Gizliliğin Sadece Avrupa İçin Olduğunu mu Düşünüyorsunuz? Tekrar düşün.

GDPR yapılır. Ve zaten sadece AB'de faaliyet gösteren işletmeleri etkiledi. Doğru?

Tam olarak değil.

1. Gizlilik asla "bitmez". Uyumluluk her zaman var olan bir gerekliliktir ve işletmeler temas noktalarını, veri toplama uygulamalarını, veri işleme mantığını ve satıcıları için aynı hususları sürekli olarak izlemelidir.
2. GDPR, yalnızca Avrupa'da bulunanları değil, AB vatandaşlarının verilerini işleyen tüm işletmeleri etkiledi.
3. GDPR buzdağının görünen kısmıydı. Dünya, duygusuz veri toplama ve cezasız işleme tehditlerinin farkına varıyor. Evet, önce Avrupa uyandı. Ancak bu, ABD'nin ve dünyanın geri kalanının uyumaya devam edeceği anlamına gelmiyor.

Aslında ABD, devrim niteliğindeki gizlilik düzenlemelerine giden yolda çoktan başladı. Kaliforniya, Nevada ve Maine'de kabul edilen yasalar ve diğer birçok eyalette planlanan faturalarla, işletmelerin önümüzdeki aylarda etkilenmesi beklenmelidir.

Bu makale, her bir eyaletin gizlilik düzenlemesi yasasının/faturasının önemli kısımlarını - kimleri kapsadıkları, ne zaman yürürlüğe girdikleri, cezalar, uyumun nasıl sağlanacağı, eyaletlerin neden tüketicinin kişisel verilerini korumak için federal hükümetten önce dizginleri ele geçirdiği dahil olmak üzere - parçalamaktadır. gizlilik uyumluluğunun benimsenmesinin işinize nasıl fayda sağlayabileceği.

ABD Federal Düzenlemesi?

10 Eylül'de kongre liderlerine gönderilen bir mektupta, endüstrilerdeki Business Roundtable CEO'ları, politika yapıcıları mümkün olan en kısa sürede Amerikalı tüketiciler için korumaları güçlendiren ve sürekli inovasyon ve büyümeyi mümkün kılmak için bir çerçeve oluşturan kapsamlı bir ulusal veri gizliliği yasasını geçirmeye çağırdı. dijital ekonomi.

51 CEO tarafından imzalanan mektup, Meclis ve Senato liderliğine ve Meclis Enerji ve Ticaret ile Senato Ticaret, Bilim ve Ulaştırma komitelerinin liderlerine gönderildi.

ABD iş perspektifinden, federal bir veri koruma yasasının getirilmesi için daha iyi bir zaman olmamıştı.

GDPR, AB'de yerleşik bireyler hakkında veri toplayan herhangi bir şirketin, bu şirketin AB'de yerleşik olup olmamasına bakılmaksızın mevzuata uymasını şart koşar. Bu, birçok ABD işletmesinin uluslararası faaliyet göstermek için halihazırda GDPR ile uyumlu olduğu ve bu uyumluluğu ABD pazarına genişletmek için bir çerçeveye sahip olduğu anlamına gelir.

ABD ulusal işletmeleri için farklıdır. Veri koruma uyumluluğu, (potansiyel olarak) farklı spesifikasyonlara ve gereksinimlere sahip 50'ye kadar farklı eyalet kanunu ile bir kabus haline geliyor. Bir federal yasa bunu düzene sokacak ve tüm eyaletlerde birleştirici bir mevzuat parçası sağlayacaktır.

ABD Eyalet Kanunları

Buna karşılık, devletler çok daha önce harekete geçti.

Üç eyalette kabul edilen yasalar, diğerlerinde önerilen yasa tasarıları ve birkaç eyalette yeni veri ihlali bildirim yasaları ile birlikte, tüketici verilerinin korunmasına ve bunları kontrol eden ve işleyen işletmeler için hesap verebilirliğe doğru büyük bir değişimin başlangıcına tanık oluyoruz.

IAPP Westin Araştırma Merkezi, değişen devlet-gizlilik ortamına ayak uydurmak için iş çabalarına yardımcı olmak için ülke genelinde önerilen ve yürürlüğe giren kapsamlı gizlilik faturalarının aşağıdaki listesini derledi.

Haritada yer alan birçok yasa tasarısı yasalaşmayı başaramayacak olsa da, her yasa tasarısındaki temel hükümleri karşılaştırmak, Amerika Birleşik Devletleri'nde mahremiyetin nasıl geliştiğini anlamada yardımcı olabilir.

Kaliforniya

GDPR'den sonra çıkarılan ilk gizlilik yasalarından biri olan CCPA, ABD'deki diğer faturalar için plan görevi görmektedir. 1 Ocak 2020'den itibaren geçerli olmak üzere CCPA, Kaliforniya'da ikamet edenlerin kişisel verilerini toplayan/işleyen veya Kaliforniya'da iş yapan bir işletme için geçerlidir.

Bu işletmeler aşağıdaki durumlarda CCPA'ya tabidir:

• 25 milyon dolarlık brüt geliri aştı
• 50.000 veya daha fazla tüketici evinin veya cihazının kişisel bilgilerini satın alın, alın, satın veya paylaşın (toplam toplam)
• Tüketicinin kişisel bilgilerini satarak yıllık gelirin %50'sini veya daha fazlasını elde edin

CCPA, tüketicilere kişisel bilgilerin ifşası ve kişisel veri talepleri de dahil olmak üzere GDPR'ye benzer haklar verir. İşletmelerin, kişisel bilgilerin kategorileri ve verileri, üçüncü taraflar ve verilerin paylaşıldığı üçüncü taraf kategorileri ve daha fazlası gibi bilgilerle doğrulanabilir tüketici taleplerine yanıt vermesi gerekir.

Veri sahibi istekleri (DSR) olarak bilinen bu bölüm, kullanıcılara kişisel bilgilerine erişim ve silme seçenekleri verir. Ayrıca CCPA, işletmelerin ana sayfalarında "Kişisel bilgilerimi satma" bağlantısı göstermelerini gerektirir.

CCPA, Başsavcı tarafından uygulanacaktır ve her bir ihlal için 7.500 dolara kadar para cezaları içermektedir.

Nevada

Nevada'nın gizlilik yasası 29 Mayıs 2019'da imzalandı, ancak daha iyi bilinen CCPA'dan üç ay önce 1 Ekim 2019'da yürürlüğe girdi. Kanunlar birbirine çok benzer, ancak “satış”ın nasıl tanımlandığı konusunda büyük bir farka sahiptir. Nevada yasası daha dardır, tüm hizmet sağlayıcıları kapsamaz ve finansal kurumlara karşı daha hoşgörülüdür.

InfoLawGroup'a göre, CCPA ve Nevada yasaları, her ikisinin de "işletmelerin bir tüketici vazgeçme talebinin meşruiyetini doğrulamak için bir süreç geliştirmesini ve işletmelerin talebe 60 gün içinde yanıt vermesini" gerektirmesi bakımından benzerdir.

Kaliforniya'ya benzer şekilde, Nevada'nın yaptırımı Başsavcıya aittir ve ihlal başına 5.000 dolara kadar para cezası içerir.

Maine

Maine'in gizlilik yasası 6 Haziran 2019'da imzalandı, ancak 1 Temmuz 2020'de yürürlüğe girecek. Bu yasa, İnternet servis sağlayıcılarının (ISP'ler) açıkça belirtilmediği sürece müşterilerinin verilerini satmasını, paylaşmasını veya üçüncü taraflara erişim vermesini engeller. bu müşteriler tarafından onaylandı. Değişikliklerle,

Maine sakinleri artık telekomünikasyon ve teknoloji sektörü şirketleri tarafından yaygın olarak toplanan ve depolanan e-postalar, çevrimiçi sohbetler, tarayıcı geçmişi, IP adresleri ve coğrafi konum verileri için ekstra bir koruma katmanına sahip.

Bu nedenle, CCPA müşterilere devre dışı bırakma hakkı verirken, bu yeni yasa, müşteri kabul etmedikçe İSS'lerin müşteri verilerini kullanmasını yasaklar. Bu gereklilik CCPA veya Nevada yasalarının ötesine geçer ve genellikle ABD gizlilik yasaları arasında nispeten benzersizdir. vazgeçme onayını tercih edin.

Beklemeyin—Şimdi Hazırlanın:

2018 PwC anketine göre, işletmelerin %64'ü henüz CCPA düzenlemelerine hazırlanmaya başlamamıştı.

Uyum yolculuğunuza başlamayı ertelediniz mi? Sürece başladınız, ancak hızla yaklaşan son teslim tarihlerine meydan okudunuz mu?

Aşağıda, mevcut yasaların çoğuna uyum yolunda ilerlemek için bir işletme olarak gerçekleştirebileceğiniz ve yakın gelecekte uygulanacak olan bilinçli eylemlerin bir listesi bulunmaktadır.

1. Adım: Gizlilik Bildirimlerini ve Politikalarını Güncelleyin

Mayıs 2018'de alınan tüm "Gizlilik Politikamızı güncelledik" (GDPR uyumluluğu) e-postalarıyla, 2019'un 3. çeyreğinde bu sefer CCPA veya Nevada veya Maine uyumlu başka bir dalga beklemek muhtemelen makul olacaktır.

Bu yasalar, "toplama noktasında veya öncesinde" kapsanan şirketlerin, tüketicilere şirketin topladığı kişisel bilgi kategorileri ve bilgilerin şirket tarafından hangi amaçla kullanıldığı konusunda bilgi vermesini gerektirecektir.

Bildirim ayrıca toplanan, ifşa edilen veya satılan kişisel bilgilerin kategorilerini de açıkça belirtmelidir ve tüketiciler, bilgilerinin satılmasından vazgeçme konusunda yeni bir hakka sahiptir.

Şirketlerin ayrıca diğer yeni tüketici haklarının bir tanımını içerecek şekilde gizlilik politikalarını güncellemeleri gerekecektir.

Birçok şirketin GDPR uyumlu hale gelirken belirlemesi gerektiğinden, yasal olarak gerekli politika güncellemelerini yapmadan önce, şirketlerin her bir Eyalet sakini için bir gizlilik bildirimi mi tutacaklarını yoksa tek bir evrensel politikaya mı sahip olacaklarını belirlemeleri gerekecektir.

2. Adım: Veri Envanterlerini, İş Süreçlerini ve Veri Stratejilerini Güncelleyin

Şirketler ayrıca, iş süreçleri, üçüncü taraflar, ürünler, cihazlar ve tüketici kişisel verilerini işleyen uygulamalar dahil olmak üzere veri işleme faaliyetlerini izlemek için esasen bir veri tabanı olan bir veri envanteri tutmak zorunda kalacaklar.

GDPR uyumlu hale gelmesi gereken şirketler, veri envanterlerine bir sütun dahil olmak üzere birkaç sütun eklemek zorunda kalacaklar:

• veri kullanımının bilgilerin “satışını” içerip içermediğinin belirlenmesi;
• hangi kategorilerdeki kişisel bilgilerin üçüncü taraflara aktarıldığının belirlenmesi;
• verilerin 12 aydan daha önce toplanıp toplanmadığını ve dolayısıyla potansiyel olarak muaf tutulup tutulmadığını belirlemek.
• Veritabanının ayrıca güncel tutulması ve doğrulanmış bir bilgi talebinin takibi gibi tüm tüketici hakları taleplerinin takip edilebilmesi gerekecektir.

Adım 3: Tüketici Haklarını Sağlamak İçin Protokolleri Uygulayın

Bu yasalar, işletmelerin güvence altına almak için adımlar atması gerekecek bir dizi tüketici hakkını garanti eder.

• Bildirim Hakkı – Bir işletmenin tüketiciden kişisel bilgi toplaması sırasında veya öncesinde tam olarak verilmiş bir hak olmasa da, tüketiciye hangi kategorilerdeki bilgilerin toplandığı ve bilgilerin hangi amaçlarla kullanıldığı doğru bir şekilde bildirilmelidir.

• Erişim Hakkı / Talep Hakkı – Doğrulanabilir talep üzerine, işletme, posta veya elektronik olarak teslim edilebilecek kişisel bilgileri tüketiciye ücretsiz olarak ifşa etmek ve teslim etmek için adımlar atmalıdır. Elektronik olarak sağlanıyorsa, taşınabilir bir şekilde ve teknik olarak mümkün olduğu ölçüde, tüketicinin kişisel bilgileri sorunsuz bir şekilde başka bir kuruluşa iletmesine olanak tanıyan, kolayca kullanılabilir bir formatta sağlanmalıdır. Bir işletme, herhangi bir zamanda bir tüketiciye kişisel bilgiler sağlayabilir, ancak bir tüketiciye 12 aylık bir süre içinde iki defadan fazla vermek zorunda değildir.

• Bilme Hakkı – Tüketici, kişisel bilgileri toplayan bir işletmenin aşağıdakileri ifşa etmesini talep etme hakkına sahiptir: (1) toplanan kişisel bilgi kategorileri; (2) bilgilerin toplandığı kaynaklar; (3) bilgileri toplamak veya satmak için ticari veya ticari amaç; (4) işletmenin bilgileri paylaştığı üçüncü şahıs kategorileri; (5) işletmenin tüketici hakkında topladığı belirli kişisel bilgiler.

• Silme Hakkı – Tüketici, doğrulanabilir bir talep üzerine, bir işletmenin, tüketici hakkında topladığı tüm kişisel bilgileri silmesini talep etme hakkına sahiptir. Bu tür bir talebin alınması üzerine, işletme bilgileri silmeli ve işletme veya hizmet sağlayıcı aşağıdakiler için bilgiye ihtiyaç duymadıkça, hizmet sağlayıcıları da bilgileri kayıtlarından silmeye yönlendirmelidir: (1) kişisel bilgilerin toplandığı işlemi hesaplamak , tüketici tarafından talep edilen veya bir işletmenin tüketiciyle devam eden ticari ilişkisi bağlamında makul olarak beklenen bir mal veya hizmeti sağlamak veya işletme ile tüketici arasında başka bir şekilde bir sözleşme yapmak; (2) güvenlik olaylarını tespit etmek; kötü niyetli, aldatıcı, hileli veya yasa dışı faaliyetlere karşı koruma; veya bu faaliyetten sorumlu olanları kovuşturmak; (3) mevcut amaçlanan işlevsellikteki hataları belirlemek ve onarmak için hata ayıklama; (4) ifade özgürlüğünü kullanmak, başka bir tüketicinin özgür konuşma hakkını kullanma hakkını sağlamak veya kanunla sağlanan başka bir hakkı kullanmak; (5) kamu yararına kamu veya meslektaşlar tarafından alınan bilimsel, tarihi veya istatistiksel araştırmalara katılmak; (6) tüketicinin işletme ile ilişkisine dayalı olarak, tüketicinin beklentileriyle makul ölçüde uyumlu olan yalnızca dahili kullanımları mümkün kılmak; (7) yasal bir yükümlülüğe uymak; (8) tüketicinin kişisel bilgilerini, tüketicinin bilgileri sağladığı bağlamla uyumlu, yasal bir şekilde dahili olarak kullanma.

• Vazgeçme Hakkı – Tüketici, bir işletme tarafından kişisel bilgilerin satışından vazgeçme hakkına sahiptir. İşletmeler, tüketicilere makul ölçüde erişilebilir bir biçimde, bir tüketicinin tüketicinin kişisel bilgilerinin satışından vazgeçmesini sağlayan “Kişisel Bilgilerimi Satma” başlıklı ana sayfaya açık ve göze çarpan bir bağlantı sağlamalıdır. İşletme, vazgeçen herhangi bir tüketicinin kişisel bilgilerini satma talebinde bulunmadan önce en az 12 ay beklemelidir.

4. Adım: Güvenlik Güncellemeleri Yapın

Bu yasalar ayrıca, kapsam dahilindeki işletmelerin kişisel verileri "makul" bir güvenlikle korumasını gerektirir. Uygulamada bu standart, şirketleri kişisel verilerin gizliliğine, bütünlüğüne ve kullanılabilirliğine yönelik tehditlere yönelik risk temelli bir yaklaşım benimsemeye yönlendirmiştir. Verilere yönelik tehditleri değerlendirir, tespit edilen güvenlik açıklarının risklerini sıralar ve önce yüksek riskli boşlukları ele alır.

Adım 5: Üçüncü Taraf İşlemci Sözleşmelerini Güncelleyin

ABD Gizlilik Yasalarına uymak için, verilerini başka şirketlere işleten işletmelerin, standart sözleşme maddesi dilini eklemek de dahil olmak üzere üçüncü taraf sözleşmelerini güncellemeleri gerekir; satıcı veri envanterleri gerektiren; durum tespiti anketlerinin kullanılması; işleme kayıtlarının sağlanması; tüketici yanıt süreçlerinin senkronizasyonunu gerektiren; yerinde değerlendirme ve denetim gerektiren; ve "satış" olarak nitelendirilen aktarımların belirlenmesi de dahil olmak üzere, her bir üçüncü tarafla paylaşılan belirli veri öğelerinin eşleştirilmesini gerektirir.

Bilgi için ödeme yapan üçüncü taraflar için, satıştan vazgeçmeye yönelik tüketici taleplerini karşılamak ve bu verilerin silinmesini sağlamak için ek olarak süreçler tasarlamaları gerekecektir.

6. Adım: Eğitim

Son olarak bu yasalar, tüketici sorgularını yürüten çalışanların tüm gereksinimleri hakkında bilgilendirilmesini gerektirir. İlgili cezalar nedeniyle, bu eğitim asgari düzeyde olmalıdır ve ek çalışan eğitimi önerilir.

Uygulanacak Çok Şey Olduğunu mu Düşünüyorsunuz? İşletmeler Uyumluluktan Yararlanacak:

Gizlilik yasalarına bazı eleştiriler geldi ve bu yasaların işletmeler için kötü olduğu iddia edildi.

Uyum programları paraya mal olur, ancak şirketler veriler gibi bir varlıktan para kazanmayı ve eylemlerinin uyumlu olduğundan emin olmak için para harcamayı bekleyemezler.

Ancak, yukarıda belirtildiği gibi gizlilik yasalarındaki temel gereksinimler çoğunlukla sağduyuya uygundur, bu nedenle bir uyum programı asla dipsiz bir çukur olmamalıdır.

Üstelik yasal baskı artmaya başlamasa bile etik ve farkındalık baskısı artacaktı.

Tüketiciler, veri gizliliğini AKTİF OLARAK koruyan şirketlerle iş yapmak isterler.

Evet, bir uyum maliyeti vardır, ancak bu, verilerle iş yapmanın ve bir markanın itibarını oluşturmanın ve korumanın maliyetinin bir parçası olarak görülmelidir. Uyumlu bir kuruluş olarak, bağlılığınızı pazarlayabileceksiniz, bu da satışları ve müşteri sadakatini artırmaya yardımcı olabilir.

Dünya çapındaki neredeyse tüm kuruluşlar artık gizlilik yatırımının yukarı yönlü ticari faydalara dönüştüğünü kabul ediyor. GDPR'ye hazırlanmak için yatırım yapan kuruluşlar, giderek daha az maliyetli veri ihlalleri yaşıyor, müşterilerin gizlilik endişeleri nedeniyle daha az satış sürtünmesi görüyor, daha az veri kaydı etkileniyor , sistem kesinti süresi daha kısaydı .

Bunlar, 18 ülkede 3.200'den fazla güvenlik ve gizlilik uzmanının katıldığı çift-kör bir anketten elde edilen verilerden yararlanan ve yakın zamanda yayınlanan Cisco 2019 Veri Gizliliği Kıyaslama Çalışmasının bulgularından bazılarıdır. Çalışma, kuruluşların günümüzde mahremiyet ve siber güvenlik alanında karşılaştığı temel sorunları araştıran bir serinin ilkidir.

Cisco araştırmasına göre, şirketlerin %97'si, gizlilik yasalarına uymanın ötesinde, gizlilik yatırımlarından daha fazla fayda elde ettiklerini söylüyor. Bu avantajlar arasında rekabet avantajı , yatırımcılar için çekicilik , operasyonel verimlilik ve daha fazla esneklik ve yenilik kapasitesi bulunmaktadır .

Tüm katılımcıların dörtte üçü, bu yardımlardan iki veya daha fazlasını aldıklarını söyledi. Ayrıca, şirketlerin çoğu artık güçlü veri gizliliğinin pazarlarında rekabetçi bir farklılaştırıcı olduğunu söylüyor.

Bu sonuçlar, işletmelerin yalnızca gizlilik yasalarına uymak için değil, aynı zamanda gizlilik yatırımlarının ticari faydalarını en üst düzeye çıkarmak için değişikliklerden geçmesi gerektiğini vurgulamaktadır.

Veri yönetimini iyileştirmek, müşteri güvenini artırmak ve daha kısa satış gecikmeleri ve daha az maliyetli veri ihlalleri yaşamak, kuruluşunuz için anlamlı olabilir ve size işinizin gelişmesi için ihtiyaç duyduğu rekabet avantajını sağlayabilir.

Duvardaki yazı büyük ve kalın. Gizlilik sadece Avrupa için değil...tüm dünyadaki işletmeler için o anın ihtiyacıdır. Vardiya çalkantılı. Ama bu kaçınılmaz olan bir şeydi.

İnsanlar maddi varlıklarını korumak için kilitler icat etti. Artık maddi olmayan veriler eşit derecede değerli (daha fazla değilse), bunların pervasızca toplanması ve işlenmesi hoş karşılanmayacak, beğenilmeyecek ve nihayetinde bir ihlal olarak görülecektir.

Gizlilik uyumluluğu uygulamaları işlemleri kolaylaştırır. Ve ihlal riskini azaltarak itibarı artırırlar. Benim düşünceme göre, bu uyumla ilgili çabalarla ilgili değil, her şey uyumun bir sonraki büyük rekabet avantajınız olabileceği gerçeğine erken uyanmakla ilgili.

Convert zaten sağlam bir temel attı. Peki ya sen?