本指南适用于在欧盟公司工作并处理有关欧盟公民信息的营销人员。许多位于欧盟以外的公司也可能无意中处理与欧盟公民有关的数据——因此，电话号码清单 这些公司的第一步是审核他们的数据，并发现其中是否有任何与欧盟公民有关。一旦完成并且您发现您确实在处理欧盟公民的数据，那么您还应该遵循本指南的其余部分。 熟悉您的 IT 团队 随着数字营销和营销技术解决方案（如 CRM 和入站营销软件）的兴起，营销团队和 IT 团队从未如此紧密。大多数 GDPR 合规性都由营销和 IT 部门负责。在本指南中，我们将讨论属于营销的项目，但您需要与您的 IT 部门或供应商密切合作，以确保完整。 IT 部门将需要您的帮助来涵盖 GDPR 合规性的非常重要的元素，例如数据的存储位置（在哪个国家/地区，例如是在本地服务器上还是在云中）。如果您最近迁移到云，是否有旧的服务器备份在某个地方？如果旧版本的数据存储在旧机器上，您可能不会使用它，但黑客仍有可能访问该数据。 IT 部门还必须为安全漏洞做好准备，并确保在使用和共享数据的过程的每个步骤中都有安全措施，因此您应该能够为他们提供一个分步流程，通过这些流程来处理客户数据被访问和使用，包括使用的任何第三方软件。 第 1 步：更新您的隐私政策页面 GDPR 包含有关您的隐私政策的严格规定——必须如何编写、必须包含什么以及必须如何访问。 虽然您应该与您的法律团队或法律顾问一起制定您的隐私政策的措辞，但 GDPR 规定必须以“简洁、透明、易懂且易于访问，使用清晰明了的语言”的语言编写， 您必须给出“对预期处理的有意义的概述”——您将如何准确地使用您收集的数据 提供您组织中数据控制者和数据保护官的身份和联系方式 如果您打算与第三方共享数据，您必须确定这些组织以及为保护传输的数据而采取的保护措施 预期的保留期限或用于确定该期限的标准 有关访问和更正或删除个人数据的权利的详细信息（最好在此处链接到本清单第​​ 7 步中涉及的信息请求页面） 有关为任何和所有数据处理目的撤回同意的权利的详细信息 向监管机构投诉的权利 任何自动决策的详细信息，包括所用逻辑的详细信息和对个人的潜在后果。这是与本清单第 6 步中概述的第三方软件提供商相关的部分。 步骤 2. 审核您当前的数据库以获得选择同意 首先确定您是否明确同意使用您当前数据库的个人详细信息，以及他们同意使用其数据的确切目的。确保记录他们对每个目的的同意，然后根据记录的目的同意将您的数据库划分为单独的列表，并为每个列表创建“下一步”计划——就您希望的不同目的再次确认同意或请求同意（或曾经）使用他们的数据，但您没有明确同意。在以下情况下，您可能需要重新确认选择加入： 联系方式来自第三方 未记录选择加入 不特定的选择加入（未明确同意每次使用数据） 对于您一直使用或希望将数据用于的某些方式，不得选择加入 如果记录了选择加入但您长时间未参与，最好再次请求选择加入 步骤 3. 重新选择当前数据库的活动 根据您在第 1 步中确定的列表，您现在必须创建引人入胜的营销活动，以请求联系人选择加入或重新选择加入，以实现您希望使用其数据的某些目的。 这绝非易事——尤其是最近对剑桥分析公司和 Facebook 的争议，消费者对其个人数据隐私的情绪从未如此紧张。因此，您必须清楚地向消费者传达他们为什么应该同意您使用他们的数据的好处，以及表示将尽最大努力确保他们的数据安全。