在日常的商業活動裏,經常會接觸及收集到不少客戶的個人資料。隨著大眾對個人私隱保障議題越發關注,企業懂得如何處理客戶資料不單只是滿足相關法律要求,對建立良好商譽亦起關鍵作用。
在英國,有關資料保護的法例主要為《2018年資料保護法》及《通用數據保障條例》。以下為大家介紹收集及處理客戶資料時,需要注意的一些重要原則及事項。
個人數據 (personal data) 的定義
任何能夠直接或間接識別個人身份的資料都屬於個人數據的範圍之內。具體例子如:姓名、身份證明文件號碼、住所/辦公地址或IP地址等。
收集客戶個人數據時的幾點關注事項
1. 所收集資料的必須性
在收集及處理客戶個人數據的過程中,最關鍵是先了解自己的核心業務和當中會收集到的個人資料,企業需審視過程中收集到的個人資料是否必須。舉例說明:若你經營的是一間網店,你需要客人提供姓名及送貨地址,方能提供送貨服務及核實收貨人資料,那麼這些資料則被視作必須收集的個人數據。換句話說,若你收集客戶的性別或國籍資料,而這些個人數據對一間網店的營運並不必要,這就有機會被視作不必採集的個人數據了。
2. 如何取得客戶的同意
大家亦需留意在收集及處理客戶的個人數據前,必先以文字形式清晰直接地取得客戶同意,而企業必須記錄客戶接受同意的方式。此外,企業亦必須給予客人「選擇退出」(Opt-out)的選項。
3. 個人數據的保存期
現行的《通用數據保障條例》(General Data Protection Regulation,簡稱GDPR) 並沒有規定保存數據的時間限制。原則是數據的保存時間不應超過因業務需要而保存的時間。舉例說明,若你經營一間網店,而退貨條款為30日,在沒有其他特別原因的情況下,客人的送貨地址於退貨期後不應保存。
4. 私隱聲明
企業在獲得客戶同意收集其個人數據時,均需向客戶展示一份私隱聲明(privacy notice)。私隱聲明應包括企業的身份和聯繫方式、收集數據的目的及法律依據、數據的保留期限,以及客人作為數據提供者的權利等。網上雖有不少私隱聲明的範本可供下載,但涵蓋內容未必完全符合不同企業的需要及情況,企業可考慮尋找律師提供法律意見及撰寫。
5. ICO登記及相關費用
在英國,除了獲豁免的機構外,任何有機會處理個人資料的機構均需向 Infomation Commissioner's Office (ICO) 登記,並按公司的規模向ICO交取年費。ICO的網站提供了不少客戶資料保障相關的指引及支援,供各企業參考。詳情可瀏覽:https://ico.org.uk/
6. 電郵推廣 (Electronic mail marketing)
不少企業會考慮透過電郵發放推廣訊息至目標客戶,企業需注意於傳送推廣電郵或訊息前,必須事先獲得客戶同意,並必須給予客人「退出」(Opt-out)的選項,讓他們有權利於日後不再接受任何推廣訊息。
以上的注意事項主要針對以個人為單位的客戶,而企業客戶則不在此限。惟需留意,當未得企業客戶同意而透過電郵發放推廣訊息予他們時,只能傳送至企業客戶的一般電郵地址(general email address),而不能發送至企業客戶內某特定工作人員的電郵。
為避免傳送推廣電郵或訊息給不願接受任何推廣訊息的客戶,我們建議企業保留一個「不願接收推廣訊息」的客戶清單,並定期進行更新。
若你希望了解更多客戶私穩保障的相關資訊,可重溫我們早前舉辦的【英國社交媒體營銷及客戶私穩保障】網上講座: