访问权:用户可以请求获取您持有的个人数据副本(包括通过再营销像素收集的数据)。您必须制定相应的流程来响应此类请求。
删除权(“被遗忘权”):用户可以请求删除其个人数据。这意味着您必须拥有从系统中删除其数据的机制,并且更重要的是,指示您的数据处理者(广告平台)也删除这些数据。
反对权:用户可以反对将其数据用于直接营销,包括用于再营销的分析。您的选择退出机制可以解决此问题。
透明度:您的隐私政策必须解释用户如何行使这些权利。
数据最小化和安全:
仅收集必要信息:不要收集超出再营销目的严格要求的个人数据。
假名化/哈希处理:在可行的情况 列表到数据 下,在将标识符(例如,自定义受众的电子邮件地址)发送到广告平台之前,对其进行假名化或哈希处理。这可以降低风险。
安全措施:确保采取强有力的技术和组织安全措施来保护您为再营销而收集和传输的个人数据(例如加密、访问控制)。
服务器端跟踪(转化 API/服务器端 GTM):
这种方法可以让您更好地控制发送到广告平台的数据,从而有助于遵守 GDPR。您可以在数据离开服务器之前对其进行过滤、匿名化或哈希处理,并且可以严格遵守同意信号(例如,如果没有获得营销同意,则不要将数据发送到广告平台)。它还能让您的跟踪功能更有效地抵御浏览器隐私功能的攻击。
隐含同意:依赖“继续浏览,即表示您同意”是不符合要求的。
预先勾选的框:默认情况下,任何营销 cookie 的复选框都必须取消选中。
捆绑同意:将再营销同意与基本网站功能同意捆绑在一起(例如,“您必须接受营销 cookie 才能使用我们的服务”)。
缺乏透明度:隐私政策中没有明确指出第三方或目的。
没有选择退出机制:没有为用户提供撤回同意的简便方法。
未能尊重权利:没有及时处理数据访问或删除请求的流程。
无 DPA:在没有 DPA 的情况下与第三方数据处理器合作。
通过采用隐私设计方法,并注重透明度、用户同意和用户控制,您的 SaaS 再营销和访客找回活动既有效,又完全符合 GDPR 规定。建议您咨询专门从事数据隐私的法律专业人士,以获得针对您的 SaaS 业务模式的具体指导。