MarTech 的 GDPR 指南：通用数据保护条例

当欧盟在 2018 年通过其通用数据保护条例时，该法律被誉为隐私游戏规则的改变者，它将开启一个关于在线数据收集的同意新时代，并将保护个人信息的权利直接掌握在个人手中。

它还旨在标准化欧盟成员国的隐私法。 GDPR 将消除个别国家制定自己的法规的需要——以及要求任何向欧盟居民销售商品或服务的公司，无论其位于何处，都必须遵守法律。

但五年后，执法挑战阻碍了分水岭法，在 GDPR 生效之日提出的投诉——指控 Facebook、Instagram、WhatsApp 和谷歌在未经适当同意的情况下强迫用户放弃个人信息——仍在法院审理中系统。

与此同时，技术继续以冰川法律体系根本无法跟上的速度发展（这篇关于 GDPR 合规性和 ChatGPT 等人工智能工具的文章有助于描绘未来的挑战）。

这种脱节，以及执法不严的传言，尤其是在大型科技供应商总部所在的国家，只是欧盟监管机构现在寻求微调 GDPR 管理方式的几个原因。

本文将仔细研究这些程序变化——以及漏斗中的其他数据隐私法规，回顾一些迄今为止最高的法律罚款，并研究营销人员在进入 2023 年下半年时需要了解的内容.

即将发生的程序变化

今年早些时候，欧盟委员会宣布，在跨境案件中执行 GDPR 时，它将寻求简化整个欧盟数据保护机构的合作方式。 “这将支持 GDPR 合作和争端解决机制的顺利运作，”委员会指出。 这项名为“程序执行规则”的倡议旨在解决一系列问题，从如何处理 GDPR 投诉到程序本身的持续时间。 当无法达成共识时，拟议的执行规则将“澄清”争议解决的程序方面。

批评人士表示，新的执法规则没有具体规定，但根据 GDPR 有近 800 起案件悬而未决，程序改革至关重要。 正如位于奥地利维也纳的非营利组织 NOYB 或欧洲数字权利中心所说，GDPR 仅在理论上得到执行，科技公司想方设法拖延诉讼、上诉裁决和规避罚款。 （“NOYB”是“不关你的事”的缩写。）

GDPR 在美国的影响

在美国，弗吉尼亚州、加利福尼亚州、科罗拉多州、康涅狄格州和犹他州已出台新的或修订的数据隐私法，执行日期从今年 1 月 1 日（弗吉尼亚州）到 12 月 31 日（犹他州），加利福尼亚州、科罗拉多州和康涅狄格州自 7 月 1 日起生效（在加利福尼亚州，加利福尼亚隐私权法案 (CPRA) 修订了加利福尼亚消费者隐私法案 (CCPA)）。

此外，其他九个州提出的法律仍在悬而未决，但营销人员应该预见到最终的颁布。

这些法律在当前情况下值得注意，因为——除了加利福尼亚州——它们都“改编自 GDPR 的术语”，但在执行方式上存在差异，地方检察官、总检察长，以及在加利福尼亚州的情况下，加利福尼亚州隐私保护机构，都在执法组合中。

对于营销人员来说，cookie 管理将是最重要的，因为品牌/网站继续了解消费者对敏感数据的权利如何受到州法律的保护。

在联邦层面，两党共同努力制定一项新的隐私法——称为美国数据隐私和保护法 (ADPPA)——这将创建一个关于个人权利的国家标准。 3 月 1 日，众议院能源和商务委员会就拟议的法律举行了听证会。

虽然没有举行投票，但隐私团体和其他利益相关者指出，存在对联邦隐私立法的渴望，并可能最终导致行动。

深入挖掘：只有 11% 的美国企业完全遵守CCPA 隐私法

GDPR 处以巨额罚款

回到欧洲，撇开 GDPR 执法问题不谈，一些投诉导致了对 Meta、亚马逊和谷歌等公司的巨额罚款。

今年年初，Meta 因 Facebook 和 Instagram 违反 GDPR 而被罚款 4.13 亿美元。 由爱尔兰数据保护委员会 (DPC) 提供，顺便说一句，该机构因其处理 GDPR 投诉的方式而受到广泛批评，该机构的行动确认了欧洲数据保护委员会的一项决定，即“合同必要性”不是适当的理由投放行为广告。 （行为广告是指根据消费者的搜索历史向他们投放的在线广告或营销信息）。

多年来，Meta 一直将其用户同意协议捆绑到其应用程序的合同服务条款中，这有效地迫使用户同意如果他们想使用这些平台，则需要收集数据。

Meta 在 1 月初被罚款之前，该公司 2022 年的罚款非常昂贵，罚款总额超过 8 亿美元。 它还被告知，它有三个月的时间来采取措施，要求用户允许投放行为广告； 3 月底，《华尔街日报》报道称，Meta 将允许欧洲用户选择退出定向广告。 但该公司并没有让它变得容易，它要求用户提交一份在线表格来说明他们的反对意见。

除了 Meta 罚款，其他值得注意的 GDPR 制裁包括：

• 卢森堡数据管理局于 2021 年 7 月决定向亚马逊索赔 7.85 亿美元。 这一决定——迄今为止 GDPR 规定的最大处罚，其核心是公司如何处理个人数据——目前正在上诉中。
• DPC 于 2021 年 9 月决定向 WhatsApp（Meta 拥有的消息服务）支付 2.37 亿美元，这标志着对该应用程序如何与 Facebook 共享用户数据的为期三年的调查达到了高潮。
• 对搜索巨头谷歌处以 5200 万美元罚款，这是早期的 GDPR 罚款（2019 年 1 月），后来在法国法院上诉时维持原判。 该国的国家数据保护委员会认定谷歌没有遵守 GDPR 的数据透明度指南，并且该公司没有充分说明如何收集用户数据并将其用于定向广告。

营销人员需要了解的内容

当谈到 GDPR 时，每个营销人员的名单上都需要有两个词：合规和同意。 当然，合规性指的是拥有向欧盟客户进行营销的任何形式的网络存在的公司需要了解法规，及时了解发生的变化，并能够在出现问题时迅速做出反应。

当然，与此相关的是营销人员需要了解他们公司收集的数据类型，更重要的是，这些数据是如何处理、存储的，以及它包含什么样的敏感个人信息。 合规性还取决于仅收集必要的数据。

营销人员最关心的应该是另一个关键词：同意。 从广义上讲，当公司获得收集或使用用户个人信息的适当许可时，它们更有可能遵守 GDPR。 这听起来很明显，但 GDPR 对同意有一个具体的定义，即“任何自由给出的、具体的、知情的和明确的指示”，表明主体同意允许网站收集和处理他们的个人数据。

不出所料，营销人员可以发挥重要作用，不仅在理解方面，而且在促进遵守 GDPR 及其影响的美国规则和法规方面。 随着监管环境的不断发展，消费者保护其隐私的愿望也在不断变化。

在记录在案的五年中，GDPR 至少证明了保护数据是企业的责任。 谨慎处理数据并向用户表明他们对在线隐私的担忧是有道理的公司将比不那么谨慎的竞争对手更具优势。

深入挖掘：构建相信, 获得销售

获取营销技术！ 日常的。 自由的。 在您的收件箱中。

企业电子邮件地址

订阅 加工...

见条款。