Политика за поверителност и бисквитки в маркетинга

Политиката за поверителност и бисквитки в маркетинга определя задължителни изисквания за поверителност при маркетинг, бисквитки, технологии за проследяване, анализи, рекламни технологии, сегментиране на аудиторията, директен маркетинг, управление на предпочитания, изключване от комуникации, маркери на трети страни, преглед на кампании и свързано обработване на лични данни. Посочената ѝ цел е да гарантира, че тези дейности се управляват чрез ясни записи на целите, прозрачно уведомление, подходящи контроли за съгласие или предпочитания, обработване на изключвания и оттегляния, надзор на трети страни и доказателства, готови за одит. Политиката се прилага в контексти на администратор, съвместен администратор, обработващ лични данни и подизпълнител по обработване, като задълженията на администратора се прилагат, когато организацията определя маркетинговите цели и средства, а задълженията на обработващия лични данни се прилагат, когато лични данни, свързани с маркетинг, анализи, проследяване или кампании, се обработват съгласно документирани нареждания на клиента или на обработващ лични данни нагоре по веригата. Централно изискване е маркетинговите цели и целите за проследяване да бъдат записани преди започване на обработването. За дейности на администратор собственикът на процеса или собственикът на бизнеса трябва да запише всяка маркетингова кампания, канал, цел на обработването, категория лични данни, източник на аудитория, връзка с правно основание, категория технология за проследяване, зависимост от доставчик или маркер, връзка с уведомление, зависимост от съгласие или предпочитание, връзка със сроковете за съхранение и индикатор за предаване в REG02 преди започване на кампанията или дейността по проследяване. Ръководителят по поверителност / Мениджърът на СУНЛИ трябва да потвърди актуалната връзка с уведомление в REG07 и връзката със съгласие или предпочитание в REG05 преди стартиране на кампанията. Когато е налице съвместен маркетинг, споделена аудитория, съвместно брандирана кампания или споделена дейност по проследяване, разпределението на отговорностите на съвместните администратори трябва да бъде записано в REG08 преди стартиране. Политиката задава подробни оперативни изисквания за съгласие, предпочитания, бисквитки и контроли за проследяване. Тя изисква организацията да идентифицира дали за всеки маркетингов канал са необходими съгласие, предпочитание, възражение, договорно нареждане или друго одобрено основание и да запише решението в REG02 и REG05 преди събиране или използване в кампания. Несъществените бисквитки, маркери, пиксели, SDK и сходни технологии за проследяване трябва да останат неактивни, докато необходимото състояние на съгласие или предпочитание не бъде налично в REG05. Сигналите за съгласие или предпочитание не трябва да се презаписват, заобикалят или игнорират при промени в уебсайт, приложение, кампания или мениджър на маркери, а доказателства за валидиране трябва да бъдат записани преди издаване. Доказателствата за съгласие, предпочитание, оттегляне, изключване от комуникации и версия трябва да бъдат записани в REG05 в рамките на един работен ден след улавяне, промяна или оттегляне. Прозрачността и управлението на трети страни също са основни теми. Ръководителят по поверителност / Мениджърът на СУНЛИ трябва да създаде или актуализира записа за уведомление за поверителност в маркетинга или уведомление за бисквитки в REG07 преди стартиране на нов маркетингов канал, технология за проследяване, конфигурация за анализи или съществена промяна в кампания. Съдържанието на уведомлението трябва да е съгласувано с маркетинговите цели, категориите лични данни, категориите получатели, категориите доставчици, категориите технологии за проследяване, изборите за предпочитания и индикаторите за предаване в REG02 преди публикуване. Маркетинговите доставчици, доставчиците на анализи, рекламните платформи, маркерите, пикселите, SDK и партньорите за споделяне на данни трябва да бъдат записани в REG08 преди използване в продукционна среда, като класификацията като обработващ лични данни, съвместен администратор или самостоятелен администратор трябва да бъде потвърдена преди въвеждане или подновяване. Международните доставчици, маркери, доставчици на анализи, рекламни платформи, предавания на аудитории или предавания при споделяне на данни трябва да бъдат маршрутизирани към REG09 преди въвеждане в експлоатация, когато е приложимо. Политиката установява и изисквания за преглед на кампании, изключване от комуникации, маршрутизиране на откази, прилагане и непрекъснат надзор. Източникът на аудиторията, критериите за сегментиране, категориите лични данни, изключенията чрез списъци за изключване от комуникации, ограниченията по предпочитания и връзката с уведомления трябва да бъдат проверени преди стартиране на кампания, а лицата със статус на оттегляне, възражение, „не се свързвайте“ или изключване от комуникации трябва да бъдат изключени преди активиране. Възраженията срещу маркетинг, отказите, исканията за оттегляне, неуспешните отписвания и жалбите относно директен маркетинг трябва да бъдат маршрутизирани към REG06 в рамките на два работни дни, а статусът на изключване от комуникации или предпочитание трябва да бъде актуализиран в рамките на един работен ден след валидиране. Контролите за управление включват тримесечен преглед на статуса на контролите за поверителност в маркетинга в REG12, годишен преглед на активните маркетингови доставчици в REG08, тримесечни показатели за липсващи връзки със съгласие или уведомление, изключения при тракери и състояние на съгласието, просрочени елементи за изпълнение и одитни констатации или коригиращи действия, записани в REG12.