2024 Yılında Veri Gizliliğinin Durumu
Yayınlanan: 2023-09-11Pazarlama eskiden nispeten basit bir meslekti. Kolay ya da basit değildi ama yine de rolün sınırları konusunda bir miktar netlik vardı. Bu özellikle iletişim için geçerliydi. Çevrimiçi ve dijitalin yükselişinden önce iletişim kanallarımız nispeten azdı. Son yıllarda, özellikle de son beş ila on yılda, pazarlama profesyonellerinin kullanabileceği seçeneklerde, özellikle de veri gizliliği alanında hızlı bir genişleme yaşandı.
AB'nin Genel Veri Koruma Yönetmeliği'nin (GDPR) 25 Mayıs 2018'de yürürlüğe girmesi, birçok açıdan bu teknolojik genişlemeye bir yanıttı. Avrupalı yasa koyucular vatandaşların verilerini koruyacak bir dizi ilke sağlamaya çalıştı. GDPR, o zamandan beri dünyadaki diğer bölgelerin veri düzenlemesine yönelik kendi yaklaşımlarını değerlendirmelerine yönelik bir ortam oluşturdu.
Firmalarımız bünyesinde kişisel verilerin en yoğun kullanıcılarından biri olarak, veri korumanın en iyi uygulamaları konusunda sağlam bir anlayışa sahip olmamızı sağlamak biz pazarlamacıların sorumluluğundadır. Özellikle temelleri doğru bir şekilde almamız gerekiyor. Bu kısa makalede, pazarlama liderlerinin ve ekiplerinin şu anda dikkat etmesi gereken bazı önemli alanları tanımlayacağım.
Profesyonel ipucu : DMI podcast'inde Steven Roberts'ın Veri Koruma 101 yorumunu dinleyin.
“Şeffaflık, GDPR'nin temelini oluşturan temel bir ilkedir. Kişisel verileri işleyen yapay zeka araçlarını kullanan pazarlamacılar, bu verilerin nasıl kullanıldığını açık ve basit terimlerle açıklayabilmelidir. " Steven Roberts
Hızla Değişen Gizlilik Ekosistemi
GDPR, Çin, Singapur ve Güney Afrika gibi ülkelerdeki yeni yasalarla dünya çapında bir dizi benzer yasanın başlatılmasına yol açtı.
Kaliforniya Tüketici Gizliliği Yasası (CCPA), ABD'deki çeşitli yerel ve eyalet yasalarından en iyi bilinenidir. Bu, daha karmaşık bir uluslararası veri gizliliği ekosistemine katkıda bulunmuştur.
Birleşik Krallık'ta İngiliz hükümeti, şu anda geliştirilmekte olan (Eylül 2023 itibarıyla) yeni bir veri tasarısı ile Birleşik Krallık GDPR'sinin revizyonunu düşünüyor. Birleşik Krallık ile ticaret yapan işletmelerin, özellikle AB ile Birleşik Krallık* arasındaki yeterlilik kararını etkilemesi durumunda, bu gelişmeyi yakından izlemesi gerekecektir.
Avrupa'da , bir dizi bitişik AB mevzuatı tanıtılma sürecindedir. Bu içerir:
- Dijital Piyasalar Yasası
- Dijital Hizmetler Yasası
- Bir Yapay Zeka Düzenlemesi. İkincisi, ChatGPT gibi yapay zeka teknolojilerinin kapsamının ve kullanımının hızla genişlediği bir dönemde özellikle acildir.
Yaygın olarak artık amaca uygun olmadığı düşünülen mevcut e-Gizlilik Direktifinin elden geçirilmesine yönelik tartışmalar da devam ediyor. Bu mevzuatın tümü, Avrupa Birliği'nde faaliyet gösteren pazarlamacıların veri işleme faaliyetlerini etkileme potansiyeline sahiptir.
Veri koruması baştan itibaren dahil edilmelidir
Chiefmartech.com'a göre 11.000'den fazla pazarlama teknolojisi platformu var; yıldan yıla büyüyen bir rakam. Bu teknolojilerin çoğu, çeşitli tüketici kitlelerine daha etkili bir şekilde ulaşmak ve onları hedeflemek için kişisel verileri kullanır.
Yeni bir platform veya kişisel verilerin kullanımını içeren herhangi bir yeni strateji düşünen pazarlamacılar, başlangıçta veri gizliliğinin dikkate alınmasını sağlamalıdır. GDPR'nin tasarım ve varsayılan olarak veri koruma ilkesi burada çok önemlidir. Bu prensibe uymanın en iyi yollarından biri, Veri Koruma Etki Değerlendirmesi (DPIA) olarak bilinen yöntemi uygulamaktır.
Bu iki aşamalı bir süreci içerir. İlk olarak, projenin önemli gizlilik riskleri oluşturma potansiyeline sahip olup olmadığını değerlendirmek için bir dizi üst düzey sorunun sorulduğu bir ön-DPIA gerçekleştirilir. Bu tür riskler tespit edilirse tam bir DPIA doldurulmalıdır. Bu noktada, kilit paydaşlarla istişareler de dahil olmak üzere projenin ayrıntılı analizi gerçekleştirilir. Böyle bir yaklaşım, gizlilik risklerinin çok yüksek olması durumunda projenin yeniden kalibre edilmesine veya risk düzeyini azaltmak için hafifletici eylemlerin benimsenmesine olanak tanır.
Pazarlamacılar için örnek olarak yeni bir birinci taraf veri stratejisinin tanıtılması veya bir CRM platformunun tanıtılması verilebilir. Kişisel verileri kullanabilecek herhangi bir yeni pazarlama aracının bir DPIA'ya tabi tutulması genel olarak en iyi uygulama olarak kabul edilir.
Yapay Zeka ve Veri Gizliliği
Yapay Zeka (AI) platformları, otomatik web sitesi sohbet robotları gibi faaliyetleri güçlendirerek pazarlamacılar arasında giderek daha popüler hale geliyor. ChatGPT ve diğer büyük dil modellerinin (LLM'ler) kullanıma sunulması, pazarlamacılara üretkenliklerini artırma konusunda önemli bir potansiyel sağlıyor. Örneğin, içerik pazarlama stratejisinin bir parçası olarak bloglar ve makaleler oluşturmak.
Bu tür teknolojiyi düşünen pazarlamacıların veri koruma risklerinin farkında olması gerekir. Şeffaflık, GDPR'nin temelini oluşturan temel bir ilkedir. Kişisel verileri işleyen yapay zeka araçlarını kullanan pazarlamacılar, bu verilerin nasıl kullanıldığını açık ve basit terimlerle açıklayabilmelidir. Verilerin yapay zeka teknolojisi tarafından tam olarak nasıl işlendiğini belirlemek çoğu zaman kolay olmadığından bu önemli bir zorluktur.
Ayrıca GDPR'nin 22. Maddesi bireylere, hukuki etkisi olabilecek otomatik kararlara itiraz etme hakkı vermektedir. Örneğin, 'çevrimiçi bir kredi başvurusunun otomatik olarak reddedilmesi veya herhangi bir insan müdahalesi olmadan e-işe alım uygulamaları. Bu durumlarda karar alma sürecinin bir parçası olarak insan müdahalesini alma hakları vardır.
Yapay zeka kullanımından kaynaklanan potansiyel veri koruma endişelerini vurgulayan Google'ın, İrlanda Veri Koruma Komisyonu'nun (DPC) müdahalesinin ardından yeni yapay zeka sohbet robotu Bard'ın piyasaya sürülmesini ertelemesi gerekti. Komisyon, teknoloji devinin AB vatandaşlarının gizlilik haklarının nasıl korunacağı konusunda daha fazla bilgi sağlaması gerektiğini belirtti. Google daha sonra DPC'nin "bir dizi değişiklik, özellikle artan şeffaflık ve kullanıcılar için kontrollerde yapılan değişiklikler" olarak tanımladığı şeyin ardından Bard'ı AB'de başlattı.
“Veri uyumluluğu devam eden bir yolculuktur. İlk öncelik temelleri doğru yapmaktır. " Steven Roberts
Artan Cezalar ve Tüketici Bilinci
Pazarlamacılar olarak tüketicinin sesiyiz ve firmalarımızın markasını ve itibarını korumaktan sorumluyuz. Tüketiciler veri koruma hakları konusunda daha fazla farkındalığa sahip. Bunların çoğu, büyük para cezalarını çevreleyen tanıtımdan kaynaklanıyor.
Hukuk firması DLA Piper'a göre, AB denetim otoriteleri 28 Ocak 2022'den itibaren 12 ay içinde 1,6 milyar Euro para cezası verdi. Bu eğilim 2023'te de devam etti; en önemlisi, İrlanda DPC'sinin AB kullanıcılarını aktardığı için Meta'ya 1,2 milyar Euro para cezası vermesiyle birlikte Yeterli veri koruma mekanizmaları mevcut olmadan ABD'ye kişisel veriler.
Nisan 2023'te Birleşik Krallık Bilgi Komiserliği Ofisi (ICO), çocuk verilerinin kötüye kullanılmasıyla ilgili ihlaller nedeniyle TikTok'a 12,7 milyon £ para cezası verdi.
Bu arada ABD'de veri gizliliği, TikTok'u Montana gibi eyalet düzeyinde yasaklama girişimleri ve FTC'deki gözle görülür derecede daha sert yeni liderliğin, müşterilerini Prime'a izinsiz kaydettirmesi nedeniyle Amazon'a dava açmasıyla daha fazla siyasi duruşa tanık oldu. İrlanda'da hükümet ve devlet kurumlarındaki personelin TikTok uygulamasını resmi cihazlardan kaldırması gerekmektedir; Birleşik Krallık ve Hollanda gibi yargı bölgelerinde de kısıtlamalar getirilmiştir.
AdTech ve davranışsal reklamcılığın DPC ve diğer denetleyici otoriteler için uygulama öncelikleri olmasına rağmen, ekonominin birçok sektöründeki işletmelere karşı cezaların uygulandığını belirtmekte fayda var; Her ne kadar teknoloji firmalarında gördüğümüz göz yaşartıcı seviyelerde olmasa da.
Uluslararası Verilerin Aktarılması
Uluslararası veri aktarımları, kişisel verileri Avrupa Birliği dışına aktarmak isteyen firmalar için ciddi sıkıntılara neden oldu. Veri gizliliğinin son yıllarda önemli değişime tanık olan bir yönüdür. Temmuz 2020'de Avrupa Adalet Divanı, AB ile ABD arasındaki veri aktarımlarına yönelik mevcut Gizlilik Kalkanı düzenlemesinin geçersiz olduğuna karar verdi. Schrems II olarak bilinen bu karardan bu yana, her iki yargı alanı da GDPR ile uyumlu alternatif bir mekanizma arıyor.
Temmuz başında Avrupa Birliği tarafından yeni bir Veri Gizliliği Çerçevesi onaylandı. Hoş karşılansa da, bunun gizlilik savunucuları tarafından önceki iki modelde olduğu gibi benzer zorluklara maruz kalıp kalmayacağı henüz bilinmiyor. Bu arada şirketler, Standart Sözleşme Maddelerinin (SCC'ler olarak bilinir)*** kullanılması gibi alternatif yaklaşımlar bulmak zorunda kaldı.
Britanya Hükümeti, Birleşik Krallık ile ticaret yapan firmalar için, mevcut kuralların işletmeler için daha az külfetli hale getirilmesi amacıyla Birleşik Krallık GDPR'sinin belirli yönlerini düzenleme niyetinde olduğunu belirtmiştir ****.
Veri Gizliliği Konusunda Nasıl Haberdar Olunur?
Pek çok pazarlamacı, özellikle de büyük çokuluslu firmalardaki ekiplerle aynı kaynaklara erişimi olmayan KOBİ'lerdeki pazarlamacılar bu değişim hızına ayak uydurmak için mücadele ediyor.
Veri uyumluluğunun devam eden bir yolculuk olduğunu kendimize hatırlatmakta fayda var. İlk öncelik temelleri doğru yapmaktır. Bunu akılda tutarak, bir şirket içindeki etkili veri gizliliği kültürünün bir parçası olarak bazı hususlar çok önemlidir:
1. Eğitim hayati önem taşıyor
Eğitim hem yeni hem de mevcut personel için düzenli ve sürekli olmalıdır. Şu anda pek çok pazarlama rolünde tanık olduğumuz kayıp seviyeleri ve genel olarak uyumluluk alanındaki gelişme hızı göz önüne alındığında, bu özellikle önemlidir. Bazı uzmanlar, tüm veri ihlallerinin %90'ının insan hatasından kaynaklandığını tahmin ediyor. Bu riski dengelemek için eğitim şarttır.
2. GDPR'nin 6 yasal dayanağını ve 7 temel ilkesini öğrenin
Şirketler aşağıdaki soruları dikkate alsaydı, son beş yılda gördüğümüz ihlallerin çoğu azaltılabilir veya ortadan kaldırılabilirdi;
- Öncelikle bu kişisel verilerin işlenmesine ilişkin açık bir hukuki dayanak var mı?
- İkincisi, işleme GDPR ilkelerine uygun mu?
3. Sesi üstten ayarlayın
Tüm işletmeler liderliğini üst yönetimdeki kişilerden alır. Yönetim kurulu ve yönetim ekibinin, kuruluş genelinde güçlü bir veri gizliliği kültürünü söz ve eylemlerle açıkça desteklediği ve savunduğu görülmelidir.
4. Ayrıntılı kayıtları ve süreçleri uygulamaya koyun
Sorumluluk, GDPR'nin kapsayıcı ilkelerinden biridir. Yönetmelik'in 30. maddesi, etkili bir gizlilik kültürünün parçası olarak kayıtların doğru tutulmasını gerektirmektedir. Şirketler ayrıca konuya erişim talepleri ve veri ihlali raporlaması gibi hususlar için önceden net süreçlere sahip olmaktan önemli üretkenlik ve verimlilik avantajları elde eder.
5. Çocuklara yönelik ve özel kategori verileri için daha yüksek uyumluluk gerekliliklerini anlayın
Pazarlamacıların, reşit olmayanlara ait veriler söz konusu olduğunda ek uyumluluk gerekliliklerine ve ayrıca GDPR kapsamında tanımlanan bir dizi özel kategori verisine dikkat etmesi gerekir.
Çözüm
Veri koruma son yıllarda hızla gelişti. 2018'de GDPR'nin uygulamaya konması, tüketici farkındalığının artmasına ve uyumlu olmayan işletmeler için daha yüksek cezalara yol açtı. Aynı zamanda Çin, Singapur ve Güney Afrika gibi ülkelerde uluslararası düzeyde benzer mevzuat dalgasının katalizörü olmuştur. Değişimin bu hızı ve beraberinde gelen artan karmaşıklık, pazarlamacıların ve işletmelerinin etkili bir veri koruma kültürü oluşturmasının hayati önem taşıdığı anlamına geliyor.
Yapay zeka gibi yeni, veri yoğunluklu teknolojiler yalnızca bu gereksinimi güçlendirir. Pazarlamacılar ve ekipleri, Yönetmeliğin temel yönlerine ilişkin düzenli eğitim, açık süreçler ve kayıt tutma ve kuruluşun üst kademesinden gelen destek ile temel bilgileri doğru bir şekilde elde etmeye odaklanarak uyumlu kalmalarını sağlamak için iyi bir konuma sahiptir.
Notlar
* AB'nin 2021'de kabul edilen yeterlilik kararı, esas olarak Birleşik Krallık'ın AB'ninkine benzer bir veri koruma ortamı işlettiğini belirtiyor. Karar dört yıl sonra gözden geçirilecek ve Birleşik Krallık'ın mevcut veri koruma seviyesinden saptığı kabul edilirse tehlikeye girebilir.
** Beyan 71, GDPR
*** Bir sözleşmeye dahil edildiğinde SCC'ler, GDPR veri aktarım yükümlülüklerine uyum sağlayabilir.
**** Veri Koruma ve Dijital Bilgi (No. 2) Kanun Tasarısı.