvarlig.
Både dataansvarlige og databehandlere i hele kæden skal forstå kilden til de data, der bruges, og sørge for, at deres leverandører har ordentlige samtykkemekanismer på plads og registrerer samtykket.
Data
Data fra 1. part
Definition
Data indsamles af dataejeren selv (f.eks. gennem deres egen app eller SDK).
Konsekvenser for den mobile marketingindustri
Ejere af 1. parts data (f.eks. app-udgivere) drager fordel af deres direkte relation til forbrugeren og kan indhente udtrykkeligt samtykke.
Data fra 3. part
Data leveres af tredjepartsvirksomheder og aggregatorer.
Til tredjepartsvirksomheder, der indsamler og dokumenterer korrekt samtykke.
Data fra 1. og 3. part
4. Er din organisation klar til GDPR?
Da GDPR medfører den største ændring i europæisk databeskyttelse i årtier, er der mange rammer derude, der giver detaljerede trin, man skal følge for at forberede sig fuldt ud på det. Forhåbentlig har din organisation allerede gjort en stor indsats for at overholde den nye forordning. Men hvis du først er begyndt at forberede dig på dette tidspunkt, er den bedste plan at få professionel støtte så hurtigt som muligt.
Uanset hvilken fase af forberedelsen din organisation befinder sig i, er det en god idé at foretage en forebyggende evaluering af jeres status.
De vigtigste spørgsmål, du skal stille dig selv, er bl.a:
Databeskyttelsesansvarlig
Databeskyttelsesansvarlig (DPO)
Behandler du store mængder kundedata og har brug for en dedikeret person til at overvåge dit GDPR-overholdelsesprogram?
GDPR kræver udnævnelse af en DPO for organisationer, der behandler store mængder følsomme persondata. De vigtigste DPO-opgaver omfatter rådgivning, overvågning af overholdelse, uddannelse af personale og interne revisioner.
Obligatorisk underretning om brud
I tilfælde af et brud på datasikkerheden, vil du så være i stand til at underrette databeskyttelsesmyndighederne inden for 72 timer?
Et brud defineres som et brud på sikkerheden, der fører til utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret offentliggørelse af eller adgang til personoplysninger. Brud skal rapporteres til myndighederne inden for 72 timer.
Obligatorisk underretning om brud
Privatliv gennem design
Privatliv gennem design
Indbygger du krav om databeskyttelse i udviklingen af dine forretningsprocesser og nye produkter?
Privatliv bør indbygges i nye systemer, produkter og funktioner helt fra begyndelsen. Som standard bør privatlivsindstillingerne være indstillet på et højt niveau.
Nye rettigheder
Er du forberedt på at overholde de nye forbrugerrettigheder til at få adgang til, slette og overføre deres personlige data?
GDPR gør det muligt for enkeltpersoner at få adgang til deres data for at verificere lovligheden af behandlingen, at indhente, genbruge eller slette deres personlige data og at få distributionen af deres data stoppet.
GDPR nye rettigheder
GDPR's udvidede anvendelsesområde
Udvidet anvendelsesområde
Forstår du din rolle som databehandler eller dataansvarlig? Behandler du data om EU-borgere?
GDPR gælder for alle dataansvarlige og databehandlere, der er etableret i EU, såvel som alle organisationer uden for EU, der har EU-borgere som kunder. Lovgivningen påvirker enhver virksomhed, der kan komme i kontakt med en europæisk borger, herunder virksomheder med base i USA.
Ansvarlighed
Er du klar til at bevise, at din organisation lever op til kravene i GDPR?
Efter anmodning fra databeskyttelsesmyndighederne skal virksomheder fremlægge dokumentation for deres databehandlingspolitikker, -procedurer og -operationer.
GDPR-ansvarlighed
5. Tjekliste til mobiludgivere
Et af hovedformålene med GDPR er at give enkeltpersoner bedre mulighed for at kontrollere deres data. Takket være deres direkte adgang til forbrugerne er mobiludgivere særligt ansvarlige for at give denne kontrol. Blandt deres andre ansvarsområder skal udgiverne tydeligt informere folk om, præcis hvilke data der indsamles, og hvad der vil ske med disse data fra det øjeblik, de indsendes.
GDPR medfører strenge regler, og udgivere bør tage skridt til kritisk at evaluere både deres egen og deres partneres databehandlingspraksis - og handle på det.
Hvis du er på udbudssiden af økosystemet for mobil markedsføring og tjener penge på dine data, er her en tjekliste over GDPR-relaterede opgaver, du skal udføre for at demonstrere fuld overensstemmelse:
Bestem din rolle
Gennemgang og genforhandling af kontrakter
Opdatering af privatlivspolitik og servicevilkår
Bliv enige om det juridiske grundlag for databehandling
Administrer samtykke
Forebyg datalækage
Underret om overtrædelser
Selvom der er meget forarbejde, er GDPR en positiv udvikling for mobiludgivere, der er i en god position til at indhente samtykke. Forordningen tvinger udgiverne til at tage kontrollen tilbage over, hvad der sker på deres mobilapps og mobilwebsites, og samtidig øger den respekten for deres publikum. Til gengæld fører denne udvikling til en øget tillid mellem brugere og udgivere, hvilket yderligere forbedrer kvaliteten af de data, der indsamles.
Tjekliste til mobiludgivere
Bestem din rolle
Som nævnt ovenfor er der to forskellige typer dataenheder: de dataansvarlige, der bestemmer, hvordan og hvorfor personoplysninger skal behandles, og databehandlerne, der udfører den faktiske behandling på vegne af de dataansvarlige. Mobiludgivere er typisk dataansvarlige.
Gennemgang og genforhandling af kontrakter
Mobiludgivere bør opdatere de fleste af deres aftaler med tredjepartsleverandører, fordi GDPR medfører nye krav og overvejelser, der skal kodificeres, herunder:
Definitioner (f.eks. den nye, bredere definition af persondata)
Underretninger (leverandører skal underrette dataansvarlige uden unødig forsinkelse i tilfælde af et brud)
Samarbejde (leverandører skal gøre det muligt for dataansvarlige at respektere de registreredes rettigheder)
Sikkerhed (leverandører skal garantere, at behandlingen er sikker og i overensstemmelse med reglerne)
Registrering (databehandlere skal registrere enhver databehandling, der foretages på
controllerens vegne)
Opdatering af privatlivspolitik og servicevilkår
Mobiludgivere bør sikre sig, at disse dokumenter er opdaterede og dækker alle deres juridiske krav. GDPR kræver også, at udgivere forklarer privatlivspolitikken i et klart sprog og gør den let tilgængelig og synlig, før de indsamler personlige data (herunder cookies eller mobile reklame-id'er).
Bliv enige om det juridiske grundlag for databehandling
Mobiludgivere skal have et ordentligt juridisk grundlag, såsom samtykke eller legitim interesse, for at indsamle, bruge og overføre personlige data. Samtykke skal gives i en forståelig og lettilgængelig form. Udgivere skal være tydelige omkring, hvilke data de indsamler, hvad de planlægger at gøre med dem, og eksplicit liste alle tredjeparter, der vil bruge dataene.
Administrer samtykke
Mobiludgivere skal registrere samtykke og give den enkelte mulighed for at tilbagekalde samtykke til enhver tid og få adgang til, rette eller helt slette alle data, som udgivere har om dem. Brugerne skal kunne trække deres samtykke tilbage lige så let, som de kan give det.
Forebyg datalækage
Samtykke er meningsløst uden håndhævelse af databeskyttelse: Medmindre mobiludgivere forhindrer al datalækage, kan en besøgende, der giver samtykke, ikke vide, hvor deres data kan ende. Udgivere bør kende deres teknologi og potentielle svage led - og forhindre datalækage.
Underret om overtrædelser
I tilfælde af brud på en database skal mobiludgivere underrette myndighederne inden for 72 timer, efter at de er blevet opmærksomme på lækagen.
6. Tjekliste til mobilannoncører
Nye rettigheder for forbrugerne, nye tidsbegrænsninger på mange anmodninger, nye ansvarsområder - der er ingen tvivl om, at GDPR giver udfordringer for mobilannoncører, både dem i allerede stærkt regulerede brancher og dem, der ikke er.
Annoncører bør tage skridt til kritisk at evaluere deres egen og partneres databehandlingspraksis - og handle på det. Hvis du er på efterspørgselssiden i økosystemet for mobil markedsføring, er her en tjekliste over GDPR-relaterede opgaver, du bør udføre for at demonstrere fuld overholdelse:
Bestem din rolle
Gennemgang og opdatering af kontrakter
Kend dine leverandører
Indhent samtykke
Administrer samtykke
Forstå legitime interesser
Opdatering af privatlivspolitik
Selvom forberedelserne til GDPR kan være udfordrende, bør denne nye lovgivning ikke ses som et tilbageslag for marketingfolk. Faktisk er det en god mulighed for at skabe målrettede mobile marketingkampagner, der når ud til de mennesker, der er engagerede i dit brand.
Takket være eksplicit samtykke vil GDPR føre til en stigning i datakvaliteten. Kyndige marketingfolk bør bruge dette som en mulighed for at grave dybere ned i deres potentielle kunders behov ved at erstatte den traditionelle "one-size-fits-all"-tilgang til mobil marketing.
GDPR-tjekliste
Tjekliste til mobilannoncører
Bestem din rolle
En dataansvarlig er en person, der bestemmer midlerne og formålene med behandlingen af personoplysninger, f.eks. hvilke data der skal indsamles, og hvilke målgrupper der skal nås. En databehandler behandler til gengæld data på vegne af den dataansvarlige. Selv om der kan være visse overlapninger, betyder det i de fleste tilfælde, at annoncører er dataansvarlige.
Gennemgang og opdatering af kontrakter
Markedsførere bør gennemgå og opdatere aftaler mellem virksomheder og databehandlerkontrakter. De opdaterede versioner af kontrakterne bør ændres for at inkludere nye klausuler relateret til GDPR og for at sikre, at alle relevante tjenester er fuldt kompatible.
Kend dine leverandører
Leverandørerne spiller en afgørende rolle for, om marketingfolk overholder reglerne eller risikerer at overtræde dem. Med det i tankerne bør marketingfolk afklare det med hver enkelt leverandør:
Hvilke personlige data behandler de? Hvordan og hvorfor? Hvorfor? Hvordan minimerer de brugen af dem?
Er de en processor eller en controller?
På hvilket juridisk grundlag behandler de data?
Hvordan er de forberedt på at håndtere samtykke?
Hvordan håndterer de de registreredes rettigheder?
Hvordan håndterer de sikkerhed og internationale overførsler?
Indhent samtykke
For at få samtykke skal annoncører give enkeltpersoner et klart billede af, hvorfor de indsamler data, hvordan de vil blive brugt, og hvem der vil bruge dem. Der skal bruges et letforståeligt, klart sprog om det lovlige grundlag for behandling af data. Retten til nemt at tilbagekalde samtykke bør tilbydes.
Administrer samtykke
Det er vigtigt at sikre, at systemerne kan registrere samtykke og efterfølgende indsigelser, der er knyttet til specifikke formål, der er angivet på tidspunktet for indsamlingen af samtykke.
Forstå legitime interesser
GDPR tillader direkte markedsføring som en aktivitet med legitim interesse, hvis visse betingelser og en "balance of interests"-test (som vægter markedsførernes egne interesser i forhold til den registreredes rettigheder) er opfyldt. Hvis legitim interesse vælges som juridisk grundlag for databehandling i stedet for samtykke, skal marketingfolk registrere, hvordan de opfylder beskyttelsen af den enkeltes rettigheder og rimelige forventninger.
Opdatering af privatlivspolitik
GDPR kræver mere detaljerede privatlivsmeddelelser, herunder hvor længe persondata opbevares, detaljer om deling af persondata med tredjeparter, en forklaring af eventuelle profileringsaktiviteter, hvordan enkeltpersoner kan udøve deres rettigheder, hvor man kan sende klager, og om lande uden for EU behandler persondata.
7. Targetoo Er din betroede partner inden for mobil markedsføring
GDPR er ikke designet til at forhindre marketingfolk i at kommunikere med deres kunder, og det forhindrer heller ikke udgivere i at fortsætte deres dataindtjeningsvirksomhed. Målet er at give brugerne mere kontrol, hvilket kan omdannes til en konkurrencefordel, når man arbejder med nøje udvalgte, troværdige partnere.
Hos Targetoo skabte vi en neutral og gennemsigtig markedsplads for at gøre det muligt for virksomheder at træffe bedre marketingbeslutninger. Targetoo er grundlagt og har hovedkontor i Tyskland, og vi har været udsat for meget strenge databeskyttelsesregler siden de første dage, hvor vi blev etableret, og vi har været nødt til at overholde dem. Vi har derfor allerede krydset af i de fleste GDPR-krav:
Mål...
...har indarbejdet begrebet "Privacy by Design" i sin udvikling fra dag ét ...har defineret "tekniske og organisatoriske foranstaltninger" som en del af standardaftalerne om databehandling
...udviklet en integrationsmetode med partnere (Pre-bid Enrichment), der giver mulighed for direkte datasletning på DSP- og SSP-siden (ingen rådata sendes til partnere).
...kræver kontraktligt, at alle datapartnere indhenter og dokumenterer samtykke for alle brugere.
...har siden 2018 haft en ekstern Data Privacy Officer.
...tilbyder brugerne opt-out på deres hjemmeside, så data kan slettes og distributionen kan ophøre.
...er aktivt involveret i IAB's initiativ for Consent Management Solution for at muliggøre industristandarder og en gennemsigtig leverandørliste.
Targetoo påtager sig rollen som dataansvarlig.
Ud over at tilbyde en selvbetjent Audience Management Platform, der giver dataejere mulighed for at tjene penge på deres data, og datakøbere mulighed for at målrette deres kampagner mod de rigtige målgrupper, indsamler og behandler Targetoo også data til målgruppesegmenter, der er afledt af lokationsadfærd, samt til Targetoo Data Alliance.
Som dataansvarlig overholder Targetoo alle GDPR-krav og fungerer som en pålidelig partner til målgruppemålretning såvel som til indtjening af data.
8. Konklusion
Mens den nært forestående deadline for overholdelse af GDPR holder mobilmarketingbranchen travlt beskæftiget, er det vigtigt at tage et skridt tilbage og anerkende den værdi, som den nye forordning medfører. Den generelle forordning om databeskyttelse har til formål at give kontrollen over personlige data tilbage til de europæiske borgere og at forenkle det lovgivningsmæssige miljø, som internationale forretninger drives i.
For at overholde reglerne bør virksomhederne allerede være godt i gang med at udbedre eventuelle huller, der er identificeret under deres interne vurderinger af databeskyttelse og kontraktgennemgange. At reparere disse huller bør dog ses som mere end blot et ansvar for at overholde reglerne. Etisk brug af data skaber tillid mellem virksomheder og forbrugere - og styrker vores datadrevne økonomi yderligere. Kloge virksomheder både på udbuds- og efterspørgselssiden af økosystemet for mobil markedsføring bør gøre compliance-aktiviteterne til en mulighed for at holde sig foran konkurrenterne og styrke deres kunderelationer.
GDPR - konklusion fra Targetoo
Ansvarsfraskrivelse: Oplysningerne og anbefalingerne i denne hvidbog er af generel karakter og repræsenterer ikke juridisk rådgivning. Kontakt venligst din egen juridiske rådgiver, hvis du søger råd om specifikke fortolkninger og krav i GDPR.
