GDPR是限制,但也是更多機會/解聰文

歐盟的一般個人資料保護規範(GDPR)即將實施,而且也可能影響歐盟之外的每一個人,但大多數的企業並沒有準備好因應它的來臨。

無論是否身在歐盟,全球每一家企業都應該特別小心,以免因為誤觸這部法規而被迫面臨鉅額罰款。

此外,很多人都以為這只跟公司裡的法務單位有關,但這個想法是錯的:GDPR(General Data Protection Regulation)規範其實並不僅是法規問題,也是行銷問題。

你需要知道的事

  • GDPR將於2018年開始實施;

  • 它是1995年歐盟「EU法規95/46/c」的更新版本;

  • GDPR要求全世界各地的公司,在歐盟成員國境內執行業務時,必須保護歐盟旗下民眾的個人資料與隱私;

  • 只要你的公司有任何來自歐盟國家的客戶,這件事情就跟你有關;

  • 如果不遵守GDPR,罰款金額會非常、非常重。

哪些類型的企業會受到影響?

  • 在歐盟國家有法人代表的公司;

  • 在歐盟沒有法人代表,但因為業務關係而持有歐盟居民的個人資料(是的,包括你發行的電子報訂戶名單、以及客戶資料庫都算);

  • 員工在250人以上和以下的公司,並沒有太大的差別;即使貴公司員工不到250人,仍然會受到GDPR的規範。

萬一被罰款,究竟會被罰多少?

GDPR規定的罰款為最高2,000萬歐元、或是受罰公司全球年度營業額的4%,以兩者較高者為準。

我們要怎麼做才能避免受罰?

關於這個問題,即使是大企業的法規遵循(一般簡稱為「法遵」)單位也很難回答,因為GDPR的細節定義還並不是很明確。

它所涵蓋的所謂「個人資料」範圍相當廣;除了眾所週知的姓名、地址、身分證件號碼之外,還包括IP位址和其他較不明顯的項目,例如:

  • 藉由網站獲取的資料,如地點、IP位址、cookie資料、以及RFID識別標籤等等;

  • 病歷與基因資料;

  • 生物特徵資料;

  • 種族與文化族群背景資料;

  • 政治傾向;

  • 性傾向等。

簡單的說,就是任何足以用來辨識出特定個人的資料。

尤其如果你是在「未經當事人明示許可」的狀況下取得資料、而又違反了GDPR規定,就可能會遭到懲處。

還有呢?

GDPR要求企業必須建立「合理的」資料保護措施,但並沒有定義什麼是「合理的」。法遵單位只能在行銷業務單位有疑似違反GDPR的行為時,儘速出面制止。

我是有歐洲代理/配銷商,但這樣也有事?

很有可能。

根據歐盟法規,除非合約另有規定,否則當地代理/配銷商所代表的是消費者;而相對的,個資保護則是產品供應商(而非配銷商)的責任。

如果我們做的只有「公司對公司」(B2B)的業務呢?

還是很有關係。因為即使是B2B業務,仍然有客戶關係需要維持,而且B2B的客戶仍然是「人」。

這樣的話,我在B2B業務方面得注意些什麼?

第一,要知道對方是誰在負責這個部分、以及誰有能力處理這個議題。根據GDPR的要求,企業組織中必須設立專責的資料和隱私保護主管。如果目前沒有這樣的人,則必須聘請一位、或是讓現有人員接受認證。

這個理想的人選,除了必須值得信賴、並且至少必須有法務或法遵方面的背景之外,同時也必須瞭解行銷事務。

第二,我們必須瞭解自己手上到底有哪些資料、內容是什麼、儲存在哪裡;最重要的是,知道這些資料是「怎麼拿到手」的。如果必要的話,不妨找一家服務商來做資料稽核。

做到上述這些之後,接下來則是建立一套資料庫管理系統,以避免未來資料在儲存或傳遞的過程中出錯。

第三,必須在網站、電子報訂閱、以及供應商合約等溝通介面上,增加必要的語言版本。

同時,行銷團隊必須參與這整個流程;因為,GDPR到最後的應用面會在行銷事務上,而不只是有法規遵循的面向。

GDPR不僅是法規問題,也是行銷問題

接下來要討論的,就是本文的重點:GDPR也是行銷問題。

由於行銷業務單位如果沿用舊的手法做事,可能會因為某些不確定性而觸犯相關法規,所以法遵單位及時提出警告、甚至阻止,原本就是分內工作之一;所以,往後世界各地的行銷單位很可能會經常收到「以後不能再這樣做了」的警告。

然而,GDPR也是機會

GDPR的實施,可以避免企業用過去的各種「不當手法」取得顧客個資、並且用以進行擾人的行銷活動,而必須改採較為正規的內容行銷、或是「自來客行銷」方式。

在後者的形式之中,顧客是以主動的態度提供資料,並且明確表達希望收到訊息、或是參與品牌行銷互動的意願。

而內部需要做的事情,則包括網站和行銷文件相關內容的更新、以及為行銷人員舉辦小型研討會,讓他們瞭解有哪些「非侵略性」的行銷技巧可以應用。

總而言之,GDPR是好事

GDPR(包括未來其他國家可能實施的其他類似法規)將迫使企業重視個資管理問題,並且逐步淘汰令人反感、而且也已經過時的侵略性行銷手法,避免以「亂槍打鳥」的方式來做廣告。

如此一來,企業反而有機會升級到更有效率的行銷策略、並且將更多心思花在提高產品和服務的品質上,帶來更多成功的機會。

所以,對企業來說GDPR並不是一種威脅,反而代表著更多的機會。