GDPR:
Konsekvensene for mobilmarkedsføringsbransjen
GDPR og konsekvensene for mobilreklamebransjen
1. Hva du trenger å vite om GDPR
Personvern har gått inn i en epoke med endringer uten sidestykke. Etter mer enn tre år med tøffe forhandlinger og flere utkast ble de tre store EU-institusjonene - Europaparlamentet, Rådet for Den europeiske union og Europakommisjonen - enige om teksten til personvernforordningen (GDPR) i desember 2015.
Forordningen trer i kraft 25. mai 2018 og erstatter personverndirektivet, som har vært grunnlaget for europeisk personvern i mer enn to tiår.
Her er de viktigste årsakene til GDPR:
1. Revolusjonerende endringer i hvordan vi bruker og deler informasjon
Personverndirektivet ble vedtatt i 1995, da internett ikke var allment tilgjengelig og folk knapt hadde mobiltelefoner. Siden direktivet ikke lenger er formålstjenlig, er GDPR utformet for å ivareta sikkerheten til personopplysninger i vår moderne, teknologiske verden.
2. Økende antall høyprofilerte brudd på datasikkerhetskravene
Etter at teknologiselskaper som Uber og Yahoo ble utsatt for omfattende datainnbrudd som berørte mer enn 3 milliarder brukerkontoer, har forbrukere og tilsynsmyndigheter blitt stadig mer bekymret for håndteringen av personopplysninger.
3. Klart behov for mer omfattende sanksjoner
De kjente tilfellene der mektige teknologigiganter brøt loven (f.eks. da Facebook brukte en generisk opt-in for å slå sammen Whatsapp-data), understreket hvor ubetydelige de eksisterende bøtene for brudd på personvernreglene er, noe som ytterligere underbygger behovet for en ny lovgivning.
Ved å innføre strengere krav til etterlevelse av personvernreglene vil GDPR få stor betydning for bedrifter i mange bransjer. Det kommer ikke som noen overraskelse at den nye forordningen også har stor innvirkning på mobilmarkedsføringsbransjen. Mobilmarkedsførere, publisister og teknologiselskapene som står bak dem - alle virksomheter i bransjen - må sørge for å overholde GDPR når den trer i kraft i mai senere i år.
Manglende etterlevelse har en pris - bøtene kan være på opptil 20 millioner euro eller 4 % av den årlige bruttoinntekten, avhengig av hvilket beløp som er høyest.
Klokken tikker, og med bare noen få uker igjen bør bedriftene nå ha gjennomført en vurdering av personvernkonsekvenser og være godt i gang med å utbedre eventuelle mangler. Hvis virksomheten din driver med mobilmarkedsføring, er denne veiledningen utformet for å hjelpe deg med å handle nå - uansett om du akkurat har begynt forberedelsene eller allerede har krysset av de siste boksene på sjekklisten.
PERSONVERNFORORDNINGEN
2. Hva GDPR betyr
for mobilmarkedsføringsbransjen
Selv om GDPR byr på noen utfordringer for mobilbransjen, medfører den også positive endringer ved at den harmoniserer lovgivningen i de 28 EU-landene og gjør det enklere å navigere i det komplekse personvernlandskapet. Viktigst av alt er at den tydeliggjør personvernlovgivningen ved å fjerne "gråsoner" som var utbredt før GDPR.
Følgende liste beskriver de viktigste endringene i GDPR:
Definisjon av personopplysninger
Definisjonen er mye bredere under GDPR og inkluderer typer data som tidligere ikke ble klassifisert som personopplysninger. GDPR definerer tydelig at alle enhetsidentifikatorer, inkludert AAID (Android Advertising ID), IDFA (Apple ID for Advertising), samt informasjonskapsel-ID-er og posisjonsdata, regnes som personopplysninger.
Betydningen for mobilmarkedsføring
All informasjon om en identifisert eller identifiserbar fysisk person blir personopplysninger og skal behandles som slike (inkludert hash-verdier).
Nye rettigheter
GDPR innfører nye rettigheter for forbrukere. Retten til sletting gjør det mulig for enkeltpersoner å be behandlingsansvarlige om å slette alle personopplysninger uten unødig forsinkelse. Retten til dataportabilitet gjør det mulig for enkeltpersoner å be om at personopplysningene deres overføres fra ett selskap til et annet. Retten til innsyn gjør det mulig for brukere å få tilgang til personopplysningene sine for å kontrollere at behandlingen er lovlig.
Betydningen for mobilmarkedsføring
Bedriftene må ha rutiner som gjør at kundene når som helst kan be om at samtykket trekkes tilbake, og sørge for at de blir fulgt opp. Samtykkedatabaser må spore når samtykket ble gitt og om det er trukket tilbake. Systemene må gjøre det mulig å trekke tilbake samtykket og slette det raskt og fullstendig.
Innebygd personvern
Data må kontrolleres og behandles med klart definerte sikkerhetstiltak. Personvern bør bygges inn i nye produkter og funksjoner helt fra starten av, inkludert egnede tekniske og organisatoriske tiltak for å oppfylle alle GDPR-kravene.
Betydningen for mobilmarkedsføring
Bedriftene har en juridisk forpliktelse til å minimere datamengden; den må ikke oppbevares lenger enn nødvendig. Pseudonymisering bør brukes for å redusere risikoen ved databehandling.
Håndtering av samtykke
Behandling av personopplysninger krever et solid juridisk grunnlag i henhold til GDPR, f.eks. eksplisitt samtykke fra brukeren eller, i noen tilfeller, berettiget interesse for databehandling. Å be om samtykke betyr å gi forbrukerne kontroll og et reelt valg. Samtykkeerklæringen bør være skrevet i klartekst og inneholde opplysninger om formålet med behandlingen, hvilke typer opplysninger som skal behandles, og hvem som er ansvarlig for behandlingen.
Betydningen for mobilmarkedsføring
Hvis samtykke velges som rettslig grunnlag for databehandling, må virksomheten kunne bevise at kunden har gitt uttrykkelig samtykke til datainnsamlingen. Samtykkeerklæringer må være skrevet i klartekst, uten juridiske formuleringer, og de må dokumenteres og være tilgjengelige i hele kjeden av behandlingsansvarlige og databehandlere.
For bedre å kunne dokumentere og administrere brukernes samtykke finnes det spesialiserte løsninger for samtykkehåndtering . Disse løsningene avlaster de behandlingsansvarlige ved å oppfylle kravene til sømløse opt-ins og opt-outs, samt gi detaljert dokumentasjon av spesifikke tilfeller for enkeltbrukere.
IAB Europe har tatt initiativ til en bransjeløsning for samtykkehåndtering. Du finner mer informasjon på http://advertisingconsent.eu/.
3. Forstå din rolle i databehandlingskjeden
Å være i stand til å identifisere din - og dine samarbeidspartneres - rolle i databehandlingskjeden på en korrekt måte har stor betydning.
I henhold til GDPR er både behandlingsansvarlige og databehandlere ansvarlige for å håndtere personopplysninger på en sikker måte og rapportere om brudd på personvernet. Behandlingsansvarlige har imidlertid flere muligheter til å arbeide med data, og har derfor et større ansvar når det gjelder dokumentasjon av interne prosesser, vurdering av personvernkonsekvenser, opt-outs og tredjepartsrevisjoner.
Med så mange aktører og mellomledd i den komplekse og stadig skiftende mobilmarkedsføringsbransjen kan det noen ganger være utfordrende å tildele virksomheter de riktige rollene.
For å gjøre det enklere er her en oversikt over databehandlingskjeden:
Den registrerte: Personen som er gjenstand for personopplysninger.
Eksempel fra mobilmarkedsføringsbransjen: App-bruker.
Behandlingsansvarlig: Det selskapet som bestemmer formålet med og måten personopplysninger behandles på. Den behandlingsansvarlige kan utlevere opplysninger til andre behandlingsansvarlige og til databehandlere.
Eksempel fra mobilmarkedsføringsbransjen: Apputgiver, annonsør, SSP, DMP, DSP.
Databehandler: Selskapet som behandler data på vegne av en behandlingsansvarlig. Databehandleren kan bare utlevere opplysninger til underbehandlere, aldri tilbake til den behandlingsansvarlige.
Eksempel fra mobilmarkedsføringsbransjen: Analyseselskap som utelukkende opptrer på vegne av en behandlingsansvarlig.
Både behandlingsansvarlige og databehandlere i hele kjeden må forstå kilden til dataene som brukes, og sørge for at leverandørene har egnede samtykkemekanismer på plass og oppbevarer samtykket.
Data
Data fra 1. part
Definisjon
Data samles inn av dataeieren selv (f.eks. gjennom deres egen app eller SDK).
Implikasjoner for mobilmarkedsføringsbransjen
Eiere av førstepartsdata (f.eks. apputgivere) drar nytte av sin direkte relasjon til forbrukeren og kan innhente eksplisitt samtykke.
Data fra tredjeparter
Dataene leveres av tredjepartsselskaper og aggregatorer.
For tredjepartsselskaper som innhenter og dokumenterer korrekt samtykke.
Data fra 1. og 3. part
4. Er organisasjonen din klar for GDPR?
GDPR innebærer den største endringen i europeisk personvern på flere tiår, og det finnes mange rammeverk som gir detaljerte råd om hvordan man kan forberede seg på forordningen. Forhåpentligvis har organisasjonen din allerede iverksatt omfattende tiltak for å overholde den nye forordningen. Men hvis du først nå har begynt å forberede deg, er den beste planen å få profesjonell støtte så snart som mulig.
Uansett hvilken forberedelsesfase organisasjonen din befinner seg i, er det en god idé å foreta en forebyggende evaluering av status.
De viktigste spørsmålene du må stille deg selv, er blant annet:
Personvernombud
Personvernombud (DPO)
Behandler du store mengder kundedata og trenger en dedikert person til å overvåke programmet for overholdelse av personvernforordningen?
GDPR krever at organisasjoner som behandler store mengder sensitive personopplysninger, utnevner et personvernombud. De viktigste oppgavene til personvernombudet omfatter konsultasjon, overvåking av samsvar, opplæring av ansatte og interne revisjoner.
Obligatorisk varsling av sikkerhetsbrudd
Vil du kunne varsle personvernmyndighetene innen 72 timer i tilfelle et brudd på datasikkerheten?
Et sikkerhetsbrudd defineres som et brudd på sikkerheten som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av eller tilgang til personopplysninger. Brudd må rapporteres til myndighetene innen 72 timer.
Obligatorisk varsling av sikkerhetsbrudd
Innebygd personvern
Innebygd personvern
Bygger du inn krav til personvern i utviklingen av forretningsprosesser og nye produkter?
Personvern bør bygges inn i nye systemer, produkter og funksjoner helt fra starten av. Som standard bør personverninnstillingene være satt på et høyt nivå.
Nye rettigheter
Er du forberedt på å overholde forbrukernes nye rettigheter til innsyn, sletting og overføring av personopplysninger?
GDPR gjør det mulig for enkeltpersoner å få tilgang til opplysningene sine for å verifisere om behandlingen er lovlig, for å få utlevert, gjenbruke eller slette personopplysningene sine, og for å få stanset distribusjonen av dem.
GDPR - nye rettigheter
GDPRs utvidede virkeområde
Utvidet omfang
Forstår du din rolle som databehandler eller behandlingsansvarlig? Behandler du opplysninger om EU-borgere?
GDPR gjelder for alle behandlingsansvarlige og databehandlere som er etablert i EU, samt alle organisasjoner utenfor EU som har EU-borgere som kunder. Lovgivningen påvirker alle virksomheter som kan komme i kontakt med europeiske borgere, også selskaper med base i USA.
Ansvarlighet
Er du forberedt på å bevise at organisasjonen din oppfyller kravene i GDPR?
På forespørsel fra personvernmyndighetene må virksomhetene fremlegge dokumentasjon om sine retningslinjer, prosedyrer og rutiner for databehandling.
Ansvarlighet i henhold til GDPR
5. Sjekkliste for mobilutgivere
Et av hovedmålene med GDPR er å gi enkeltpersoner bedre kontroll over egne data. Siden de har direkte tilgang til forbrukerne, har mobilutgivere et spesielt ansvar for å sørge for denne kontrollen. Publisistene må blant annet gi tydelig informasjon om nøyaktig hvilke data som samles inn, og hva som vil skje med dem fra det øyeblikket de sendes inn.
GDPR medfører strenge regler, og utgivere bør ta grep for å kritisk evaluere både sin egen og sine samarbeidspartneres databehandlingspraksis - og handle deretter.
Hvis du er på leverandørsiden i økosystemet for mobilmarkedsføring og tjener penger på dataene dine, finner du her en sjekkliste over GDPR-relaterte oppgaver du bør utføre for å vise at du overholder alle krav:
Bestem rollen din
Gjennomgå og reforhandle kontrakter
Oppdatering av personvernerklæring og tjenestevilkår
Bli enige om det rettslige grunnlaget for databehandlingen
Administrere samtykke
Forhindre datalekkasje
Varsle om brudd
Til tross for at det er mye forarbeid, er GDPR en positiv utvikling for mobilutgivere som har gode forutsetninger for å innhente samtykke. Forordningen tvinger publisistene til å ta tilbake kontrollen over hva som skjer på mobilappene og mobilnettstedene deres, samtidig som den øker respekten for publikum. Denne utviklingen fører i sin tur til økt tillit mellom brukere og publisister, noe som ytterligere forbedrer kvaliteten på dataene som samles inn.
Sjekkliste for mobilutgivere
Bestem rollen din
Som diskutert ovenfor, finnes det to ulike typer enheter som behandler personopplysninger: de behandlingsansvarlige som bestemmer hvordan og hvorfor personopplysninger skal behandles, og databehandlerne som utfører den faktiske behandlingen på vegne av de behandlingsansvarlige. Mobilutgivere er vanligvis behandlingsansvarlige.
Gjennomgå og reforhandle kontrakter
Mobilutgivere bør oppdatere de fleste av sine avtaler med tredjepartsleverandører fordi GDPR medfører nye krav og hensyn som må kodifiseres, blant annet:
Definisjoner (f.eks. den nye, bredere definisjonen av personopplysninger)
Varsling (leverandører må varsle behandlingsansvarlige uten unødig forsinkelse ved brudd)
Samarbeid (leverandører må gjøre det mulig for behandlingsansvarlige å respektere de registrertes rettigheter)
Sikkerhet (leverandører må garantere at behandlingen er sikker og kompatibel)
Registreringer (databehandlere må føre registre over all databehandling som gjøres i forbindelse med
på vegne av den behandlingsansvarlige)
Oppdatering av personvernerklæring og tjenestevilkår
Mobilutgivere bør sørge for at disse dokumentene er oppdaterte og dekker alle juridiske krav. GDPR krever også at utgivere forklarer personvernerklæringen på et enkelt språk og gjør den lett tilgjengelig og synlig før de samler inn personopplysninger (inkludert informasjonskapsler eller ID-er for mobilannonsering).
Bli enige om det rettslige grunnlaget for databehandlingen
Mobilutgivere må ha et tilstrekkelig rettslig grunnlag, for eksempel samtykke eller berettiget interesse, for å samle inn, bruke og overføre personopplysninger. Samtykke må gis i en forståelig og lett tilgjengelig form. Publisistene må være tydelige på hvilke data de samler inn, hva de planlegger å gjøre med dem, og de må eksplisitt liste opp alle tredjeparter som skal bruke dataene.
Administrere samtykke
Mobilutgivere må registrere samtykket og gi den enkelte muligheten til å trekke tilbake samtykket når som helst, og til å få tilgang til, korrigere eller helt slette alle data som utgiverne har om dem. Brukerne må kunne trekke tilbake samtykket like enkelt som de kan gi det.
Forhindre datalekkasje
Samtykke er meningsløst uten håndheving av databeskyttelse: Med mindre mobilutgivere forhindrer all datalekkasje, kan ikke en besøkende som gir samtykke, vite hvor dataene deres kan ende opp. Publisister bør kjenne teknologien sin og potensielle svake ledd - og forhindre datalekkasje.
Varsle om brudd
Hvis en database utsettes for et sikkerhetsbrudd, må mobilutgivere varsle myndighetene innen 72 timer etter at de har fått kjennskap til lekkasjen.
6. Sjekkliste for mobilannonsører
Nye rettigheter for forbrukere, nye tidsbegrensninger for mange forespørsler, nye ansvarsområder - det er ingen tvil om at GDPR medfører utfordringer for mobilannonsører, både de som allerede er i sterkt regulerte bransjer og de som ikke er det.
Annonsører bør ta grep for å kritisk evaluere sin egen og sine samarbeidspartneres databehandlingspraksis - og handle deretter. Hvis du befinner deg på etterspørselssiden i økosystemet for mobilmarkedsføring, finner du her en sjekkliste over GDPR-relaterte oppgaver du bør utføre for å vise at du overholder kravene:
Bestem rollen din
Gjennomgå og oppdatere kontrakter
Kjenn leverandørene dine
Innhenting av samtykke
Administrere samtykke
Forstå legitime interesser
Oppdatering av personvernerklæringen
Selv om forberedelsene til GDPR kan være utfordrende, bør ikke den nye lovgivningen ses på som et tilbakeslag for markedsførere. Faktisk er det en god anledning til å lage målrettede mobilmarkedsføringskampanjer som når ut til de som er engasjert i merkevaren din.
Takket være eksplisitt samtykke vil GDPR føre til økt datakvalitet. Smarte markedsførere bør bruke dette som en mulighet til å gå dypere inn i behovene til potensielle kunder og kunder ved å erstatte den tradisjonelle "one-size-fits-all"-tilnærmingen til mobilmarkedsføring.
GDPR-sjekkliste
Sjekkliste for mobilannonsører
Bestem rollen din
En behandlingsansvarlig er en person som bestemmer midlene og formålene med behandlingen av personopplysninger, for eksempel hvilke opplysninger som skal samles inn og hvilke målgrupper som skal nås. En databehandler behandler på sin side data på vegne av den behandlingsansvarlige. Selv om det er mulig med noen overlappinger, betyr dette i de fleste tilfeller at annonsører er behandlingsansvarlige.
Gjennomgå og oppdatere kontrakter
Markedsførere bør gjennomgå og oppdatere bedriftsinterne avtaler og databehandleravtaler. De oppdaterte versjonene av kontraktene bør endres for å inkludere nye klausuler knyttet til GDPR og for å sikre at alle relevante tjenester er i samsvar med forordningen.
Kjenn leverandørene dine
Leverandørene spiller en avgjørende rolle når det gjelder å avgjøre om markedsførere overholder reglene eller risikerer å bryte dem. Derfor bør markedsførere avklare dette med hver enkelt leverandør:
Hvilke personopplysninger behandler de? På hvilken måte? Hvorfor? Hvordan minimerer de bruken av dem?
Er de en prosessor eller en kontroller?
På hvilket rettslig grunnlag behandler de opplysningene?
Hvordan er de forberedt på å håndtere samtykke?
Hvordan håndterer de de registrertes rettigheter?
Hvordan håndterer de sikkerhet og internasjonale overføringer?
Innhenting av samtykke
For å få samtykke må annonsører gi enkeltpersoner et klart bilde av hvorfor de samler inn opplysningene, hvordan de skal brukes og hvem som skal bruke dem. Det bør brukes et lettfattelig og enkelt språk om det lovlige grunnlaget for å behandle opplysningene. Det skal være enkelt å trekke tilbake samtykket.
Administrere samtykke
Det er viktig å sikre at systemene kan registrere samtykke og senere innsigelser knyttet til spesifikke formål som ble oppgitt da samtykket ble innhentet.
Forstå legitime interesser
GDPR tillater direkte markedsføring som en aktivitet av berettiget interesse hvis visse vilkår og en "interesseavveiningstest" (som veier markedsførernes egne interesser opp mot den registrertes rettigheter) er oppfylt. Hvis berettiget interesse velges som rettslig grunnlag for databehandling i stedet for samtykke, bør markedsførere dokumentere hvordan de ivaretar den enkeltes rettigheter og rimelige forventninger.
Oppdatering av personvernerklæringen
GDPR krever mer detaljerte personvernerklæringer, inkludert hvor lenge personopplysningene oppbevares, detaljer om eventuell deling av personopplysninger med tredjeparter, en forklaring på eventuelle profileringsaktiviteter, hvordan enkeltpersoner kan utøve rettighetene sine, hvor de kan sende klager og om land utenfor EU behandler personopplysninger.
7. Targetoo er din pålitelige partner innen mobil markedsføring.
GDPR er ikke utformet for å hindre markedsførere i å kommunisere med kundene sine, og den hindrer heller ikke utgivere i å fortsette å tjene penger på data. Målet er å gi brukerne mer kontroll, noe som kan forvandles til et konkurransefortrinn når man samarbeider med nøye utvalgte, troverdige partnere.
I Targetoo har vi skapt en nøytral og transparent markedsplass som gjør det mulig for bedrifter å ta bedre markedsføringsbeslutninger. Targetoo, som ble grunnlagt og har hovedkontor i Tyskland, ble utsatt for svært strenge personvernregler helt fra starten av, og var nødt til å overholde dem. Vi har derfor allerede krysset av for de fleste GDPR-kravene:
Mål...
...har innarbeidet konseptet "innebygd personvern" i sin utvikling fra dag én ...har definert "tekniske og organisatoriske tiltak" som en del av standardavtalene for databehandling...
...utviklet en integrasjonsmetode med partnere (Pre-bid Enrichment) som gjør det mulig å slette data direkte på DSP- og SSP-siden (ingen rådata sendes til partnerne).
...krever kontraktsmessig at alle datapartnere innhenter og fremlegger bevis på samtykke for alle brukere.
...har siden 2018 hatt et eksternt personvernombud.
...tilbyr brukerne en opt-out-mulighet på nettstedet for å slette data og avslutte distribusjon
...er aktivt involvert i IAB-initiativet for Consent Management Solution for å muliggjøre bransjestandarder og en oversiktlig leverandørliste.
Targetoo inntar rollen som behandlingsansvarlig.
I tillegg til å tilby en selvbetjent plattform for målgruppestyring som gjør det mulig for dataeiere å tjene penger på dataene sine og for datakjøpere å målrette kampanjene sine mot de riktige målgruppene, samler og behandler Targetoo også data for målgruppesegmenter basert på lokasjonsatferd og for Targetoo Data Alliance.
Som behandlingsansvarlig overholder Targetoo alle GDPR-krav og fungerer som en pålitelig partner for målgruppemålretting og inntektsgenerering.
8. Konklusjon
Selv om fristen for å overholde personvernforordningen nærmer seg, er det viktig å ta et skritt tilbake og se verdien av den nye forordningen. Formålet med personvernforordningen er å gi europeiske borgere tilbake kontrollen over personopplysninger og forenkle regelverket for internasjonal forretningsvirksomhet.
Bedriftene bør allerede være godt i gang med å utbedre eventuelle mangler som er avdekket i forbindelse med interne personvernvurderinger og kontraktsgjennomganger. Å reparere disse hullene bør imidlertid ses på som mer enn bare et ansvar for å overholde regelverket. Etisk bruk av data skaper tillit mellom selskaper og forbrukere, noe som styrker vår datadrevne økonomi ytterligere. Smarte bedrifter, både på tilbuds- og etterspørselssiden av økosystemet for mobilmarkedsføring, bør gjøre compliance-aktivitetene til en mulighet til å ligge foran konkurrentene og styrke kunderelasjonene.
GDPR - konklusjon fra Targetoo
Ansvarsfraskrivelse: Informasjonen og anbefalingene i denne rapporten er av generell karakter og representerer ikke juridisk rådgivning. Ta kontakt med din egen juridiske rådgiver hvis du ønsker råd om spesifikke tolkninger og krav i GDPR.
