GDPR: Ý nghĩa của nó đối với Google Analytics và tiếp thị trực tuyến

Với việc Quy định chung về bảo vệ dữ liệu (GDPR) dự kiến ​​có hiệu lực vào ngày 25 tháng 5 năm 2018, nhiều dịch vụ Internet đã gấp rút điều chỉnh để tuân thủ các tiêu chuẩn mới — và Google cũng không ngoại lệ. Do bản chất của các dịch vụ mà Google cung cấp cho các nhà tiếp thị, GDPR chắc chắn đã tạo ra một số thay đổi đáng kể trong cách họ kinh doanh. Và, do đó, một số nhà tiếp thị có thể phải thực hiện các bước để đảm bảo việc sử dụng Google Analytics của họ được cho phép theo các quy định mới. Nhưng nhiều nhà tiếp thị không hoàn toàn chắc chắn GDPR là gì, nó có ý nghĩa gì đối với công việc của họ và họ cần làm gì để tuân thủ các quy định.

GDPR là gì?

GDPR là một cuộc cải cách rất rộng lớn, trao cho công dân sống tại Khu vực Kinh tế Châu Âu (EEA) và Thụy Sĩ quyền kiểm soát nhiều hơn đối với cách thức dữ liệu cá nhân của họ được thu thập và sử dụng trực tuyến. GDPR đưa ra rất nhiều quy định mới và nếu bạn muốn tìm hiểu thêm, bạn có thể xem toàn văn quy định này trực tuyến. Nhưng dưới đây là một vài thay đổi quan trọng nhất:

• Các công ty và tổ chức khác cần minh bạch hơn và nêu rõ thông tin họ đang thu thập là gì, thông tin đó sẽ được sử dụng cho mục đích gì, cách thức thu thập như thế nào và liệu thông tin đó có được chia sẻ với bất kỳ ai khác hay không. Họ cũng chỉ được phép thu thập thông tin có liên quan trực tiếp đến mục đích sử dụng đã định. Nếu tổ chức thu thập thông tin đó sau này quyết định sử dụng nó cho mục đích khác, họ phải xin phép lại từ từng cá nhân.
• GDPR cũng quy định rõ cách thức cung cấp thông tin đó cho người tiêu dùng. Thông tin đó không thể bị che giấu trong các chính sách bảo mật dài dòng, đầy thuật ngữ pháp lý. Thông tin trong các tuyên bố cần được viết bằng ngôn ngữ đơn giản và “được cung cấp tự nguyện, cụ thể, có hiểu biết và rõ ràng”. Cá nhân cũng phải thực hiện một hành động thể hiện rõ sự đồng ý của họ cho việc thu thập thông tin cá nhân. Các ô được đánh dấu sẵn và các thông báo dựa vào sự không hành động như một cách để thể hiện sự đồng ý sẽ không còn được cho phép. Nếu người dùng không đồng ý cho phép thu thập thông tin của họ, bạn không thể chặn họ truy cập nội dung dựa trên lý do đó.
• Người tiêu dùng cũng có quyền xem thông tin mà công ty đang lưu giữ về họ, yêu cầu sửa chữa thông tin không chính xác, thu hồi quyền lưu trữ dữ liệu của họ và xuất dữ liệu để chuyển sang dịch vụ khác. Nếu ai đó quyết định thu hồi quyền lưu trữ, tổ chức không chỉ cần xóa thông tin đó khỏi hệ thống của họ một cách kịp thời mà còn cần phải xóa thông tin đó khỏi bất kỳ nơi nào khác mà họ đã chia sẻ thông tin đó.
• Các tổ chức cũng phải có khả năng cung cấp bằng chứng về các bước họ đang thực hiện để tuân thủ quy định. Điều này có thể bao gồm việc lưu giữ hồ sơ về cách mọi người đồng ý tham gia vào danh sách tiếp thị và tài liệu liên quan đến cách thông tin khách hàng được bảo vệ.
• Sau khi thông tin cá nhân của một người được thu thập, GDPR quy định các yêu cầu về cách thức lưu trữ và bảo vệ thông tin đó. Nếu xảy ra vi phạm dữ liệu, người tiêu dùng phải được thông báo trong vòng 72 giờ. Việc không tuân thủ GDPR có thể dẫn đến những hậu quả rất nghiêm trọng. Nếu xảy ra vi phạm dữ liệu do không tuân thủ, một công ty có thể bị phạt tới 20 triệu euro hoặc 4% doanh thu toàn cầu hàng năm của công ty, tùy thuộc vào số tiền nào lớn hơn.

Các doanh nghiệp có trụ sở tại Mỹ có cần lo lắng về GDPR không?

Việc một doanh nghiệp không đặt trụ sở tại châu Âu không nhất thiết có nghĩa là họ được miễn trừ khỏi các quy định của GDPR. Nếu một công ty có trụ sở tại Hoa Kỳ (hoặc bất kỳ nơi nào khác ngoài Khu vực Kinh tế Châu Âu - EEA), nhưng tiến hành kinh doanh tại châu Âu, thu thập dữ liệu về người dùng từ châu Âu, tiếp thị sản phẩm/dịch vụ của mình tại châu Âu, hoặc có nhân viên làm việc tại châu Âu, thì GDPR vẫn áp dụng cho họ.

Ngay cả khi bạn đang làm việc với một công ty chỉ kinh doanh trong một khu vực địa lý rất cụ thể, thỉnh thoảng bạn vẫn có thể nhận được một số lượt truy cập vào trang web của mình từ những người bên ngoài khu vực đó. Ví dụ, giả sử một nhà hàng pizza ở Detroit đăng một bài viết về lịch sử của pizza trên trang web của họ. Đó là một bài viết khá bổ ích và kết quả là, nó thu hút một số lượt truy cập từ những người đam mê pizza bên ngoài khu vực Detroit, bao gồm cả một vài khách truy cập từ Tây Ban Nha. Liệu GDPR vẫn áp dụng trong trường hợp đó?

Miễn là rõ ràng rằng hàng hóa hoặc dịch vụ của một công ty chỉ dành cho người tiêu dùng tại Hoa Kỳ (hoặc một quốc gia khác ngoài Khu vực Kinh tế Châu Âu - EEA), thì GDPR không áp dụng. Quay lại ví dụ về nhà hàng pizza, nội dung khác trên trang web của họ được viết bằng tiếng Anh, nhấn mạnh vị trí tại Detroit và chắc chắn không đề cập đến việc giao hàng đến Tây Ban Nha, vì vậy một vài lượt xem trang từ Tây Ban Nha sẽ không có gì đáng lo ngại.

Tuy nhiên, giả sử một công ty khác có trụ sở tại Mỹ có một trang web cho phép xem các phiên bản tiếng Đức và tiếng Pháp, cho phép khách hàng thanh toán bằng Euro và sử dụng ngôn ngữ tiếp thị hướng đến khách hàng châu Âu. Trong trường hợp đó, GDPR sẽ được áp dụng vì họ đang nhắm mục tiêu kinh doanh rõ ràng hơn từ người dân ở châu Âu.

Google Analytics và GDPR

Nếu bạn sử dụng Google Analytics, Google là bên xử lý dữ liệu của bạn và vì họ xử lý dữ liệu từ người dùng trên toàn thế giới, họ đã phải thực hiện các bước để tuân thủ tiêu chuẩn GDPR. Tuy nhiên, bạn/công ty của bạn được coi là bên kiểm soát dữ liệu trong mối quan hệ này và bạn cũng cần thực hiện các bước để đảm bảo tài khoản Google Analytics của mình được thiết lập đáp ứng các yêu cầu mới.

Google đã và đang triển khai một số tính năng mới để giúp hiện thực hóa điều này. Trong Google Analytics, giờ đây bạn sẽ có khả năng xóa thông tin của từng người dùng nếu họ yêu cầu. Họ cũng đã giới thiệu các cài đặt lưu giữ dữ liệu cho phép bạn kiểm soát thời gian dữ liệu của từng người dùng được lưu trữ trước khi tự động bị xóa. Google đã đặt mặc định là 26 tháng, nhưng nếu bạn đang làm việc với một công ty có trụ sở tại Hoa Kỳ và chỉ kinh doanh tại Hoa Kỳ, bạn có thể đặt thời gian lưu giữ là không bao giờ hết hạn nếu muốn — ít nhất là cho đến khi luật bảo vệ dữ liệu ở đây cũng thay đổi. Điều quan trọng cần lưu ý là điều này chỉ áp dụng cho dữ liệu về từng người dùng và sự kiện riêng lẻ, vì vậy dữ liệu tổng hợp về thông tin cấp cao như lượt xem trang sẽ không bị ảnh hưởng.

Để đảm bảo bạn đang sử dụng Google Analytics tuân thủ GDPR, một bước đầu tiên là kiểm tra lại tất cả dữ liệu bạn thu thập để chắc chắn rằng tất cả đều phù hợp với mục đích sử dụng và bạn không vô tình gửi bất kỳ thông tin nhận dạng cá nhân (PII) nào đến Google Analytics. Việc gửi PII đến Google Analytics đã vi phạm Điều khoản dịch vụ của họ, nhưng rất thường xuyên, điều này xảy ra do vô tình khi thông tin được truyền qua URL của trang. Nếu phát hiện bạn đang gửi PII đến Analytics, bạn cần trao đổi với nhóm phát triển web của mình về cách khắc phục vì việc sử dụng bộ lọc trong Analytics để chặn là chưa đủ — bạn cần đảm bảo rằng thông tin đó không bao giờ được gửi đến Google Analytics ngay từ đầu.

Thông tin nhận dạng cá nhân (PII) bao gồm bất kỳ thông tin nào có khả năng được sử dụng để xác định một người cụ thể, dù là riêng lẻ hay khi kết hợp với một thông tin khác, chẳng hạn như địa chỉ email, địa chỉ nhà, ngày sinh, mã bưu chính hoặc địa chỉ IP. Địa chỉ IP không phải lúc nào cũng được coi là PII, nhưng GDPR phân loại chúng là một định danh trực tuyến. Tuy nhiên, đừng lo lắng — bạn vẫn có thể thu thập thông tin về vị trí địa lý của khách truy cập vào trang web của mình. Tất cả những gì bạn cần làm là bật tính năng ẩn danh IP và phần cuối của địa chỉ IP sẽ được thay thế bằng số 0, vì vậy bạn vẫn có thể biết được nguồn gốc lưu lượng truy cập của mình, mặc dù độ chính xác sẽ giảm đi một chút.

Nếu bạn sử dụng Google Tag Manager, việc ẩn danh địa chỉ IP khá dễ dàng. Chỉ cần mở thẻ Google Analytics hoặc biến cài đặt của nó, chọn “Cài đặt nâng cao”, rồi chọn “Các trường cần thiết lập”. Sau đó, chọn “anonymizeip” trong ô “Tên trường”, nhập “true” vào ô “Giá trị” và lưu các thay đổi.

Nếu bạn không sử dụng GTM, hãy trao đổi với nhóm phát triển web của bạn về việc chỉnh sửa mã Google Analytics để ẩn danh địa chỉ IP.

Thông tin ẩn danh như ID người dùng và ID giao dịch vẫn được chấp nhận theo GDPR, nhưng cần phải được bảo vệ. ID người dùng và ID giao dịch cần phải là mã định danh trong cơ sở dữ liệu bao gồm cả chữ và số, chứ không được viết ra dưới dạng văn bản thuần.

Ngoài ra, nếu bạn chưa làm, đừng quên thực hiện các bước mà Google đã đề cập trong một số email họ đã gửi. Nếu bạn ở ngoài Khu vực Kinh tế Châu Âu (EEA) và GDPR áp dụng cho bạn, hãy vào cài đặt tài khoản Google Analytics của bạn và chấp nhận các điều khoản xử lý được cập nhật. Nếu bạn ở trong EEA, các điều khoản được cập nhật đã được bao gồm trong các điều khoản xử lý dữ liệu của bạn. Nếu GDPR áp dụng cho bạn, bạn cũng cần vào cài đặt tổ chức của mình và cung cấp thông tin liên hệ cho tổ chức của bạn.

Chính sách bảo mật, biểu mẫu và thông báo về cookie

Sau khi đã xem xét dữ liệu và kiểm tra cài đặt trong Google Analytics, bạn cần cập nhật chính sách bảo mật, biểu mẫu và thông báo về cookie của trang web. Nếu công ty bạn có bộ phận pháp lý, tốt nhất nên tham khảo ý kiến ​​của họ để đảm bảo bạn tuân thủ đầy đủ các quy định.

Theo GDPR, chính sách bảo mật của một trang web cần được viết rõ ràng bằng ngôn ngữ dễ hiểu và trả lời các câu hỏi cơ bản như thông tin nào đang được thu thập, tại sao lại thu thập, cách thức thu thập, ai thu thập, thông tin sẽ được sử dụng như thế nào và liệu có được chia sẻ với người khác hay không. Nếu trang web của bạn có khả năng được trẻ em truy cập, thông tin này cần được viết đủ đơn giản để trẻ em có thể hiểu được.

Các biểu mẫu và thông báo về cookie cũng cần cung cấp loại thông tin đó. Các biểu mẫu chấp thuận cookie với những thông điệp chung chung, mơ hồ như, “Chúng tôi sử dụng cookie để mang đến cho bạn trải nghiệm tốt hơn và bằng cách sử dụng trang web này, bạn đồng ý với chính sách của chúng tôi,” là không tuân thủ GDPR.

GDPR và các loại hình tiếp thị khác

Tác động của GDPR đối với các nhà tiếp thị không chỉ giới hạn ở cách bạn sử dụng Google Analytics. Nếu bạn sử dụng một số loại hình tiếp thị đặc thù trong công việc của mình, bạn cũng có thể phải thực hiện một vài thay đổi khác.

Ưu đãi giới thiệu

Nếu bạn làm việc với một công ty có các chương trình khuyến mãi kiểu “giới thiệu bạn bè”, trong đó khách hàng phải nhập thông tin của bạn bè để nhận được giảm giá, thì GDPR sẽ tạo ra sự khác biệt đối với bạn. Việc đồng ý thu thập dữ liệu là một phần quan trọng của GDPR và trong các loại chương trình khuyến mãi này, người được giới thiệu không thể đồng ý rõ ràng cho việc thu thập thông tin của họ. Theo GDPR, việc này vẫn có thể tiếp tục, nhưng tất cả phụ thuộc vào cách thông tin đó được sử dụng. Nếu bạn lưu trữ thông tin của người được giới thiệu và sử dụng nó cho mục đích tiếp thị, đó sẽ là vi phạm tiêu chuẩn GDPR. Tuy nhiên, nếu bạn không lưu trữ hoặc xử lý thông tin đó, thì bạn vẫn ổn.

Tiếp thị qua email

Nếu bạn là người làm tiếp thị email và đã tuân thủ các tiêu chuẩn tốt nhất trong ngành bằng cách chỉ gửi tin nhắn cho những người đã đồng ý nhận email từ bạn và tạo điều kiện dễ dàng cho người dùng hủy đăng ký, thì tin tốt là bạn có lẽ đang ở trong tình trạng khá tốt. Đối với tiếp thị email, GDPR sẽ có tác động lớn nhất đến những người làm những việc đã bị coi là mờ ám, chẳng hạn như mua danh sách liên hệ hoặc không làm rõ khi ai đó đăng ký nhận email từ bạn.

Ngay cả khi bạn nghĩ mọi thứ đã ổn, đây vẫn là thời điểm tốt để xem lại danh bạ của mình và kiểm tra kỹ xem các liên hệ ở châu Âu của bạn đã thực sự đồng ý nhận tin nhắn từ bạn hay chưa và họ đã hiểu rõ những gì mình đang đăng ký. Nếu bất kỳ liên hệ nào của bạn không có quốc gia được liệt kê hoặc bạn không chắc chắn họ đã đồng ý như thế nào, bạn có thể muốn xóa họ khỏi danh sách hoặc chuyển họ sang một nhóm riêng biệt để họ không nhận được tin nhắn từ bạn cho đến khi bạn tìm ra cách giải quyết. Ngay cả khi bạn tự tin rằng các liên hệ ở châu Âu của bạn đã đồng ý, việc gửi email yêu cầu họ xác nhận lại xem họ có muốn tiếp tục nhận tin nhắn từ bạn hay không cũng không có hại gì.

Việc tạo quy trình xác nhận hai bước không bắt buộc, nhưng đó là một ý tưởng hay vì nó giúp loại bỏ mọi nghi ngờ về việc liệu một người có đồng ý được thêm vào danh sách của bạn hay không. Đồng thời, hãy xem xét các biểu mẫu mà mọi người sử dụng để đăng ký vào danh sách của bạn và đảm bảo chúng tuân thủ các tiêu chuẩn GDPR, không có ô được đánh dấu sẵn và việc họ đồng ý nhận email từ bạn được thể hiện rất rõ ràng.

Ví dụ, đây là một tùy chọn đăng ký nhận email không tuân thủ GDPR mà tôi gần đây thấy trên trang thanh toán. Họ cho bạn biết họ dự định gửi gì cho bạn, nhưng việc ô này được chọn sẵn và đặt ngay bên dưới nút "Đặt hàng" nổi bật hơn khiến người dùng rất dễ vô tình đăng ký nhận email mà họ thực sự không muốn.

Tự động hóa tiếp thị

Cũng giống như tiếp thị email truyền thống, các chuyên gia tự động hóa tiếp thị cần đảm bảo có sự đồng ý rõ ràng từ tất cả những người đã đồng ý tham gia vào danh sách của họ. Kiểm tra danh sách liên hệ ở châu Âu để chắc chắn bạn biết họ đã đăng ký như thế nào. Đồng thời, xem xét lại các cách thức mọi người có thể đăng ký vào danh sách của bạn để đảm bảo họ hiểu rõ mình đang đăng ký cái gì, sao cho các liên hệ hiện có của bạn vẫn được coi là hợp lệ.

Nếu bạn sử dụng tự động hóa tiếp thị để thu hút lại những khách hàng đã không hoạt động trong một thời gian, bạn có thể cần phải xin phép họ trước khi liên hệ lại, tùy thuộc vào khoảng thời gian kể từ lần cuối họ tương tác với bạn.

Một số nền tảng tự động hóa tiếp thị có chức năng sẽ bị ảnh hưởng bởi GDPR. Ví dụ, chấm điểm khách hàng tiềm năng hiện được coi là một hình thức lập hồ sơ và bạn sẽ cần phải xin phép từng cá nhân để sử dụng thông tin của họ theo cách đó. Theo dõi địa chỉ IP ngược cũng cần sự đồng ý.

Điều quan trọng nữa là phải đảm bảo nền tảng tự động hóa tiếp thị và hệ thống CRM của bạn được thiết lập để đồng bộ hóa tự động. Nếu một người trong danh sách của bạn hủy đăng ký nhưng vẫn tiếp tục nhận email do sự gián đoạn giữa hai hệ thống, bạn có thể gặp rắc rối vì không tuân thủ GDPR.

Nội dung có giới hạn truy cập

Nhiều công ty sử dụng nội dung có yêu cầu đăng ký, chẳng hạn như báo cáo, sách trắng hoặc hội thảo trực tuyến miễn phí, như một cách để tạo ra khách hàng tiềm năng. Theo cách họ nhìn nhận, thông tin của người dùng đóng vai trò như điều kiện để được truy cập. Nhưng vì GDPR cấm chặn quyền truy cập vào nội dung nếu người dùng không đồng ý cho phép thu thập thông tin của họ, liệu nội dung có yêu cầu đăng ký có thực sự vô dụng hay không?

GDPR không loại bỏ hoàn toàn khả năng nội dung có yêu cầu đăng ký, nhưng hiện nay đã có những tiêu chuẩn cao hơn đối với việc thu thập thông tin người dùng. Về cơ bản, nếu bạn muốn có nội dung có yêu cầu đăng ký, bạn cần chứng minh được rằng thông tin bạn thu thập là cần thiết để cung cấp sản phẩm/dịch vụ đó. Ví dụ, nếu bạn tổ chức một hội thảo trực tuyến, bạn có quyền thu thập địa chỉ email vì người tham dự cần được gửi liên kết để tham gia. Bạn sẽ khó hơn trong việc chứng minh địa chỉ email là cần thiết cho những thứ như báo cáo chuyên ngành vì báo cáo đó không nhất thiết phải được gửi qua email. Và tất nhiên, cũng như bất kỳ biểu mẫu nào khác trên trang web, các biểu mẫu dành cho nội dung có yêu cầu đăng ký cần nêu rõ tất cả thông tin cần thiết về cách thức sử dụng thông tin được thu thập.

Nếu bạn không nhận được nhiều khách hàng tiềm năng từ người dùng châu Âu, bạn có thể chặn tất cả nội dung có yêu cầu đăng ký đối với khách truy cập châu Âu. Một lựa chọn khác là cho phép khách truy cập từ châu Âu truy cập tự do vào thông tin đó.

Google AdWords

Nếu bạn sử dụng Google AdWords để quảng cáo cho cư dân châu Âu, Google trước đây đã yêu cầu các nhà xuất bản và nhà quảng cáo phải xin phép người dùng cuối bằng cách đặt các tuyên bố từ chối trách nhiệm trên trang đích, nhưng GDPR sẽ thay đổi một số yêu cầu này. Google giờ đây sẽ yêu cầu các nhà xuất bản phải có sự đồng ý rõ ràng từ cá nhân để thu thập thông tin của họ. Điều này không chỉ có nghĩa là bạn phải cung cấp thêm thông tin về cách thông tin của một người sẽ được sử dụng, mà bạn còn cần phải lưu giữ hồ sơ về sự đồng ý và cho người dùng biết cách họ có thể từ chối sau này nếu muốn. Nếu một người không đồng ý cho phép thu thập thông tin của họ, Google sẽ cho phép hiển thị cho họ các quảng cáo không được cá nhân hóa.

Cuối cùng

GDPR là một thay đổi quan trọng và việc nắm bắt toàn bộ phạm vi thay đổi của nó khá khó khăn. Đây không phải là một hướng dẫn toàn diện, vì vậy nếu bạn có bất kỳ câu hỏi nào về cách GDPR áp dụng cho khách hàng cụ thể mà bạn đang làm việc cùng, tốt nhất nên liên hệ với bộ phận pháp lý hoặc nhóm pháp lý của họ. GDPR sẽ tác động đến một số ngành nghề nhiều hơn những ngành khác, vì vậy tốt nhất là nên tham khảo ý kiến ​​từ người thực sự hiểu luật và cách áp dụng luật đó vào doanh nghiệp cụ thể của bạn.