Stan ochrony danych w 2024 r
Opublikowany: 2023-09-11Marketing był kiedyś stosunkowo prostym zawodem. Nie było to łatwe ani proste, ale istniała pewna jasność co do granic tej roli. Dotyczyło to szczególnie komunikacji. Przed pojawieniem się Internetu i technologii cyfrowych nasze kanały komunikacji były stosunkowo nieliczne. W ostatnich dziesięcioleciach, a zwłaszcza w ciągu ostatnich pięciu do dziesięciu lat, nastąpił szybki rozwój opcji dostępnych specjalistom ds. marketingu, szczególnie w obszarze prywatności danych.
Wprowadzenie w dniu 25 maja 2018 r. unijnego ogólnego rozporządzenia o ochronie danych (RODO) było pod wieloma względami odpowiedzią na tę ekspansję technologiczną. Europejscy prawodawcy starali się zapewnić zbiór zasad chroniących dane obywateli. Od tego czasu RODO nadało ton innym regionom świata, aby rozważyły własne podejście do regulacji danych.
Ponieważ jesteśmy jednymi z największych użytkowników danych osobowych w naszych firmach, na nas, marketerach, spoczywa obowiązek upewnienia się, że dobrze rozumiemy najlepsze praktyki w zakresie ochrony danych. W szczególności musimy opanować podstawy. W tym krótkim artykule wskażę kilka kluczowych obszarów, o których liderzy marketingu i ich zespoły powinni już teraz pamiętać.
Wskazówka dla profesjonalistów : posłuchaj coveru Data Protection 101 Stevena Robertsa w podcaście DMI.
„Przejrzystość jest kluczową zasadą leżącą u podstaw RODO. Marketerzy korzystający z narzędzi AI przetwarzających dane osobowe muszą być w stanie w jasny i prosty sposób wyjaśnić, w jaki sposób te dane są wykorzystywane. „ Stevena Robertsa
Szybko zmieniający się ekosystem prywatności
RODO zapoczątkowało wprowadzenie wielu podobnych przepisów na całym świecie, a nowe przepisy obowiązują w takich krajach jak Chiny, Singapur i Republika Południowej Afryki.
Kalifornijska ustawa o ochronie prywatności konsumentów (CCPA) jest najbardziej znaną z szeregu przepisów lokalnych i stanowych obowiązujących w USA . Przyczyniło się to do powstania bardziej złożonego międzynarodowego ekosystemu ochrony danych.
W Wielkiej Brytanii rząd brytyjski rozważa zmianę brytyjskiego RODO w ramach prac nad nowym projektem ustawy o danych (stan na wrzesień 2023 r.). Przedsiębiorstwa prowadzące handel ze Zjednoczonym Królestwem będą musiały uważnie monitorować tę sytuację, szczególnie jeśli ma ona wpływ na decyzję dotyczącą adekwatności między UE a Wielką Brytanią*.
W Europie szereg powiązanych aktów prawnych UE jest w trakcie wprowadzania. To zawiera:
- Ustawa o rynkach cyfrowych
- Ustawa o usługach cyfrowych
- Rozporządzenie w sprawie sztucznej inteligencji. To ostatnie jest szczególnie pilne w dobie szybkiego rozszerzania zakresu i wykorzystania technologii AI takich jak ChatGPT.
Trwają również dyskusje na temat przeglądu obowiązującej dyrektywy o prywatności i łączności elektronicznej, która jest powszechnie uważana za nieadekwatną do swojego celu. Całe to ustawodawstwo może mieć wpływ na działania związane z przetwarzaniem danych przez marketerów działających w Unii Europejskiej.
Od początku należy uwzględnić ochronę danych
Według Chiefmartech.com istnieje ponad 11 000 platform technologii marketingowych; liczba, która rośnie z roku na rok. Wiele z tych technologii wykorzystuje dane osobowe, aby skuteczniej docierać do różnych odbiorców i docierać do nich.
Marketerzy rozważający nową platformę lub jakiekolwiek nowe strategie obejmujące wykorzystanie danych osobowych powinni od samego początku zadbać o prywatność danych. Zawarta w RODO zasada ochrony danych już w fazie projektowania i domyślna jest tutaj kluczowa. Jednym z najlepszych sposobów przestrzegania tej zasady jest przeprowadzenie tak zwanej oceny skutków dla ochrony danych (DPIA).
Obejmuje to proces dwuetapowy. Najpierw przeprowadzana jest wstępna ocena skutków dla ochrony danych, podczas której zadaje się serię pytań wysokiego szczebla w celu oceny, czy projekt może powodować znaczące ryzyko dla prywatności. W przypadku zidentyfikowania takich ryzyk należy przeprowadzić pełną ocenę skutków dla ochrony danych. Na tym etapie następuje szczegółowa analiza projektu, w tym konsultacje z kluczowymi interesariuszami. Takie podejście pozwala na ponowną kalibrację projektu w przypadku, gdy zagrożenia prywatności są zbyt wysokie, lub podjęcie działań łagodzących w celu zmniejszenia poziomu ryzyka.
Przykłady dla marketerów mogą obejmować wprowadzenie nowej strategii dotyczącej danych własnych lub wprowadzenie platformy CRM. Ogólnie uważa się, że najlepszą praktyką jest poddawanie wszelkich nowych narzędzi marketingowych, które mogą wykorzystywać dane osobowe, ocenie skutków dla ochrony danych.
Sztuczna inteligencja i prywatność danych
Platformy sztucznej inteligencji (AI) stają się coraz bardziej popularne wśród marketerów, napędzając takie działania, jak automatyczne chatboty w witrynach internetowych. Wprowadzenie ChatGPT i innych dużych modeli językowych (LLM) zapewnia marketerom znaczny potencjał zwiększenia ich produktywności. Na przykład generowanie blogów i artykułów w ramach strategii content marketingu.
Marketerzy rozważający taką technologię muszą być świadomi zagrożeń związanych z ochroną danych. Przejrzystość jest kluczową zasadą leżącą u podstaw RODO. Marketerzy korzystający z narzędzi AI przetwarzających dane osobowe muszą być w stanie w jasny i prosty sposób wyjaśnić, w jaki sposób te dane są wykorzystywane. Stanowi to spore wyzwanie, ponieważ często nie jest łatwo dokładnie określić, w jaki sposób dane są przetwarzane przez technologię AI.
Ponadto art. 22 RODO przyznaje osobom fizycznym prawo do sprzeciwu wobec zautomatyzowanych decyzji, które mogą wywoływać skutki prawne. Na przykład „automatyczne odrzucenie wniosku o kredyt online lub praktyki e-rekrutacji bez jakiejkolwiek interwencji człowieka”. W takich przypadkach mają prawo do uzyskania interwencji człowieka w ramach procesu decyzyjnego.
Podkreślając potencjalne obawy dotyczące ochrony danych wynikające ze stosowania sztucznej inteligencji, firma Google była zmuszona opóźnić wprowadzenie nowego chatbota opartego na sztucznej inteligencji, Bard, po interwencji irlandzkiej Komisji Ochrony Danych (DPC). Komisja stwierdziła, że gigant technologiczny powinien przedstawić dalsze informacje na temat sposobu ochrony praw obywateli UE do prywatności. Następnie Google uruchomił Bard w UE po tym, co DPC określiło jako „szereg zmian, w szczególności zwiększoną przejrzystość i zmiany w zakresie kontroli dla użytkowników”.
„Zgodność danych to proces ciągły. Początkowym priorytetem jest prawidłowe opanowanie podstaw. „ Stevena Robertsa
Większe kary i świadomość konsumentów
Jako marketerzy jesteśmy głosem konsumentów, odpowiedzialnym za ochronę marki i reputacji naszych firm. Konsumenci mają większą świadomość swoich praw w zakresie ochrony danych. W dużej mierze jest to spowodowane rozgłosem związanym z wysokimi karami finansowymi.
Według firmy prawniczej DLA Piper unijne organy nadzorcze nałożyły kary w wysokości 1,6 miliarda euro w ciągu 12 miesięcy od 28 stycznia 2022 r. Tendencja ta utrzymała się w 2023 r., w szczególności po nałożeniu przez irlandzki DPC grzywny w wysokości 1,2 miliarda euro na Meta za przeniesienie użytkowników z UE „dane osobowe do USA bez posiadania odpowiednich mechanizmów ochrony danych.
W kwietniu 2023 r. Brytyjskie Biuro Komisarza ds. Informacji (ICO) nałożyło na TikTok grzywnę w wysokości 12,7 mln funtów za naruszenia związane z niewłaściwym wykorzystywaniem danych dzieci.
Tymczasem w USA w sprawie prywatności danych pojawiło się więcej stanowisk politycznych, obejmujących próby zakazu TikToka na poziomie stanowym, np. w Montanie, oraz zauważalnie ostrzejsze nowe kierownictwo FTC pozywające Amazon za rejestrowanie klientów w Prime bez zgody. W Irlandii pracownicy agencji rządowych i stanowych mają obowiązek usuwania aplikacji TikTok z oficjalnych urządzeń; chociaż ograniczenia wprowadzono także w jurysdykcjach takich jak Wielka Brytania i Holandia.
Warto zauważyć, że chociaż AdTech i reklama behawioralna były priorytetami egzekwowania prawa dla DPC i innych organów nadzorczych, na przedsiębiorstwa z wielu sektorów gospodarki nałożono kary; aczkolwiek nie na tak oszałamiającym poziomie, jaki obserwowaliśmy w przypadku firm technologicznych.
Przesyłanie danych międzynarodowych
Międzynarodowe przesyłanie danych przysporzyło firmom chcącym przesłać dane osobowe poza Unię Europejską poważnych problemów. Jest to aspekt prywatności danych, który w ostatnich latach uległ znaczącym zmianom. W lipcu 2020 r. Europejski Trybunał Sprawiedliwości orzekł, że istniejące ustalenia dotyczące Tarczy Prywatności dotyczące przesyłania danych między UE a USA są nieważne. Od czasu tej decyzji, znanej jako Schrems II , obie jurysdykcje poszukują alternatywnego mechanizmu zgodnego z RODO.
Na początku lipca Unia Europejska zatwierdziła nowe ramy ochrony danych. Choć jest to mile widziane, okaże się, czy będzie ono przedmiotem podobnych wyzwań ze strony zwolenników ochrony prywatności, jak miało to miejsce w przypadku jego dwóch poprzedników. W międzyczasie firmy musiały znaleźć alternatywne podejścia, takie jak stosowanie standardowych klauzul umownych (znanych jako SCC)***.
W przypadku firm prowadzących handel ze Zjednoczonym Królestwem rząd brytyjski wyraził zamiar usprawnienia niektórych aspektów brytyjskiego RODO, mając na celu uczynienie obecnych przepisów mniej uciążliwymi dla przedsiębiorstw ****.
Jak być na bieżąco z informacjami o ochronie danych
Wielu marketerów stara się dotrzymać kroku temu tempu zmian, zwłaszcza ci z małych i średnich przedsiębiorstw, które mogą nie mieć dostępu do tych samych zasobów, co zespoły w dużych międzynarodowych firmach.
Warto sobie przypomnieć, że zapewnienie zgodności danych to proces ciągły. Początkowym priorytetem jest prawidłowe opanowanie podstaw. Mając to na uwadze, w ramach skutecznej kultury ochrony danych w firmie kluczowe znaczenie ma kilka aspektów:
1. Szkolenie jest niezbędne
Szkolenia muszą być regularne i ciągłe, zarówno dla nowych, jak i obecnych pracowników. Jest to szczególnie ważne, biorąc pod uwagę poziom odejść, jaki obserwujemy obecnie na wielu stanowiskach marketingowych, a także ogólne tempo rozwoju w obszarze compliance. Niektórzy eksperci szacują, że 90% wszystkich naruszeń danych wynika z błędu ludzkiego. Szkolenie jest niezbędne, aby zrównoważyć to ryzyko.
2. Poznaj 6 podstaw prawnych i 7 podstawowych zasad RODO
Wiele naruszeń, które zaobserwowaliśmy w ciągu ostatnich pięciu lat, można byłoby ograniczyć lub usunąć, gdyby firmy rozważyły następujące kwestie;
- Po pierwsze, czy istnieje jasna podstawa prawna do przetwarzania tych danych osobowych?
- Po drugie, czy przetwarzanie jest zgodne z zasadami RODO?
3. Ustaw ton od góry
Wszystkie firmy czerpią przykład z kadry kierowniczej wyższego szczebla. Zarząd i zespół wykonawczy muszą otwarcie wspierać i opowiadać się słowami i czynami za silną kulturą ochrony danych w całej organizacji.
4. Wprowadź szczegółowe zapisy i procesy
Odpowiedzialność jest jedną z nadrzędnych zasad RODO. Artykuł 30 rozporządzenia wymaga dokładnego prowadzenia dokumentacji w ramach skutecznej kultury prywatności. Firmy czerpią także znaczne korzyści w zakresie produktywności i wydajności dzięki wdrożeniu z wyprzedzeniem jasnych procesów dotyczących takich aspektów, jak wnioski o dostęp do danych i zgłaszanie naruszeń danych.
5. Zrozum wyższe wymagania dotyczące zgodności dotyczące danych dotyczących dzieci i danych kategorii specjalnych
Marketerzy muszą pamiętać o dodatkowych wymogach dotyczących zgodności, jeśli chodzi o dane nieletnich, a także o szereg danych kategorii specjalnych określonych w RODO.
Wniosek
Ochrona danych szybko ewoluowała w ostatnich latach. Wprowadzenie RODO w 2018 r. spowodowało wzrost świadomości konsumentów i wyższe kary dla przedsiębiorstw nieprzestrzegających przepisów. Stało się także katalizatorem fali podobnych przepisów na arenie międzynarodowej w takich krajach jak Chiny, Singapur i Republika Południowej Afryki. Takie tempo zmian i związana z nim zwiększona złożoność oznaczają, że dla marketerów i ich firm kluczowe znaczenie ma ustanowienie skutecznej kultury ochrony danych.
Nowe technologie wymagające dużej ilości danych, takie jak sztuczna inteligencja, tylko wzmacniają ten wymóg. Dzięki skupieniu się na opanowaniu podstaw, regularnym szkoleniom dotyczącym kluczowych aspektów Rozporządzenia, przejrzystym procesom i prowadzeniu dokumentacji oraz wsparciu ze strony kierownictwa organizacji, marketerzy i ich zespoły są dobrze przygotowani, aby zapewnić przestrzeganie przepisów.
Notatki
* Decyzja UE stwierdzająca odpowiedni poziom ochrony, uzgodniona w 2021 r., zasadniczo stwierdza, że w Wielkiej Brytanii stosuje się środowisko ochrony danych podobne do środowiska UE. Decyzja ma zostać poddana przeglądowi po czterech latach i może być zagrożona, jeśli uzna się, że Wielka Brytania odeszła od obecnie obowiązującego poziomu ochrony danych.
** Motyw 71 RODO
*** Po włączeniu do umowy SKU mogą zapewnić zgodność z obowiązkami dotyczącymi przesyłania danych RODO.
**** Ustawa o ochronie danych i informacji cyfrowej (nr 2).