Polityka prywatności w marketingu i dotycząca plików cookie

Polityka prywatności w marketingu i dotycząca plików cookie określa obowiązkowe wymagania dotyczące prywatności dla marketingu, plików cookie, technologii śledzących, analityki, technologii reklamowych, segmentacji odbiorców, marketingu bezpośredniego, zarządzania preferencjami, wykluczeń, tagów stron trzecich, przeglądu kampanii i powiązanego przetwarzania PII. Jej celem jest zapewnienie, aby te działania były zarządzane przez jasne zapisy celów, przejrzyste klauzule informacyjne, odpowiednie środki kontrolne dotyczące zgody lub preferencji, obsługę wykluczeń i wycofania zgody, nadzór nad stronami trzecimi oraz dowody gotowe do audytu. Polityka ma zastosowanie w kontekstach administratora, współadministratora, podmiotu przetwarzającego i podwykonawcy przetwarzania, przy czym obowiązki administratora mają zastosowanie, gdy organizacja określa cele i sposoby marketingu, a obowiązki podmiotu przetwarzającego mają zastosowanie, gdy PII związane z marketingiem, analityką, śledzeniem lub kampaniami jest obsługiwane na podstawie udokumentowanych poleceń klienta lub nadrzędnego podmiotu przetwarzającego. Centralnym wymaganiem jest to, aby cele marketingowe i śledzenia były rejestrowane przed rozpoczęciem przetwarzania. W przypadku działań administratora właściciel procesu lub właściciel biznesowy musi zarejestrować każdą kampanię marketingową, kanał, cel przetwarzania, kategorię PII, źródło odbiorców, powiązanie z podstawą prawną, kategorię technologii śledzącej, zależność od dostawcy lub tagu, powiązanie z klauzulą informacyjną, zależność od zgody lub preferencji, powiązanie z retencją oraz flagę transferu w REG02 przed rozpoczęciem kampanii lub działania śledzącego. Osoba odpowiedzialna za prywatność / menedżer PIMS musi potwierdzić aktualne powiązanie z klauzulą informacyjną w REG07 oraz powiązanie ze zgodą lub preferencją w REG05 przed uruchomieniem kampanii. W przypadku wspólnego marketingu, współdzielonych odbiorców, kampanii co-branded lub wspólnego śledzenia podział odpowiedzialności współadministratorów musi zostać zarejestrowany w REG08 przed uruchomieniem. Polityka określa szczegółowe wymagania operacyjne dotyczące zgody, preferencji, plików cookie i środków kontrolnych śledzenia. Wymaga, aby organizacja ustaliła, czy dla każdego kanału marketingowego wymagana jest zgoda, preferencja, sprzeciw, polecenie umowne lub inna zatwierdzona podstawa, oraz zarejestrowała decyzję w REG02 i REG05 przed gromadzeniem danych lub użyciem w kampanii. Pliki cookie, tagi, piksele, SDK i podobne technologie śledzące, które nie są niezbędne, muszą pozostawać nieaktywne do czasu dostępności wymaganego stanu zgody lub preferencji w REG05. Sygnały zgody lub preferencji nie mogą być nadpisywane, obchodzone ani ignorowane podczas zmian strony internetowej, aplikacji, kampanii lub menedżera tagów, a dowody walidacji muszą zostać zarejestrowane przed wydaniem. Dowody zgody, preferencji, wycofania zgody, wykluczenia i wersji muszą zostać zarejestrowane w REG05 w ciągu jednego dnia roboczego po ich pozyskaniu, zmianie lub wycofaniu. Przejrzystość i zarządzanie stronami trzecimi również stanowią kluczowe obszary. Osoba odpowiedzialna za prywatność / menedżer PIMS musi utworzyć lub zaktualizować zapis klauzuli informacyjnej dotyczącej prywatności w marketingu albo informacji o plikach cookie w REG07 przed uruchomieniem nowego kanału marketingowego, technologii śledzącej, konfiguracji analityki lub istotnej zmiany kampanii. Treść klauzuli informacyjnej musi być przed publikacją zgodna z celami marketingowymi w REG02, kategoriami PII, kategoriami odbiorców, kategoriami dostawców, kategoriami technologii śledzących, wyborami preferencji i flagami transferu. Dostawcy marketingowi, dostawcy analityki, platformy reklamowe, tagi, piksele, SDK i partnerzy udostępniania danych muszą zostać zarejestrowani w REG08 przed użyciem produkcyjnym, z potwierdzoną klasyfikacją jako podmiot przetwarzający, współadministrator albo niezależny administrator przed onboardingiem lub odnowieniem. Międzynarodowi dostawcy, tagi, dostawcy analityki, platformy reklamowe, transfery odbiorców lub transfery w ramach udostępniania danych muszą zostać skierowane do REG09 przed uruchomieniem produkcyjnym, jeżeli ma to zastosowanie. Polityka ustanawia również wymagania dotyczące przeglądu kampanii, wykluczeń, trasowania rezygnacji, egzekwowania postanowień i ciągłego nadzoru. Źródło odbiorców, kryteria segmentacji, kategorie PII, wyłączenia wynikające z wykluczeń, ograniczenia preferencji i powiązanie z klauzulą informacyjną muszą zostać zweryfikowane przed uruchomieniem kampanii, a osoby ze statusem wycofania zgody, sprzeciwu, zakazu kontaktu lub wykluczenia muszą zostać wyłączone przed aktywacją. Sprzeciwy marketingowe, rezygnacje, wnioski o wycofanie zgody, niepowodzenia wypisania się z subskrypcji oraz skargi dotyczące marketingu bezpośredniego muszą zostać skierowane do REG06 w ciągu dwóch dni roboczych, a status wykluczenia lub preferencji musi zostać zaktualizowany w ciągu jednego dnia roboczego po walidacji. Środki nadzoru obejmują kwartalny przegląd statusu środków kontrolnych prywatności w marketingu w REG12, coroczny przegląd aktywnych dostawców marketingowych w REG08, kwartalne metryki brakujących powiązań zgody lub klauzul informacyjnych, odstępstwa dotyczące trackerów i stanu zgody, zaległe pozycje realizacji oraz ustalenia z audytu lub działania korygujące zarejestrowane w REG12.