GDPR İşletmeniz İçin Ne İfade Ediyor?

Bugün, GDPR'nin işletmeniz için ne anlama geldiği hakkında daha fazla bilgi edinmek için iyi bir gün.

Avrupa Birliği'nin Genel Veri Koruma Yönetmeliği veya GDPR, 25 Mayıs 2018'de yürürlüğe giriyor. Ve bu, operasyonel olarak yaklaşık bir yıl uzakta olsa da, uyumlu olmak için yapmanız gereken çok sayıda şey var. (Evet, "metrik alın yükü" teknik bir terimdir.)

Rethink Podcast'in bu bölümünde, Act-On'un gizlilik, uyumluluk ve teslim edilebilirlik başkanı David Fowler ile konuştuk. David'in dediği gibi, GDPR, AB veri koruma yasasında bir nesildeki en büyük değişikliği işaret ediyor. Ve nerede bulunduklarına bakılmaksızın AB'nin 510 milyon vatandaşı ve onlarla iş yapan tüm işletmeler için geçerlidir.

Sohbetin tadını çıkarın ve işinize getirebileceğiniz bir veya iki yararlı çıkarım alabileceğinizi umuyoruz.

Nathan Isaacs : David, bana Act-On'da ne yaptığından bahseder misin?

David Fowler : Müşterilerimize, dijital pazarlamayla ilgili olarak yerel, eyalet, federal ve uluslararası yasalar kapsamındaki yükümlülükleri açısından dijital yol haritasında gezinmelerine yardımcı oluyorum. Ayrıca, müşterilerimiz e-postaları için "gönder" düğmesine bastığında, iletilerin gelen kutusuna ulaşmak için her fırsata sahip olmasını sağlıyorum. 2017'de dijital uyum çok derin ve geniş bir alandır. Örneğin, ABD'de AB'ye posta gönderen bir pazarlamacıysanız, yükümlülükleriniz ABD'de Kanada'ya posta gönderen bir pazarlamacı olmanızdan farklı olacaktır. Müşterilerimizi bu belirli yasal yol haritaları kapsamındaki yükümlülükleri hakkında bilgilendirmek bizim işimiz.

Nathan : Bugün bahsettiğimiz şeylerden biri de Genel Veri Koruma Yönetmeliği veya GDPR. Bana bunun ne olduğunu ve ne hakkında olduğunu söyleyebilir misin?

David : GDPR, Avrupa'da tam olarak 25 Mayıs 2018'de yürürlüğe girecek bir yasa. Ve aslında, 1995 AB veri direktifinin tamamen yeniden yazılmasıdır. Ve podcast'i dinleyenleriniz için, Avrupa'da dijital uyumluluk açısından evrensel yasalar yoktur. Veri yönergesinin yorumları vardır ve her ülke bu yasaya ilişkin kendi yorumunun ne olduğunu belirleyebilir. Yani, görebileceğiniz gibi, tam da bu bile başlı başına bir kafa karışıklığı yaratma potansiyeline sahip.

GDPR, veritabanlarında Avrupa vatandaşları bulunan tüm şirketler için geçerli olacak evrensel bir yasadır. Bu, AB içindeki her ülke için geniş kapsamlı olacak. 500 milyon kişi için tek yasa.

Nathan : ABD'de veya dünyanın başka yerlerinde bulunan ve Avrupa'daki kişilerle iş yapan şirketler için bu, onlar için geçerlidir. Bu doğru mu?

Davut : Bu doğru. Uyumsuzluk halinde bazı ağır para cezaları var - bir şirketin toplam gelirlerinin yüzde 4'üne kadar. Örneğin Google iseniz, bir trilyon doların yüzde 4'ü nedir?

GDPR Kapsamındaki Sorumluluklarınız

Nathan : Bireylerle nasıl iş yapacağım konusunda yeni bir yasa geçerli. Uyumlu olmak için bir işletme olarak ne yapmam gerekiyor?

David : GDPR kapsamındaki sorumlulukları anlamak önemlidir. Ve Avrupa'da iki zevkiniz var. Verilerin denetleyicisine ve işlemcisine sahipsiniz. Örneğin, bir Act-On müşterisisiniz. GDPR yol haritası kapsamında denetleyici olacaksınız. Ve biz [Act-On] verilerinizin işlemcisi olurduk. GDPR kapsamındaki yükümlülüklerimiz, A, açıkça yasalara uymaktır. Ama aynı zamanda B, GDPR kapsamındaki yükümlülüklerinize uymanıza izin veren ürünlerimizi ve hizmetlerimizi oluşturun.

Uyumlu olduğunuzdan emin olmak bizim sorumluluğumuz değil. Ancak, ürünlerimizin uyumlu olmanıza izin verdiğini göstermek bizim sorumluluğumuzdur, yani onay mekanizmaları sağlama, izin yedeği, çift katılım gibi şeyler, izin açısından doğal kabul ettiğimiz tüm bu tür şeyler, ürünlerimiz bunu yaptıkları noktaya kadar.

GDPR kapsamında bir pazarlama otomasyonu platformu kullanmak, verilerinizin denetleyicisi olarak sizin ve müşterilerinizin verilerinin yalnızca uymakla kalmayıp aynı zamanda bunu yapmak için teknolojiyi nasıl kullandığınızı da anlamanız gereken bir şeydir. Şimdi, veri ve kişisel bilgiler açısından insan hakları ve bu tür şeyler, müşterinin dijital bir ilişkinin alıcısıysanız, GDPR kapsamında masaya gelen çok daha fazla sorun var. Operasyonel olarak, kendinizi buna hazırlamak açısından düşünmeniz gereken birçok şey var. Ama nihayetinde, kauçuğun yolla buluştuğu yerde, listenize nasıl girdiğini kanıtlayamayacağınız veya nereden geldiğini kanıtlayamayacağınız bir müşteriniz varsa ya da geçmişteki rıza mekanizmasını kanıtlayamayan bir müşteriniz varsa. onlara pazarlama yapmaya başlarsanız, o zaman esasen GDPR kapsamında uyumsuzluk içinde olursunuz.

GDPR'nin Operasyonel Etkileri

Nathan : GDPR'nin operasyonel etkileri nelerdir?

Davut : Harika soru. GDPR'nin operasyonel yönüne hazırlanmak açısından şirketinizin bakış açısından düşünmeniz gereken 10 alan vardır. Birincisi, veri güvenliği ve ihlal bildirimidir.

Bu nedenle, bir veri ihlaliniz varsa, yükümlülüğünüz, ihlalin gerçekten meydana geldiğini veya bunun meydana geldiğini bildiğinizi 72 saatlik bir pencere içinde DPA'ya - veri koruma yetkilisine - bildirmektir. Zorunlu DPO veya veri koruma görevlisi, GDPR kapsamında uygulanmakta olan bir şeydir, yani belirli büyüklükte bir şirketseniz, aslında veri koruma çabalarınızla ilgilenen bir çalışanınız olması gerekir.

Veri öznesinin onayı, veri öznesinden nasıl onay alacağınız konusunda büyük bir sorundur. GDPR kapsamında, veri sahibi gerçek kişidir ve bir anormallik değildir. Sınır ötesi veri aktarımları büyüktür. Verileri Avrupa çapında veya Avrupa'dan ABD'ye veya nereye giderse gitsin taşıyorsanız, bu üzerinde düşünülmesi gereken bir şeydir. Yeterlilik perspektifinden bakıldığında, mevcut ortamda Avrupa ve ABD arasındaki sınır ötesi veri aktarım mekanizması gizlilik kalkanı adı verilen bir program tarafından yönetilmektedir ve şirket olarak gizlilik kalkanı sertifikasına sahibiz. Ancak buna yardımcı olmak için oyuna gelen başka varlıklar da olacak.

Profil oluşturma ve reddetme hakkı, bireylerin nasıl profillendirildiği ve profillenmeye nasıl itiraz etme hakkına sahip oldukları açısından büyük bir sorun olacaktır; yani, bugün beyaz bir gömlek giydiğini bilirsem, gömlek tercihlerinin profilini çıkaracağım ve belki de ona uyması için sana beyaz bir pantolon gönderirim. Birey olarak mesele, ileriye dönük olarak bu profillemeden vazgeçebilmek açısından bunu nasıl yönetebileceğinizdir.

Bir diğer büyük hak ise veri taşınabilirliği ve unutulma hakkıdır. GDPR'ye göre, konsept, birey olarak verilerinizi A şirketinden alıp B şirketine kabul edilebilir bir makine okuma biçiminde taşıma hakkına sahip olduğunuz ve ayrıca gerçekte sahip olduğunuz gerçeğine sahip olduğunuz gerçeğine sahip olmanızdır. unutulan o belirli markayla dijital bir ilişki. Dolayısıyla bu, şirketlerin buna nasıl uyum sağlayabilecekleri ve bu tür stratejileri bu kavramlar etrafında gerçekten uygulayabilecekleri açısından çok büyük bir sorun. Hâlâ bu konuda kolları sıvamaya çalışıyoruz.

Yedinci alan, kontrolörlerin ve işleyicilerin görev ve sorumluluklarıdır. Act-On olan bir işleyici olarak GDPR kapsamındaki sorumluluğunuz ve Act-On'un müşterisi olan denetleyici olarak GDPR kapsamındaki sorumluluklarınız nelerdir? Ve bununla birlikte tabağa gelen bazı şeyler açısından iki farklı konu.

Düşünülmesi gereken başka bir konu da kişisel verilerin takma ad haline getirilmesidir - verilerinizi nasıl alıp sizin yol haritanıza ekleyebilecek diğer üçüncü taraf türü varlıklara dayalı daha büyük bir profil oluşturabilirim. Davranış kuralları, nasıl ve neden belirli bir şekilde davranmanız gerektiği. Ve son olarak, para cezaları ve prosedürler büyük bir sorundur; kurallara uymazsanız, şirketinizin küresel gelirinin yüzde 4'ü oranında para cezasına çarptırılabilirsiniz.

Yani, operasyonel açıdan birçok şey var. Ve size garanti ederim, eğer bir mahremiyet çalışanınız varsa, uyum sorumlunuz varsa ve bu insanlar teknik operasyonlarınızla veya mühendislik ekibinizle konuşmuyorsa, o zaman bu insanları bir araya getirmeyi düşünmeye başlamanız gerekir, çünkü bu Bu şeyi örgütsel bir bakış açısıyla halletmek için bir köy alın.

GDPR Kapsamında Bireylerin Hakları

Nathan : Tüm bunlarda bireylerin hakları nelerdir?

David : Evet, bu harika bir soru. Çünkü GDPR kapsamında bireyin bilgilendirilme, 'Bilgilerinizi buradan aldım ve bununla yapacağım şey bu ve yapmayacağım şey bu' denme hakkı var. Bununla birlikte.' Erişim hakkı, böylece birey olarak bize ulaşabilir ve 'Hey, bilgilerim doğru değil, yanlış, yanlış ve benim hakkımda sahip olduğunuz profile göre bunu değiştirmenizi istiyorum' diyebilirsiniz. .' Yeniden sertifika alma hakkı, aynı anlama gelir - aslında bildiklerinize göre değiştirebilir veya ayarlayabilirsiniz. Silme hakkı: 'Hey, Act-On lütfen benimle ilgili tüm bu bilgileri silin' veya 'Bay. ve Bayan Müşteri, lütfen benimle ilgili tüm bu bilgileri silin' ve bunu nasıl yapacaksınız?

İşlemeyi kısıtlama hakkına sahipsiniz, yani 'Hey, sizden e-posta almak istiyorum ama SMS almak istemiyorum.' Veya, 'E-posta almak istiyorum ama kısa mesaj almak istemiyorum'… veya durum her neyse. Ve sonra veri taşınabilirliğini kısıtlama hakkı, yani gidip verilerimi A şirketinden alıp B şirketine taşıyorum. Teorik olarak, Cuma günü saat 17:00'de ayrılan ve ardından Pazartesi saat 08:00 Ve teknik olarak, o ortamda çalışır durumda olmaları gerekir.

Ve son olarak itiraz etme hakkı: 'Bu doğru, bu yanlış, bu kayıtsız.' Ve otomatik karar verme ve profil oluşturma ile ilişki kurma hakkı, yani artık yapay zeka gibi şeylerle dijital kanalda olduğumuz için, insanlar ve konular hakkında, bilip bilmediklerine bakılmaksızın profiller oluşturmaya başlayabilirsiniz. Bu bilgileri nasıl ifşa ettiğiniz ve bu profilleri nasıl oluşturduğunuz konusunda çok açık olmalısınız.

Öngördüğüm şey, şirketlerin onay için fazlasıyla telafi edeceği. Bugün dijital bir ilişkiye nasıl girdiğinizi düşünüyorsunuz - açıklama, rıza ve bir şekilde hafife aldığımız tüm bu şeyler. Ama asıl mesele şu ki, önceden işaretlenmiş kutuların olmayacağı birçok profil sayfası ve ilk katılım sayfası göreceğinizi düşünüyorum, ancak insanların 'Ben istiyorum' demesine izin vereceksiniz. bunu seçin veya bunun seçimini kaldırın.' GDPR'de önceden işaretlenmiş kutular tamamen hayır-hayırdır. Bu tamamen yasadışı.

Ve şimdi bir pazarlamacı olarak benim yapacağım şey, sizin hazırlık çabalarınızda, bu şey gelecek yılın Mayıs ayında devreye girdiğinde, ödemesiz dönem olmayacak. Mayıs 2018'de dosyanızda bulunan her veri, yayına girdiği gün uyumlu olmalıdır. Bu nedenle, GDPR uygulamasına hazırlanırken nasıl yeniden izin alacağınızı veya bireyler hakkında farklı şeyleri ifşa etmeye başlayacağınız noktaya nasıl geleceğinizi düşünmeye başlamalısınız. Yani, listelerinize yeniden izin verin, onayınızı sırayla alın, ifşalar hakkında konuşmaya başlayın ve bu tür şeyler. İşte bugün kucaklamaya başlamanız gereken şey de bu.

GDPR Hakkında Daha Fazlasını Öğrenmek

Nathan : Şu anda bundan bahsediyoruz, böylece insanlar uyum sağlamaya başlama veya uyumlu olmak için bu mekanizmaları devreye sokma fırsatı bulsunlar, hem kendimiz hem de başkaları. Bir kontrol listesi var mı?

David : Tam açıklama, yasal tavsiye veya rehberlik sağlayabilecek bir konumda değiliz. Ancak AB içindeki bazı veri koruma yetkilileri diğerlerinden daha sesli ve daha iletişimseldir. Ortaya pek çok bilgi koyan harika bir DPA örneği, Birleşik Krallık Bilgi Komiserliği Ofisi olan ICO'dur.

Web sitelerine giderseniz, ne düşünmeniz gerektiğine, kendinizi nasıl hazırlayacağınıza ve gelecek yıl yükümlülüklerinizin ne olacağına dair tonlarca bilgi var.

Nathan : Yani bu, pazarlamadan uyumluluğa, hukuk ve mühendisliğe kadar tüm ekibin tartışmasına neden olacak bir şey, değil mi?

Davut : Kesinlikle. Çünkü herkes farklı yorumlayacak. Dokümantasyonun yüzlerce sayfa derinliğinde olduğunu kastediyorum. Son derece hantal. Ancak bu, dijital bir ilişkiye gerçekten sağduyulu bir yaklaşım. Ve bu artık sadece bireyle ilgili değil. Aynı zamanda satıcılarınızla nasıl iş yaptığınız ve onları olaylardan nasıl sorumlu tuttuğunuzla da ilgilidir. Bazı açılardan, yalnızca pazarlama için değil, aynı zamanda belirli şeylerden vazgeçmek için de sağduyulu bir dijital yaklaşım için bir çerçevedir. Bu kesinlikle şimdi düşünmeniz gereken bir şey. Ve yapmadıysanız, o zaman 8 topun biraz gerisindesiniz.

Özet

Act-On, önümüzdeki yıl boyunca GDPR ile ilgili web seminerleri, veri sayfaları ve diğer içerikleri üretecek. Ayrıca bir sorunuz varsa David'e e-posta gönderebilirsiniz: [email protected] .