GDPR: Ý nghĩa của Google Analytics và Online Marketing

Với Quy định bảo mật dữ liệu chung (GDPR) bắt đầu có hiệu lực vào ngày 25 tháng 5 năm 2018, nhiều dịch vụ Internet đã được tranh giành để tuân thủ các tiêu chuẩn mới – và Google cũng không ngoại lệ. Do tính chất của các dịch vụ mà Google cung cấp cho các nhà tiếp thị, GDPR hoàn toàn thực hiện một số thay đổi đáng kể trong cách họ tiến hành kinh doanh. Và đến lượt mình, một số nhà tiếp thị có thể phải thực hiện các bước để đảm bảo việc sử dụng Google Analytics của họ được cho phép theo các quy tắc mới. Nhưng nhiều nhà tiếp thị không hoàn toàn chắc chắn chính xác GDPR là gì, ý nghĩa của công việc của họ và những gì họ cần làm để tuân thủ các quy tắc.

GDPR là gì?

GDPR là một cải cách rất rộng, giúp các công dân sống trong Khu vực Kinh tế Châu Âu (EEA) và Thụy Sĩ kiểm soát nhiều hơn cách thức thu thập và sử dụng dữ liệu cá nhân của họ trực tuyến. GDPR giới thiệu rất nhiều quy tắc mới và nếu bạn muốn đọc nhẹ, bạn có thể xem toàn văn quy định trực tuyến. Nhưng đây là một vài thay đổi quan trọng nhất:

• Các công ty và các tổ chức khác phải minh bạch hơn và nêu rõ những thông tin họ đang thu thập, nó sẽ được sử dụng cho mục đích gì, họ thu thập thông tin đó như thế nào và nếu thông tin đó sẽ được chia sẻ với bất kỳ ai khác. Họ cũng chỉ có thể thu thập thông tin có liên quan trực tiếp đến mục đích sử dụng của nó. Nếu tổ chức thu thập thông tin đó sau đó quyết định sử dụng nó cho mục đích khác, họ phải xin phép lại từ mỗi cá nhân.
• GDPR cũng giải thích cách thông tin đó cần được cung cấp cho người tiêu dùng. Thông tin đó không còn có thể bị ẩn trong các chính sách bảo mật dài chứa đầy biệt ngữ pháp lý. Thông tin trong các tiết lộ cần được viết bằng ngôn ngữ đơn giản và được cung cấp một cách tự do, cụ thể, được thông báo và không rõ ràng. Cá nhân cũng phải có hành động đồng ý rõ ràng với thông tin của họ được thu thập. Các hộp và thông báo được kiểm tra trước dựa trên không hành động như một cách cho phép sẽ không còn được phép. Nếu người dùng không đồng ý thu thập thông tin của họ, bạn không thể chặn họ truy cập nội dung dựa trên thực tế đó.
• Người tiêu dùng cũng có quyền xem thông tin nào về công ty về họ, yêu cầu sửa thông tin không chính xác, thu hồi quyền cho dữ liệu của họ được lưu và xuất dữ liệu của họ để họ có thể chuyển sang dịch vụ khác. Nếu ai đó quyết định thu hồi sự cho phép của họ, tổ chức không chỉ cần xóa thông tin đó khỏi hệ thống của họ kịp thời, họ cũng cần xóa thông tin đó khỏi bất kỳ nơi nào khác mà họ đã chia sẻ thông tin đó.
• Các tổ chức cũng phải có khả năng đưa ra bằng chứng về các bước họ đang tuân thủ. Điều này có thể bao gồm lưu giữ hồ sơ về cách mọi người chọn tham gia vào danh sách tiếp thị và tài liệu về cách thông tin khách hàng được bảo vệ.
• Khi thông tin của một cá nhân đã được thu thập, GDPR đưa ra các yêu cầu về cách thông tin đó được lưu trữ và bảo vệ. Nếu vi phạm dữ liệu xảy ra, người tiêu dùng phải được thông báo trong vòng 72 giờ. Không tuân thủ GDPR có thể đi kèm với một số hậu quả rất nghiêm trọng. Nếu vi phạm dữ liệu xảy ra do không tuân thủ, công ty có thể bị phạt với mức phạt cao tới 20 triệu euro hoặc 4% doanh thu toàn cầu hàng năm của công ty, số tiền nào lớn hơn.

Các doanh nghiệp có trụ sở tại Hoa Kỳ có cần phải lo lắng về GDPR không?

Chỉ vì một doanh nghiệp không có trụ sở ở châu Âu không nhất thiết có nghĩa là họ sẽ vượt xa GDPR. Nếu một công ty có trụ sở tại Hoa Kỳ (hoặc ở nơi khác ngoài EEA), nhưng tiến hành kinh doanh ở châu Âu, thu thập dữ liệu về người dùng từ châu Âu, thị trường ở châu Âu hoặc có nhân viên làm việc ở châu Âu, GDPR cũng áp dụng cho họ.

Ngay cả khi bạn đang làm việc với một công ty chỉ tiến hành kinh doanh ở một khu vực địa lý rất cụ thể, đôi khi bạn vẫn có thể có một số khách truy cập vào trang web của mình từ những người bên ngoài khu vực đó. Ví dụ: giả sử một nhà hàng pizza ở Detroit xuất bản một bài đăng trên blog về lịch sử của pizza trên trang web của họ. Đây là một bài viết khá nhiều thông tin và kết quả là, nó mang lại một số lưu lượng truy cập từ những người đam mê pizza bên ngoài khu vực Detroit, bao gồm một vài du khách đến từ Tây Ban Nha. GDPR vẫn sẽ áp dụng trong tình huống đó chứ?

Miễn là rõ ràng rằng hàng hóa hoặc dịch vụ của một công ty chỉ dành cho người tiêu dùng ở Hoa Kỳ (hoặc một quốc gia khác ngoài EEA), GDPR không áp dụng. Quay trở lại ví dụ về nhà hàng pizza, nội dung khác trên trang web của họ được viết bằng tiếng Anh, nhấn mạnh địa điểm Detroit của họ và chắc chắn không có bất kỳ tài liệu tham khảo nào về việc giao hàng đến Tây Ban Nha, vì vậy vài lượt xem trang từ Tây Ban Nha sẽ không có gì để lo lắng về.

Tuy nhiên, giả sử một công ty khác có trụ sở tại Hoa Kỳ có một trang web với tùy chọn xem các phiên bản trang tiếng Đức và tiếng Pháp, cho phép khách hàng thanh toán bằng Euro và sử dụng ngôn ngữ tiếp thị đề cập đến khách hàng châu Âu. Trong tình huống đó, GDPR sẽ được áp dụng vì họ đang mời chào doanh nghiệp rõ ràng hơn từ những người ở châu Âu.

Google Analytics & GDPR

Nếu bạn sử dụng Google Analytics, Google là bộ xử lý dữ liệu của bạn và vì họ xử lý dữ liệu từ mọi người trên khắp thế giới, họ đã phải thực hiện các bước để tuân thủ các tiêu chuẩn GDPR. Tuy nhiên, bạn / công ty của bạn được coi là bộ điều khiển dữ liệu trong mối quan hệ này và bạn cũng sẽ cần thực hiện các bước để đảm bảo tài khoản Google Analytics của bạn được thiết lập để đáp ứng các yêu cầu mới.

Google đã đưa ra một số tính năng mới để giúp thực hiện điều này. Trong Analytics, giờ đây bạn sẽ có khả năng xóa thông tin của từng người dùng nếu họ yêu cầu. Họ cũng đã giới thiệu cài đặt duy trì dữ liệu cho phép bạn kiểm soát thời gian lưu dữ liệu cá nhân của người dùng trước khi bị xóa tự động. Google đã đặt cài đặt này là 26 tháng làm cài đặt mặc định, nhưng nếu bạn đang làm việc với một công ty có trụ sở tại Hoa Kỳ thực hiện nghiêm túc việc kinh doanh tại Hoa Kỳ, bạn có thể đặt nó không bao giờ hết hạn nếu bạn muốn – ít nhất là cho đến khi bảo vệ dữ liệu luật thay đổi ở đây, quá. Điều quan trọng cần lưu ý là điều này chỉ áp dụng cho dữ liệu về người dùng và sự kiện riêng lẻ, vì vậy dữ liệu tổng hợp về thông tin cấp cao như lượt xem trang sẽ không bị ảnh hưởng bởi điều này.

Để đảm bảo bạn đang sử dụng Analytics tuân thủ GDPR, một điểm tốt để bắt đầu là kiểm tra tất cả dữ liệu bạn thu thập để đảm bảo tất cả có liên quan đến mục đích của nó và bạn không vô tình gửi bất kỳ thông tin nhận dạng cá nhân nào (PII ) vào Google Analytics. Việc gửi PII tới Google Analytics đã trái với Điều khoản dịch vụ của nó, nhưng rất thường xuyên, nó xảy ra một cách tình cờ khi thông tin được đẩy qua một URL trang. Nếu hóa ra bạn đang gửi PII tới Analytics, bạn sẽ cần nói chuyện với nhóm phát triển web của mình về cách khắc phục vì sử dụng các bộ lọc trong Analytics để chặn nó là không đủ – bạn cần đảm bảo rằng nó không bao giờ được gửi tới Google Phân tích ở nơi đầu tiên.

PII bao gồm mọi thứ có khả năng có thể được sử dụng để nhận dạng một người cụ thể, một mình hoặc khi được kết hợp với một thông tin khác, như địa chỉ email, địa chỉ nhà, ngày sinh, mã zip hoặc địa chỉ IP. Địa chỉ IP không được coi là PII, nhưng GDPR phân loại chúng là định danh trực tuyến. Mặc dù vậy, đừng lo lắng – bạn vẫn có thể hiểu biết về địa lý về khách truy cập vào trang web của mình. Tất cả những gì bạn phải làm là bật ẩn danh IP và phần cuối của địa chỉ IP sẽ được thay thế bằng số 0, vì vậy bạn vẫn có thể có được một ý tưởng chung về lưu lượng truy cập của mình đến từ đâu, mặc dù nó sẽ ít chính xác hơn.

Nếu bạn sử dụng Trình quản lý thẻ của Google, việc ẩn danh IP khá dễ dàng. Chỉ cần mở thẻ Google Analytics của bạn hoặc biến cài đặt của nó, chọn Cài đặt thêm, Cài đặt, và chọn các lĩnh vực khác để đặt. Hãy và lưu những thay đổi của bạn.

Nếu bạn không sử dụng GTM, hãy nói chuyện với nhóm phát triển web của bạn về việc chỉnh sửa mã Google Analytics để ẩn danh các địa chỉ IP.

Thông tin giả như ID người dùng và ID giao dịch vẫn được chấp nhận theo GDPR, nhưng nó cần được bảo vệ. ID người dùng và giao dịch cần phải là định danh cơ sở dữ liệu chữ và số, không được viết bằng văn bản thuần túy.

Ngoài ra, nếu bạn chưa làm như vậy, đừng quên thực hiện các bước mà Google đã đề cập trong một số email họ đã gửi. Nếu bạn ở ngoài EEA và GDPR áp dụng cho bạn, hãy truy cập cài đặt tài khoản Google Analytics của bạn và chấp nhận các điều khoản xử lý được cập nhật. Nếu bạn có trụ sở tại EEA, các điều khoản được cập nhật đã được bao gồm trong các điều khoản xử lý dữ liệu của bạn. Nếu GDPR áp dụng cho bạn, bạn cũng cần phải đi vào cài đặt tổ chức của mình và cung cấp thông tin liên hệ cho tổ chức của bạn.

Chính sách bảo mật, biểu mẫu và thông báo cookie

Bây giờ bạn đã xem qua dữ liệu của mình và kiểm tra cài đặt của mình trong Google Analytics, bạn cần cập nhật chính sách bảo mật, biểu mẫu và thông báo cookie của trang web của bạn. Nếu công ty của bạn có một bộ phận pháp lý, tốt nhất có thể liên quan đến họ trong quy trình này để đảm bảo bạn tuân thủ đầy đủ.

Theo GDPR, chính sách bảo mật của một trang web cần được viết rõ ràng bằng ngôn ngữ đơn giản và trả lời các câu hỏi cơ bản như thông tin nào được thu thập, tại sao nó được thu thập, cách thu thập, ai sẽ thu thập, sử dụng nó như thế nào và nếu nó sẽ được chia sẻ với bất cứ ai khác. Nếu trang web của bạn có khả năng được trẻ em truy cập, thông tin này cần được viết đơn giản, đủ để trẻ có thể hiểu được.

Biểu mẫu và thông báo cookie cũng cần cung cấp loại thông tin đó. Các hình thức đồng ý cookie với các thông điệp chung chung, mơ hồ như, chúng tôi sử dụng cookie để cung cấp cho bạn trải nghiệm tốt hơn và bằng cách sử dụng trang web này, bạn đồng ý với chính sách của chúng tôi, không tuân thủ GDPR.

GDPR và các loại hình tiếp thị khác

Tác động GDPR sẽ có đối với các nhà tiếp thị không chỉ giới hạn ở cách bạn sử dụng Google Analytics. Nếu bạn sử dụng một số loại tiếp thị cụ thể trong quá trình thực hiện công việc của mình, bạn cũng có thể phải thực hiện một vài thay đổi khác.

Giao dịch giới thiệu

Nếu bạn làm việc với một công ty có chương trình khuyến mãi giới thiệu một người bạn, thì khách hàng phải nhập thông tin cho một người bạn để được giảm giá, GDPR sẽ tạo ra sự khác biệt cho bạn. Cho phép thu thập dữ liệu là một phần quan trọng của GDPR và trong các loại khuyến mãi này, người được giới thiệu không thể đồng ý rõ ràng với thông tin của họ được thu thập. Theo GDPR, có thể tiếp tục thực hành này, nhưng tất cả phụ thuộc vào cách thông tin đó được sử dụng. Nếu bạn lưu trữ thông tin của người được giới thiệu và sử dụng nó cho mục đích tiếp thị, đó sẽ là vi phạm tiêu chuẩn GDPR. Tuy nhiên, nếu bạn không lưu trữ thông tin đó hoặc xử lý thông tin đó, bạn vẫn ổn.

Thư điện tử quảng cáo

Nếu bạn là một nhà tiếp thị email và đã tuân theo các tiêu chuẩn công nghiệp tốt nhất bằng cách thực hiện những việc như chỉ gửi tin nhắn cho những người chọn tham gia rõ ràng vào danh sách của bạn và giúp mọi người dễ dàng hủy đăng ký, thì tin tốt là bạn có thể khá tốt hình dạng. Theo như tiếp thị qua email, GDPR sẽ có tác động lớn nhất đối với những người làm những việc đã được coi là sơ sài, như mua danh sách liên hệ hoặc không làm rõ khi ai đó đăng ký nhận email từ bạn.

Ngay cả khi bạn nghĩ rằng bạn tốt để đi, vẫn là thời điểm tốt để xem xét các liên hệ của bạn và kiểm tra kỹ xem các liên hệ châu Âu của bạn đã thực sự chọn tham gia vào danh sách của bạn chưa và rõ ràng họ đang đăng ký cái gì. Nếu bất kỳ liên hệ nào của bạn không có quốc gia của họ được liệt kê hoặc bạn không chắc chắn họ đã chọn tham gia như thế nào, bạn có thể muốn xóa họ khỏi danh sách của bạn hoặc đưa họ vào một phân khúc riêng để họ không nhận được bất kỳ tin nhắn nào từ bạn cho đến khi bạn có thể nhận ra rằng Ngay cả khi bạn tự tin rằng các liên hệ tại Châu Âu của bạn đã chọn tham gia, sẽ không có hại khi gửi email yêu cầu họ xác nhận rằng họ muốn tiếp tục nhận tin nhắn từ bạn.

Tạo một quy trình chọn tham gia kép là không bắt buộc, nhưng sẽ là một ý tưởng tốt vì nó giúp xóa bỏ mọi nghi ngờ về việc một người có đồng ý có trong danh sách của bạn hay không. Trong khi bạn đang ở đó, hãy xem các biểu mẫu mà mọi người sử dụng để đăng ký trong danh sách của bạn và đảm bảo rằng chúng phù hợp với tiêu chuẩn GDPR, không có hộp kiểm tra trước và thực tế là họ đồng ý nhận email từ bạn là rất rõ ràng.

Ví dụ: đây là một tùy chọn đăng ký email không tuân thủ GDPR mà tôi thấy gần đây trên trang thanh toán. Họ cho bạn biết những gì họ dự định gửi cho bạn, nhưng thực tế đó là một hộp được kiểm tra trước được đặt bên dưới nút Đặt hàng Đặt hàng nổi bật hơn khiến mọi người vô tình dễ dàng đăng ký email mà họ có thể không thực sự muốn .

Mặt khác, Jimmy Choo cũng mang đến cho bạn cơ hội đăng ký email trong khi mua hàng, nhưng vì hộp không được kiểm tra trước, nên rất tốt để đi theo GDPR.

Tự động hóa tiếp thị

Như trường hợp tiếp thị qua email tiêu chuẩn, các chuyên gia tự động hóa tiếp thị sẽ cần đảm bảo rằng họ có sự đồng ý rõ ràng từ mọi người đã đồng ý tham gia danh sách của họ. Kiểm tra danh bạ châu Âu của bạn để đảm bảo bạn biết cách họ đã chọn tham gia. Ngoài ra, hãy xem lại cách mọi người có thể chọn vào danh sách của bạn để đảm bảo rằng chính xác những gì họ đang đăng ký để các liên hệ hiện tại của bạn được coi là hợp lệ .

Nếu bạn sử dụng tự động hóa tiếp thị để thu hút lại những khách hàng không hoạt động trong một thời gian, bạn có thể cần được phép liên hệ lại với họ, tùy thuộc vào thời gian họ đã tương tác với bạn bao lâu.

Một số nền tảng tự động hóa tiếp thị có chức năng sẽ bị ảnh hưởng bởi GDPR. Ví dụ, chấm điểm chính được coi là một hình thức hồ sơ và bạn sẽ cần phải xin phép các cá nhân để sử dụng thông tin của họ theo cách đó. Theo dõi IP ngược cũng cần sự đồng ý.

Điều quan trọng nữa là đảm bảo nền tảng tự động hóa tiếp thị và hệ thống CRM của bạn được đặt thành tự động đồng bộ hóa. Nếu một người trong danh sách của bạn hủy đăng ký và tiếp tục nhận email vì sự chậm trễ giữa hai người, bạn có thể gặp rắc rối vì không tuân thủ GDPR.

Nội dung gated

Rất nhiều công ty sử dụng nội dung gated, như báo cáo miễn phí, trang trắng hoặc hội thảo trên web, như một cách để tạo khách hàng tiềm năng. Cách họ nhìn nhận nó, thông tin của người đóng vai trò là giá nhập học. Nhưng vì GDPR cấm chặn truy cập vào nội dung nếu một người không đồng ý với thông tin của họ được thu thập, bây giờ nội dung có bị kiểm soát có vô dụng không?

GDPR không loại bỏ hoàn toàn khả năng nội dung bị kiểm soát, nhưng hiện có các tiêu chuẩn cao hơn để thu thập thông tin người dùng. Về cơ bản, nếu bạn sắp có nội dung kiểm soát, bạn cần có khả năng chứng minh rằng thông tin bạn thu thập là cần thiết để bạn cung cấp khả năng cung cấp. Ví dụ: nếu bạn đang tổ chức một hội thảo trên web, bạn sẽ hợp lý trong việc thu thập địa chỉ email vì người tham dự cần được gửi một liên kết để tham gia. Bạn sẽ gặp khó khăn hơn khi yêu cầu một địa chỉ email được yêu cầu cho một cái gì đó như whitepaper điều đó không nhất thiết phải được gửi qua email. Và tất nhiên, như với bất kỳ hình thức nào khác trên một trang web, các biểu mẫu cho nội dung bị kiểm soát cần phải nêu rõ tất cả các thông tin cần thiết về cách thông tin được thu thập sẽ được sử dụng.

Nếu bạn không nhận được nhiều khách hàng tiềm năng từ người dùng châu Âu, bạn có thể muốn chặn tất cả nội dung bị kiểm soát từ khách truy cập châu Âu. Một lựa chọn khác là đi trước và cung cấp thông tin đó miễn phí cho khách truy cập từ Châu Âu.

Google AdWords

Nếu bạn sử dụng Google AdWords để quảng cáo cho cư dân châu Âu, Google đã yêu cầu nhà xuất bản và nhà quảng cáo phải xin phép người dùng cuối bằng cách từ chối trách nhiệm trên trang đích, nhưng GDPR sẽ thực hiện một số thay đổi đối với các yêu cầu này. Google hiện sẽ yêu cầu các nhà xuất bản nhận được sự đồng ý rõ ràng từ các cá nhân để thu thập thông tin của họ. Điều này không chỉ có nghĩa là bạn phải cung cấp thêm thông tin về cách sử dụng thông tin của một người, bạn cũng cần lưu giữ hồ sơ đồng ý và cho người dùng biết họ có thể từ chối sau này như thế nào nếu họ muốn làm như vậy. Nếu một người không đồng ý thu thập thông tin của họ, Google sẽ cung cấp cho họ các quảng cáo không được cá nhân hóa.

Kết luận

GDPR là một thay đổi đáng kể và cố gắng nắm bắt toàn bộ phạm vi thay đổi của nó là khá khó khăn. Đây không phải là một hướng dẫn toàn diện, vì vậy nếu bạn có bất kỳ câu hỏi nào về cách áp dụng GDPR cho một khách hàng cụ thể mà bạn đang làm việc, tốt nhất nên liên hệ với bộ phận pháp lý hoặc nhóm của họ. GDPR sẽ tác động đến một số ngành nhiều hơn các ngành khác, vì vậy tốt nhất bạn nên lấy một số thông tin đầu vào từ một người thực sự hiểu luật và cách áp dụng cho doanh nghiệp cụ thể đó.