Prywatność: Przegląd roku 2015

Wybiegając w przyszłość do nowego roku, jedno jest jasne: w 2016 roku reklamodawcy i marketerzy będą musieli poprawić swoją grę, jeśli chodzi o łączenie się z użytkownikiem końcowym. Wyzwanie? Tworzenie doświadczeń, które szanują indywidualne prawa do prywatności i utrzymują zaangażowanie użytkownika końcowego.

Nadszedł więc dobry moment, aby zrobić krok wstecz i zastanowić się, czy dotychczasowe praktyki dotyczące danych pogłębiają, czy szkodzą zaufaniu użytkowników. I pamiętaj – będziesz musiał to wszystko rozgryźć w czasie, gdy ludzie rezygnują z reklam online w rekordowych ilościach, ponieważ zasady gry wciąż drastycznie się zmieniają.

Oto główne wnioski dotyczące prywatności z 2015 roku:

Konsumenci, postawy dotyczące prywatności i blokowanie reklam

W 2015 r. obawy dotyczące prywatności konsumentów ewoluowały — od uogólnionego strachu przed inwigilacją rządową i śledzeniem handlowym, po konkretne obawy dotyczące gromadzenia, wykorzystywania i przechowywania danych osobowych.

W ankiecie Pew Trust z marca 2015 r . uczestnicy ujawnili, że chociaż nadal byli zaniepokojeni inwigilacją rządową w erze po Snowden, byli równie zaniepokojeni zbieraniem i wykorzystywaniem danych przez prywatne podmioty komercyjne. Co więcej, uczestnicy Pew wykazali wyraźną nieufność do reklam internetowych — 76% ankietowanych dorosłych odpowiedziało, że nie są „całkowicie przekonani”, że „rejestry ich aktywności prowadzone przez reklamodawców internetowych, którzy umieszczają reklamy w odwiedzanych przez nich witrynach, pozostaną prywatne i bezpieczne ”.

Czy istnieje związek między postawami wyrażonymi w ankiecie Pew a największym zmartwieniem mediów cyfrowych w 2015 roku – mianowicie błyskawicznym wzrostem i przyjęciem technologii blokowania reklam?

fot. Agencja Spoon

Liczby wydają się sugerować, że tak właśnie jest. Stowarzyszenie branżowe wydawców internetowych, Digital Content Next (DCN), opublikowało wyniki ankiety, z której wynika , że ​​ponad jedna trzecia amerykańskich konsumentów wypróbuje blokowanie reklam w ciągu najbliższych trzech miesięcy, a około połowa z nich ostatecznie zrezygnuje reklamy opartej na zainteresowaniach.

Liczby te prawdopodobnie będą nadal rosły, dzięki wydaniu przez Apple funkcji w systemie iOS 9, która umożliwia użytkownikom włączanie blokowania reklam mobilnych – co jest trochę niezgrabne, ponieważ musisz pobrać aplikację do blokowania reklam, aby skorzystać z tego blokowania funkcja (i prawdopodobnie jeden z powodów rekordowej liczby pobrań aplikacji do blokowania reklam po wydaniu iOS 9).

Na wynos?

Przyjrzyj się uważnie swoim oświadczeniom i zawiadomieniom o ochronie prywatności. Czy uważasz, że zapewniają jasny obraz tego, dlaczego iw jaki sposób zbierasz i wykorzystujesz dane od użytkownika końcowego? Może nadszedł czas, aby wykazać się kreatywnością w swojej polityce prywatności i pomyśleć o takiej, która zawiera dźwięk, grafikę, a nawet animację w formacie. Posiadanie polityki prywatności, która w przystępnej formie wyjaśnia Twoją wartość dla użytkowników i zarządza oczekiwaniami dotyczącymi wykorzystania i udostępniania danych, powinno pomóc odeprzeć rekordowe liczby rezygnacji. Oczywiście chcesz stale aktualizować swoją politykę prywatności i informować użytkowników o ważnych zmianach.

Dyrektor generalny TUNE, Peter Hamilton, uważa, że ​​blokowanie reklam ma swoje zalety — ponieważ konsumenci zasadniczo mówią Ci, co im nie odpowiada, blokując Twoje reklamy. Zapoznaj się z jego wskazówkami dotyczącymi ponownego przemyślenia sposobu korzystania z reklam cyfrowych w tym grudniowym artykule Mediapost .

FTC nadal sygnalizuje silne egzekwowanie przepisów w 2015 r.

Rok 2015 był pracowity i znaczący dla FTC.

Agencja odniosła wielką wygraną, gdy jej organ ds. bezpieczeństwa danych został potwierdzony przez Trzeci Obwód — głośna sprawa dotycząca hoteli Wyndham ( więcej informacji na temat sprawy Wyndham i jej potencjalnego wpływu można znaleźć w moim wrześniowym wpisie na blogu tutaj ). Ale doznała również niepowodzenia, gdy sędzia prawa administracyjnego oddalił sprawę dotyczącą bezpieczeństwa danych przeciwko LabMD – argumentując, że agencja nie udowodniła ważnego elementu sprawy o nieuczciwość FTC – że brak praktyk w zakresie bezpieczeństwa spowodował lub może spowodować „znaczną szkodę konsumentom”.

FTC kontynuuje swoją historię bycia najbardziej aktywnym na świecie egzekwującym prawo do ochrony prywatności, podejmując działania oparte na ustawach, takich jak ustawa o ochronie prywatności dzieci w Internecie (COPPA) i ustawa o uczciwej sprawozdawczości kredytowej (FCRA), a także na podstawie „oszukańczych” i „ nieuczciwość” zgodnie z art. 5 ustawy o FKH. FTC podjęła również kilka inicjatyw politycznych, w tym warsztaty na temat śledzenia na różnych urządzeniach (patrz podsumowanie TUNE tutaj ) oraz wydanie wytycznych agencji dotyczących reklamy natywnej .

Jedną z bardziej znaczących spraw dotyczących ekosystemu aplikacji były działania FTC z grudnia 2015 r. przeciwko dwóm twórcom aplikacji mobilnych za naruszenie COPPA. To jedne z pierwszych działań egzekwujących, które opierają się na udostępnianiu technicznych lub „trwałych identyfikatorów” — takich jak IDFA lub adres IP — między programistą aplikacji a siecią reklamową. Dzięki tym działaniom FTC ustaliła, że ​​trwałe identyfikatory, takie jak identyfikator reklamowy lub adres IP, stanowią „dane osobowe”, których gromadzenie, wykorzystywanie lub udostępnianie powoduje odpowiedzialność COPPA.

Na wynos?

Te przypadki FTC przypominają nam, że niezależnie od tego, czy dane są uważane za osobiste, czy materialne, ważne jest, aby dokładnie odnotować gromadzenie danych, wykorzystywanie i kontrole konsumenckie (takie jak rezygnacja) w swojej polityce prywatności, w przeciwnym razie możesz stanąć w obliczu egzekucji FTC akcja. Ponadto musisz wyjść poza najlepsze praktyki dotyczące prywatności i upewnić się, że przestrzegasz wszystkich zasad, zwłaszcza jeśli zbierasz dane do celów objętych obowiązującym prawem amerykańskim, np. dane wykorzystywane do celów kredytowych, ubezpieczeniowych i związanych z zatrudnieniem zgodnie z FCRA, oraz dane zbierane od dzieci poniżej 13 roku życia w celach marketingowych w ramach COPPA.

Zmiany w unijnych przepisach o ochronie danych

W 2015 r. dokonano kilku poważnych zmian w ważnych wymaganiach dotyczących prywatności w Europie.

W październiku Europejski Trybunał Sprawiedliwości unieważnił amerykańsko-unijne porozumienie Safe Harbor, podstawowy środek, za pomocą którego firmy przekazują dane osobowe w celach komercyjnych z UE do USA (więcej informacji w tej aktualizacji od zespołu ds. prywatności Hogan Lovells). Organy regulacyjne USA i UE mają czas do końca stycznia na podjęcie decyzji w sprawie nowych ram Safe Harbor USA-UE, które będą zgodne z wymogami określonymi w opinii Trybunału Sprawiedliwości.

W grudniu, po prawie czterech latach negocjacji, Komisja Europejska, Rada i Parlament uzgodniły znowelizowaną unijną ustawę o ochronie danych lub „GDP R ” , która nałożyłaby znaczne obowiązki na firmy zbierające dane od użytkowników końcowych w UE . W przeciwieństwie do obecnego prawa UE na mocy dyrektyw z 1995 r. i ePrivacy, RODO to rozporządzenie, które wejdzie w życie bez konieczności wprowadzania dodatkowych aktów wykonawczych przez państwa członkowskie UE. Wejdzie w życie jako prawo UE w 2018 r. Oznacza to, że nadal masz czas, aby ocenić potencjalny wpływ wymagań RODO na Twoją firmę.

Oto cztery główne zmiany, o których powinieneś pomyśleć:

1. Dane pseudonimowe są już na zawsze danymi osobowymi.

Zgodnie z RODO definicja danych osobowych została poszerzona o identyfikatory techniczne, takie jak identyfikatory reklam i adresy IP. Dzięki temu prawo UE jest zgodne z obecnym podejściem FTC (jak omówiono wcześniej w tej aktualizacji). Nowe prawo stawia również określone wymagania dla firm, które przechowują dane w „profilach”. Ponadto RODO traktuje dane osobowe jako zawsze zachowujące swój osobisty charakter – nawet po ich zaszyfrowaniu lub „pseudonimizacji”. W rezultacie prawa do ochrony danych konsumentów, które tradycyjnie stosowano do danych osobowych zgodnie z prawem UE (np. powiadomienie, rezygnacja, usunięcie, przechowywanie) będą teraz miały zastosowanie do danych zaszyfrowanych.

Wymaganie zaszyfrowania danych jest już pojawiającą się najlepszą praktyką przechowywania lub przesyłania danych wykorzystywanych do celów marketingowych. Dlatego branża powinna współpracować w celu sformułowania i opracowania wspólnego standardu zabezpieczania danych pseudonimowych, zwłaszcza że RODO przewiduje branżowe „kodeksy postępowania” w celu rozwiązania tego rodzaju problemów. Widzimy już świetną pracę w tym zakresie ze strony organizacji takich jak IAB UK i Future of Privacy Forum i czekamy na jeszcze większą dyskusję w 2016 roku (uwaga: TUNE współpracuje z obiema organizacjami; jesteśmy również członkiem FPF i zasiadamy w ich doradztwie tablica).

2. Zwiększona odpowiedzialność dla przetwarzających dane

Zgodnie z obowiązującym prawem UE administratorzy danych, którzy określają sposób przetwarzania danych, ponoszą główną odpowiedzialność za naruszenia ochrony danych. Podmioty przetwarzające dane, takie jak TUNE, które przetwarzają dane na żądanie administratorów danych, nie ponoszą głównej odpowiedzialności, zakładając, że spełniają określone wymagania (zazwyczaj zapisane w „dodatku dotyczącym przetwarzania danych” między administratorem a podmiotem przetwarzającym).

RODO zwiększy jednak odpowiedzialność podmiotów przetwarzających dane. Istnieje możliwość poniesienia solidarnej odpowiedzialności za naruszenia danych, takie jak nieuprawniony dostęp lub naruszenie danych. W niektórych przypadkach podmiot przetwarzający dane może ponosić odpowiedzialność przede wszystkim za naruszenia danych — zwłaszcza jeśli okaże się, że braki w przetwarzaniu doprowadziły do ​​danego naruszenia lub jeżeli okaże się, że podmiot przetwarzający działał bardziej jak administrator danych w konkretnym przypadku. Ponadto podmioty przetwarzające dane muszą wykazać „ Odpowiedzialność ”. A wszystko to staje się jeszcze bardziej znaczące, gdy weźmie się pod uwagę, że zgodnie z RODO organy regulacyjne mogą nakładać kary w wysokości do 4% globalnego rocznego obrotu firmy.

3. Zgoda jest wymagana w przypadku większości rodzajów „profilowania”

Nowe prawo UE wymaga uzyskania zgody osoby fizycznej przed utworzeniem jakiegokolwiek profilu dla tego użytkownika (lub jego urządzeń). Jedynymi wyjątkami od tej reguły są zapobieganie i wykrywanie przestępstw. Chociaż bardzo niewykonalny standard wyraźnej zgody był omawiany we wcześniejszych projektach, ostateczna wersja ustawy przewiduje standard „jednoznacznej” zgody. Dopiero okaże się, jaki będzie ten poziom zgody, jeśli chodzi o analitykę lub jakikolwiek inny rodzaj działań związanych z big data. Jest to jednak kolejne pytanie, na które przemysł może, miejmy nadzieję, odpowiedzieć poprzez kodeks postępowania lub podobny proces dla interesariuszy.

4. COPPA

RODO będzie zawierało prawo dotyczące prywatności dzieci podobne do amerykańskiego prawa COPPA, chociaż nie jest jasne, jakie będą szczegółowe wymagania. RODO określa wiek wyrażenia zgody na 16 lat, ale poszczególni unijni regulatorzy ochrony danych mogą obniżyć ten wiek do 13 lat (który jest obecnie wiekiem zgody na mocy amerykańskiej COPPA).

Na wynos?

RODO znacząco wpłynie na to, jak firmy prowadzą interesy z obywatelami UE . Wiele wymagań — dotyczących zgody, postępowania z danymi pseudonimowymi i danymi dzieci — nie zostało jeszcze określonych. Jednak nowe prawo przewiduje również, że przemysł będzie odgrywał pewną rolę poprzez kodeksy postępowania, certyfikacje i inne mechanizmy. Oznacza to, że społeczności ekspertów ds. prywatności i stowarzyszeń branżowych mają do odegrania ważną rolę, pomagając firmom w poruszaniu się po nowych wymaganiach i proponowaniu wykonalnych standardów w celu zapewnienia zgodności z nowym prawem. Firma TUNE z niecierpliwością oczekuje na współpracę z naszymi dotychczasowymi partnerami stowarzyszeniowymi — Future of Privacy Forum , eDAA oraz Privacy Law Salon — nad niektórymi z tych działań w nowym roku.

Jaki jest Twój plan gry na 2016 rok?

Mając to wszystko na uwadze, nadszedł dobry moment, aby zacząć myśleć o tym, jak planujesz ulepszyć swoją grę w 2016 roku. Nowy rok daje możliwość ponownego zaangażowania użytkowników i przeprojektowania zgodności, zwłaszcza w obliczu zbliżających się nowych wymogów RODO .

W TUNE będziemy kontynuować naszą pracę, aby edukować i informować w 2016 roku za pośrednictwem naszych biuletynów, postów na blogach i innych wydarzeń związanych z danymi i prywatnością. Skontaktujemy się również, aby sprawdzić, czy firmy o podobnych poglądach są zainteresowane współpracą z nami w kampanii edukacyjnej na temat Internetu finansowanego z reklam, jego działania i korzyści, jakie zapewnia (w szczególności dostępu do usług takich jak Gmail lub Facebook). Uważamy, że wiele obaw dotyczących prywatności związanych z gromadzeniem danych online można rozwiązać poprzez ukierunkowane działania, które koncentrują się na tego rodzaju edukacji użytkowników końcowych i interesariuszy.

Czy jesteś zainteresowany współpracą z nami przy tych wysiłkach? Napisz do nas e-mail , będziemy wdzięczni za wiadomość od Ciebie.

Wszystkiego najlepszego w bardzo szczęśliwym i pomyślnym 2016 roku!

Uwaga: ten artykuł ma na celu zaprezentowanie moich poglądów na niektóre wydarzenia dotyczące prywatności w 2015 roku; nie ma na celu ani nie powinno być w żaden sposób interpretowane jako porada prawna. Dzięki za przeczytanie ogłoszenia :-).

Podoba Ci się ten artykuł? Zarejestruj się, aby otrzymywać e-maile z podsumowaniem naszego bloga.