Politika ochrany osobních údajů v marketingu a cookies

Politika ochrany osobních údajů v marketingu a cookies vymezuje povinné požadavky na ochranu osobních údajů pro marketing, cookies, sledovací technologie, analytiku, reklamní technologie, segmentaci cílových skupin, přímý marketing, správu preferencí, vyloučení z oslovování, značky třetích stran, přezkum kampaní a související zpracování PII. Jejím účelem je zajistit, aby tyto činnosti byly řízeny prostřednictvím jasných záznamů o účelu, transparentního oznámení, odpovídajících opatření pro souhlas nebo preference, řešení vyloučení z oslovování a odvolání souhlasu, dohledu nad třetími stranami a důkazů připravených pro audit. Politika se uplatňuje napříč kontexty správce, společného správce, zpracovatele a dílčího zpracovatele; povinnosti správce se uplatní tam, kde organizace určuje marketingové účely a prostředky, a povinnosti zpracovatele tam, kde jsou marketing, analytika, sledování nebo PII související s kampaněmi zpracovávány podle dokumentovaných pokynů zákazníka nebo nadřazeného zpracovatele. Ústředním požadavkem je, aby marketingové a sledovací účely byly zaznamenány před zahájením zpracování. U činností správce musí vlastník procesu nebo vlastník společnosti zaznamenat každou marketingovou kampaň, kanál, účel zpracování, kategorii PII, zdroj cílové skupiny, vazbu na právní základ, kategorii sledovací technologie, závislost na dodavateli nebo značce, vazbu na oznámení, závislost na souhlasu nebo preferenci, vazbu na uchovávání a příznak předávání v REG02 před zahájením kampaně nebo sledovací činnosti. Vedoucí ochrany osobních údajů / manažer PIMS musí před spuštěním kampaně potvrdit aktuální vazbu na oznámení v REG07 a vazbu na souhlas nebo preferenci v REG05. Pokud jde o společný marketing, sdílenou cílovou skupinu, co-brandovanou kampaň nebo sdílenou sledovací činnost, musí být v REG08 před spuštěním zaznamenáno rozdělení odpovědností společných správců. Politika stanoví podrobné provozní požadavky na souhlas, preference, cookies a sledovací opatření. Vyžaduje, aby organizace pro každý marketingový kanál určila, zda je vyžadován souhlas, preference, námitka, smluvní pokyn nebo jiný schválený základ, a aby toto rozhodnutí před shromažďováním nebo použitím v kampani zaznamenala v REG02 a REG05. Nezbytné cookies, značky, pixely, SDK a podobné sledovací technologie, které nejsou nezbytné, musí zůstat neaktivní, dokud není v REG05 dostupný požadovaný stav souhlasu nebo preference. Signály souhlasu nebo preferencí nesmí být při změnách webu, aplikace, kampaně nebo správce značek přepsány, obejity ani ignorovány a důkaz o validaci musí být zaznamenán před vydáním. Důkazy o souhlasu, preferenci, odvolání souhlasu, vyloučení z oslovování a verzi musí být zaznamenány v REG05 do jednoho pracovního dne po zachycení, změně nebo odvolání. Transparentnost a správa třetích stran jsou rovněž klíčovými oblastmi. Vedoucí ochrany osobních údajů / manažer PIMS musí vytvořit nebo aktualizovat záznam oznámení o ochraně osobních údajů v marketingu nebo oznámení o cookies v REG07 před spuštěním nového marketingového kanálu, sledovací technologie, analytické konfigurace nebo významné změny kampaně. Obsah oznámení musí být před zveřejněním sladěn s marketingovými účely v REG02, kategoriemi PII, kategoriemi příjemců, kategoriemi dodavatelů, kategoriemi sledovacích technologií, volbami preferencí a příznaky předávání. Marketingoví dodavatelé, poskytovatelé analytiky, reklamní platformy, značky, pixely, SDK a partneři pro sdílení údajů musí být před produkčním použitím zaznamenáni v REG08, přičemž klasifikace zpracovatele, společného správce nebo samostatného správce musí být potvrzena před onboardingem nebo obnovením. Mezinárodní dodavatelé, značky, poskytovatelé analytiky, reklamní platformy, předávání cílových skupin nebo předávání v rámci sdílení údajů musí být tam, kde je to relevantní, před spuštěním do produkčního prostředí směrováni do REG09. Politika dále stanoví požadavky na přezkum kampaní, vyloučení z oslovování, směrování odhlášení, uplatňování a průběžný dohled. Před spuštěním kampaně musí být ověřen zdroj cílové skupiny, kritéria segmentace, kategorie PII, vyloučení v rámci suppression, omezení preferencí a vazba na oznámení; osoby se stavem odvolání souhlasu, námitky, zákazu kontaktování nebo vyloučení z oslovování musí být před aktivací vyloučeny. Námitky proti marketingu, odhlášení, žádosti o odvolání souhlasu, selhání odhlášení z odběru a stížnosti na přímý marketing musí být směrovány do REG06 do dvou pracovních dnů a stav vyloučení z oslovování nebo preference musí být aktualizován do jednoho pracovního dne po validaci. Řídicí opatření zahrnují čtvrtletní přezkum stavu opatření ochrany osobních údajů v marketingu v REG12, každoroční přezkum aktivních marketingových dodavatelů v REG08, čtvrtletní metriky pro chybějící vazby na souhlas nebo oznámení, výjimky sledovacích prvků a stavu souhlasu, položky po lhůtě pro vyřízení a zjištění auditu nebo nápravná opatření zaznamenaná v REG12.