Marketing-adatvédelmi és sütiszabályzat

A Marketing-adatvédelmi és sütiszabályzat meghatározza a marketingre, sütikre, nyomkövetési technológiákra, analitikára, hirdetési technológiára, közönségszegmentálásra, közvetlen üzletszerzésre, preferenciakezelésre, marketingtiltólista-kezelésre, harmadik féltől származó tagekre, kampányfelülvizsgálatra és kapcsolódó PII-kezelésre vonatkozó kötelező adatvédelmi követelményeket. Célja annak biztosítása, hogy ezek a tevékenységek egyértelmű célrögzítésen, átlátható tájékoztatáson, megfelelő hozzájárulási vagy preferenciakontrollokon, marketingtiltólista- és visszavonáskezelésen, harmadik felek felügyeletén és auditra alkalmas bizonyítékokon keresztül legyenek irányítva. A szabályzat adatkezelői, közös adatkezelői, adatfeldolgozói és al-adatfeldolgozói kontextusokra terjed ki; az adatkezelői kötelezettségek akkor alkalmazandók, amikor a szervezet határozza meg a marketingcélokat és -eszközöket, az adatfeldolgozói kötelezettségek pedig akkor, amikor marketinggel, analitikával, nyomkövetéssel vagy kampányokkal kapcsolatos PII kezelése dokumentált ügyfélutasítások vagy feljebb lévő adatfeldolgozói utasítások alapján történik. Központi követelmény, hogy a marketing- és nyomkövetési célokat az adatkezelés megkezdése előtt rögzíteni kell. Adatkezelői tevékenységek esetén a folyamatgazdának vagy az üzlettulajdonosnak minden marketingkampányt, csatornát, adatkezelési célt, PII-kategóriát, közönségforrást, jogalap-kapcsolódást, nyomkövetési technológiai kategóriát, beszállítói vagy tagfüggőséget, tájékoztató-kapcsolódást, hozzájárulási vagy preferenciafüggőséget, megőrzési kapcsolódást és adattovábbítási jelölést a REG02-ben kell rögzítenie a kampány vagy nyomkövetési tevékenység megkezdése előtt. Az adatvédelmi vezetőnek / PIMS-vezetőnek a kampány indulása előtt meg kell erősítenie az aktuális REG07-es tájékoztató-kapcsolódást és a REG05-ös hozzájárulási vagy preferenciakapcsolódást. Közös marketing, megosztott közönség, társmárkázott kampány vagy megosztott nyomkövetési tevékenység esetén a közös adatkezelői felelősségi megosztást az indulás előtt a REG08-ban kell rögzíteni. A szabályzat részletes működési követelményeket határoz meg a hozzájárulásra, preferenciákra, sütikre és nyomkövetési kontrollokra. Előírja, hogy a szervezet azonosítsa, hogy az egyes marketingcsatornákhoz hozzájárulás, preferencia, tiltakozás, szerződéses utasítás vagy más jóváhagyott alap szükséges-e, és a döntést a gyűjtés vagy kampánycélú felhasználás előtt a REG02-ben és a REG05-ben rögzítse. A nem alapvető sütiknek, tageknek, pixeleknek, SDK-knak és hasonló nyomkövetési technológiáknak inaktívnak kell maradniuk mindaddig, amíg a szükséges hozzájárulási vagy preferenciaállapot a REG05-ben rendelkezésre nem áll. A hozzájárulási vagy preferenciajelzéseket weboldal-, alkalmazás-, kampány- vagy tagkezelő-változtatások során nem szabad felülírni, megkerülni vagy figyelmen kívül hagyni, és a kiadás előtt ellenőrzési bizonyítékot kell rögzíteni. A hozzájárulási, preferencia-, visszavonási, marketingtiltólista- és verzióbizonyítékokat a rögzítést, változást vagy visszavonást követő egy munkanapon belül a REG05-ben kell rögzíteni. Az átláthatóság és a harmadik felek irányítása szintén központi témák. Az adatvédelmi vezetőnek / PIMS-vezetőnek új marketingcsatorna, nyomkövetési technológia, analitikai konfiguráció vagy lényeges kampányváltozás indítása előtt létre kell hoznia vagy frissítenie kell a marketing-adatvédelmi tájékoztató vagy sütitájékoztató rekordját a REG07-ben. A tájékoztató tartalmának a közzététel előtt összhangban kell állnia a REG02-ben szereplő marketingcélokkal, PII-kategóriákkal, címzetti kategóriákkal, beszállítói kategóriákkal, nyomkövetési technológiai kategóriákkal, preferenciaválasztásokkal és adattovábbítási jelölésekkel. A marketingbeszállítókat, analitikai szolgáltatókat, hirdetési platformokat, tageket, pixeleket, SDK-kat és adatmegosztási partnereket az éles használat előtt a REG08-ban kell rögzíteni, az adatfeldolgozói, közös adatkezelői vagy önálló adatkezelői besorolást pedig a beléptetés vagy megújítás előtt meg kell erősíteni. A nemzetközi beszállítókat, tageket, analitikai szolgáltatókat, hirdetési platformokat, közönségtovábbításokat vagy adatmegosztási adattovábbításokat adott esetben az éles indulás előtt a REG09-be kell irányítani. A szabályzat követelményeket állapít meg a kampányfelülvizsgálatra, a marketingtiltólista-kezelésre, a leiratkozási útvonalakra, a végrehajtásra és a folyamatos felügyeletre is. A kampány indulása előtt ellenőrizni kell a közönségforrást, a szegmentálási kritériumokat, a PII-kategóriákat, a marketingtiltólista-kizárásokat, a preferenciakorlátokat és a tájékoztató-kapcsolódást, és az aktiválás előtt ki kell zárni azokat a személyeket, akiknek visszavonási, tiltakozási, kapcsolatfelvételt tiltó vagy marketingtiltólistás státuszuk van. A marketinggel kapcsolatos tiltakozásokat, leiratkozásokat, visszavonási kérelmeket, sikertelen leiratkozásokat és közvetlen üzletszerzéssel kapcsolatos panaszokat két munkanapon belül a REG06-ba kell irányítani, a marketingtiltólista- vagy preferenciastátuszt pedig az ellenőrzést követő egy munkanapon belül frissíteni kell. Az irányítási kontrollok közé tartozik a marketing-adatvédelmi kontrollállapot negyedéves felülvizsgálata a REG12-ben, az aktív marketingbeszállítók éves felülvizsgálata a REG08-ban, a hiányzó hozzájárulási vagy tájékoztató-kapcsolódásokra, nyomkövetési és hozzájárulási állapottal kapcsolatos kivételekre, lejárt teljesítési tételekre, valamint a REG12-ben rögzített auditmegállapításokra vagy helyesbítő intézkedésekre vonatkozó negyedéves mutatók.