Bu 6 GDPR Efsanesine Düşmeyin

GDPR'nin uygulama gününden birkaç ay uzaktayız ve internet kötü tavsiyelerle dolu .

Yeşil ışıklarla dolu, KIRMIZI olması gereken blog gönderilerinin ve Quora yanıtlarının miktarı şaşırtıcı.

Ve biz Convert'te, bu yeni, büyük, önemli yasayı öğrenmek, okumak ve saçlarımızı yırtmak için daha fazla zaman harcadıkça, beynim daha fazla alarm zili çalmaya başladı.

"Bu endüstri standardı davranış artık kötü " diyor. “ONLARI UYARMALISINIZ.”

Yani burada.

Bunlar, GDPR hakkında insanların yanlış anladığı ve hepimizin 25 Mayıs'a kadar düzeltmemiz gerektiğine inandığı 6 büyük yalan.

Efsane 1: Bu sadece AB'yi etkiler.

Keşke.

GDPR ile ilgili en iddialı şeylerden biri, veri gizliliği politikalarının yasal kapsamını nasıl genişlettiğidir. Şimdi, AB genelinde kuralları belirleyen kapsayıcı bir mevzuat parçası var.

Ancak bunun ötesinde, GDPR, AB vatandaşlarının verileriyle ilgilenen herkes için önemlidir.

Şirketiniz başka bir yerde olsa bile (AB vatandaşı olan web ziyaretçileriniz varsa ve bunları çerezlerle izliyorsanız) GDPR ile başvurmanız beklenir. Avrupalı ​​veri öznelerinin e-postalarını toplarsanız, IP adreslerini saklarsanız , verileriyle etkileşime girerseniz, AB tabanlı bir sunucusu olan herkesle aynı yeni kurallara bağlı olursunuz.

Ve dürüst olmak gerekirse, AB verileriyle ilgilenmediğinizden %100 emin olsanız bile, GDPR'ye uymak doğru yönde atılmış iyi bir adımdır. Gizlilik yasaları her yerde değişiyor. Kanada, Gizlilik Yasası ile yeni mevzuat üzerinde çalışıyor.

Veri, giderek daha değerli bir para birimi biçimidir. Bu da veri mevzuatını her zamankinden daha önemli hale getiriyor.

Efsane #2: Çerezlerimi/soğuk e-postalarımı/vb. “meşru çıkar” nedeniyle.

Meşru faiz koşulu….karmaşıktır.

Bazı soğuk e-posta türleri için (bir an için) size biraz nefes alma alanı bırakabilirken, pazarlamacıların umduğu kadar yararlı değildir.

Biraz yedeklemek için - GDPR, veri işleme için 6 farklı yasal koşulu özetlemektedir. Pazarlamacılar için ilgili olan iki şey şudur: veri öznesi onayı ve "meşru çıkarlar".

İzin istemek, her türlü koşulu yerine getirmenizi gerektirir - aktif, açık, olumlu vb.

Nispeten, “meşru çıkarlar” parkta yürüyüşe benziyor. Ancak bu maddenin amacı “Meşru olarak ilgilendiklerini düşündüm… yani, onlara istediğimi gönderebilirim, değil mi?” değildi.

İşte ICO'nun (Birleşik Krallık'ın veri düzenleme kurumu), verileri işlemeye karar vermeden önce onaylamanızı önerdiği şey….

• Meşru menfaatlerin en uygun temel olduğunu kontrol ettik.
• Bireyin çıkarlarını koruma sorumluluğumuzun farkındayız.
• Kararımızı haklı çıkarabilmemiz için meşru bir çıkar değerlendirmesi (LIA) yürüttük ve bunun bir kaydını tuttuk.
• İlgili meşru menfaatleri belirledik.
• İşlemin gerekli olduğunu ve aynı sonucu elde etmenin daha az müdahaleci bir yolu olmadığını kontrol ettik.
• Bir dengeleme testi yaptık ve bireyin çıkarlarının bu meşru çıkarları geçersiz kılmadığından eminiz.
• Çok iyi bir nedenimiz olmadıkça, bireylerin verilerini yalnızca makul olarak bekledikleri şekillerde kullanırız.
• Çok iyi bir nedenimiz olmadıkça, insanların verilerini müdahaleci bulacakları veya onlara zarar verebilecek şekilde kullanmıyoruz.
• Çocukların verilerini işlersek, çıkarlarını koruduğumuzdan emin olmak için ekstra özen gösteririz.
• Mümkün olduğunda etkiyi azaltmak için önlemler aldık.
• Çıkma teklif edip edemeyeceğimizi düşündük.
• LIA'mız önemli bir gizlilik etkisi belirlerse, ayrıca bir DPIA yürütmemiz gerekip gerekmediğini düşündük.
• LIA'mızı inceleme altında tutuyoruz ve koşullar değişirse tekrarlıyoruz.
• Meşru çıkarlarımızla ilgili bilgileri gizlilik bildirimimize dahil ederiz.

Dolayısıyla meşru çıkarlara güvenmek istiyorsanız, bunları doğrulamanız gerekir. Ve sürecinizi belgelemeniz gerekiyor. Ve önceden meşru menfaatler koşuluyla işlem yaptığınıza karar vermelisiniz. Yanlış bir şekilde onay istediniz diye geri dönüşünüz olamaz.

Efsane #3: Bir Veri Koruma Görevlisi atamam gerekiyor.

GDPR, bazı şirketlere geçişi denetlemek ve veri güvenliğini ileriye taşımak için bir Veri Koruma Görevlisi atamasını tavsiye eder.

Ve yetkiler, kamu makamlarının bir tane ataması gerektiği konusunda oldukça açık. Ve birincil işlevi veri işlemeyi veya sistematik olarak izlemeyi içeren şirketler. Ve düzenli olarak özel kategorilerdeki verileri (sağlık verileri veya dini ve siyasi bağlantılar gibi) işliyorsanız, muhtemelen ekibinizde bir DPO'nuz olmalıdır.

Ancak bu koşullar bir yana, dürüst olmak gerekirse, şirketinizin ne zaman bir DPO'yu işe almak için yeterince büyük olduğuna dair katı bir kural yoktur. Veya yönettiğiniz veriler, bir tanesine ihtiyaç duymanız için yeterince karmaşık olduğunda. 250 çalışan, sık sık atılan bir başparmak kuralıdır.

Genel olarak, pazarlama amaçları için standart tür ve miktarlarda verilerinizi işleyen KOBİ'ler, bazı sağlam yasal tavsiyeler ve veri şeffaflığına tam bir bağlılık ile idare edebilirler.

Efsane #4: Bu, onay istemenin iyi bir yoludur.

Bu varlık…

Numara! Onayın aktif olması gerekir. Kutularınızı önceden kontrol edilmiş halde bırakamazsınız.

Numara! Paketleme bu. Ayrı işlemler için ayrı ayrı onay almanız gerekir. Etkinlik kayıtları ile "aylık haber bülteni" abonelikleri atamazsınız.

Numara! Üçüncü şahıslarınıza isim verin yoksa sayılmaz!

Hayır—kalıcı çerezler için artık açık ve etkin izin gerekiyor. Olduğu gibi, birinin bir şeyi tıklaması veya "Kabul ediyorum" yazan bir kutuyu işaretlemesi gerekir. Sadece göz atmaya devam ederek vermiyorlar.

Ve nüanslar devam ediyor.

Önemli olan şu: rıza kuralları eskisi gibi değil.

Şimdi ne oldukları hakkında daha fazla bilgi için, burada daha önemli bir dökümümüz var.

Efsane #5: Bu kişisel veri değil.

GDPR, daha önce “Kişisel Tanımlama Bilgileri” olarak kabul edilen kişisel verilerin kapsamını genişletti.

Bu yararlı tabloyu alçakgönüllülükle sunuyoruz:

Buradaki en önemli notlar, biraz karmaşık olan çerezlerdir. Tam olarak ne tür çerezlerin kişisel veri sayılacağı, yeni eGizlilik Yönetmeliği ile belirlenecek.

Şu anda "performans sektöründe" çerezler için bazı istisnalar var. Bunlar, yalnızca web sitesi operatörü yararına, web sitesi kullanımı hakkında bilgi toplayan türlerdir. Ziyaretçileri tanımlamazlar, bunun yerine toplu verilere dayanırlar.

GDPR'nin çerezleri nasıl düzenleyeceğine ilişkin ayrıntılı bilgileri burada bulabilirsiniz.

Efsane #6: İşlemlerimi 25 Mayıs'a kadar güncellediğim sürece, temizim.

Bir pazarlamacı olarak, bu benim saçımı yolmak istememe neden olan GDPR koşulu.

Geriye dönük olarak uygulanır.

Mevcut tüm verileriniz için geçerlidir.

Yani, GDPR uyumlu olmayan bir şekilde e-posta topluyor, tanımlama bilgileri çalıştırıyor veya herhangi bir kişisel veriyle uğraşıyorsanız, 25 Mayıs'ta depolanan tüm bu veriler bir sorun haline gelir.

Öneririz:

1. Sitenizin çerezleri ister 3, 6 veya 12 aylık bir kullanım ömrü boyunca çalışıyor olsun, bunları baştan başlatmak ve depoladıkları kişisel verileri temizlemek iyi bir fikirdir.
2. Mevcut e-posta listenizi denemek ve kurtarmak için yeniden izin verme kampanyası yürütün.

Bu bir baş ağrısı. Ve kazanmak için çok mücadele ettiğiniz bağlantılardan bazılarını kaybetmek bir serseri.

Ama dedikleri gibi…

Bazen işler bozulur, böylece daha iyi şeyler bir araya gelebilir ve ayrıca veri gizliliği önemlidir, bu yüzden hepimiz yasalara uymalıyız.