GDPR ve eGizlilik: Bilmeniz Gerekenler

Yayınlanan: 2018-02-15
GDPR ve eGizlilik: Bilmeniz Gerekenler

Genel Veri Koruma Yönetmeliği (GDPR), 95/46/EC Veri Koruma Direktifinin yerini alır…

…VE, beraberinde AB vatandaşları için yeni eGizlilik Düzenlemelerini (ePR) getiriyor…

…bu veriler Avrupa dışında saklanıyor ve işleniyor olsa bile…

…kişisel verilerin ekonomik olarak giderek daha değerli hale geldiği bir çağda.

Bu yüzden inanılmaz derecede önemlidir.

Ama aynı zamanda….ha?

Ve GDPR ile ilgili makaleler bunu daha da karmaşık hale getiriyor gibi görünüyor.

Örneğin….

  • GDPR, 95/46/EC sayılı Veri Koruma Direktifinin yerini almıştır. Temiz?
  • GDPR, yalnızca dijital gizlilikten çok daha fazlasıyla ilgilenir. Ve böylece daha spesifik kurallar vermek için eGizlilik Düzenlemeleri adlı bir alt yasa var. Hala temiz mi?
  • eGizlilik Düzenlemeleri, eGizlilik Yönergesinin yerini alıyor, hâlâ benimle mi?
  • GDPR onaylandı ve 25 Mayıs 2018'de yasalaşacak, hazır mı?
  • Her Avrupa ülkesi kendi GSYİH "tadını" yapabilir ve iki düzineden sadece iki ülke bunu yaptı… ne diyeceksiniz?
  • eGizlilik Düzenlemeleri büyük olasılıkla 25 Mayıs 2018'e kadar hazır olmayacak….ehhh tekrar gelecek mi?
    Bu nedenle, GDPR'de çerezlerden bir kez bahsedildiğinde, eGizlilik Düzenlemeleri, neye izin verilip verilmediğine ilişkin ayrıntılı açıklamalarla doludur… ancak bu nihai yasadan yoksunuz (1533 sayılı taslakta). Kullanışlı değil mi?

Peki ne yapıyoruz? Hangi kurallara uyuyoruz?

Yani bu bir karmaşa, ama kimse sana bunu söylemiyor. Çünkü para kazanılacak.

Makaleden makaleye, korkunç 20 milyon euro (24 milyon USD) para cezası hakkında okuyacaksınız.

Başarısızlığın bedelidir, ancak kurallar belirsizdir. Peki ne yapıyoruz?

GDPR'nin söylediklerini uyguluyoruz, yaptığımız şey bu.

Çünkü her kanunun yapılmamış olması gerçekten önemli değil. Çekirdek yapıyı biliyoruz ve bu, her ülke kanununun biraz değişebileceği anlamına geliyor. Ama temellerimiz var.

Ve bunlar….

Dijital Pazarlama ve GDPR ne biliyoruz?

GDPR'de çerezlerden yalnızca bir kez bahsedildiğini biliyoruz. Resital 30 devletler:

Gerçek kişiler, internet protokol adresleri, çerez tanımlayıcıları veya radyo frekansı tanımlama etiketleri gibi diğer tanımlayıcılar gibi cihazları, uygulamaları, araçları ve protokolleri tarafından sağlanan çevrimiçi tanımlayıcılarla ilişkilendirilebilir.

Bu, özellikle benzersiz tanımlayıcılar ve sunucular tarafından alınan diğer bilgilerle birleştirildiğinde, gerçek kişilerin profillerini oluşturmak ve onları tanımlamak için kullanılabilecek izler bırakabilir.

Bu nedenle, benzersiz tanımlayıcılar istemiyorlar. Çerezlerde bile - ve kesinlikle hiçbir kişisel veri yok.

Kişisel veriler, PII'nin Avrupa versiyonudur. Ama ohhh oğlum bu farklı. İşte bir karşılaştırma tablosu.

Kişisel Tanımlanabilir Veriler (PII)
Kişisel veri
  • Tam ad (yaygın değilse)
  • Ev Adresi
  • E-posta adresi
  • Ulusal kimlik Numarası
  • Pasaport numarası
  • Araç tescil plaka numarası
  • Ehliyet numarası
  • Yüz, parmak izi veya el yazısı
  • Kredi kartı numaraları
  • Dijital kimlik
  • Doğum tarihi
  • doğum yeri
  • Genetik bilgi
  • Telefon numarası
  • Oturum açma adı, ekran adı, takma ad veya tanıtıcı
  • Tam ad (yaygın değilse)
  • Ev Adresi
  • E-posta adresi
  • Ulusal kimlik Numarası
  • Pasaport numarası
  • Araç tescil plaka numarası
  • Ehliyet numarası
  • Yüz, parmak izi veya el yazısı
  • Kredi kartı numaraları
  • Dijital kimlik
  • Doğum tarihi
  • doğum yeri
  • Genetik bilgi
  • Telefon numarası
  • Oturum açma adı, ekran adı, takma ad veya tanıtıcı

+

  • IP adresi
  • Cihaz Kimlikleri, Kullanıcı Kimliği, İşlem Kimliği, Çerez Kimliği gibi benzersiz tanımlayıcılar
  • Takma ad verisi (tanınmayan veri + tekrar okunabilir hale getirmek için farklı noktadaki anahtar)

Şimdilik, bildiğimiz bu.

Avrupa'nın GDPR yasasının amacı

Artık bir hukuk ekibi alabilir ve neye ve neye izin verilmediğine dair tüm gri alanları bulabilirsiniz. Ama önce yönetmeliğin arkasındaki ana fikri, niyeti anlayalım.

Yasayı anlarsanız, blackhat-privacy ve grayhat-privacy hack'lerine giriştiğinizde bunu çok net bir şekilde anlayabilirsiniz. Ve yığınınızdan hangi araçları çıkaracağınızı ve hangi harika pazarlama tüyolarını gerçekten tutabileceğinizi belirleyebilirsiniz. GDPR'nin 26. gerekçesini okuyun.

(Ya da italikleri atlayın ve onlardan sonra yazdığım özete güvenin).

Veri koruma ilkeleri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi için geçerli olmalıdır.

Ek bilgilerin kullanılmasıyla bir gerçek kişiye atfedilebilecek olan, takma isimlendirmeye tabi tutulmuş kişisel veriler, kimliği belirlenebilir bir gerçek kişiye ilişkin bilgi olarak kabul edilmelidir.

Bir gerçek kişinin tanımlanabilir olup olmadığını belirlemek için, gerçek kişiyi doğrudan veya dolaylı olarak tanımlamak için ya kontrolör ya da başka bir kişi tarafından seçim yapmak gibi makul olarak kullanılması muhtemel tüm araçlar dikkate alınmalıdır.

Gerçek kişiyi tanımlamak için yöntemlerin makul bir şekilde kullanılıp kullanılamayacağını belirlemek için, kimlik tespiti için gereken süre ve maliyetler gibi tüm nesnel faktörler, işlemin yapıldığı tarihteki mevcut teknoloji dikkate alınarak dikkate alınmalıdır. işleme ve teknolojik gelişmeler.

Bu nedenle, veri koruma ilkeleri, anonim bilgilere, yani kimliği belirli veya belirlenebilir bir gerçek kişiyle ilgili olmayan bilgilere veya veri sahibinin kimliği belirlenemeyecek veya artık tanımlanamayacak şekilde anonim hale getirilen kişisel verilere uygulanmamalıdır.

Dolayısıyla bu Yönetmelik, istatistiksel veya araştırma amaçları dahil olmak üzere, bu tür anonim bilgilerin işlenmesiyle ilgili değildir.

Kısacası, benim versiyonum: Kişisel veriler (ve bu çok fazla) yalnızca meşru menfaatle (başka bir makalede, daha fazlası) veya bir sözleşmenin parçası olarak rıza karşılığında toplanmalıdır. Dijital pazarlamacıların %90'ı için geçerli olmayan birkaç istisna daha var ama hepsini buradan okuyabilirsiniz.

Kişisel verileri topladığınızda, bunun…

  • Avrupa içinde güvenli bir şekilde depolanır.
  • korumalı.
  • istek üzerine silinebilir veya değiştirilebilir.

Ayrıca, meydana geldikten sonraki 72 saat içinde bu veriler üzerinde bir güvenlik ihlali sinyali vermeye hazır olmalısınız. Bu nedenle, veri konularını ve meydana gelirse yetkilileri bilgilendirebileceğinizden emin olun.

Avrupalılar bu yasayı istiyor, Avrupa'nın çok ötesine ulaşıyor ve Avrupalıların bir tür kişisel veriyle saklandığı dünyadaki her veri tabanına dokunuyor.

"Ama Dennis unutuyorsun..."

Açıkçası, tonlarca ve tonlarca şeyi unutuyorum. 300'den fazla GDPR yasası sayfası ve 100'den fazla eGizlilik Düzenlemesi taslağı 1533. Ancak fikir açık.

Kişisel verilerin saklanması, izin istemeniz gerektiğinden dijital pazarlama sahibi olarak sizi etkileyecektir.

Avrupa GDPR yasasının amacı

Ne? Razı olmak? Evet, açık rıza!

Evet. Web sitesi ziyaretçilerine, potansiyel müşterilere ve müşterilere, verilerini nasıl topladığınızı ve sakladığınızı açıklamanız gerekir. Paylaştığınız yollardan başka bir şekilde kullanmayın.

Yani hayır… bu tanıtım belgesine kaydolarak şartları kabul etmiş olursunuz falan filan kimse bunu okumaz.

Yerine….

“<işaretlenmemiş onay kutusu> Bu teknik incelemeyi indirerek teknik incelemeyi içeren bir e-posta alacağımı kabul ediyorum.
<işaretlenmemiş onay kutusu>, X şirketinin bir temsilcisinin telefon görüşmesine izin veriyorum."

Kahretsin… bu dönüşüm oranlarını düşürecek, değil mi?

Evet muhtemelen.

Üzgünüm, benim kanunum değil…

Rıza olmadan ne yapabilirsiniz?

Çerez kimliklerini ve kişisel verileri saklamayan yığınınızdaki herhangi bir aracı kullanabilirsiniz. Çerezlerden kaçınmak için parmak izi ve diğer kötü saldırılar yok…

Bu nedenle, hiçbir çerez kimliğine, benzersiz tanımlayıcılara ve bu araçlara web sitelerinde kişisel verilerin depolanmasına izin verilmez.

Deneyimleri Dönüştürme (A/B test yazılımımız), çerez kimlikleri ve benzersiz tanımlayıcılar olmadan ve kişisel veri depolama olmadan çalışır. Bu, pazarlama araçlarınızı değerlendirirken aramanız gereken bir şey.

Web analitiğine (ziyaretçi sayma) izin verilecek gibi görünüyor, ancak hangi analitik araçlarına ve özelliklerine izin verildiği %100 net değil. Bu, eGizlilik Düzenlemelerine bağlıdır - yine bitmemiş bir yasa.

Yani rıza istemek için buna değer mi? Belki…

Bu nedenle, araç türü (grubu) başına açık bir onay istemeniz gerekir.

Bu da seni garip bir duruma sokar.

Geçmiş aramaları, sayfa ziyaretlerini vb. birleştiren 10 yeniden hedefleme aracı çalıştırırsanız…? Bunları bir gruba koyun ve ziyaretçilere faydasını açık bir şekilde açıklayıp açıklayamayacağınıza bakın, böylece rıza gösterirler.

Önceden işaretlenmiş kutu yok… rüşvet yok, çerez duvarı yok…

Ve bu araçlar YALNIZCA bir ziyaretçi onlara yeşil ışık verirse çalışabilir. En zeki pazarlamacılar için bile trafik kesintisine bakıyorsunuz.

Daha öğrenecek çok şey var.

Ve böylece gri alanları belgeliyoruz.

İşte başlamak için bazı iyi yerler:

  • Başarılı Bir GDPR Yeniden İzin Verme Kampanyası Nasıl Yürütülür: Adım Adım Kılavuz
  • Büyüme, Ağır Para Cezalarına Giden Yolunuzu mu Kesiyor? GDPR için Giden Stratejinizi Ayarlayın.
  • GDPR Uyumlu A/B Test Yazılımı Nasıl Satın Alınır
  • GDPR Döneminde E-ticarette Nasıl Dönüştürülür?