مقررات عمومی حفاظت از داده‌ها (GDPR) چیست؟

احتمالاً می‌دانید که بازاریابی دیجیتال بر داده‌ها متکی است. جمع‌آوری اطلاعات، تجزیه‌وتحلیل آن‌ها و استفاده از نتایج آن درجهت بهبود احساس و تجربۀ مشتریان از محصولات و خدمات، کاری است که کسب‌وکارها انجام می‌دهند. اما با اعمال قوانین GDPR، حفاظت از داده‌های کاربران اهمیت روزافزونی یافته و همین امر، تلاش‌های بازاریابی را تحت‌الشعاع قرار داده است.

در این مطلب از وی‌پدیا توضیح خواهیم داد که GDPR چیست و چگونه با بازاریابی دیجیتال مرتبط است.

مقررات عمومی حفاظت از داده‌ها (GDPR) چیست؟

قانون جدید حفاظت از داده‌های اتحادیۀ اروپا با عنوان مقررات عمومی حفاظت از داده‌ها (The General Data Protection Regulation) که به‌اختصار GDPR خوانده می‌شود، در تاریخ ۱۴آوریل۲۰۱۶ وضع شد و پس از سپری‌شدن دو سال به‌عنوان دورۀ گذار، از ۲۵مه۲۰۱۸ به اجرا درآمد. اعمال GDPR در کشورهای عضو اتحادیۀ اروپا، نیازمند تصویب قانون جداگانه‌ای نیست و به‌طور خودکار در همۀ آن‌ کشورها لازم‌الاجرا است.

GDPR به‌منظور جایگزینی دستورالعمل حفاظت از داده (Data protection directive) مصوب ۱۹۹۵ و به‌روزرسانی آن منطبق با نیازها و شرایط عصر دیجیتال ایجاد شد. مقررات جدید قرار است منعکس‌کنندۀ استفادۀ گسترده از اینترنت باشد که از اواسط دهۀ ۹۰ به‌شدت رشد کرده است. این قانون توسط کمیسیون اروپا، در اصل برای کنترل بیشتر شهروندان اتحادیۀ اروپا بر داده‌های شخصی‌شان طراحی شد. مشخصۀ اصلی GDPR، قراردادن اطلاعات شخصی کاربران در بالاترین سطح اهمیت از نظر حفاظت قانونی است.

این قانون برای همۀ شرکت‌هایی اعمال می‌شود که با داده‌های شخصی ساکنان اروپا کار می‌کنند، حتی اگر دفتر مرکزی این شرکت‌ها در اروپا نباشد.

GDPR چرا ایجاد شد؟

در سال‌های اخیر، چندین مورد پیش آمده که در آن شرکت‌های بزرگ درگیر ماجراهای مربوط به پردازش غیرقانونی، هک و سرقت اطلاعات شخصی مشتریان شده‌اند. یکی از مرتبط‌ترین موارد، رسوایی داده‌های فیس‌بوک-کمبریج آنالیتیکا (Facebook–Cambridge Analytica data scandal) است. در این ماجرا، شرکت مشاور کمبریج آنالیتیکا از داده‌های شخصی ۸۷میلیون کاربر استفاده کرد که بدون رضایت آنان، از طریق پلتفرم فیس‌بوک جمع‌آوری شده بود.

کمبریج آنالیتیکا، داده‌های جمع‌آوری‌شده را برای ارائۀ کمک‌های تحلیلی به مبارزات انتخاباتی ریاست‌جمهوری تد کروز و دونالد ترامپ در سال ۲۰۱۶ به کار برد. کمبریج آنالیتیکا همچنین به‌طور گسترده به دخالت در همه‌پرسی برگزیت متهم شد؛ اگرچه تحقیقات رسمی نشان داد که این شرکت «فراتر از برخی تحقیقات اولیه» درگیر نبوده و «هیچ نقض قابل توجهی» صورت نگرفته است.

این ماجرای سوء‌استفاده از داده‌ها، در سال ۲۰۱۸ توسط کریستوفر ویلی، کارمند سابق کمبریج آنالیتیکا، در مصاحبه با گاردین و نیویورک تایمز افشا شد. در پاسخ، فیس‌بوک به خاطر نقش خود در جمع‌آوری داده‌ها عذرخواهی کرد و مارک زاکربرگ، مدیرعامل آن، در مقابل کنگره شهادت داد. در ژوئیۀ ۲۰۱۹ اعلام شد که فیس‌بوک قرار است به دلیل نقض حریم خصوصی، ۵میلیارد دلار توسط کمیسیون تجارت فدرال جریمه شود. در اکتبر ۲۰۱۹، فیس‌بوک موافقت کرد که به دلیل قراردادن اطلاعات کاربران خود در معرض «خطر جدی آسیب»، ۵۰۰۰۰۰ پوند جریمه به دفتر کمیسر اطلاعات بریتانیا بپردازد.

این رسوایی باعث افزایش علاقۀ عمومی به موضوع حریم خصوصی و نفوذ شبکه‌های اجتماعی بر سیاست شد. همان زمان، جنبش آنلاین #DeleteFacebook در توییتر ترند شد. این مورد و موارد مشابه دیگر، تنها بیانگر یک چیز است که در عصر دیجیتال پیش‌بینی نشده بود: داده‌های شخصی ارائه‌شده توسط میلیون‌ها نفر به هزاران شرکت در اینترنت، به روش مناسبی تحت مراقبت و محافظت قرار نمی‌گیرد.

به همین دلیل است که GDPR توسط نهادهای حاکم اروپایی وضع شد تا اطمینان حاصل شود که داده‌های شهروندان محافظت می‌شود و همواره تحت کنترل آن‌ها باقی می‌ماند، تا جایی که به آن‌ها حق «پاک‌کردن» (فراموش‌شدن) یا انصراف از مواردی که موقع ثبت‌نام یا ساخت حساب کاربری به آن‌ها رضایت داده‌اند، داده شود.

ایدۀ اصلی پشت GDPR چیست؟

اتحادیۀ اروپا متعهد به حفظ حریم خصوصی و داده‌های شخصی کاربران است، به‌ویژه در مواجهه با پیشرفت‌های فناوری و جهانی‌شدن که مصرف‌کنندگان را به‌طور فزاینده‌ای در معرض خطر قرار می‌دهد. ایدۀ اصلی پشت این سیاست و مجازات‌های مرتبط با آن، تقویت اعتماد بین ارائه‌دهندگان فناوری و کاربران است. اتحادیۀ اروپا همچنین متعهد به داشتن یک چارچوب قانونی واضح است که با آن اقدامات تنبیهی برای شرکت‌ها و افرادی که خط‌مشی را نقض می‌کنند، ارائه دهد.

خط‌مشی GDPR داده‌های شخصی را به‌عنوان اطلاعات فردی تعریف می‌کند که به زندگی خصوصی، عمومی یا حرفه‌ای مربوط می‌شود. این اطلاعات شامل عکس‌ها، نام‌ها، جزئیات اطلاعات بانکی، اطلاعات پزشکی، شناسۀ دستگاه، آدرس IP و… است. GDPR از طریق کسب رضایت کاربران برای تنظیم کوکی‌ها به هنگام بازدید آنان از سایت‌ها یا هر نوع داده‌ای که به روش‌های مختلف از آن‌ها جمع‌آوری می‌شود، به محافظت از داده‌های کاربران کمک می‌کند. GDPR بر توانمندسازی کاربران متمرکز است و به آن‌ها حقوق بیشتری (دست‌کم در اتحادیۀ اروپا) برای مواردی مانند موارد زیر می‌دهد:

• حق پاک‌کردن (Erasure)
• حق محدودیت (Restriction)
• حق اعتراض (Object)
• ملاحظات اطلاعاتی (Information Notices)

اما با توجه به اینکه این قانون هنوز نسبتاً جدید است، ابهاماتی درمورد نحوۀ استفاده از داده‌های شخصی وجود دارد. نکتۀ کلیدی برای شرکت‌ها این است که از همان ابتدا رضایت مشتریان را به روشی دقیق و شفاف دریافت کنند، که این کار اغلب از طریق «اعلامیه‌های حفظ حریم خصوصی» صورت می‌گیرد.

اعلامیه‌های حفظ حریم خصوصی (Privacy Notices)

GDPR ایجاب می‌کند که سازمان‌ها قبل از جمع‌آوری اطلاعات شخصی، رضایت صریح مصرف‌کنندگان را دریافت کنند. «رضایت صریح» به این معناست که طبق مادۀ ۴ این سیاست، اطلاعات باید «آزادانه، مشخص، آگاهانه و بدون ابهام داده شود».

«اعلامیه‌های حفظ حریم خصوصی» اعلامیه‌های استانداردی هستند که هنگام ثبت‌نام در اکثر برنامه‌ها یا خدمات جدید می‌خوانید. GDPR اعلام می‌کند که این اطلاعیه‌ها باید واضح و شفاف باشند. بنابراین، یکی از کارهایی که شرکت‌ها باید انجام دهند این است که روی دقیق و خوانا بودن این موارد کار کنند؛ به عبارت دیگر، مهم است که اعلامیۀ ارائه‌شده به اندازۀ کافی واضح باشد تا به‌راحتی توسط کاربران درک شود و در صورت موافقت، علامت زده شود. هنگام ایجاد اعلامیه‌های حفظ حریم خصوصی، کسب‌وکارها باید سؤالاتی مانند موارد زیر را در نظر بگیرند:

• میزان اطلاعاتی که به‌طور قطعی جمع‌آوری می‌کنند چقدر است؟
• پس از جمع‌آوری آن اطلاعات، چه کسی مسئول آن خواهد بود؟
• هدف اصلی از جمع‌آوری اطلاعات در وهلۀ اول چیست؟
• اطلاعات جمع‌آوری‌شده احتمال دارد با چه کسانی به اشتراک گذاشته شود؟

اولین اقدام برای رعایت‌کردن GDPR در کسب‌وکارتان این است که به محتوای این اعلامیه فکر کنید و در تنظیم آن هرآنچه را لازم است، بگنجانید.

دامنۀ تأثیرگذاری GDPR کجاست؟

GDPR بر همۀ شرکت‌هایی که داده‌های شخصی شهروندان اتحادیۀ اروپا را ذخیره یا رسیدگی می‌کنند، صرف‌نظر از موقعیت مکانی آن‌ها، تأثیر می‌گذارد. به این ترتیب، حتی اگر شرکت شما در دورافتاده‌ترین مکان روی کرۀ زمین باشد، چنانچه از اطلاعات شخصی یک شهروند فرانسوی یا آلمانی استفاده می‌کند، باید از این قانون پیروی کنید.

به یاد داشته باشید که داده‌های شخصی شامل هر نوع اطلاعاتی است که یک شخص را شناسایی می‌کند. حتی داده‌های رایجی مانند نام، آدرس ایمیل، آدرس IP یا اطلاعات کوکی در این دسته قرار می‌گیرند.

GDPR چگونه بر بازاریابی دیجیتال تأثیر می‌گذارد؟

بازاریابی دیجیتال به‌سرعت در حال پیشرفت است و دسترسی به مشتریان با استفاده از خبرنامه‌ها و تبلیغات، روزبه‌روز آسان‌تر می‌شود. حالا داده‌ها آن‌قدر مهم‌اند که معادل پول شده‌اند. کسب‌وکارها در ازای دریافت داده‌هایی که برای تولید تبلیغات هدفمند استفاده می‌شوند، خدماتی مانند ایمیل، اخبار، سرگرمی، فایل‌های آموزشی و… را به‌صورت رایگان به کاربران خود ارائه می‌دهند.

امروزه ما راه‌های زیادی برای پایش علایق کاربران داریم تا متوجه شویم آن‌ها روی چه چیزهایی کلیک می‌کنند. این کار باعث می‌شود که کلیۀ فعالیت‌های بازاریابی و تبلیغات ما شخصی‌تر و هدفمند‌تر شوند و از آن طریق، شانس تبدیل افزایش یابد.

اما GDPR با همۀ اصول سخت‌گیرانه‌اش، بازارهای دیجیتال را توفانی کرده است. در حال حاضر، هر شرکت بزرگ یا کوچکی که داده‌ها را جمع‌آوری می‌کند، ملزم به رعایت GDPR است. کسب‌وکارها باید رضایت صریح مصرف‌کنندگان را برای کسب اطلاعات از آنان جلب کنند، و چنانچه خط‌مشی داده‌هایشان به هر نحوی تغییر کرد، باید دوباره از آنان رضایت بگیرند.

این کار برای شرکت‌های بزرگی مانند فیس‌بوک، اپل و گوگل که منابع عظیمی دارند و قبلاً ‌سایت‌های خود را به‌روزرسانی کرده‌اند تا مطمئن شوند با مقررات جدید مطابقت دارند، سخت نیست. فیس‌بوک سایت خود را بازسازی کرد و طیف گسترده‌ای از ابزارهای جدید را ایجاد کرد تا مشتریانش کنترل بیشتری روی داده‌های جمع‌آوری‌شده و نحوۀ استفاده از آن‌ها داشته باشند. اپل و گوگل هم «داشبوردهای حریم خصوصی» را ایجاد و به‌روز کردند، اگرچه تغییرات خود را تقریباً به اندازۀ فیس‌بوک به‌صورت عمومی عرضه نکردند.

اکنون، چالش اصلی برای کسب‌وکارهای کوچک‌تر است که ممکن است پول یا ابزاری برای به‌روزشدن نداشته باشند. هزینه‌های کسب‌وکارها قطعاً افزایش می‌یابد و همۀ صاحبان مشاغل برای درک عمیق جمع‌آوری داده‌ها آموزش کافی ندیده‌اند.

GDPR برای بازاریابان دیجیتال چه معنایی دارد؟

اولین چیزی که باید به آن اشاره کرد این است که اگر در کسب‌وکارتان داده‌های شهروندان اتحادیۀ اروپا را پردازش می‌کنید، حتی اگر کسب‌وکار شما خارج از اتحادیۀ اروپا باشد، GDPR بر تجارت شما تأثیر می‌گذارد.

نکتۀ بعدی این است که به‌عنوان یک بازاریاب دیجیتال، هر زمان که بخواهید اطلاعات شخصی کاربران را جمع‌آوری کنید، باید شفاف باشید. شما باید خیلی واضح به آن‌ها بگویید که می‌خواهید داده‌هایشان را جمع‌آوری کنید، و به‌صراحت توضیح دهید که چگونه از آن داده‌ها استفاده می‌شود. سپس باید رضایت مصرف‌کنندگان را جلب کنید و در‌عین‌حال به آن‌ها درمورد حق رد یا پس‌گرفتن رضایت اطلاع دهید. این بدان معناست که باید هنگام تلاش برای تبدیل یک بازدیدکنندۀ سایت به سرنخ، خلاقیت بیشتری داشته باشید.

علاوه‌بر‌این، شما فقط می‌توانید داده‌هایی را جمع‌آوری کنید که برای هدف موردنظر مجموعه ضروری است. اگر داده‌های اضافی را جمع‌آوری کنید، ناقض GDPR در نظر گرفته می‌شود. برای مثال، احتمالاً جمع‌آوری اطلاعاتی مانند نام، آدرس ایمیل و آدرس منزل یک مصرف‌کننده منطقی است، اما اگر سعی کنید بیشتر پیش بروید و اطلاعاتی درمورد سابقۀ پزشکی یا محل کار او جمع‌آوری کنید، این داده‌ها به احتمال زیاد غیرضروری تلقی می‌شوند و در تضاد با GDPR خواهند بود.

پس از کسب رضایت و جمع‌آوری داده‌های لازم، باید به نحوۀ ذخیره و استفاده از آن داده‌ها توجه داشته باشید. اگر قصد دارید داده‌ها را با شرکت دیگری به اشتراک بگذارید، باید برای آن نیز کسب رضایت کنید. همچنین باید مطمئن شوید که اقدامات امنیتی مناسبی را برای جلوگیری از نقض داده‌ها انجام می‌دهید. رمزگذاری یک راه عالی برای انجام این کار است. همچنین باید تعداد افرادی را که به داده‌ها دسترسی دارند محدود کنید. فقط بخش‌های لازم در مجموعه‌تان باید بتوانند آن اطلاعات را بازیابی کنند. در صورت نقض داده‌های GDPR باید آن را ظرف ۷۲ ساعت گزارش دهید.

همچنین باید سوابق گسترده‌ای شامل اسامی افرادی که رضایت داده‌اند، تاریخ‌ها و زمان‌هایی که رضایت داده‌اند و همچنین نحوۀ اعلام رضایتشان ایجاد کنید. علاوه‌بر‌این، در‌صورتی‌که مصرف‌کننده بخواهد رضایت خود را پس بگیرد، باید راهی برای پاک‌کردن کامل این داده‌ها داشته باشید.

قوانینی که در GDPR باید رعایت شود

GDPR چندین حق را درمورد داده‌های کاربران به آن‌ها اعطا می‌کند که شرکت‌ها موظف‌اند به آن حقوق احترام بگذارند. در اینجا خلاصه‌ای سریع از حقوق GDPR ارائه شده است که باید در استراتژی‌های بازاریابی خود در نظر بگیرید:

1. حق مطلع‌شدن: شرکت‌ها باید اطلاعاتی واضح، مختصر و قابل درک درمورد نحوۀ جمع‌آوری و پردازش داده‌های شخصی کاربران در اختیار آن‌ها قرار دهند. این حق به کاربر یا مشتری اجازه می‌دهد که از ‌سایت دربارۀ نحوۀ استفاده از اطلاعات جمع‌آوری‌شده و اینکه آن اطلاعات با چه کسانی به اشتراک گذاشته می‌شود سؤال کند.
2. حق دسترسی: طبق این حق، مشتریان و صاحبان داده‌ها به اطلاعات در حال پردازش خود دسترسی دارند. آن‌ها می‌توانند از صاحب سایت درخواست کنند که یک کپی از داده‌هایی را که ارسال کرده‌اند در اختیارشان بگذارد.
3. حق تصحیح یا تغییر: اگر کاربر معتقد است که داده‌های شخصی او نادرست یا ناقص است، می‌تواند درخواست اصلاحیه بدهد. طبق این حق، کاربران می‌توانند در‌صورتی‌که داده‌های آن‌ها به‌روز نیست یا به تغییراتی نیاز دارد، برای انجام تصحیح و اصلاح، درخواست بفرستند.
4. حق انصراف از رضایت: این حق به کاربران امکان می‌دهد که از همۀ کوکی‌هایی که داده‌ها را در سایت جمع‌آوری می‌کنند یا سایر داده‌هایی که پیش از این در اختیار سایت گذاشته‌اند، انصراف دهند.
5. حق اعتراض در صورت لزوم: اگر کاربر بخواهد به پردازش داده‌های ارائه‌شده توسط خود اعتراض کند، می‌تواند با استفاده از این حق، این کار را انجام دهد. این حق همان حق انصراف از رضایت است که در شرایط خاص به کاربر اجازه می‌دهد درمورد هرگونه استفاده از داده‌های شخصی ارسال‌شده اعتراض کند.
6. حق تبادل اطلاعات: این حق به کاربران اجازه می‌دهد که داده‌های خود را به‌منظور استفادۀ شخصی، از سرویس‌های مختلف اخذ کنند و مجدداً مورد استفاده قرار دهند. کاربر می‌تواند از داده‌های ارسال‌شده به یک ‌سایت، کپی تهیه کند، آن داده‌ها را از یک محیط فناوری اطلاعات به محیط دیگر انتقال دهد یا ارسال کند.
7. حق پاک‌کردن (یا فراموش‌شدن): اگر کاربر، ‌دیگر نخواهد اطلاعات شخصی‌اش توسط یک شرکت پردازش شود، می‌تواند درخواست پاک‌کردن تمام نسخه‌های نگهداری‌شده توسط آن شرکت را بدهد. طبق این حق، کاربر می‌تواند انتخاب کند که توسط آن سایت فراموش شود. این حق معمولاً زمانی به کار می‌آید که کاربران به دریافت خدمات از ‌سایت‌ها پایان دهند. مهم است که مشتری بتواند از سایت درخواست کند که تمام اطلاعات او را حذف کند. پیش از این، در مطلبی به‌طور مفصل به این موضوع پرداخته‌ایم: حق فراموش‌شدن (Right To Be Forgotten) چیست؟
8. حق لغو پردازش خودکار داده‌ها: پردازش خودکار داده‌ها در صورت لزوم توسط قانون یا مقامات بالاتر انجام می‌شود، که کاربران باید بلافاصله درمورد آن مطلع شوند. با‌این‌حال، اگر سایت‌ها چنین حقی را برایشان قائل نشوند، کاربران می‌توانند اعتراض کرده و پردازش خودکار داده‌های خود را لغو کنند.
9. کاربر باید از هرگونه تغییر در اطلاعات خود مطلع شود: بر اساس این حق، هرگونه تغییر، حذف یا اصلاح داده‌های کاربران باید به اطلاع آن‌ها برسد. این موضع مهم است، زیرا در صورت از‌دست‌رفتن یا نقض داده‌های کاربران، باید پیگیری‌های لازم انجام شود.
10. شفافیت: سایت می‌بایست دربارۀ فعالیت‌های پردازشی خود شفاف‌ باشد، به‌ویژه زمانی که اهداف بازاریابی در میان است. کاربران باید درمورد ماهیت پردازش و فعالیت‌های بازاریابی مربوط به آن مطلع شوند.

مجازات‌‌های رعایت‌نکردن GDPR

رعایت‌نکردن GDPR با جریمه‌های هنگفتی همراه خواهد بود که شامل ۲ نوع مجازات می‌شود:

1. حداکثر ۱۰ میلیون یورو یا ۲درصد گردش مالی سالانۀ جهانی، هرکدام بیشتر باشد.
2. حداکثر ۲۰میلیون یورو یا ۴درصد گردش مالی سالانۀ جهانی، هرکدام بیشتر باشد.

بر همین اساس، یک شرکت تبلیغاتی تلفن همراه به نام InMobi تقریباً یک میلیون دلار جریمه شد؛ زیرا رضایت مناسبی از کاربران خود برای اطلاعات موقعیت مکانی آنان و مواردی دیگر دریافت نکرده بود. البته عواملی همچون ماهیت مشکل، عمدی‌بودن آن، تخلفات قبلی، نوع داده‌های مربوطه و نحوۀ کشف آن و… در نوع و میزان مجازات مؤثر است. برای دانستن بیشتر درمورد جریمه‌های رعایت‌نکردن GDPR به این مقاله مراجعه کنید.

و حرف آخر…

GDPR قطعاً برای صاحبان کسب‌وکارها به‌ویژه بازاریابان دیجیتال، چالش‌های بزرگی به همراه خواهد داشت. اما به‌طور کلی به تغییرات مثبت در دنیای بازاریابی دیجیتال منجر خواهد شد. GDPR باعث می‌شود بازاریاب‌ها به استانداردهای بالاتری نگاه کنند تا بتوانند مشتریان خود را در اولویت قرار دهند، و این چیز خوبی است.

GDPR به تفکر تازه و استراتژی‌های بازاریابی خلاقانه‌تری نیاز دارد و درنهایت به ایجاد روابط بهتر بین کسب‌وکارها و مصرف‌کنندگان آن‌ها منجر می‌شود که براساس اعتماد و شفافیت پی‌ریزی شده‌ است.

درست است که ما در ایران روابط محدودی با سراسر جهان داریم، اما همواره باید از تغییرات مثبت استقبال کرد؛ به‌ویژه آن‌هایی که بزرگ می‌اندیشند و برای بین‌المللی‌شدن کسب‌وکار خود تلاش می‌کنند.