• Anasayfa
  • Nesne
  • Pazarlama
  • Markalar, Kaliforniya Tüketici Gizliliği Yasası'na hazırlanırken bir yıllık GDPR'den neler öğrenebilir?

Markalar, Kaliforniya Tüketici Gizliliği Yasası'na hazırlanırken bir yıllık GDPR'den neler öğrenebilir?

Yayınlanan: 2022-05-22

Aşağıdakiler, Qubit'in genel danışmanı Jack Carvel'in bir konuk yazısıdır.

Mayıs 2019, on yıllardır veri gizliliği yönetmeliğinde yapılan en önemli değişiklik olan Genel Veri Koruma Yönetmeliği'nin (​GDPR) uygulanmasının birinci yıl dönümü. GDPR, veri söz konusu olduğunda bireylerin hakları konusunda farkındalık yaratmada önemli ölçüde fayda sağlamış olsa da, uygulama hikayesi tamamen farklı olmuştur.

Şaşırtıcı derecede büyük cezaların olmaması ve çoğu kişinin tamamen ortadan kalkacağını düşündüğü üçüncü taraf verilerinin devam eden kötüye kullanımı, geçen yıl göze çarpıyor. Bununla birlikte, bu durum, AB'nin veri koruma rejiminin bir sonraki unsuru olan ve yakında yürürlüğe girmesi beklenen, beklenen ePrivacy bileşeni ve Ocak ayında ABD'ye gelecek büyük bir veri gizliliği geliştirmesi gibi yeni mevzuatın uygulanmasıyla yine de değişebilir. 2020: Kaliforniya Tüketici Gizliliği Yasası (CCPA). Bu yazıda, bir yıl sonra GDPR'den öğrenilen dersleri ve CCPA'ya ve yakın gelecekte beklenen diğer daha katı mevzuata en iyi şekilde nasıl hazırlanılacağına ilişkin ipuçlarını tartışacağım.

GDPR: Farkındalık için "A+", yaptırım için "D"

İlk olarak, gerektiği yerde kredi verelim: GDPR, onu ciddiye alan işletmeler için çok iyi oldu. Müşterilerin daha net anlaşılması ve davranışlarına ilişkin daha iyi bir anlayış ile daha sağlıklı müşteri veritabanlarına yol açmıştır.

Geçen bahar, dünyanın her yerindeki işletmeler verilerinin nerede saklandığını ve bununla neler olup bittiğini anlama sürecinden geçerken, biraz Kondo Metodu'nu veya verilere bahar temizliğini uygulamaya benziyordu. Herkes yalnızca birkaç aylığına veri korumasına odaklanarak çevrimiçi dünyayı daha güvenli ve daha güvenli hale getirdi. Ve, inceleme muazzam bir şekilde iyileşti. Bir avuç para cezası var ve bunların arasında Google için 50 milyon Euro'luk önemli bir ceza var. Başlangıçta, sektördeki birçok kişi bu tür para cezalarının norm haline geleceğini varsaymıştı, ancak henüz bunu görmedik.

GDPR'nin özellikle cansız olduğu bir alan, üçüncü taraf veri komisyoncularıyla olan ilişkilerinde. Tüm iş modeli ikinci el veya üçüncü el veri satışına dayanan şirketlerde çok sayıda kötü uygulama var. Bu veriler, tüketicinin haberi olmadan kolayca kopyalanabilir, ifşa edilebilir ve taraflara iletilebilir - ve muhtemelen hangi verilerin ve neden toplandığına dair onay veya anlayış olmadan elde edilmiştir. GDPR ile birçok kişi bunun sona ermesini bekliyordu, ancak düzenleyiciler bu istismar edici veri uygulamalarının peşine düşmedi.

ABD'de (ve AB dışındaki diğer yargı bölgelerinde) standartlara uymayan daha küçük şirketler de var. Farklı veri rejimlerine uymak için kaynaklara sahip değiller ve uyumluluğu izlemek için şirket içi danışmanları yok, bu yüzden sadece riski üstleniyorlar. Bu şirketlerde, bir ihlal olduğunda, düzenleyiciler ifadelerin doğruluğunu onaylayamadığı için çok az şeffaflık oluyor. Ancak, uyumsuzluk çok riskli bir stratejidir. Tüketiciler veri haklarının ve verilerinin değerinin çok daha fazla farkına varıyor, bu nedenle bir şirket cezalardan kaçınabilirken, bir veri ihlali yaşamaları durumunda marka değerini ve itibarını riske atıyor - ve bu cezalardan bile daha kötü olabilir.

Daha sıkı yaptırım gelebilir

Yaptırım ile oyunu değiştirebileceği tahmin edilen veri gizliliği düzenlemeleri var. Yaklaşmakta olan önemli bir gelişme, çerezler, hangi rızanın gerekli olduğu, kimlerin hangi nedenlerle e-posta gönderebileceği, izleme vb. ile ilgili politikaları tanımlayan ve daha geniş kişisel veri kavramına daha kesin bir katman ekleyen eGizlilik Yönetmeliğidir. Bunun daha fazla yaptırımı tetiklemesi muhtemeldir çünkü düzenleyiciler daha aylar olmasına rağmen hem GDPR hem de ePrivacy düzenlemesini birlikte kullanacaklardır.

Ufukta görünen ve işletmelerin çalışma şeklini değiştirecek başka bir yasa da CCPA'dır. Buradaki kilit nokta, bunun ABD'de kök salmış bu tür bir mevzuatın ilki olmasıdır. Belki de federal bir yasa olmadığı için bu yaklaşan düzenleme hakkında çok fazla vızıltı görmeyebiliriz, ancak buna hazırlanmayan şirketler olabilir. CCPA ihlali başına 7.500 ABD Doları ve tehlikeye atılan her kayıt için 750 ABD Doları gibi cezalarla çok hoş olmayan bir şekilde şaşırabilirsiniz - bu önemli bir miktara ulaşabilir ve daha küçük bir işletme için yıkıcı olabilir.

Perakendeciler için bazı tavsiyeler

Perakendeciler, özellikle ABD'de, küresel şirketlerin sahip olduğu sıkı GDPR hazırlık sürecinden geçmemiş olanlar, yaklaşan politikalara uymak için gereken önemli ön hazırlığı göz önünde bulundurmalıdır. Kaliforniya, GDPR'de gözlemlediklerimizden daha ağır uyumsuzluk cezaları uygulama konusunda muhtemelen daha katı olacaktır. Büyük küresel markalar, kısmen GDPR'ye hazırlıkları ve Avrupa'da bir süredir var olan özenli veri incelemeleri nedeniyle CCPA'ya hazır olabilir. Ancak, daha küçük işletmeler, yaklaşan sıkı veri gizliliği ve uyumluluk araştırmalarına hazırlıksız yakalanabilir. İşte ABD şirketlerine ve Kaliforniya'da iş yapmaya devam etmek isteyenlere gelecek mevzuata hazırlanmalarına yardımcı olabilecek bazı ipuçları:

  1. CCPA'nın kesin bir gerekliliği olmasa da, bir "işleme kaydı" oluşturmak ilk adım olmalıdır: hangi verileri topladığınızı ve bu verilerle tam olarak ne yaptığınızı belirleyin. Bu süreçten geçerek, CCPA kapsamında hangi kapsama girdiğinizi anlayacaksınız. Tüm bunları tam olarak anlayarak sürece girmelisiniz.
  2. Elbette veriler değerlidir, ancak daha fazla veri mutlaka daha fazla değer anlamına gelmez. Neden topladığınızı bilmiyorsanız, ondan kurtulun. Şirketiniz için yararlı olmayan veriler, yalnızca depolama maliyetlerinde size maliyet getirir ve veri ihlallerine maruz kalma riskinizi artırır. Verileri silmek korkutucu gelebilir, ancak atılması inanılmaz derecede güçlendirici bir adımdır ve sonuçta veriye dayalı karar verme sürecinizi daha verimli hale getirecektir. Birçok şirket, temiz veri kümelerini kullanırken artan dönüşüm oranları ve daha etkili hedefleme gördü.
  3. GDPR kapsamında, bazı durumlarda bir veri koruma görevlisi gerekliliği vardır. Bu genel olarak iyi bir fikirdir: Birini veri gizliliğinden ve şirketi geçerli yasal rejimler kapsamındaki yükümlülüklerini yerine getirmeye hazırlamaktan sorumlu hale getirin. Ayrıca, bu kişinin görünürlüğünün yüksek olduğundan emin olun. CCPA ile bu kişinin GDPR'de olduğu gibi üst yönetime rapor vermesi şartı yoktur; ancak, üst yönetimin iç denetçinin bulduklarından haberdar olmasını sağlamak çok iyi bir fikir olacaktır.
  4. Belirli senaryolarda neler olduğunu anlamak için satıcılarınıza ve ortaklarınıza proaktif olarak ulaşın; Belirli zaman dilimlerinde gereksinimler konusunda size yardımcı olabilecekler mi? Süreç hakkında konuşun. İşletmenizin birlikte çalıştığı diğer taraflarla bu konuşmayı başlattığınızda, yardımcı olup olamayacakları ve uyum sağlayıp sağlayamayacakları çabucak anlaşılacaktır.
  5. Veri gizliliği yasalarının işletmeniz için olumlu faydalarını anlayın. Bu politikalar, şirketlere müşteri veritabanlarını daha sağlıklı ve daha aktif hale getirme, veri depolamayla ilgili maliyetleri düşürme ve bunları almak isteyen bireylerle daha fazla kişisel iletişim geliştirme konusunda yetki verir.
  6. Eğlenceli hale getir. Sade ve basit bir dil kullanırsanız ve yaptığınız şeyin faydalarını onlara gösterirseniz, son kullanıcıların veri işleme uygulamalarınızı anlaması ve kabul etmesi çok daha olasıdır. Koleksiyonu haklı çıkaramıyorsanız, belki de gerçekten ihtiyacınız olup olmadığını yeniden düşünmeye değer!

Uyum için süreçler geliştirmek ve yürütmek kolay olmayabilir, ancak bu yapıldığında dünyayı daha iyi bir yer haline getirecektir. Ve iyi hazırlanmış şirketler için bu, işleri için bir destek anlamına bile gelebilir.