AB Genel Veri Koruma Yönetmeliği (GDPR) Nedir ve Çevrimiçi İşinizi Nasıl Etkiler?
Yayınlanan: 2018-06-04Gelen kutunuz, gizlilik politikalarını güncelleyen e-postalarla dolup taşıyor mu? Bunun bir nedeni var - ve bu neden Genel Veri Koruma Yönetmeliği veya GDPR'dir.
Görünüşe göre bugünlerde herkes GDPR'den bahsediyor. Ama neden şimdi?
Mesele şu ki, GDPR son yedi yıldır işin içinde. Ancak son zamanlarda, bu veri koruma reformunun gerçekten neleri kapsayacağı konusunda bir anlaşma yapıldı.
Temel olarak GDPR, Avrupa vatandaşları için kişisel veriler üzerinde daha fazla kontrol sağlamak üzere tasarlanmış bir dizi düzenlemedir. Bunun dışında, bu reform aynı zamanda çevrimiçi dünyadaki genel rıza ve gizlilik yasalarını düzenleyerek genel olarak veri işleme ve depolama için yeni standartlar yaratacaktır.
Kuruluşların en az yüzde 50'si, operasyonlarını önemli ölçüde değiştirmedikçe GDPR uyumlu olmak için mücadele edeceklerini belirtti. Ve bu bir Avrupa düzenlemesi olabilir, ancak sadece Avrupa'yı etkilemiyor.
Dünyanın her yerindeki çevrimiçi işletmelere yeni GDPR düzenlemelerine uymaları tavsiye edilir — GDPR, Avrupa Birliği içindeki her şirkete VE AB içindeki müşterilere veya işletmelere ürün veya hizmet sağlayan AB dışındaki tüm kuruluşlara uygulanır. Muhtemelen, şirketiniz Birleşik Krallık'ın Veri Koruma Yasası kapsamına giriyorsa, siz de dahil olmak üzere, dünya çapındaki şirketlerin çoğunluğunun GDPR ile uyumlu olması gerekecektir.
Şöyle düşünün – Facebook'un ana merkezi Amerika'dadır, ancak Avrupa'da ve dünyanın her yerinde yaşayan insanlar Facebook'a kaydolabilir. Bu nedenle, Facebook Avrupalılara hizmet sunduğu ve verilerini topladığı için, esas olarak Amerika'da yer almasına rağmen Facebook'un GDPR uyumlu olması gerekiyor.
Yine de GDPR uyumlu olmaktan korkmayın. Teknik olarak olmak zorunda olmasanız bile.
GDPR uyumluluğu yalnızca size iyi gelebilir. Tüm bu verileri güvende tutarken müşterileriniz (veya e-posta aboneleriniz) hakkında kişisel, hassas bilgileri işleyen bir sistem kullanacaksınız. Gerçekte, herkes GDPR'den yararlanabilir.
GDPR'nin iyi yanı, veri toplamayla ilgili katı kurallar ve yönergeler içermesidir. Bu, artık bulanık çizgiler ve daha fazla düzenleme anlamına gelmez. Ancak bu aynı zamanda GDPR uyumlu olması gerekenlerin yeni düzenlemelere uymamaları halinde cezalarla karşı karşıya kalacağı anlamına da geliyor.
Veri işlemenin iki farklı türü vardır – verileri işlemekten sorumlu kişiler (veya bir kurum, yetkili vb.) ve kontrolden sorumlu kişiler. Bu kurulumla, kötüye kullanım olursa iki tarafın her biri tamamen sorumludur, ancak herkes veri korumayla ilgili kurallara uyarsa, ihlallerin olasılığı daha düşük olacaktır. GDPR'den önce, verilere bir şey olursa gerçek bir çözüm yoktu.
İşletmeniz Nasıl GDPR Uyumlu Olabilir?
GDPR uyumlu olmanın ilk adımı, topladığınız verilere iyi bakmaktır. Bu veriler kişisel mi? Öyleyse, GDPR kurallarını ve düzenlemelerini uygulamalısınız.
Herhangi bir veri (tek bir parçası veya grubun tamamı) kişiyi tanımlayabiliyorsa, bu kişisel veridir. Bu durumda bu kişilerden onay almanız, verilerinin nasıl ve ne kadar süreyle kullanılacağını bildirmeniz gerekir. Ayrıca, onlara sahip olduğunuz veriler hakkında fikir vermeli ve isterlerse silmelerine izin vermelisiniz.
Bazı tipik kişisel veri örnekleri arasında isimler, adresler, fotoğraflar bulunur ve hatta IP adresi bile kişisel veri olarak kabul edilir.
Ayrıca, verileri silmek istemezlerse, o verileri korumak için belirli bir işlem yapmanız gerekir. Bunu yapmanın yollarından biri takma ad kullanmaktır.
Takma İsimleştirme Nedir?
İsim karmaşık olsa da, fikir oldukça basittir. Takma isimlendirme, asıl amacın, ek veri kullanmadığınız sürece, bir kişiye geri izlenemeyecek şekilde verileri kişisellikten arındırmak olduğu bir veri yönetimi tekniğidir - bu bir anahtar gibidir. Bu anahtar olmadan, onu şifreleyen orijinal veri parçasını ortaya çıkaramazsınız.
GDPR ayrıca, duyarsızlaştırma süreci ve bilgilerin güvende kalması için tüm bu şifreli anahtarların saklanmasıyla ilgili bir kurallar listesine sahiptir.
Hem kişisel hem de şifreli veriler farklı yapboz parçalarını temsil eder, denklemden birini çıkarırsanız resmin tamamını göremezsiniz.
Takma Adlandırma ve Şifreleme Arasındaki Fark
Benzerlikler olsa da, temel fark açıktır. Şifreleme kesin değildir ve bunu başarmanın birkaç yolu vardır. Sonuç aynıdır – veriler korunur ve şifrelenir.
Şifreleme ve takma isimlendirme arasındaki fark, şifrelenmiş verileri orijinal, şifrelenmemiş durumlarına döndürmediğiniz sürece işleyememeniz gerçeğinde yatmaktadır. Takma adla kişisel verileri yalnızca geçici olarak anonimleştirirsiniz, böylece veri işleme sırasında hiç kimse bunları gerçek kişiye bağlayamaz.
Temel olarak, şifreleme çok daha güvenli ve eksiksiz olsa da, elde edilmesi teknik olarak çok karmaşıktır ve takma ad, verilerin yalnızca hassas kısımlarını şifrelemenize olanak tanır. Bu, kabaca, halka açık bir anket yürüttüğünüz gerçek hayattaki bir duruma çevrilebilir ve yanıtlar anonimdir, ancak sonuç aynıdır - aradığınız verileri alırsınız.
GDPR ve Etkili Veri Koruması
Verileri işlemek için şirketlerin GDPR uyumlu olmak istiyorlarsa takma ad kullanmaları gerekir. Olmamayı seçebilirler, ancak milyonlarca dolara kadar çıkabilen çok sayıda para cezasıyla karşı karşıya kalacaklar.
Takma isimlendirme ile veriler analitik, keşifsel ve istatistiksel araştırmalarda kullanılabileceği gibi, veri sahibinin rızası ile de kullanılabilir. Ve şirketler de bu onayı hazır bulundurmak zorunda kalacaklar.
Takma isimlendirmenin yanı sıra, şirketlerin bu verilerin korunduğundan emin olmak için uygulayabilecekleri birkaç teknik çözüm var. Mümkünse tam şifrelemeye ulaşmak en iyisidir, ancak bunun dışında şirketler mevcut sistemlerinin politika değişikliklerini sürdürebildiğinden emin olabilirler.
Verileri korumanın bir başka yolu da mevcut sistemleri güçlendirmektir. Sistemlerde gerekli korumaları oluşturun, ancak bunların geliştirmenin ilk aşamalarından itibaren ürün ve hizmetlere dahil edildiğinden emin olun.
GDPR kuralları 25 Mayıs 2018'de uygulanmaya başlayacak. Bu tarihten itibaren tüm AB kuruluşları ve şirketleri GDPR'ye uymak zorunda kalacak.
GDPR'nin Faydaları Nelerdir?
- Daha az veri ihlali, bilgisayar korsanlığı ve kötüye kullanım.
- Veri koruması, başlangıçtan itibaren her ürün veya hizmete entegre edilecektir.
- İşletmeler, takma isimlendirme gibi veri koruma mekanizmalarını kullanırlarsa gerekli verilere erişmeye devam edecekler.
- Yeni istihdam yaratılacaktır.
- İnsanlar verileri üzerinde tam kontrole sahip olacaklar.
- İşletmeler, verilerinin saldırıya uğraması durumunda tüketicileri bilgilendirmek zorunda kalacak ve örtbasları sınırlayacak.
Mevzuatın işinizi nasıl etkileyeceği konusunda endişeli misiniz? DesignRush Daily Dose'a kaydolarak gelişmelerden haberdar olun!
GDPR Cezaları ve Para Cezaları
Birçok işletme GDPR'nin sadece bir baş belası olduğunu düşünürken, cezalar çok büyük olduğu için yeni GDPR kurallarına uymaya teşvik ediliyorlar. Cezalar 10 milyon avrodan (11,5 milyon dolardan fazla) 20 milyon avroya (23 milyon dolar) veya bir şirketin yıllık küresel cirosunun yüzde iki ila dördüne kadar değişebilir ve bu bazı şirketler için milyarlarca dolar değerinde olabilir.
Verileri yetkisiz bir şekilde aktarırlarsa, insanların veri içgörüsü ve veri kaldırma talebini göz ardı ederek işletmeler para cezasına çarptırılabilir. Para cezaları, bir ihlal meydana geldikten sonraki ilk 72 saat içinde kullanıcıları ve yetkilileri bilgilendirmeyen şirketleri de etkileyebilir. Para cezasına çarptırılabilecek başka bir örnek de, GDPR kuralları ve uyumluluktan sorumlu bir kişiyi, yani kuruluş içinde veri korumasından sorumlu bir kişiyi atamamaktır.
Veri Sorumlusu Atanması
İşleme, izleme ve davranış takibi dahil olmak üzere hassas verileri işleyen her kuruluşun bir Veri Koruma Görevlisi ataması gerekir. Bu, dijital pazarlama stratejilerini kullanan şirketlerin muhtemelen GDPR uyumlu olması gerektiği anlamına gelir.
DPO olmak bir sertifika gerektirmez ve kimin Veri Koruma Görevlisi olması gerektiğine ilişkin mevcut mevzuat değil, yalnızca bir dizi yönerge vardır. Esas olarak, bu kişi veri koruma yasaları konusunda deneyime ve anlayışa sahip olmalı ve şirketin uyumlu olduğundan emin olmak için faaliyetlerde bulunmalıdır. Şirket uygun değilse o kişi de sorumlu tutulur.
Ayrıca, şirketin büyüklüğüne bağlı olarak, riskleri en aza indirmeye ve veri korumasını en üst düzeye çıkarmaya adanmış tek bir DPO veya tüm departman olabilir.
GDPR'yi Temel Bir Değer Hale Getirmek
Şirketlerin GDPR'nin şirket tarafından ciddiye alınmasını ve yürütülmesini sağlamanın birkaç yolu vardır.
- Personel eğitimi
- Politika İncelemeleri
- İK düzenlemeleri
- İç denetimler
- Veri kullanımını içeren tüm süreç ve faaliyetleri belgelemek
- Veri kullanımını en aza indirme
- Takma isim kullanma gibi taktikler kullanmak
Şirketler GDPR Mevzuatını Nasıl Hazırlayabilir?
Şirketlerdeki pazarlama departmanları, genellikle kullanıcılardan gelen hassas verileri kullananlardır, ancak şirket içindeki verileri kimin işlediği önemli değildir. Şirketin bir bütün olarak uyumlu olması gerekiyor ve işte süreci basitleştirmeye yardımcı olacak bir kontrol listesi.
Adım 1 – Bir Veri Koruma Görevlisi Atayın
Tüm iç süreçleri denetleyecek ve gözden geçirecek ve şirketinizin yönergelere uyduğundan emin olacak birine ihtiyacınız var. Şirketinizde böyle bir rolü yerine getirebilecek kimsenin olmadığını düşünüyorsanız, o zaman bunu yapabilecek birini işe almalısınız. Ayrıca, mevcut personelinizin GDPR hakkında daha fazla bilgi edinmek için alabileceği GDPR eğitimleri de bulunmaktadır.
2. Adım - Posta Listenizi İnceleyin
Tüm posta listenizin tam bir revizyonunu yapın. Yeni gizlilik politikası güncellemesiyle ilgili gerekli e-postaları gönderin ve insanlara verilerini sizinle yine de paylaşmak isteyip istemediklerini sorun. Size izin vermezlerse, onları listeden çıkarın. E-posta pazarlama otomasyonu kullanıyorsanız, Avrupalı kullanıcıları onaylarını güvence altına alabilmek için segmentlere ayıracağınız yeni bir liste kullanın.
3. Adım - Bir Veri Koruma Görevlisi Aracılığıyla Pazarlama Kampanyalarını Onaylayın
Pazarlama personeliniz ipleri öğrenene kadar, bir DPO pazarlama kampanyalarınızı denetlemeli ve lansmandan önce onaylamalıdır. Bu şekilde her şeyin yolunda olduğundan ve GDPR uyumluluğunuzun devam ettiğinden emin olabilirsiniz.
Adım 4 – Veri Akışlarını ve Süreçlerini Belgeleyin
Muhtemelen e-posta listeniz kaldırılacaktır, ancak artık bildiğiniz gibi bu bir zorunluluktur. Ancak yine de gelecekteki tüm veri toplamanın da GDPR uyumlu olduğundan emin olmanız gerekir. Veri giriş noktalarınızın da güvenli kalması gerekir. Bunlara haber bülteni kaydı, tüm hesap kayıtları, çeşitli etkinlikler, satın alma listeleri, ortaklara aktarılan verilerin güvence altına alınması ve her türlü veri kullanımı ve toplanması dahildir. Kullanıcılar, tüm veri işlemleriniz için size izin vermeli ve verileriyle gerçekleştireceğiniz tüm faaliyetleri açıkça belirtmelisiniz.
Adım 5 – Gizlilik Politikanızı Güncelleyin
Web sitenizin, verileri nasıl topladığınızı ve işlediğinizi ve bunları korumak için ne gibi önlemler aldığınızı herkese açık bir şekilde özetleyebileceğiniz, kolayca erişilebilen bir gizlilik politikası sayfasına sahip olduğundan emin olun.
Adım 6 – Personel ve Yönetim Eğitimini GDPR Üzerine Uygulayın
Tüm karar vericilere ve pazarlama personeline veri koruma ve yürürlükteki protokoller hakkında bilgi verin. Hatta tüm çalışanlarınızı yeni kurallar ve süreçler hakkında eğitmek için bunu ölçeklendirebilirsiniz. Bu, işiniz için ne işe yararsa, seminerler, eğitim, kitapçıklar veya çevrimiçi kılavuzlar dağıtarak yapılabilir.
7. Adım – Şirketinizin Kullanmadığı Verileri Silin
GDPR uyumlu hale gelmenin adımlarından biri, mümkünse günlük süreçlerde kullandığınız verileri en aza indirmek ve artık ihtiyacınız olmadığında verileri silmektir.
Adım 8 – Yeniden Doğrulama
Tüm Avrupa sakinlerine bir e-posta gönderin ve listenizde yer almak istiyorlarsa onaylarını yenilemelerini isteyin. Bu, e-posta, mobil uygulama ve hatta doğrudan posta yoluyla yapılabilir. GDPR politikaları, daha önce listenizden çıkan kişilere yeni bir e-posta gönderilmesini kesinlikle yasaklar.
Varsayılan Gizlilik ve Tasarıma Göre Gizlilik — Fark Nedir?
Bu yeni GDPR döneminde tanınması ve gözetilmesi gereken iki yeni terim var. Temel olarak, yeni ürün ve hizmetlerin GDPR kurallarına uygun yerleşik bir mekanizma ile gelmesi gerektiğini zaten söylemiştik. Tasarım yoluyla gizlilik, şirketlerin proje yaşam döngüsünün geri kalanının yanı sıra erken proje aşamalarında bile veri koruma politikalarının nasıl dahil edileceğini önceden düşünmesi ve planlaması gerektiği anlamına gelir.
Veri işlemcileri, varsayılan olarak veri gizliliğini güvence altına almak zorundadır; bu, kişisel verilerin, veri sahibi dışında hiç kimse tarafından kullanılamayacağı anlamına gelir. Ayrıca, işlemciler, tamamlandıktan sonra bu verileri saklamadan, yalnızca işleme amaçları için gerekli minimum kişisel verileri toplamalıdır.
Süreci Otomatikleştirmek İçin Yapabilecekleriniz
Bu sorunların çoğunu sizin için çözecek teknik bir çözüm bulmaya çalışın. Bu, örneğin belirli kişisel verileri otomatik olarak silecek bir yazılım olabilir.
Yeniden Değerlendirme ve Test
Olası ihlalleri durdurmak ve GDPR'ye uymak için şirketlerin çeşitli testler, vaka çalışmaları ve yeniden değerlendirme süreçlerini harekete geçirmesi daha iyi.
Her yeni sistem, medya kampanyası, proje planlama eylemi veya benzeri her şey için bir GDPR uyumluluk kontrol listesi yapın. Böylece çalışanlarınız süreci hızlı bir şekilde değerlendirebilir ve projeye uyulmaması ve verilerin herhangi bir şekilde kötüye kullanılması durumunda sorumluları bilgilendirebilir. Elbette, şirketler veya çalışanlar bu ek adımları bir yük olarak düşünebilir, ancak üzgün olmaktansa güvende olmak daha iyidir.
Sadece o milyon dolarlık cezaları hatırla.
Yeni Veri Toplama Politikaları
Önceden toplanan verilerin güvenliğini sağlamanın yanı sıra, gelecekteki veri toplamanın başlangıçtan itibaren güvenli olduğundan emin olmalısınız. İzin istediğinizde basit, doğal bir dil kullanabilirsiniz.
Karmaşık bir dilin arkasına gizlemek çok yanıltıcı olabilir. İnsanların verdiği rıza açık ve net olmalıdır. Yeni toplanan bilgileri nasıl kullanacağınızı açıkça belirttiğinizden emin olun.
Ayrıca web sitenizde başka bir çerez politikası onayının zamanı geldi. Yeni GDPR kurallarına göre yalnızca 16 yaş ve üzeri kişiler kişisel verilerini sağlayabildiğinden, abone olan kişilerin reşit olduğundan emin olmalısınız. 16 yaşından küçük çocukların ebeveyn izni olması gerekir.
Şirketler, uygun bir sebep olmadan kişisel bilgi isteyemeyeceklerini anlamalıdır. Bu bilgilerin saklanması GDPR kurallarına uygun olsa bile. Şirketler, her bir veri toplama ve işleme faaliyeti için yasal bir dayanak hazırlamak için hukuki yardım talep etmelidir.
Yeni formlar, GDPR kurallarının geçerli olup olmadığını belirlemek için kullanıcının yaşını ve hatta ikamet ettiği ülkeyi içerebilir. Ayrıca müşterilerinizin verilerinin sınırlar arasında aktarılıp aktarılmayacağını bilme hakkı vardır. Her zaman, kullanıcıların onaylarını geri çekmelerine ve hatta şikayette bulunmalarına izin verecek bir mekanizmanın mevcut olduğundan emin olmalısınız.
Kişiler bilgilerine ilişkin içgörü talep ederse, şirketler buna uymalı ve sebepsiz gecikmeksizin bir yanıt vermeli ve talebi aldıktan sonra en geç bir ay içinde gönderilmelidir.
Yeni e-Gizlilik Yasası
Avrupa Komitesi, eGizlilik Tüzüğü ile ilgili yeni bir yasa teklifi yayınladı. Halihazırda kullanılan GDPR yasasına da uygun olacak mevcut “Çerez Yasası” için bir güncelleme olması amaçlanmıştır.
GDPR ve e-Gizlilik Yasası Arasındaki Fark
GDPR, kişisel verilerin korunmasıyla ilgilenirken, eGizlilik yasası, bir kullanıcının kişisel hayatının gizliliğini düzenlemek ister. Bu şekilde, çevrimiçi iletişim kullanıcıyı koruyabilir. Bu yasalardan etkilenen birçok sektör ve sektör var. Avrupa Komitesi, farklı insan haklarına dayanan iki farklı kurallar dizisi olması gerektiğine inanmaktadır.
Bu yeni eGizlilik yasası, pazarlama endüstrisini biraz etkileyebilir. İnsanların %92'den fazlası çevrimiçi gizlilikleri ve verilerinin pazarlama amacıyla nasıl kullanıldığı konusunda endişeli. Özellikle çevrimiçi etkinliklerini, e-posta içeriklerini ve mesajlarını izlerken, şirketlerin hayatlarına ilişkin içgörüleri konusunda son derece endişeliler. Bu nedenle bu kavram, GDPR ve kişisel verilerin korunmasından eGizlilik yasasına ve verilerin geri kalanına evrilmiştir.
Temel olarak, tüm pazarlama amaçları için izin alınmasına ilişkin çok daha düzenlenmiş kurallar ve politikalar olacaktır. Buna davranışsal pazarlama stratejileri de dahildir. Yeni e-Gizlilik yasası ile şirketler, elektronik iletişimdeki verileri, tüketicilerin kullandığı cihazlarda saklanan bilgileri veya diğer bilgileri, anında veri işleme için gerekli olmadıkça, kullanıcının rızası olmadan kullanamayacak.
Bilge Sözler — Dolandırıcılıklara Dikkat
Şirketler, insanlara e-posta listelerinden çıkma teklifinde bulunan e-postalar gönderdiğinden, dolandırıcılar, kimlik avı dolandırıcılıklarında GDPR uyumluluğunun tamamını kullanmanın bir yolunu bulmuşlardır. Bilgisayar korsanlarının, verilerini yeni GDPR kurallarıyla güvende tutmaya çalışan kişileri kasıtlı olarak hedef alması ironisinden gerçekten kaçamazsınız.
GDPR kimlik avı dolandırıcılığını şu şekilde anlayabilirsiniz:
Şirket veri tabanında kalmak isteyip istemediğinizi sorarsa, bu muhtemelen bir kimlik avı dolandırıcılığı değildir. Ancak, herhangi bir noktada adlar, adresler, kullanıcı adları, şifreler ve hatta ödeme bilgileri gibi herhangi bir kişisel veriyi veya bilgiyi tekrar göndermeniz gereken bir mesaj alırsanız, dikkatli olun. Gerçek bir şirket bunu asla bir e-posta üzerinden yapmaz.
Veri Korumanın Geleceği ve İşletmeniz Bu Bilgileri Nasıl Kullanabilir?
Yine GDPR'de olduğu gibi, gizlilik kontrolünün gücü veri sahibine geri dönüyor. Bu yeni yasa ile kullanıcılar, doğrudan internet tarayıcılarından çerez kullanımına izin verebilecek veya geri çekebilecek.
Bunu yaparak, her web sitesi için çerez politikası olması gerekmeyeceği, daha çok onunla ilgilenecek bir yazılım defteri gibi olacağı düşünülüyor. Bu aynı zamanda, web siteleri yalnızca anonim veri toplama kullanıyorsa, web sitelerinin onay istemek için sıkıcı açılır pencereler kullanmak zorunda kalmayacağı anlamına gelir.
Bu yeni gizlilik yasaları, Facebook'un Messenger uygulaması, Viber, WhatsApp ve Gmail dahil olmak üzere tüm mesajlaşma servisleri için geçerli olacak.
Bu önlemlerin birçoğu dijital pazarlamanın geleceğini doğrudan etkileyecek, ancak bunun nasıl sonuçlanacağını söylemek, hatta tahmin etmek için henüz erken. Bu arada verilerimize dikkat ederek bekleyip görmemiz gerekecek.
İşletmenizin tüm bu yeni veri düzenlemeleriyle güncel kalmak için yardıma ihtiyacı var mı? DesignRush'ın GDPR düzenlemeleri geldiğinde süreci kolaylaştırmaya yardımcı olabilecek en iyi siber güvenlik ve risk yönetimi şirketlerinin listesine göz atın.
Daha fazla iş bilgisi mi istiyorsunuz? Bültenimize kaydolun!