GDPR:
Konsekvenserna för den mobila marknadsföringsbranschen
1. Vad du behöver veta om GDPR
Dataskyddet har gått in i en era av aldrig tidigare skådade förändringar. I december 2015, efter mer än tre år av tuffa förhandlingar och flera utkastversioner, enades tre viktiga EU-institutioner - Europaparlamentet, Europeiska unionens råd och Europeiska kommissionen - om texten till den allmänna dataskyddsförordningen (GDPR).
Förordningen träder i kraft den 25 maj 2018 och ersätter dataskyddsdirektivet som har legat till grund för det europeiska dataskyddet i mer än två decennier.
Här är de viktigaste skälen till GDPR:
1. Revolutionerande förändring i hur vi använder och delar information
Dataskyddsdirektivet antogs 1995, när internet inte var allmänt tillgängligt och människor knappast hade mobiltelefoner. Eftersom direktivet inte längre är ändamålsenligt har GDPR utformats för att garantera säkerheten för personuppgifter i vår moderna, tekniska värld.
2. Ökat antal uppmärksammade dataintrång
Efter att teknikföretag som Uber och Yahoo drabbats av omfattande dataintrång som påverkat mer än 3 miljarder användarkonton har konsumenter och tillsynsmyndigheter blivit alltmer oroade över hanteringen av personuppgifter.
3. Tydligt behov av mer betydande sanktioner
De kända fallen där mäktiga teknikjättar bröt mot lagen (t.ex. använde Facebook ett generiskt opt-in för att slå samman Whatsapp-data) visade hur obetydliga de befintliga böterna för brott mot integritetsbestämmelser är, vilket ytterligare stöder behovet av en ny lagstiftning.
Genom att införa strängare krav på efterlevnad av dataskyddsförordningen är GDPR en avgörande förändring för företag i flera branscher. Det kommer inte som någon överraskning att den nya förordningen också har en avgörande inverkan på mobilmarknadsföringsbranschen. Mobilmarknadsförare, publicister och teknikföretagen bakom dem - alla företag som är verksamma i branschen - måste säkerställa att de följer GDPR när den träder i kraft i maj senare i år.
Underlåtenhet att följa reglerna har ett pris - böterna kan uppgå till 20 miljoner euro eller 4 % av den årliga bruttointäkten, beroende på vilket belopp som är högst.
Klockan tickar och med bara några veckor kvar bör företagen ha genomfört en konsekvensbedömning av dataskyddet vid det här laget och vara på god väg att åtgärda eventuella luckor. Om ditt företag är verksamt inom mobil marknadsföring är den här guiden utformad för att hjälpa dig att agera nu - oavsett om du precis har börjat dina förberedelser eller redan har bockat av de sista rutorna i din checklista för grundarbetet.
2. Vad GDPR innebär
för den mobila marknadsföringsbranschen
GDPR innebär vissa utmaningar för mobilbranschen, men den medför också positiva förändringar genom att harmonisera lagstiftningen i de 28 EU-medlemsstaterna och göra det lättare att navigera i det komplexa dataskyddslandskapet. Viktigast av allt är att den förtydligar dataskyddslagen genom att eliminera de "gråzoner" som fanns före GDPR.
I följande lista beskrivs de viktigaste förändringarna enligt GDPR:
Definition av personuppgifter
Definitionen är mycket bredare enligt GDPR och inkluderar typer av data som tidigare inte klassificerades som personuppgifter. GDPR definierar tydligt att alla enhetsidentifierare, inklusive AAID (Android Advertising ID), IDFA (Apple ID for Advertising) samt cookie-ID och platsdata betraktas som personuppgifter.
Konsekvenser för mobil marknadsföring
All information som rör en identifierad eller identifierbar fysisk person blir personuppgifter och bör behandlas som sådana (inklusive hashade värden).
Nya rättigheter
GDPR introducerar nya rättigheter för konsumenter. Rätten till radering gör det möjligt för enskilda att be personuppgiftsansvariga att radera alla personuppgifter utan onödigt dröjsmål. Rätten till dataportabilitet gör det möjligt för enskilda att begära att deras uppgifter "porteras" från ett företag till ett annat. Rätten till tillgång gör det möjligt för användare att få tillgång till sina personuppgifter för att kontrollera att behandlingen är laglig.
Konsekvenser för mobil marknadsföring
Företagen måste ha processer som gör det möjligt för kunderna att när som helst begära opt-out och se till att de följs upp. Samtyckesdatabaser måste spåra när samtycke gavs och om det har återkallats. Systemen måste kunna utföra opt-outs och raderingar snabbt och fullständigt.
Integritetsskydd genom design
Data måste kontrolleras och bearbetas med tydligt definierade säkerhetsåtgärder. Integritetsskydd bör byggas in i nya produkter och funktioner från början, inklusive lämpliga tekniska och organisatoriska åtgärder för att uppfylla alla GDPR-krav.
Konsekvenser för mobil marknadsföring
Företag har en rättslig skyldighet att minimera mängden data; den får inte lagras längre än nödvändigt. Pseudonymisering bör tillämpas för att minska riskerna med databehandling.
Hantering av samtycke
Behandling av personuppgifter kräver en solid rättslig grund enligt GDPR, t.ex. uttryckligt samtycke från en användare eller, i vissa fall, ett berättigat intresse av databehandling. Att be om samtycke innebär att ge konsumenterna kontroll och ett verkligt val. Användarens opt-in bör skrivas på ett enkelt språk och innehålla information om bland annat syftet med behandlingen, vilka typer av uppgifter som kommer att behandlas och vilka personuppgiftsansvariga som kommer att behandla uppgifterna.
Konsekvenser för mobil marknadsföring
Om samtycke väljs som rättslig grund för databehandling behöver företagen bevis på att en kund har gett sitt uttryckliga samtycke till datainsamling. Opt-ins måste skrivas på ett enkelt språk utan juridisk jargong, måste dokumenteras och finnas tillgängliga i hela kedjan av personuppgiftsansvariga och personuppgiftsbiträden.
För att bättre kunna dokumentera och hantera användarnas samtycke finns specialiserade Consent Management-lösningar tillgängliga. Dessa lösningar avlastar de personuppgiftsansvariga genom att uppfylla krav på sömlösa opt-ins och opt-outs samt tillhandahålla detaljerad dokumentation av specifika fall för enskilda användare.
IAB Europe har initierat en branschgemensam lösning för hantering av samtycken. Mer information finns på http://advertisingconsent.eu/.
3. Förstå din roll i databehandlingskedjan
Att korrekt kunna identifiera din - och dina partners - roll i databehandlingskedjan har en
Enligt GDPR är både personuppgiftsansvariga och personuppgiftsbiträden ansvariga för att hantera personuppgifter på ett säkert sätt och rapportera dataintrång. Personuppgiftsansvariga har dock fler alternativ för att arbeta med data och har därför ett större ansvar när det gäller dokumentation av interna processer, konsekvensbedömning, opt-outs och tredjepartsrevisioner.
Med så många aktörer och mellanhänder i det komplexa och ständigt föränderliga området för mobil marknadsföring kan det ibland vara svårt att tilldela företagen rätt roller.
För att göra saker och ting enklare, här är uppdelningen av databehandlingskedjan:
Registrerad person: Den individ som är föremål för personuppgifter.
Exempel från branschen för mobil marknadsföring: App-användare.
Personuppgiftsansvarig: Det företag som fastställer ändamålen med och sättet på vilket personuppgifter behandlas. Den personuppgiftsansvarige kan lämna ut uppgifter till andra personuppgiftsansvariga och till personuppgiftsbiträden.
Exempel från mobilmarknadsföringsbranschen: Apputgivare, annonsör, SSP, DMP, DSP.
Personuppgiftsbiträde: Det företag som behandlar uppgifter på uppdrag av en personuppgiftsansvarig. Personuppgiftsbiträdet kan endast lämna ut uppgifter till underbiträden, aldrig tillbaka till den personuppgiftsansvarige.
Exempel från mobilmarknadsföringsbranschen: Analysföretag som agerar strikt på uppdrag av en personuppgiftsansvarig.
Både registeransvariga och registerförare i hela kedjan måste förstå källan till de uppgifter som används och se till att deras leverantörer har lämpliga samtyckesmekanismer på plats och registrerar samtycket.
Data
Data från första part
Definition
Data samlas in av dataägaren själv (t.ex. via deras egen app eller SDK).
Konsekvenser för den mobila marknadsföringsbranschen
Ägare av 1:a partsdata (t.ex. apputgivare) drar nytta av sin direkta relation till konsumenten och kan få uttryckligt samtycke.
Uppgifter från tredje part
Data tillhandahålls av tredjepartsföretag och aggregatorer.
För tredjepartsföretag som samlar in och dokumenterar korrekt samtycke.
4. Är din organisation redo för GDPR?
GDPR innebär den största förändringen av det europeiska dataskyddet på flera decennier, och det finns många ramverk där ute som ger detaljerade steg att följa för att förbereda sig fullt ut. Förhoppningsvis har din organisation redan vidtagit kraftfulla åtgärder för att uppfylla kraven i den nya förordningen. Men om du bara har börjat förbereda dig i det här skedet är den bästa planen att få professionellt stöd så snart som möjligt.
Oavsett i vilken fas av förberedelserna er organisation befinner sig är det en god idé att göra en förebyggande utvärdering av er status.
De viktigaste frågorna du måste ställa dig själv är följande:
Dataskyddsombud (DPO)
Behandlar ni stora mängder kunddata och behöver en särskild person som övervakar ert program för efterlevnad av GDPR?
GDPR kräver att ett dataskyddsombud utses för organisationer som behandlar stora mängder känsliga personuppgifter. Dataskyddsombudets huvudsakliga uppgifter omfattar rådgivning, övervakning av efterlevnad, utbildning av personal och interna revisioner.
Obligatorisk anmälan av överträdelser
I händelse av ett dataintrång, skulle du kunna meddela dataskyddsmyndigheterna inom 72 timmar?
En överträdelse definieras som ett brott mot säkerheten som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt röjande av eller tillgång till personuppgifter. Överträdelser måste rapporteras till myndigheterna inom 72 timmar.
Integritetsskydd genom design
Bygger ni in krav på dataskydd i utvecklingen av era affärsprocesser och nya produkter?
Integritetsskydd bör byggas in i nya system, produkter och funktioner redan från början. Som standard bör sekretessinställningarna vara inställda på en hög nivå.
Nya rättigheter
Är ni beredda att uppfylla de nya konsumenträttigheterna att få tillgång till, radera och överföra sina personuppgifter?
GDPR gör det möjligt för enskilda att få tillgång till sina uppgifter för att kontrollera att behandlingen är laglig, att erhålla, återanvända eller radera sina personuppgifter och att avbryta distributionen av sina uppgifter.
Utökat tillämpningsområde
Förstår du din roll som personuppgiftsbiträde eller personuppgiftsansvarig? Behandlar ni uppgifter om EU-medborgare?
GDPR gäller för alla personuppgiftsansvariga och personuppgiftsbiträden som är etablerade i EU, samt för alla organisationer utanför EU som har EU-medborgare som kunder. Lagstiftningen påverkar alla företag som kan komma i kontakt med en europeisk medborgare, inklusive företag baserade i USA.
Ansvarsskyldighet
Är du beredd att bevisa att din organisation uppfyller kraven i GDPR?
På begäran av dataskyddsmyndigheterna måste företag tillhandahålla dokumentation om sina policyer, förfaranden och verksamheter för databehandling.
5. Checklista för mobila publicister
Ett av de viktigaste målen med GDPR är att ge enskilda personer bättre kontroll över sina uppgifter. Tack vare sin direkta tillgång till konsumenterna är mobilutgivare särskilt ansvariga för att tillhandahålla denna kontroll. Bland sina andra ansvarsområden måste utgivare tydligt informera människor om exakt vilka uppgifter som samlas in och vad som kommer att hända med dessa uppgifter från det ögonblick de lämnas in.
GDPR innebär strikta regler och publicister bör vidta åtgärder för att kritiskt utvärdera både sina egna och sina partners rutiner för databehandling - och agera på det.
Om du befinner dig på leverantörssidan i ekosystemet för mobil marknadsföring och tjänar pengar på dina data finns här en checklista med GDPR-relaterade uppgifter som du bör utföra för att visa att du följer GDPR fullt ut:
Bestäm din roll
Granska och omförhandla avtal
Uppdatera integritetspolicy och användarvillkor
Enas om den rättsliga grunden för databehandling
Hantera samtycke
Förhindra dataläckage
Anmäl överträdelser
Trots att det krävs en hel del grundarbete är GDPR en positiv utveckling för mobila publicister som har goda förutsättningar att inhämta samtycke. Förordningen tvingar publicister att ta tillbaka kontrollen över vad som händer på deras mobilappar och mobilwebbplatser och ökar samtidigt respekten för deras publik. Denna utveckling leder i sin tur till ett ökat förtroende mellan användare och publicister, vilket ytterligare förbättrar kvaliteten på de data som samlas in.
Checklista för mobila publicister
Bestäm din roll
Som diskuterats ovan finns det två olika typer av enheter som hanterar personuppgifter: de personuppgiftsansvariga som bestämmer hur och varför personuppgifter ska behandlas och de personuppgiftsbiträden som utför den faktiska behandlingen på uppdrag av de personuppgiftsansvariga. Mobilutgivare är vanligtvis personuppgiftsansvariga.
Granska och omförhandla avtal
Mobilpublicister bör uppdatera de flesta av sina avtal med tredjepartsleverantörer eftersom GDPR medför nya krav och överväganden som behöver kodifieras, inklusive
Definitioner (t.ex. den nya, bredare definitionen av personuppgifter)
Underrättelser (leverantörer måste utan onödigt dröjsmål underrätta personuppgiftsansvariga i händelse av en överträdelse)
Samarbete (leverantörer måste göra det möjligt för personuppgiftsansvariga att respektera de registrerades rättigheter)
Säkerhet (leverantörerna måste garantera att behandlingen är säker och uppfyller kraven)
Registerhållning (personuppgiftsbiträden måste föra register över all databehandling som görs på
den registeransvariges vägnar)
Uppdatera integritetspolicy och användarvillkor
Mobilpublicister bör se till att dessa dokument är uppdaterade och täcker alla deras juridiska krav. GDPR kräver också att utgivare förklarar integritetspolicyn på ett enkelt språk och att den är lättillgänglig och synlig innan personuppgifter samlas in (inklusive cookies eller mobila annons-ID).
Enas om den rättsliga grunden för databehandling
Mobilpublicister måste ha en lämplig rättslig grund, såsom samtycke eller berättigat intresse, för att samla in, använda och överföra personuppgifter. Samtycket måste lämnas i en begriplig och lättillgänglig form. Publicister måste vara tydliga med vilka uppgifter de samlar in, vad de planerar att göra med dem och uttryckligen lista alla tredje parter som kommer att använda uppgifterna.
Hantera samtycke
Mobilutgivare måste registrera samtycke och ge individen möjlighet att när som helst återkalla sitt samtycke och få tillgång till, korrigera eller helt radera alla uppgifter som utgivare har om dem. Användare måste kunna återkalla sitt samtycke lika enkelt som de kan ge det.
Förhindra dataläckage
Samtycke är meningslöst om inte dataskyddet upprätthålls: om inte mobilpublicister förhindrar allt dataläckage kan en besökare som ger sitt samtycke inte veta var dennes data kan hamna. Utgivare bör känna till sin teknik och potentiella svaga länkar - och förhindra dataläckage.
Anmäl överträdelser
I händelse av intrång i en databas måste mobilutgivare meddela myndigheterna inom 72 timmar efter att ha fått kännedom om läckan.
6. Checklista för mobilannonsörer
Nya rättigheter för konsumenter, nya tidsbegränsningar för många förfrågningar, nya ansvarsområden - det råder ingen tvekan om att GDPR innebär utmaningar för mobilannonsörer, både de som redan befinner sig i starkt reglerade branscher och de som inte gör det.
Annonsörer bör vidta åtgärder för att kritiskt utvärdera sina egna och partners databehandlingsrutiner - och agera utifrån det. Om du befinner dig på efterfrågesidan i ekosystemet för mobil marknadsföring finns här en checklista över GDPR-relaterade uppgifter som du bör utföra för att visa att du följer bestämmelserna:
Bestäm din roll
Granska och uppdatera avtal
Känn till dina leverantörer
Inhämta samtycke
Hantera samtycke
Förstå berättigade intressen
Uppdatera integritetspolicyn
Även om förberedelserna inför GDPR kan vara utmanande, bör den nya lagstiftningen inte ses som ett bakslag för marknadsförare. I själva verket är det ett bra tillfälle att skapa riktade mobila marknadsföringskampanjer som når de människor som är engagerade i ditt varumärke.
Tack vare uttryckligt samtycke kommer GDPR att leda till en ökad datakvalitet. Kunniga marknadsförare bör använda detta som ett tillfälle att fördjupa sig i sina potentiella kunders och kunders behov, genom att ersätta den traditionella "one-size-fits-all"-strategin för mobil marknadsföring.
Checklista för mobilannonsörer
Bestäm din roll
En personuppgiftsansvarig är den som bestämmer på vilket sätt och i vilket syfte personuppgifter ska behandlas, t.ex. vilka uppgifter som ska samlas in och vilka målgrupper man ska rikta in sig på. Ett personuppgiftsbiträde behandlar i sin tur uppgifter på uppdrag av den personuppgiftsansvarige. Även om vissa överlappningar är möjliga innebär detta i de flesta fall att annonsörer är personuppgiftsansvariga.
Granska och uppdatera avtal
Marknadsförare bör se över och uppdatera företagsinterna avtal och personuppgiftsbiträdesavtal. De uppdaterade versionerna av avtalen bör ändras för att inkludera nya klausuler relaterade till GDPR och för att säkerställa att alla relevanta tjänster är helt kompatibla.
Känn till dina leverantörer
Leverantörerna spelar en avgörande roll när det gäller att avgöra om marknadsförare följer reglerna eller riskerar att bryta mot dem. Med detta i åtanke bör marknadsförare klargöra med varje leverantör:
Vilka personuppgifter behandlar de? Hur behandlar de dem? Varför? Hur minimerar de användningen av dem?
Är de en processor eller en controller?
På vilken rättslig grund behandlar de uppgifterna?
Hur är de förberedda på att hantera samtycke?
Hur hanterar de de registrerades rättigheter?
Hur hanterar de säkerhet och internationella överföringar?
Inhämta samtycke
För att få samtycke måste annonsörerna ge individerna en tydlig bild av varför de samlar in uppgifterna, hur de kommer att användas och vem som kommer att använda dem. Lättbegripligt, enkelt språk om den lagliga grunden för behandling av uppgifter bör användas. Rätten att enkelt återkalla samtycke bör erbjudas.
Hantera samtycke
Det är viktigt att säkerställa att systemen kan registrera samtycke och efterföljande invändningar kopplade till specifika syften som angavs vid tidpunkten för insamlingen av samtycket.
Förstå berättigade intressen
GDPR tillåter direktmarknadsföring som en aktivitet med berättigat intresse om vissa villkor och ett "intresseavvägningstest" (som väger marknadsförarens egna intressen mot den registrerades rättigheter) uppfylls. Om berättigat intresse väljs som rättslig grund för databehandling istället för samtycke, bör marknadsförare registrera hur de uppfyller skyddet för individens rättigheter och rimliga förväntningar.
Uppdatera integritetspolicyn
GDPR kräver mer detaljerade sekretessmeddelanden, inklusive hur länge personuppgifter lagras, information om eventuell delning av personuppgifter med tredje part, en förklaring av eventuella profileringsaktiviteter, hur individer kan utöva sina rättigheter, vart man skickar klagomål och om länder utanför EU kommer att behandla personuppgifter.
7. Targetoo Är din pålitliga partner inom mobil marknadsföring
GDPR är inte utformat för att hindra marknadsförare från att kommunicera med sina kunder, och det hindrar inte heller publicister från att fortsätta sin verksamhet med intäktsgenerering från data. Målet är att ge användarna mer kontroll, vilket kan omvandlas till en konkurrensfördel när man arbetar med noggrant utvalda, trovärdiga partners.
På Targetoo skapade vi en neutral och transparent marknadsplats för att göra det möjligt för företag att fatta bättre marknadsföringsbeslut. Targetoo grundades och har sitt huvudkontor i Tyskland och har sedan starten varit utsatt för mycket starka sekretessbestämmelser som vi har varit tvungna att följa. Vi har därför redan uppfyllt de flesta kraven i GDPR:
Targetoo...
...har konceptet "Privacy by Design" integrerat i sin utveckling sedan dag ett ...har definierat "Tekniska och organisatoriska åtgärder" som en del av standardavtalen för databehandling
...utvecklat en integrationsmetod med partners (Pre-bid Enrichment) som möjliggör direkt radering av data på DSP- och SSP-sidan (inga rådata skickas till partners)
...kräver i avtal att alla datapartners ska inhämta och tillhandahålla bevis på samtycke för alla användare
...har sedan 2018 ett externt personuppgiftsombud (Data Privacy Officer)
...erbjuder användarna en opt-out på sin webbplats för att möjliggöra radering av data och avbruten distribution
...är aktivt involverad i IAB:s initiativ för Consent Management Solution för att möjliggöra branschgemensamma standarder och en transparent leverantörslista
Targetoo tar rollen som personuppgiftsansvarig.
Förutom att erbjuda en självbetjäningsplattform för målgruppshantering som gör det möjligt för dataägare att tjäna pengar på sina data och för dataköpare att rikta sina kampanjer till rätt målgrupper, samlar Targetoo också in och bearbetar data för målgruppssegment som härrör från platsbeteende samt för Targetoo Data Alliance.
Som personuppgiftsansvarig uppfyller Targetoo alla GDPR-krav och fungerar som en pålitlig partner för målgruppsinriktning samt för intäktsgenerering från data.
8. Slutsats
Samtidigt som mobilmarknadsföringsbranschen har fullt upp med att uppfylla kraven i GDPR är det viktigt att ta ett steg tillbaka och inse vilket värde den nya förordningen har. Den allmänna dataskyddsförordningen syftar till att återföra kontrollen över personuppgifter till de europeiska medborgarna och att förenkla den rättsliga miljö där internationella affärer bedrivs.
För att uppfylla kraven bör företagen redan ha kommit en bra bit på väg med att åtgärda eventuella brister som identifierats under deras interna dataskyddsbedömningar och avtalsgranskningar. Att åtgärda dessa brister bör dock ses som mer än bara ett efterlevnadsansvar. Att använda data på ett etiskt sätt skapar förtroende mellan företag och konsumenter - vilket ytterligare stärker vår datadrivna ekonomi. Smarta företag, både på utbuds- och efterfrågesidan av ekosystemet för mobil marknadsföring, bör omvandla efterlevnadsaktiviteterna till en möjlighet att ligga steget före konkurrenterna och stärka sina kundrelationer.
Friskrivningsklausul: Informationen och rekommendationerna i denna vitbok är av allmän karaktär och utgör inte juridisk rådgivning. Kontakta din egen jurist om du vill ha råd om specifika tolkningar och krav i GDPR.