• Anasayfa
  • Nesne
  • Pazarlama
  • Uyumluluğu Tanımlamak: 2019'da Küresel Veri Gizliliği ve Güvenliğinin Başladığı Yer

Uyumluluğu Tanımlamak: 2019'da Küresel Veri Gizliliği ve Güvenliğinin Başladığı Yer

Yayınlanan: 2019-01-31

Geçen bahar, Avrupa Birliği'nin Mayıs 2018'de yürürlüğe giren Genel Veri Koruma Yönetmeliği (GDPR) sayesinde pazarlamacılar, BT uzmanları ve avukatlar için biraz telaşlı geçti. Bu dönüşümsel mevzuat, bildiğimiz gibi veri gizliliğini ve güvenliğini sarstı. sadece AB'de değil, tüm dünyada şirketleri müşteri verilerini nasıl kullandıklarından sorumlu tutarak ve bireylerin kendi bilgilerini kontrol etme haklarını yeniden vurgulayarak.

O zamandan beri, Facebook ve Google gibi teknoloji devlerinin kişisel verileri ve diğer ihlalleri nasıl kullandıklarını yeterince açıklamadıkları için para cezaları ve diğer yasal işlemlerle karşı karşıya kaldıklarını defalarca duyduk . Buna ek olarak, GDPR, veri gizliliği ve güvenliğiyle ilgili olarak, bu kilit alandaki zeminin henüz yerleşmekten çok uzak olduğunu açıkça ortaya koyan bir konuşmalar ve artımlı eylemler dalgası başlattı.

2019 başlarken, dünya çapında irili ufaklı markaların karşılaştığı büyük sorulardan biri şudur: Yeni yıl küresel veri gizliliği ve güvenliği için ne getiriyor? Braze'de işleyen bir kristal küremiz olmasa da, bir sonraki en iyi şeye sahibiz: Hukuktan Sorumlu Kıdemli Başkan Yardımcısı, Baş Hukuk Müşaviri ve Şirket Sekreteri Susan Wiseman ve Baş Hukuk Müşaviri Yardımcısı ve Kıdemli Müdür (EMEA) Marjorie Armitage, son yıllarda bu gelişen alanın ön saflarında yer alan kişiler. Gelecek yıl için tahminlerini haritalandırdıklarını görmek için okumaya devam edin:

1) Tüketici mahremiyet haklarına vurgu AB dışına yayılacak

Pek çok hukukçu, konu temel yasal kavramlara geldiğinde GDPR'nin özellikle yeni olmadığını söyleyecektir. Düzenleme genellikle muğlaktır ve kasıtlı olarak öyledir - taslakları hazırlayanların, teknolojiler geliştikçe mevzuatın esnek ve ilgili kalmasına izin verme çabasının bir parçası. (Sonuçta, GDPR'nin yerini aldığı AB mevzuatı olan Veri Koruma Yönergesi 23 yıldır yürürlükteydi ve akıllı telefonların Steve Jobs'un gözünde bir parıltı olduğu zamana kadar uzanıyordu.) GDPR'yi diğerlerinden ayıran şey, yol. AB ülkelerinin vatandaşlarını korumak için çalıştığını. Veri gizliliği ve güvenliğini bir tür temel insan hakkı olarak gösteren mevzuat, diğer ülkelerde AB vatandaşlarının kişisel verileriyle ilgilenen kuruluşların bu sorunları ve uyumluluğu ciddiye almalarını sağlamak için çok şey yapıyor.

Aslında, AB ve dünyadaki diğer bazı ülkeler, kişisel verileri korumak için katı yasalara sahiptir. AB, şirketlerin kişisel verileri AB'den eşit derecede katı yasalara sahip diğer ülkelere aktarmalarına izin verir. AB, bu ülkeleri “yeterli” yargı alanları olarak adlandırmaktadır. Ancak, örneğin, şu anda AB standartlarına göre yeterli kabul edilmeyen bir ülke olan Amerika Birleşik Devletleri merkezli bir medya şirketiyseniz, AB'deki müşterilerinizden gelen kişisel verileri, sahip olduğunuz sürece yine de işleyebilirsiniz. müşterinizle kişisel verileri ABD yasalarının gerekliliklerini aşan bir şekilde koruyacağınız konusunda mutabık kaldınız. Bunu, Gizlilik Kalkanı'na onay vererek veya müşterinizle Model Maddeleri imzalayarak yapabilirsiniz. Hem Gizlilik Kalkanı hem de Model Maddeleri, kişisel verilerin ABD'ye transferini doğrulamaya hizmet eder; AB tarafından tanınan bir yöntem olmadan bunu yapmak AB hukukunun ihlali olacaktır.

Bu tür anlaşmalar çok önemlidir çünkü bir ülkenin yeterliliğe ulaşması zor olabilir. Örneğin, Amerika Birleşik Devletleri'nde henüz GDPR ile uyumlu kapsamlı bir ulusal yasa bulunmadığından, ABD merkezli firmalar AB kişisel verilerini yalnızca müşterileriyle Model Hükümlerini imzalamışlarsa veya kendi kendilerine sertifikaları varsa işleyebilirler. AB şirketlerinin AB vatandaşlarının kişisel verilerini ABD şirketlerine aktarmasını mümkün kılan AB-ABD Gizlilik Kalkanı Çerçevesine (örneğin Braze gibi!)

2) Amerika Birleşik Devletleri muhtemelen 2019'da bir federal veri gizliliği yasası taslağı taslağı taslağı oluşturmayacak, ancak eyalet yasaları harekete geçecek

ABD'nin AB'deki veri koruma yetkililerinin gerektirdiği standartları karşılayan herhangi bir ulusal yasası olmadığı doğru olsa da, tüketici verilerinin gizliliği ve güvenliği söz konusu olduğunda, yavaş ama emin adımlarla eyalet eyalet görmeye başlıyoruz. mevzuat devreye giriyor.

Geçen yıl Kaliforniya, Kaliforniya Tüketici Gizliliği Yasası'nın oluşturulmasıyla ülkede yeni veri gizliliği yasasını kabul eden ilk eyalet oldu. Bu yasa, ABD veri gizliliği gereksinimleri söz konusu olduğunda çığır açıcıdır, tüketicilere veri erişimi ve silme hakkını garanti eder ve ayrıca şirketlerin, belirtilen denetleyici/işlemci kurallarını anımsatan şekillerde uyumluluğu sağlamak için üçüncü taraf veri işleme sözleşmelerini güncellemelerini gerektirir. ABD'de türünün ilk örneği olan diğer gereksinimlerin yanı sıra GDPR'de

GDPR yaptırımı Mayıs 2018'de yürürlüğe girdiğinde, birkaç ABD'li şirket, bu büyük yeni düzenlemeyle uğraşmayı seçti. Yani, AB'de müşterileri olmayan bazı kuruluşlar, AB'de müşterileri olmadığı için GDPR uyumluluğu için çalışmamayı tercih etti; bu arada, AB'de müşterileri olan diğer şirketler , yeni yasaya uymaya çalışmak yerine onları kapatmayı tercih etti. ABD'de önemli bir teknoloji ve medya merkezi olan California'daki bazı markalar da bu tekneye düştü. Los Angeles Times'ın web sitelerini AB'de tamamen kapattığını ve tüm bunların GDPR'ye uymaları gerekmediğini hatırlıyor musunuz? Eh, şimdi aynı şirketlerin, 1 Ocak 2020'de uygulama başlamadan önce Kaliforniya Tüketici Gizliliği Yasası'na uymaları için bir yıldan az bir süre var.

Genel olarak, müşteri verilerinin gizliliği ve güvenlik haklarının verildiği bir gerçekliğe doğru ilerlemeye başlamak, büyük ve küçük, yeni ve yerleşik ABD merkezli şirketlere çok yarayacaktır. Kaliforniya, GDPR'nin ardından tamamen yeni veri gizliliği yasasını çıkaran ilk eyalet olsa da, Louisiana, Alabama, Colorado ve Virginia gibi diğer eyaletlerin veri gizliliğiyle ilgili mevcut yasaları güçlendirmek için adımlar attığını görüyoruz. (Ayrıca, Vermont daha önce veri komisyoncularına yönelik düzenlemeleri sıkılaştıran ve minimum güvenlik standartlarını belirleyen yeni bir yasa çıkardı.)

ABD federal hükümetinin bu yıl GDPR tarzı bir federal yasa taslağı hazırlamak için adımlar atacağına dair şu ana kadar bir işaret olmasa da, genişleyen patchwork ve eyalet bazında veri gizliliğine ilişkin yeni ve güçlendirilmiş mevzuat, işletmeler için önemli bir işaret. şu anda verileri nasıl ele aldıklarını ciddi olarak düşünmeleri gerektiğini. Aksi takdirde, ülke çapında yeni bir yasa yürürlüğe girdiğinde ya da eyalet bazında yasaların davul sesleri, tüketici verilerini nasıl işlediklerini ve yönettiklerini elden geçirmeden ABD'de iş yapmayı imkansız hale getirdiğinde kör olma riskiyle karşı karşıya kalırlar.

Bu ABD Kongresi'nin yakın zamanda bir [ülke çapında gizlilik] yasasını geçirmesi pek olası değil. Bununla birlikte, mahremiyet açıkça insanların kafasındadır. ABD'de bile artan bir ivme ve mahremiyet haklarına ve daha iyi ve daha fazla mevzuat ihtiyacına vurgu var. Sanırım yeni ve kapsamlı bir Federal Gizlilik Yasası görmek yerine, bir grup eyaletin geçen yıl Kaliforniya'nın CCPA ile yaptığına benzer yasalar çıkardığını göreceğiz.

Braze Hukuk Kıdemli Başkan Yardımcısı, Baş Hukuk Müşaviri ve Şirket Sekreteri Susan Wiseman

3) Tasarım gereği gizlilik yeni normal olacak

"Tasarım yoluyla gizlilik", sistemlerin en baştan, endüstri standardı güvenlik uygulamaları kullanılarak kişisel verilerin depolanması, korunması, aktarılması ve işlenmesi amacıyla ve tüketicilerin kişisel verilerine ilişkin isteklerine uygun olarak kurulmasını sağlamak anlamına gelir. Ancak konsept bir süredir ortalıkta dolaşırken, GDPR, bunu uyumluluk gereksinimlerinin bir parçası olarak dahil eden ilk düzenlemedir. GDPR'de tasarım yoluyla gizlilik olarak nitelendirilenlerin parametreleri biraz belirsiz olsa da, uyumlu şirketlerin sistemlerini veri güvenliğini göz önünde bulundurarak tasarlamak için önlemler almasını sağlar.

Şirketinizin "tasarım gereği gizlilik" standartlarını karşıladığından emin olmak, bilgi yönetimi söz konusu olduğunda dikkatli ve dikkatli olmayı gerektirir. Verilerin nereden geldiğini, hangi kişilerin ve sistemlerin ona dokunduğunu ve ne zaman erişilebileceğini ve kullanılamayacağını bilmelisiniz. Tüm bunlar, en başından itibaren güçlü veri gizliliği ve güvenliği kavramlarını entegre eden veri yönetimi sistemleri ve süreçleri oluşturursanız çok daha kolaydır.

GDPR, tüketicilere verilerinin kuruluşlar tarafından nasıl kullanıldığına dair (çok büyük bir yasal belgeyi okumak zorunda kalmadan) net bir anlayış sağlamaya, onlara veri tercihlerini istedikleri zaman kolayca değiştirme olanağı ve erişim ve erişim hakkı vermeye önem verir. istedikleri zaman bilgilerinin silinmesini talep edebilirler. Varsayılan olarak gizlilik de bu konsepte uygundur, yani bir müşteri tercihlerini güncellemediyse, varsayılan ayar en yüksek veri koruma ve kontrol seviyeleri olmalıdır. Pazarlamacıların çok iyi bildiği gibi, bu tür kısıtlamalar bazen müşteri deneyimini olumsuz etkileyebilir; örneğin, bir araç paylaşım uygulamasının kullanıcıları konumlarına erişim sağlamazlarsa oldukça sinir bozucu bir deneyim yaşayacaklardır. Bu, vaka tüketicilerinin daha alakalı, daha etkili deneyimleri desteklemek için kişisel verilerini kullanmalarına izin vermenin gerçek bir değer olduğuna karar vermelerini sağlamak için yaratıcı (ve uyumlu!) mesajlaşmayı kullanmanın şirketlerde olduğu anlamına gelir.

GDPR, teknolojinin gelişmesine izin vermek amacıyla uyumluluğun neye benzediği konusunda bilinçli olarak genişletildi. Veri Koruma Yönergesi'nin belirli yönleri, internet patladığında yaklaşık beş yıl içinde güncelliğini yitirdi, bu nedenle yasa koyucular GDPR'nin teknolojiden bağımsız olduğundan emin olmak için çok dikkatli davrandılar.

Marjorie Armitage, Braze Baş Hukuk Müşaviri Yardımcısı ve Kıdemli Direktör (EMEA)

4) Şirketler giderek daha fazla Üçüncü Taraf Doğrulaması arayacak

GDPR'nin doğasında bulunan kasıtlı belirsizliği, mevzuatın merkezinde yer alır ve bu belirsizlik, yasalara uymak isteyen birçok şirket için büyük bir engel olmuştur. Ancak neyse ki aynı belirsizlik, işletmelerin bir araya gelerek verilerin uyumlu bir şekilde işlenmesinin neye benzediğini belirlemelerine ve aynı zamanda teknolojinin büyümesine ve gelişmesine olanak sağladı. Ve veri gizliliği söz konusu olduğunda şirketinizin gerçekten iddia ettiğiniz şeyi yaptığını kanıtlamak GDPR uyumluluğunun önemli bir bileşeni olduğundan, üçüncü taraf doğrulama sistemleri markalar için giderek daha önemli hale gelecektir.

Bu neye benziyor? Braze'de veri gizliliğine ve güvenliğine öncelik verdiğimizden emin olmaya odaklanmamız, sistemlerimizin ve süreçlerimizin üçüncü taraf doğrulamasını sürdürmemize neden oldu - son olarak, SOC 2, Tip 2 ve ISO 27001 sertifikasyonunu başarıyla tamamladık. 2018 takvim yılı. ISO sertifikası, bir kuruluşun kapsamlı bir güvenlik riskleri değerlendirmesi gerçekleştirdiğini ve ISO'nun küresel bilgi güvenliği yönetim standardında belirtilen gereksinimlerle uyumlu bir Bilgi Güvenliği Yönetim Sistemi (BGYS) oluşturduğunu ve alıcı şirketin endüstri standardına ulaştığından emin olduğunu onaylar. güvenlik protokolleri.

Bu standartlar, ISO'nun küresel standart belirleme süreci kapsamında dünyanın dört bir yanından paydaşlar tarafından belirlenir. Aslında, kendi Marjorie Armitage'imiz şu anda GDPR uyumluluğuyla ilgili endüstri gizlilik standartlarını belirlemek için çalışan Avrupa standartlar kuruluşunun Birleşik Krallık'ta çalışan alt grubunun eşbaşkanı olarak görev yapmaktadır. Ve yeni veri gizliliği düzenlemeleriyle ilişkili standartların sayısı arttıkça, hem tüketicilere hem de düzenleyicilere uyumlarını kanıtlamak isteyen şirketler için risk teşkil edecek standartlar için bu tür standartlar için sertifikalar arayın.

Hesap verebilirlik her zaman veri korumanın temel bir ilkesiydi, ancak GDPR sonunda bunu yasayla kodladı. Uyumlu olduğunuzu ve söylediğiniz her şeyi yaptığınızı gösterebilmeniz gerekir.

Marjorie Armitage, Braze Baş Hukuk Müşaviri Yardımcısı ve Kıdemli Direktör (EMEA)

Son düşünceler

Teknoloji, şirketlerin müşterileri ve davranışları hakkında her zamankinden daha zengin, daha incelikli bir görüş elde etmelerini mümkün kıldı - ancak bu anlayışı güçlendiren ayrıntılı müşteri verilerinin kullanımı, markalar ve kullanıcıları için benzer riskler taşıyabilir. Verilerden etkili bir şekilde yararlanmanın bir parçası, müşterilerinizin size emanet ettiği bilgileri korumak için ihtiyaç duyduğunuz süreçlere, araçlara ve bilgiye sahip olmanızı sağlamaktır.

Kendimizi içinde bulduğumuz dünya bu ve riskler ve ödüller, teknoloji ilerledikçe ve tüketici davranışları değiştikçe daha da büyüyecek. GDPR, HIPAA ve veri güvenliğinin müşteri katılımını nasıl etkilediğine ilişkin en son hususlarla ilgili önemli hususları daha derinlemesine incelemek için Braze Security Roundup'a göz atın .