GDPR Uyumlu A/B Test Yazılımı Nasıl Satın Alınır

Yayınlanan: 2018-02-02
GDPR Uyumlu A/B Test Yazılımı Nasıl Satın Alınır

Güncelleme : Dönüştürme artık tamamen GDPR uyumludur. GDPR uyumluluğuna ulaşma yolculuğumuza buradan göz atabilirsiniz.

Ayrıca, müşterilerimizin GDPR ile uyumlu hale gelmesine yardımcı olmaya da kararlıyız. Bunu kolaylaştırmak için tüm kullanıcılarımıza Veri İşleme Sözleşmemizin (DPA) imzalı bir kopyasını veriyoruz.

Ayrıca, eGizlilik Düzenlemelerinde yapılacak güncellemelerle ilgili gelişmeleri yakından takip ediyoruz. Her zaman olduğu gibi, hem kendimiz hem de müşterilerimiz için uyumluluğu sağlamak için mümkün olduğunca proaktif olacağız

Spoiler uyarısı: unut gitsin.

Uyumlu bir A/B test aracı yoktur.

Yani, bir Avrupa gizlilik otoritesinden gelen 20 milyon Euro'luk davadan kaçınmanızı garanti eden bir A/B test aracından alınan "sertifika" yoktur. Ancak mümkün olan şey, gizlilik göz önünde bulundurularak tasarlanmış bir test aracı seçmenizdir. Varsayılan yapılandırmasını kullanırken başınızı belaya sokmayacak bir tane.

Bu makale, A/B test aracı satıcınız hakkında, GDPR yürürlüğe girme tarihinden (25 Mayıs 2018) önce doğru soruları sormanıza yardımcı olur. GDPR'de ve yakında çıkacak olan eGizlilik Yönetmeliği'nde (taslak 15333) önemli olan her bir unsurun yapısını bozacağım ve sonunda size bir kontrol listesi vereceğim.

(Doğrudan kontrol listesine atlamak için buraya tıklayın)

Bu makalede…

saklamak
  • Bu makalede…
  • Veri Minimizasyonu
  • Kişisel Veriler IP adresini içerir
  • Çerezler ve Kişisel Veriler
  • Kullanıcı Kimlikleri ve Kişisel Veriler
  • Hâlâ Kişisel Verileri Saklamayı mı Planlıyorsunuz?
  • GDPR ve Son Kullanıcı Verilerinin Doğruluğu
  • Sormaya korkuyorum, peki ya varyasyonlar için alt segmentasyonlar?
  • Ve üçüncü taraf verilerini bağlamak? BlueKai'yi beğendiniz mi?
  • Sadece Avrupa İçin Takip Etme? Emin misin?
  • Hesap verebilirlik
  • Gelir Takibi? Kişisel Veri Olarak Sipariş Numaraları?
  • Entegrasyonlar?
  • Kahretsin, iyi bir haber var mı?
  • Sonuçlar
  • A/B Testi: GDPR Uyumluluk Kontrol Listesi
    • Veri Minimizasyonu
    • Kişisel veri
    • Veri Minimizasyonu
    • Güvenlik
    • GDPR uyumluluğu

Veri Minimizasyonu

Veri minimizasyonu ilkesi, esasen, sınırlı istisnalara tabi olarak, bir kuruluşun yalnızca işleme amaçlarına ulaşmak için gerçekten ihtiyaç duyduğu (kişisel) verileri işlemesi gerektiği fikridir.

GDPR Açıklaması 39; Madde 5(1)(c)
Kişisel veriler, işlenme amaçlarıyla ilgili olarak yeterli, ilgili ve gerekli olanlarla sınırlı olmalıdır.

Peki deneyleri çalıştırmak için gereken minimum veri nedir? Yani, A/B testinizin sonuçlarını almak için IP'nin, tarayıcının ve cihaz kimliğinin her ayrıntısını toplamanız mı gerekiyor? Hayır. Araç onları toplayabildiği için onları topluyorsunuz. Mahremiyet aklınızın bir köşesindeyken, toplamanız gereken öğelere odaklanın ve gerisini saklamayın. Bir deneyi çalıştırmak için gerekli olan şey:

  • Varyasyon görüldü
  • Hedefe ulaşıldı: evet/hayır (gelir hedefleri, ürün sayısı ve gelir konusunda)

Alt segment başına farklı sonuçlar üzerinde daha derine inmek istediğinizde, örneğin:

  • Alt bölüm: evet/hayır

A/B test aracının aslında her son kullanıcı için bir satır veri depolaması gerekmez. İçgörülere ulaşmak için depolamanız gerekenler:

  • Belirli bir varyasyon gören toplam son kullanıcılar (toplam ve alt segment başına)
  • Bir hedefi tetikleyen bir varyasyonun toplam son kullanıcıları

Ve bir e-ticaret ortamında:

  • Varyasyon başına ortalama ürünler ve
  • Varyasyon başına ortalama sipariş değeri…

…her yeni siparişte yeniden hesaplanabilir (bireysel siparişleri kaydetmeden).

İstatistiksel verilerin geri kalanı, son kullanıcı verilerinin ayrı satırlarını saklamadan anında yeniden hesaplanabilir. Bu, A/B test aracınızın veri minimizasyon yönergelerine uymasını sağlar ve gizlilik ve güvenlik ihlali riskini önemli ölçüde azaltır.

Bunu düşün. Birisi sadece bir deneyin toplamlarıyla ne yapardı? A/B test aracınızda depolanmış son kullanıcı verisi yoksa, hatta takma adlı/karma veri bile yoksa, son kullanıcıların yeniden tanımlanması mümkün değildir.

Kişisel Veriler IP adresini içerir

Kişisel Tanımlanabilir Bilgilerin (PII) önceki tanımlarından farklıysa, GDPR tarafından tanımlanan kişisel veriler. Artık IP adresleri, çerezler ve Kullanıcı Kimliği tamamen kişisel verilerdir.

Bu tanım hakkında ne hissederseniz hissedin—bu kanundur. 19 Ekim 2016 tarihinde, Avrupa Birliği Adalet Divanı (“ABAD”), Dava 582/14 – Patrick Breyer / Almanya davasındaki kararını yayınladı. IP adreslerinin belirli durumlarda kişisel veri olduğuna karar verdi. Karar, bu davada Mayıs 2016'dan itibaren Başsavcı'nın Görüşü ile büyük ölçüde uyumludur.

Kişisel veriler, Direktif'in 2(a) Maddesinde “kimliği belirli veya belirlenebilir bir gerçek kişiye ('veri sahibi') ilişkin her türlü bilgi olarak tanımlanmaktadır. Kimliği belirlenebilir kişi, “doğrudan veya dolaylı olarak kimliği belirlenebilen […]” kişidir (vurgu eklenmiştir). Tanımlanabilirlik konusunun daha fazla analizi, AB'nin 29. Maddesi Çalışma Grubu'nun 4/2007 tarihli Görüşünde sunulmaktadır.

Yani IP adresleri kişisel verilerdir. Dönem. Ziyaretçiden açık bir onay almadığınız sürece (bundan kaçınmak isteyebileceğiniz) bunları anonimleştirmeyi seçebilirsiniz. Ancak yapsanız bile, bu her zaman rıza sınırında olacak ve yeniden kimliklendirme riskiyle karşı karşıya kalacak.

Bu yeni yasanın %100 güvenli tarafında kalmak için IP'leri A/B test aracınızda saklamamanızı öneririz.

Şimdi şunu sorabilirsiniz… IP adreslerini depolayamazsak, ülke hedeflemeyi nasıl çalıştırıyorsunuz?

En kolay çözüm, izleme komut dosyasını çağırmak ve ülkeyi tanımlamak için son kullanıcıdan gelen aramayı kullanmaktır. Varyasyon/ülke kombinasyonunu bir alt segmentte saklayın, ancak bir kullanıcıya bağlı değil. Bu alt segmente fazladan bir görünüm eklemeniz yeterlidir, böylece o segmentteki diğer yüzlerce kişiyle karıştırılır ve temelde sadece +1 olur. Yani yine, bireysel son kullanıcıyı veritabanından ayırmanın bir yolu yok.

Coğrafi konumla ilgili ek bir not, ülke verilerinin kendisinin çok geniş olduğu, ancak bölge, şehir veya posta kodu alt bölümleriniz için son kullanıcının onayını gerektireceğidir. Diğer unsurlarla birleştiğinde, gerçekten küçük olan alt bölümler olabilir (sadece 1 kişi bile!). Yine, kişisel verileri saklayabilirsiniz ve bu, kullanıcının onayını gerektirir.

Çerezler ve Kişisel Veriler

GDPR'ye göre çerezler de kişisel verilerdir. Ancak tüm çerezler eşit oluşturulmaz. Bazılarının kullanıcı onayı gerektirmesi, bazılarının ise gerektirmemesi mümkün olabilir. Ayrıntılar, onaylandıktan sonra yeni eGizlilik Düzenlemeleri tarafından belirlenecektir. Şimdilik, A/B test araçları gibi web analitiği yazılımı için bir istisnası olan 15333 taslağımız var.

(21) Uçbirim ekipmanının işleme ve depolama kapasitelerinden yararlanmak veya uçbirim ekipmanında saklanan bilgilere erişmek için izin alma yükümlülüğüne ilişkin istisnalar, mahremiyetin hiç ihlal edilmediği veya yalnızca çok sınırlı olarak ihlal edildiği durumlarla sınırlı olmalıdır. Örneğin, son kullanıcı tarafından talep edilen belirli bir hizmetin kullanımını sağlamak için gerekli ve orantılı olan teknik depolamaya veya erişime izin verilmesi için izin talep edilmemelidir. Bu, birkaç sayfa üzerinden çevrimiçi formları doldururken son kullanıcının girdisini takip etmek için bir web sitesinde kurulan tek bir oturum süresi boyunca tanımlama bilgilerinin saklanmasını, giriş yapan son kullanıcıların kimliğini doğrulamak için kullanılan kimlik doğrulama oturumu tanımlama bilgilerini içerebilir. son kullanıcı tarafından seçilen ve alışveriş sepetine yerleştirilen öğeleri hatırlamak için kullanılan çevrimiçi işlemler veya çerezler. Çerezler, örneğin, bir web sitesini ziyaret eden son kullanıcıların, bir web sitesinin belirli sayfalarının veya bir web sitesinin belirli sayfalarının sayısını ölçmeye yardımcı olarak, örneğin sunulan bir bilgi toplumu hizmetinin etkinliğini değerlendirmede meşru ve yararlı bir araç olabilir. bir uygulamanın son kullanıcıları. Ancak, siteyi kimin kullandığını belirlemek için kullanılan çerezler ve benzer tanımlayıcılar için durum böyle değildir.

A/B test araçları, "teslim edilen bir bilgi toplumu hizmetinin etkinliğini değerlendirdikleri" sürece izin gereksinimlerinden muaftır. Ancak, son kullanıcıları çok özel bir şekilde hedeflemeye başladığınızda veya web sitesini kimin kullandığını belirlemeye çalıştığınızda, onay gerektiren bir alana girersiniz.

A/B test aracınız tarafından kullanılan tanımlama bilgilerinin benzersiz bir tanımlayıcıya sahip olmadığını iki kez kontrol etmelisiniz. Benzersiz tanımlayıcı, bir tanımlama bilgisini kişisel veri olarak nitelendirebilir.

eGizlilik Yönetmeliği (taslak 15333) henüz bir yasa olmamasına ve GDPR'ye iltifat etme niyetinde olsa da - GDPR'nin kendisi, doğası gereği hangi tür tanımlama bilgilerinin kişisel verilerin işlenmesini içereceği konusunda bize rehberlik ediyor. Bunun anahtarı olan 1 resital var:

GDPR Açıklaması 30
Gerçek kişiler, internet protokol adresleri, çerez tanımlayıcıları veya diğer tanımlayıcılar gibi çevrimiçi tanımlayıcılarla ilişkilendirilebilir…. Bu, özellikle benzersiz tanımlayıcılarla ve sunucular tarafından alınan diğer bilgilerle birleştirildiğinde profilleri oluşturmak için kullanılabilecek izler bırakabilir. gerçek kişiler ve kimlikleri.

Bu bize, cihaz ve/veya cihazı kullanmakla ilişkili kişi için benzersiz bir tanımlayıcı içeren çerezlerin kişisel veri olarak ele alınması gerektiğini söyler. Bu fikir, kişisel verilerin aynı zamanda bir bireyi tanımlamak için tek başına veya diğer verilerle birlikte makul şekilde kullanılabilecek verilerle tanımlandığını belirten Gerekçe 26 ile de desteklenmektedir.

Bu nedenle, A/B test aracınız, GDPR'ye uymak için tüm benzersiz tanımlayıcıları kaldırmalıdır. Ayrıca, bir çereze bağlı bireysel kaydı asla sunucu tarafında saklamayın. Bu, eGizlilik Düzenlemelerindeki istisnanın dışında kalmasına neden olur.

Tanımlama bilgilerinin sıklıkla içerdiği sahte tanımlayıcılar (örn. sayı veya harf dizileri) de kişisel veri olarak nitelendirilir. Dolayısıyla, GDPR kapsamında, bir kullanıcıya özel olarak atfedilen ve dolayısıyla bir bireyi tanımlayabilen herhangi bir çerez veya diğer tanımlayıcı, bu tanımlayıcı sunucu tarafında depolandığında kişisel verilerin işlenmesi olarak sayılır.

Kullanıcı Kimlikleri ve Kişisel Veriler

Bir bireye özel Kullanıcı Kimliğini veya bireysel kişisel verilere çapraz bağlayabileceğiniz herhangi bir başka tanımlayıcıyı saklamak… tahmin ettiniz… kişisel veridir. Dolayısıyla, bunlar rıza gerektirir ve bundan kaçınılmalıdır (Gerekçe 30 burada da geçerlidir, aşağıdaki 50. Gerekçede olduğu gibi).

Rec.50; Madde 5(1)(b) Kişisel veriler yalnızca belirli, açık ve meşru amaçlar için toplanabilir ve bu amaçlarla bağdaşmayan bir şekilde daha fazla işlenmemelidir. (Kişisel verilerin kamu yararına arşivleme amaçlarıyla veya 89(1) Maddesi uyarınca bilimsel ve tarihsel araştırma amaçlarıyla veya istatistiksel amaçlarla daha fazla işlenmesine izin verilir—bakınız Bölüm 17).

Convert, Evrensel Kullanıcı Kimliği adlı bir özelliğe sahiptir. Örneğin bu, kullanıcılar satın aldıktan sonra bir e-ticaret sisteminden oturumları yeniden bağlamak için kullanılıyorsa, onay, müşteri ilişkisi ile üzerinde anlaşılan şartlara dahil edilebilir. Ancak yine de cihazların, oturumların ve tarayıcıların birleştirilmesi için ayrı bir onay öneriyoruz - çünkü GDPR ile varsaymak en iyisi değil, mutlak şeffaflık sunmaktır.

Hâlâ Kişisel Verileri Saklamayı mı Planlıyorsunuz?

Yani her şeyi A/B test aracınızda saklamaya mı karar verdiniz? Bir oturum kimliğini, Kullanıcı Kimliğini veya başka herhangi bir tanımlayıcıyı iyi bir şekilde depolamak, bunun doğru olduğundan emin olmanız gerektiği anlamına gelir.

  • Korumalı
  • Kesin
  • Talep üzerine güncellendi
  • Gerektiğinde silinir

Kişisel verilerin saklanması ve bununla birlikte gelen tüm eğlence bağlamında size GDPR yasasının bazı maddelerini vereyim.

GDPR ve Son Kullanıcı Verilerinin Doğruluğu

GDPR Açıklaması 39; Madde 5(1)(d)
Kişisel veriler doğru olmalı ve gerektiğinde güncel tutulmalıdır. Doğru olmayan kişisel verilerin gecikmeden silinmesini veya düzeltilmesini sağlamak için her makul adım atılmalıdır.

Bu nedenle, kişisel verileri depolayan bir A/B test aracınız olduğunda ve testleriniz önem kazandığında, son kullanıcılar web sitenizde olması gereken formları doldurduktan sonra bu sonuçları donduran bir araca ihtiyacınız vardır. Önceki paragraflar, analitik aracınızda kişisel verilerin saklanması konusunda sizi ikna etmediyse, GDPR yasasının bu bölümü olacaktır. Bunu açıklayan makalenin tamamını buraya yapıştıracağım.

GDPR Madde 15, Veri sahibinin erişim hakkı

  1. Veri sahibi, kendisiyle ilgili kişisel verilerin işlenip işlenmediği ve bu durumda kişisel verilere ve aşağıdaki bilgilere erişim konusunda kontrolörden onay alma hakkına sahip olacaktır:
    1. işlemenin amaçları;
    2. ilgili kişisel veri kategorileri;
    3. kişisel verilerin ifşa edildiği veya ifşa edileceği alıcılar veya alıcı kategorileri, özellikle üçüncü ülkelerdeki veya uluslararası kuruluşlardaki alıcılar;
    4. mümkünse, kişisel verilerin saklanacağı öngörülen süre veya mümkün değilse bu sürenin belirlenmesinde kullanılan kriterler;
    5. kontrolörden kişisel verilerin düzeltilmesini veya silinmesini veya veri sahibine ilişkin kişisel verilerin işlenmesinin kısıtlanmasını talep etme veya bu tür işlemeye itiraz etme hakkının varlığı;
    6. bir denetim makamına şikayette bulunma hakkı;
    7. kişisel verilerin veri sahibinden toplanmadığı durumlarda, kaynaklarına ilişkin mevcut herhangi bir bilgi;
    8. Profil oluşturma da dahil olmak üzere, Madde 22(1) ve (4)'te atıfta bulunulan otomatik karar vermenin mevcudiyeti ve en azından bu durumlarda, ilgili mantık hakkında anlamlı bilgilerin yanı sıra bu tür işlemenin önemi ve öngörülen sonuçları veri konusu için.
  2. Kişisel verilerin üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarıldığı durumlarda, veri sahibinin aktarımla ilgili 46. madde uyarınca uygun güvenceler konusunda bilgilendirilme hakkı olacaktır.
  3. Kontrolör, işlenmekte olan kişisel verilerin bir kopyasını sağlayacaktır. Veri sahibi tarafından talep edilen diğer kopyalar için, kontrolör idari maliyetlere dayalı olarak makul bir ücret talep edebilir. Veri sahibinin talebi elektronik yollarla yaptığı durumlarda ve veri sahibi tarafından aksi talep edilmediği sürece, bilgi yaygın olarak kullanılan bir elektronik biçimde sağlanır.
  4. 3. paragrafta atıfta bulunulan bir kopya edinme hakkı, başkalarının hak ve özgürlüklerini olumsuz etkilemez.

Yani… Bunu bir dakika düşünmene izin vereceğim…

Evet ben de öyle düşündüm. Şimdi benimle birlikte… Bunu yüksek sesle söyleyin.

  • A/B test aracımda kişisel verileri saklamayacağıma söz veriyorum
  • A/B test aracımda kişisel verileri saklamayacağıma söz veriyorum
  • A/B test aracımda kişisel verileri saklamayacağıma söz veriyorum

Bu nedenle, A/B testi sağlayıcınızı iki kez kontrol edin ve benzersiz ziyaretçilerin bireysel kayıtlarını anlatmalarının hiçbir yolu olmadığından emin olun.

Demek istediğim, hepimiz müşterilere ve patronlara daha iyi bilgiler ve iyi haberler getirmek istiyoruz. Ve kayıp A/B testlerini incelemek ve bazı alt bölümlerin kazanıp kazanmadığını görmek harika.

Ama gerçekten… sunum ekran görüntülerinizde toplam ziyaretçi sayısını gizleyen ve İsveç'te Chrome'da tek bir varyasyonda %1460'lık kazançla insanları şaşırtan o insanlardan biri olmak ister misiniz?

Sadece şunu kabul edin: Açık bir hipoteze sahip bir test kurun, deneyi çalıştırın ve yeterli trafik geldiğinde (göz atmadan) durdurun. Küçük alt segmentlerde kazananlar aramak sizi daha iyi bir pazarlamacı yapmaz.

GDPR ile ne kadar çok depolarsanız, o kadar çok bilgi sahibi olursunuz ve trafik segmentlerinin gerçek son kullanıcılar olma şansı o kadar yüksek olur. Bununla birlikte, verileri korumanız, verileri talep etmeniz (Konu Erişim İsteklerini kullanarak), verileri silmeniz ve verileri güncellemeniz için daha yüksek bir talep gelir.
Sadece saklamayın, A/B test aracınızın onu saklamadığından emin olun ve kendinize endişelenecek bir şey daha az vermiş olursunuz.

Hâlâ izin istemeye ve tüm bu kişisel verileri A/B test aracınızda saklamaya karar verirseniz, o zaman A/B test aracınızın benzersiz ziyaretçilere dayalı olarak ham verileri dışa aktarmanız için kolay bir yol sağladığından emin olun. Kilitli olduğundan emin olun. Kullanıcılar hakkında depoladığınız ilgi alanlarını, kategorileri ve diğer segmentasyonları değiştirebilmesi ve A/B testlerinin geçmiş sonuçlarını değiştirmeden verileri silebilmesi.

Kişisel verileri toplayarak, web sitenizi ziyaret ettikleri sırada AB vatandaşlarının ve Avrupa'daki kişilerin haklarına saygı göstermeniz gerekecektir. Bu içerir:

  • Deneyler, kitleler ve segmentler (ve hedefler) içinde onlar hakkında topladığınız verileri görüntüleme imkanı.
  • Bunlarla ilgili bazı veya tüm verileri güncelleme/düzeltme imkanı.
  • Talepleri üzerine verilerini silme imkanı.
  • Tüm verileri dışa aktarma imkanı. Bu nedenle, bir kullanıcı talep ediyorsa, onun IP adreslerine veya benzersiz tanımlayıcılarına bağlı verileri dışa aktarmanız gerekecektir. Örneğin, bir .csv dosyası olarak kolayca dışa aktarılabilir.

Bu nedenle, kişisel verileri saklamaya karar verdiğinizde, veri erişimi, düzeltme ve silme ile ilgili bir Konu Erişim Talebi sunmalısınız.

  • erişim hakkı
  • işlemeyi kısıtlama hakkı
  • düzeltme hakkı
  • unutulma hakkı
  • veri taşınabilirliği hakkı

Her Konu Erişim Talebi, GDPR metninde açıklandığı gibi, alındığı tarihten itibaren en geç bir aylık zaman çerçevesi içinde işlenmeli ve çözülmelidir.

Sormaya korkuyorum, peki ya varyasyonlar için alt segmentasyonlar?

Özel boyutlar, özel değişkenler… ve çok daha fazlasını kullanarak bu tür verileri toplayabilirsiniz.

Şimdi tekrar başlamayalım. GDPR'nin 15. maddesindeki son kullanıcı haklarına dayalı olarak hiçbir şeyi saklamayacağınıza söz verdiniz. Ancak bu bilgileri bağlayacak herhangi bir tanımlayıcınız olmadığında bile, yine de kişisel verileri depoluyor olabilirsiniz. Bu örnek nedenini açıklıyor.

Financial Times'tan (İngiltere) 30 Kasım 2017.

Deneyimli bir tüketici hakları savunucusu olan Richard Lloyd, teknoloji şirketinin Apple telefonlarındaki varsayılan gizlilik ayarlarını atladığını ve Safari tarayıcısını kullanan kişilerin çevrimiçi davranışlarını izlemeyi başardığını iddia ediyor. Google'ın daha sonra verileri, reklamverenlerin içeriği kullanıcının göz atma alışkanlıklarına göre hedeflemesini sağlayan DoubleClick reklamcılık işinde kullandığı iddia edildi.Londra Yüksek Mahkemesi'nde açılan dava, Google'ın "Safari Geçici Çözümü" olarak bilinen taktiğinin Birleşik Krallık Verilerini ihlal ettiğini iddia ediyor. Kişisel bilgileri izinsiz alarak Koruma Yasası.

Cep telefonlarını, masaları veya masaüstü cihazları etkinleştiren teknolojiler mevcut konumlarına bağlanabilir. Diğer kuruluşlar da bu tür bilgileri konuma özel içerik veya reklam sağlamak için kullanmak isteyebilir, ancak konum verileri, özellikle de bir bireyin zaman içindeki hareketlerinin kesin kalıbı hakkındaki veriler, o kişinin kişisel hayatı hakkında çok özel ayrıntıları ortaya çıkarabilir. Bu kişisel veridir.

Veri Koruma Komisyonu şunları söylüyor: “Elektronik olarak izlenebilen veya bulunabilen bir cihazın konumuna ilişkin bilgileri, aşağıdaki durumlarda “kişisel veri” olarak ele almalı ve bununla ilgili olarak Veri Koruma Kanunlarına uymalısınız:

Veriler, yaşayan bir kişi ("veri öznesi") ile ilgilidir; ve
Konum verisinin kendisinden veya konum verisinden, sahip olduğunuz veya edinmeniz muhtemel diğer bilgilerle birlikte ilgili olduğu kişiyi belirlemek mümkündür.

Veri Koruma Kanunları'nın 1. Bölümü, “kişisel verileri” şu şekilde tanımlamaktadır:
“Verilerden veya veri sorumlusunun elinde bulunan veya eline geçmesi muhtemel olan diğer bilgilerle bağlantılı verilerden kimliği tespit edilebilen veya belirlenebilen canlı bir kişiye ilişkin veriler”

Dolayısıyla, A/B test aracınız için bu, bireysel bir kullanıcıyı birden çok segmentte saklayabileceğiniz ve bu bireyi birlikte bir kişi olarak tanımlayabileceğiniz anlamına gelir. Bu nedenle tavsiye, hiçbir zaman tek tek kayıtları depolamak değil, sadece veri tabanındaki segment gruplarıdır. Ülkeden daha spesifik konumlara ilişkin konum verilerini içeren birden fazla alt segmenti toplamaya başladığınızda onay isteyin. A/B test aracınız, çok fazla segment topladığınızda size bir tavsiye verebilir, ancak bence bireysel kayıtları saklamak sadece sorun yaratmaktır.

Ve üçüncü taraf verilerini bağlamak? BlueKai'yi beğendiniz mi?

Son kullanıcı onayına ihtiyacınız var. Veya BlueKai ile ortak kontrolör olabilirsiniz; yani, son kullanıcı veri toplama anında BlueKai, sizin adınıza onay istedi. Bu olası olmamakla birlikte, bu parçanın yazıldığı anda, A/B test araçlarında hedef kitlenizi veriler üzerinde bir tür onayla zenginleştirmek için onay almanız gerekir. Veri sağlayıcınıza, örneğin BlueKai'ye sorun.

Sadece Avrupa İçin Takip Etme? Emin misin?

Do Not Track (veya sadece DNT), son kullanıcıların çoğu tarayıcıda ayarlayabileceği bir gizlilik ayarıdır. DNT'yi sizin ve son kullanıcılarınızın verileri nasıl kullanmamızı istediğinize dair bir sinyal olarak onurlandırmalısınız . Son yıllarda birçok son kullanıcı, markalarla etkileşim kurmanın yeni bir yolunu istediklerinin sinyalini verdi. Örneğin, Kanada federal mevzuatının bize Gizlilik Yasasında değişiklikler getirdiği Kanada'da. Veya Gizlilik Kalkanı'nda yeni bir aşamayla ABD Kongresi'nde. Veya üye devletlerin son kullanıcılarla daha saygılı bir etkileşim için desteğini dile getirdiği Avrupa Birliği'nde. Onları duymalı ve saygı duymalısın.

DNT'nin üç olası değeri vardır:

  1. Takip Etme (İzlemeyi devre dışı bırak)
  2. Takip (Takip etmeyi etkinleştir)
  3. Null – Tercih yok

Varsayılan olarak, web tarayıcıları boş değeri (tercih yok) kullanır, bu da son kullanıcının izlenmek isteyip istemediğine dair bir arzusunu ifade etmediğini gösterir. A/B test aracınız, tarayıcıda birinci seçenek olan Do Not Track (İzlemeyi devre dışı bırak) ayarlandığında HİÇBİR komut dosyasını yüklemeyecek bir ayara sahip olmalıdır.
Jonathan Mayer ve Arvind Narayanan, Stanford Üniversitesi'nde Do Not Track teknolojisi üzerinde çalışan iki ana araştırmacıdır. Modelleri, tüm çevrimiçi izlemeyi evrensel olarak devre dışı bırakmak için HTTP başlığındaki bilgileri kullanır.

Mayer, Google'ın diğer tarayıcıların web sitelerinde teknolojiyi destekleme taahhütlerine atıfta bulunarak, "Bir teknoloji modeli olarak Do Not Track, bir devre dışı bırakma mekanizmasından açıkça üstündür" dedi.

"Böylece teknoloji sorunu artık çözüldü: Do Not Track."

A/B test aracınız aşağıdaki seçeneklere sahip olabilir:

  • Do Not Track yeterince önemlidir ve müşterilerin herhangi bir şeyi açıp kapatmasına gerek kalmadan araç tarafından saygı duyulur. Sadece işe yarıyor (tam açıklama: Convert'te bunu seçtik…).
  • Do Not Track, tüm platformlar için kullanıcılar tarafından açılıp kapatılabilir (yönetici olarak tüm projeleriniz için varsayılanı kontrol edin).
  • Do Not Track, proje ve bölge (Avrupa) başına platformun kullanıcıları tarafından açılabilir ve her projede yönetici tarafından kontrol edilmelidir.

O zaman, açıldığında gerçekte ne olduğu önemlidir.

Bir çerez yerleştirecek misiniz (önerilmez) veya araç hiç yüklenmiyor mu (bunu seçtik). İlkinin (çerezin yerleştirilmesi) dezavantajı, çerezlerin son kullanıcılar için bir uyarı tetikleyebilmesi ve web sitesi sahibinin kullanıcılardan daha fazla veri talebi alabilmesidir. Komut dosyasını hiç yüklememenin dezavantajı, tarayıcı uzantısının ve kullanıcıların gerçekten hiçbir şekilde izlenmemesidir (ve bu nedenle, bir varyasyon veya deneyim için izlenen ziyaretçiler, analiz aracından farklı başlayabilir). Bence ikinci konu daha mantıklı. GDPR, farklı araçlar onay alacağı veya almayacağı için yine de sayıları karıştıracaktır. Bu yüzden hepsini tek bir "doğru" sonuç elde etmek için eşleştirmek zaten neredeyse imkansız hale gelecektir.

Hesap verebilirlik

Evet, kullanım koşullarınızı, gizlilik politikanızı ve çerez politikanızı değiştirmeniz (veya bunu gizlilik politikanıza dahil etmeniz) gerekir. Ayrıca web sitesinde bir izin yöneticinizin olması gerekir ve…

GDPR Açıklaması 85; Madde 5(2)
Kontrolör, Veri Koruma İlkelerine uygunluktan sorumludur ve bunu gösterebilmelidir.

Sadece işlemci ve denetleyicinin yenilenmesi (kafa karıştırıcı, değil mi?).

Madde 4, veri sorumlularını ve veri işleyenleri aşağıdaki şekilde tanımlar:

(7) 'kontrolör', kişisel verilerin işlenmesinin amaçlarını ve araçlarını tek başına veya başkalarıyla birlikte belirleyen gerçek veya tüzel kişi, kamu otoritesi, kurum veya diğer organ anlamına gelir; Bu tür işlemenin amaçları ve araçlarının Birlik veya Üye Devlet hukuku tarafından belirlendiği durumlarda, kontrolör veya atanması için belirli kriterler Birlik veya Üye Devlet hukuku tarafından sağlanabilir;

(8) 'işleyici', denetleyici adına kişisel verileri işleyen bir gerçek veya tüzel kişi, kamu otoritesi, kurum veya diğer organ anlamına gelir;

Web sitenizin ziyaretçisi (son kullanıcı) arasındaki ilişkide denetleyici sizsiniz. A/B test aracınız işlemcidir.

Bu, GDPR'ye uyumdan sizin sorumlu olduğunuz ve A/B test aracı satıcınıza işaret edemeyeceğiniz anlamına gelir. Bunu yapmanın en akıllı yolu, A/B test aracı satıcınızın bu makalede açıklandığı gibi uyum sağlamak için her şeyi yaptığından emin olmaktır.

Gelir Takibi? Kişisel Veri Olarak Sipariş Numaraları?

Burada şüphelerim var. Sipariş Kimlikleri (sipariş numaraları veya işlem kimlikleri) kişisel veri mi olacak?

Sanmıyorum, ancak kişisel verilerin tanımlayıcı olmayan bilgilerden (örneğin müşterinin adı ve adresinden bir sipariş numarası) ayrılması sadece iyi bir uygulamadır.

Müşterilerin eGizlilik Düzenlemelerinde olası herhangi bir değişiklik hakkında endişelenmesini istemediğimizden, şirket olarak bu bilgileri aracın gelir izleme bölümünde saklamamaya karar verdik.

Ortalama sipariş değeri, satın alınan ürünler, gelir ve sipariş kimliğinin birleşimi, veritabanlarımızda oturmak için biraz fazla tanımlayıcı olmayan bilgidir. Ancak bununla nasıl başa çıkmak istediğinizi tartışmak size ve A/B testi satıcınıza kalmış. Veri minimizasyonu temelde elimizden geldiğince az depolamamızı ister. Gelir takibi için buna ihtiyacımız olmadığından, bireysel gelir, ürün sayısı ve bireysel (son kullanıcı) düzeyindeki diğer sipariş verileriyle birlikte veri kümesinden çıkarıyoruz.

Entegrasyonlar?

Son kullanıcının katıldığı varyasyon ve deneyimler hakkında bilgi gönderiyorsanız, bunun için onay vermenizi öneririz.

Kahretsin, iyi bir haber var mı?

Evet…

İçeriği okuyabilmek için çerezleri kabul etmeniz gereken çerez duvarlarını hatırlıyor musunuz? Bunlar gitti. Bunları artık koyamazsınız ve bu nedenle tüm ziyaretçilere içerik gösterir, belirli izleyiciler için izin ister veya ödeme duvarının arkasına taşır.

Bu kadar?

Daha fazla yok…

GDPR, çerezlerin bir kullanıcının internet deneyimini iyileştirdiğini belirtir; örneğin, birinin alışveriş sepeti geçmişini hatırlamak. Veya birkaç sayfada bir formu doldururken.

GDPR'de analiz, toplanan herhangi bir kişisel veri yalnızca birinci tarafça işlendiği sürece mümkündür. eGizlilik, GDPR'nin olmadığı çerezlere özeldir. eGizlilik Yönetmeliği taslağı 15333, madde 21'i okuyun;

Bu, birkaç sayfa üzerinden çevrimiçi formları doldururken son kullanıcının girdisini takip etmek için bir web sitesinde kurulan tek bir oturum süresi boyunca tanımlama bilgilerinin saklanmasını, giriş yapan son kullanıcıların kimliğini doğrulamak için kullanılan kimlik doğrulama oturumu tanımlama bilgilerini içerebilir. son kullanıcı tarafından seçilen ve alışveriş sepetine yerleştirilen öğeleri hatırlamak için kullanılan çevrimiçi işlemler veya çerezler. Çerezler, örneğin bir web sitesini, bir web sitesinin belirli sayfalarını veya bir web sitesini ziyaret eden son kullanıcıların sayısına yönelik web trafiğini ölçmeye yardımcı olarak, örneğin sunulan bir bilgi toplumu hizmetinin etkinliğini değerlendirmede meşru ve yararlı bir araç olabilir. Bir uygulamanın son kullanıcı sayısı.

Ah son bir şey… ABD vs AB tabanlı sunucular

Web sitenizi nerede barındırdığınız önemli mi? Veya A/B testi izleyici komut dosyası nereden yükleniyor? Veya gerçek veri kümeniz nerede bulunur? Evet, aksi halde bu yazıda olmazdı

Sunucu konumları temel olarak veri aktarımları ile ilgilidir - bu, kişisel verileri içeriyorsa tek başına onay gerektirir. Kişisel verilerin üçüncü ülkelere veya uluslararası kuruluşlara aktarılmasına ilişkin GDPR'nin 5. Bölümüne bakmamız gerekiyor. Bu, verilerin Avrupa Birliği dışında saklanması durumunda ne yapacağımız konusunda bize fikir verecektir.

Üçüncü ülkelerin kişisel veri koruma düzeyi, Avrupa Komisyonu tarafından, bütünüyle tüm Üye Devletler için bağlayıcı olan 'yeterlilik bulguları' aracılığıyla değerlendirilir. Üçüncü bir ülkenin “yeterliliği” tanındıktan sonra, kişisel veriler başka bir koruyucu önlem alınmasına gerek kalmadan bu ülkeye aktarılabilir.

Transferler (Madde 44) ve bir yeterlilik kararına dayalı transferler (Madde 45) için genel bir ilke, tartışmanın çoğunlukla, şu anda bulunduğunuz AB dışındaki ülkelere (ve Norveç, Lihtenştayn ve İzlanda) veri aktarımı etrafında döndüğünü açıklar. sadece seçenekler var:

  • Gizlilik Kalkanı (ABD için) ve yeterli ülkeler (Avrupa Komisyonu şu ana kadar Andorra, Arjantin, Kanada (ticari kuruluşlar), Faroe Adaları, Guernsey, İsrail, Man Adası, Jersey, Yeni Zelanda, İsviçre, Uruguay ve ABD'yi tanımıştır ( Gizlilik Kalkanı çerçevesiyle sınırlıdır) yeterli koruma sağlar.
  • Model sözleşme maddeleri olarak da adlandırılan standart sözleşme maddeleri
  • Bağlayıcı Şirket Kuralları (GDPR'nin 47. Maddesinde yer almaktadır).

A/B testi tedarikçiniz büyük olasılıkla bir ABD şirketidir ve bu durumda en kolay seçenek Gizlilik Kalkanı ve SCC gibi görünmektedir, çünkü bu yalnızca bir kerelik bir çabadır. Şirketimiz için bu, tüm müşteri verilerimizin (web sitesi son kullanıcılarına ait) Frankfurt'taki karbon nötr sunucularda saklanmasına rağmen - ABD şirketi için yasal dayanağımız Gizlilik Kalkanı ve SCC olacaktır (sadece ekstra güvenli olmayı seviyoruz ve Almanya'da müşteri veri kümelerine sahip tüm sunuculara sahip olun).

Sonuçlar

GDPR çok büyüktür ve yalnızca Avrupa Birliği'ndeki şirketlerle sınırlı değildir. Şimdi, eGizlilik Düzenlemeleri taslağı 1533'e ve GDPR'ye baktığımızda, görüşümüze göre Deneyimleri Dönüştür'ü kullanarak tüm ziyaretçiler üzerinde izin almadan A/B testi yapabilirsiniz.

Bir şirket olarak Convert'in nasıl uyumlu hale geleceğine dair tam bir sayfa kurulumuna ve GDPR'ye uymayı kolaylaştırmak için üzerinde çalıştığımız ayrıntılara ilişkin eksiksiz bir uygulama yol haritasına sahibiz.

Satıcınıza, araçlarını uyumluluk açısından nasıl gördüklerini ve veritabanı yapılarını izin gerektirmeden A/B testi için büyük ölçüde basitleştirmeye çalıştıklarında sorun.

Çünkü aracınız izin gerektiriyorsa, bunun pazarlama yığınınız üzerinde büyük bir etkisi olacaktır. En büyük korku, rızaya dayalı bir A/B test aracıyla çalışmak için trafiğinizin %80'inden fazlasını kaybetmenizdir.

A/B Testi: GDPR Uyumluluk Kontrol Listesi

Veri Minimizasyonu

Satıcı Sorusu?
Veritabanınızda benzersiz ziyaretçiye göre hangi alanları saklıyorsunuz (yol haritası tamamlandıktan sonra)?

Örnek cevap
Hiç bir şey

Kişisel veri

Satıcı Sorusu?
Ziyaretçi IP'sini saklıyor musunuz?

Örnek cevap
Numara

Satıcı Sorusu?
Ülke/Bölge/Şehir veya diğer konum verilerini ziyaretçiye göre mi saklıyorsunuz?

Örnek cevap
Numara

Satıcı Sorusu?
Çerez içeriğini açıklayabilir veya bir destek makalesine bağlantı verebilir misiniz?

Örnek cevap
https://convert.zendesk.com/hc/en-us/articles/204495429-Convert-Experiences-Tracking-Cookies-Structure

Satıcı Sorusu?
Çerezler ne kadar süre saklanır?

Örnek cevap
6 ay.

Satıcı Sorusu?
Benzersiz kullanıcı kimliklerini (oturum kimliği, cihaz kimliği, Kullanıcı kimliği veya e-posta) saklıyor musunuz ve/veya e-postaları veya diğer kişisel verileri saklamamıza izin veriyor musunuz? Varsa nerede saklanıyor?

Örnek cevap
Hayır, ayrıca bilgilerin saklanmasına da izin vermiyoruz (ayrıca kullanım koşullarına bakın). İstisna, müşteri onayı ile açıldığında Evrensel Kimlik özelliği gereklidir

Satıcı Sorusu?
Aracınız, son kullanıcı Konu Erişim İstekleri konusunda bize nasıl yardımcı oluyor?

Örnek cevap
Herhangi bir kişisel verinin saklanmayarak desteklenmesi

Satıcı Sorusu?
Aracınız Do Not Track'i nasıl destekliyor?

Örnek cevap
Evet, varsayılan olarak komut dosyası yüklenmedi (ayrıca GDPR A/B testi uygulaması yol haritamıza bakın)

Veri Minimizasyonu

Satıcı Sorusu?
What fields do you store by the unique visitor in your database (after roadmap completion)?

Example answer
Nothing

Security

Vendor Question?
What server location (country) is our end-user data stored?

Example answer
Frankfurt, Almanya

Vendor Question?
If end-user or company information is stored outside the EEU what legal base you are using to transfer the information.

Example answer
End-user information is not stored and not transferred outside the EEU, unless customer requests debugging logging (stored max. 6 days). Customer information and debugging logs could be transferred on bases of Privacy Shield to US servers.

Vendor Question?
What security systems you have in place on databases and system where end-user information is stored?

Example answer
C5, DoD SRG, FedRAMP, FIPS, ISO 9001, ISO 27001, ISO 27017, ISO 27018, PCI, DSS Level 1, SEC Rule 17-a-4(f), SOC 1, SOC 2, SOC 3

GDPR compliance

Vendor Question?
 How does your company prepare for GDPR compliance?

Example answer
Find all about out company GDPR compliance program, here.

Vendor Question?
 How does your company assist us as controller with GDPR compliance of end-user data?

Example answer
The application roadmap is now public.

Disclaimer: Note that this article represents the views of the author solely, and are not intended to constitute legal advice.

Ücretsiz Denemeyi Güvenilir Bir Şekilde Başlatın
Ücretsiz Denemeyi Güvenilir Bir Şekilde Başlatın