Состояние конфиденциальности данных в 2024 году
Опубликовано: 2023-09-11Раньше маркетинг был относительно простой профессией. Нелегко и не просто, но была некоторая ясность в границах роли. Особенно это касалось средств связи. До появления онлайна и цифровых технологий наши каналы связи были относительно немногочисленны. В последние десятилетия, и особенно в последние пять-десять лет, произошло быстрое расширение возможностей, доступных специалистам по маркетингу, особенно в области конфиденциальности данных.
Введение Общего регламента ЕС по защите данных (GDPR) 25 мая 2018 года во многом стало ответом на этот технологический рост. Европейские законодатели стремились предоставить набор принципов, которые защитят данные граждан. С тех пор GDPR задал тон другим регионам мира, заставив их рассмотреть собственный подход к регулированию данных.
Мы, маркетологи, являемся одними из самых активных пользователей персональных данных в наших компаниях, поэтому обязаны обеспечить четкое понимание передовой практики защиты данных. В частности, нам нужно правильно понять основы. В этой короткой статье я определю некоторые ключевые области, о которых лидерам маркетинга и их командам следует помнить прямо сейчас.
Совет для профессионалов : послушайте кавер Стивена Робертса на тему «Защита данных 101» в подкасте DMI.
«Прозрачность — ключевой принцип, лежащий в основе GDPR. Маркетологи, использующие инструменты искусственного интеллекта, обрабатывающие персональные данные, должны иметь возможность ясно и просто объяснить, как эти данные используются. Стивен Робертс
Быстро меняющаяся экосистема конфиденциальности
GDPR породил множество подобных законов по всему миру, а также новые законы в таких странах, как Китай, Сингапур и Южная Африка.
Закон Калифорнии о конфиденциальности потребителей (CCPA) является самым известным из целого ряда местных законов и законов штата в США . Это способствовало созданию более сложной международной экосистемы конфиденциальности данных.
В Великобритании британское правительство рассматривает возможность пересмотра GDPR с новым законопроектом о данных, который в настоящее время находится в разработке (по состоянию на сентябрь 2023 г.). Предприятиям, торгующим с Великобританией, необходимо будет внимательно следить за этим развитием событий, особенно если оно повлияет на решение об адекватности между ЕС и Великобританией*.
В Европе множество смежных законодательств ЕС находится в процессе внедрения. Это включает в себя:
- Закон о цифровых рынках
- Закон о цифровых услугах
- Положение об искусственном интеллекте. Последнее особенно актуально в период быстрого расширения ассортимента и использования технологий искусственного интеллекта, таких как ChatGPT.
Также продолжаются обсуждения по пересмотру действующей Директивы о конфиденциальности электронной информации, которая, по мнению многих, больше не соответствует своему назначению. Все это законодательство может повлиять на деятельность по обработке данных маркетологов, работающих в Европейском Союзе.
Защита данных должна быть включена с самого начала
По данным Chiefmartech.com, существует более 11 000 платформ маркетинговых технологий; цифра, которая растет с каждым годом. Многие из этих технологий используют персональные данные для более эффективного охвата различных потребительских аудиторий.
Маркетологи, обдумывающие новую платформу или любые новые стратегии, связанные с использованием персональных данных, должны с самого начала обеспечить конфиденциальность данных. Ключевым моментом здесь является предусмотренный GDPR принцип защиты данных по умолчанию . Одним из лучших способов соблюдения этого принципа является проведение так называемой оценки воздействия на защиту данных (DPIA).
Это предполагает двухэтапный процесс. Сначала проводится предварительная DPIA, в ходе которой задается ряд вопросов высокого уровня, чтобы оценить, может ли проект представлять значительные риски для конфиденциальности. Если такие риски выявлены, необходимо провести полное DPIA. На этом этапе проводится детальный анализ проекта, включая консультации с ключевыми заинтересованными сторонами. Такой подход позволяет провести повторную калибровку проекта, если риски конфиденциальности слишком высоки, или принять смягчающие меры для снижения уровня риска.
Примеры для маркетологов могут включать внедрение новой стратегии обработки собственных данных или внедрение платформы CRM. Обычно считается лучшей практикой, что любые новые маркетинговые инструменты, которые могут использовать персональные данные, должны подвергаться DPIA.
ИИ и конфиденциальность данных
Платформы искусственного интеллекта (ИИ) становятся все более популярными среди маркетологов, обеспечивая такую деятельность, как автоматизированные чат-боты на веб-сайтах. Внедрение ChatGPT и других больших языковых моделей (LLM) предоставляет маркетологам значительный потенциал для повышения производительности. Например, создание блогов и статей в рамках стратегии контент-маркетинга.
Маркетологи, рассматривающие такую технологию, должны осознавать риски, связанные с защитой данных. Прозрачность является ключевым принципом, лежащим в основе GDPR. Маркетологи, использующие инструменты искусственного интеллекта, обрабатывающие персональные данные, должны иметь возможность ясно и просто объяснить, как эти данные используются. Это серьезная проблема, поскольку зачастую нелегко определить, как именно данные обрабатываются технологией искусственного интеллекта.
Кроме того, статья 22 GDPR дает физическим лицам право возражать против автоматизированных решений, которые могут иметь юридическую силу. Например, «автоматический отказ в онлайн-заявке на получение кредита или практика электронного найма без какого-либо вмешательства человека». В этих случаях они имеют право на вмешательство человека в процесс принятия решений.
Подчеркивая потенциальные проблемы с защитой данных, возникающие в результате использования искусственного интеллекта, Google была вынуждена отложить внедрение нового чат-бота с искусственным интеллектом Bard после вмешательства Комиссии по защите данных Ирландии (DPC). Комиссия заявила, что технологическому гиганту необходимо предоставить дополнительную информацию о том, как будут защищены права граждан ЕС на неприкосновенность частной жизни. Впоследствии Google запустила Bard в ЕС после того, что DPC назвал «рядом изменений, в частности, повышенной прозрачности и изменений в средствах управления для пользователей».
«Соблюдение требований к данным — это постоянный процесс. Первоначальный приоритет — правильно понять основы. Стивен Робертс
Увеличение штрафов и осведомленность потребителей
Как маркетологи, мы являемся голосом потребителя, ответственным за защиту бренда и репутации наших фирм. Потребители стали лучше осведомлены о своих правах на защиту данных. Во многом это вызвано гласностью, связанной с крупными штрафами.
По данным юридической фирмы DLA Piper, надзорные органы ЕС наложили штрафы на 1,6 миллиарда евро за 12 месяцев, начиная с 28 января 2022 года. Эта тенденция продолжилась и в 2023 году, особенно с наложением ирландским DPC штрафа на 1,2 миллиарда евро против Meta за передачу пользователей из ЕС. персональные данные в США без наличия адекватных механизмов защиты данных.
В апреле 2023 года Управление комиссара по информации Великобритании (ICO) наложило на TikTok штраф в размере 12,7 миллиона фунтов стерлингов за нарушения, связанные с неправомерным использованием данных детей.
Тем временем в США в отношении конфиденциальности данных стали проявляться более политические позиции: попытки запретить TikTok на уровне штата, например, в Монтане, а также заметно более жесткое новое руководство Федеральной торговой комиссии, подающее в суд на Amazon за регистрацию клиентов в Prime без согласия. В Ирландии сотрудники правительственных и государственных учреждений обязаны удалить приложение TikTok с официальных устройств; хотя ограничения также были введены в таких юрисдикциях, как Великобритания и Нидерланды.
Стоит отметить, что хотя AdTech и поведенческая реклама были приоритетами правоприменения для ЦОД и других надзорных органов, штрафы были наложены на предприятия во многих секторах экономики; хотя и не на том потрясающем уровне, который мы видели у технологических компаний.
Передача международных данных
Международная передача данных вызвала серьезные проблемы у фирм, стремящихся передать персональные данные за пределы Европейского Союза. Это аспект конфиденциальности данных, который за последние годы претерпел существенные изменения. В июле 2020 года Европейский суд признал существующее соглашение о защите конфиденциальности для передачи данных между ЕС и США недействительным. После этого решения, известного как Schrems II , обе юрисдикции начали искать альтернативный механизм, соответствующий требованиям GDPR.
Новая структура конфиденциальности данных была одобрена Европейским Союзом в начале июля. Хотя это и приветствуется, еще неизвестно, столкнется ли это с такими же проблемами со стороны защитников конфиденциальности, как и в случае с двумя его предшественниками. Тем временем компаниям пришлось искать альтернативные подходы, такие как использование стандартных договорных условий (известных как SCC)***.
Что касается фирм, торгующих с Великобританией, британское правительство заявило о своем намерении упростить некоторые аспекты GDPR Великобритании, стремясь сделать действующие правила менее обременительными для бизнеса ****.
Как оставаться в курсе конфиденциальности данных
Многие маркетологи изо всех сил пытаются идти в ногу с этой скоростью изменений, особенно те из МСП, которые могут не иметь доступа к тем же ресурсам, что и команды в крупных транснациональных компаниях.
Стоит напомнить себе, что соблюдение требований к данным — это постоянный процесс. Первоначальный приоритет — правильно понять основы. Учитывая это, ряд аспектов имеют решающее значение для любой эффективной культуры конфиденциальности данных внутри компании:
1. Обучение жизненно важно
Обучение должно быть регулярным и постоянным, как для новых, так и для существующих сотрудников. Это особенно важно, учитывая уровень оттока сотрудников, который мы наблюдаем в настоящее время на многих маркетинговых должностях, а также темпы развития в области соблюдения требований в целом. По оценкам некоторых экспертов, 90% всех утечек данных являются результатом человеческой ошибки. Обучение необходимо, чтобы компенсировать этот риск.
2. Знать 6 правовых основ и 7 основных принципов GDPR.
Многие из нарушений, которые мы наблюдали за последние пять лет, можно было бы уменьшить или устранить, если бы компании рассмотрели следующие вопросы:
- Во-первых, существует ли четкая правовая основа для обработки этих персональных данных?
- Во-вторых, соответствует ли обработка принципам GDPR?
3. Задайте тон сверху
Все предприятия берут на себя руководство со стороны высшего руководства. Совет директоров и руководство должны открыто поддерживать и отстаивать, словами и действиями, сильную культуру конфиденциальности данных во всей организации.
4. Создайте подробные записи и процессы.
Подотчетность является одним из основополагающих принципов GDPR. Статья 30 Регламента требует точного ведения учета как части эффективной культуры конфиденциальности. Компании также получают значительные преимущества в производительности и эффективности за счет заранее разработанных четких процессов для таких аспектов, как запросы на доступ к субъектам и отчеты об утечках данных.
5. Понять более строгие требования к соблюдению требований к данным о детях и особых категориях.
Маркетологам необходимо помнить о дополнительных требованиях соответствия, когда речь идет о данных несовершеннолетних, а также о ряде данных особых категорий, определенных в соответствии с GDPR.
Заключение
В последние годы защита данных быстро развивалась. Введение GDPR в 2018 году привело к повышению осведомленности потребителей и ужесточению наказаний для предприятий, не соблюдающих требования. Это также стало катализатором волны подобных законов на международном уровне в таких странах, как Китай, Сингапур и Южная Африка. Такой темп изменений и связанная с ним возросшая сложность означают, что для маркетологов и их предприятий крайне важно создать эффективную культуру защиты данных.
Новые технологии, требующие больших объемов данных, такие как искусственный интеллект, только усиливают это требование. Сосредоточив внимание на правильном понимании основ, проводя регулярное обучение по основным аспектам Регламента, четкие процессы и ведение учета, а также поддержку со стороны высшего руководства организации, маркетологи и их команды имеют хорошие возможности для обеспечения соблюдения требований.
Примечания
* Решение ЕС об адекватности, принятое в 2021 году, по сути, гласит, что в Великобритании действует аналогичная среда защиты данных, что и в ЕС. Решение будет пересмотрено через четыре года, и оно может оказаться под угрозой, если будет сочтено, что Великобритания отклонилась от существующего в настоящее время уровня защиты данных.
** Декламация 71, GDPR
*** При включении в контракт SCC могут обеспечить соблюдение обязательств по передаче данных GDPR.
**** Законопроект о защите данных и цифровой информации (№ 2).