GDPR Nedir?

Yazar: Şükrü Güdük 14.09.2018

GDPR Nedir?

GDPR (General Data Protection Regulatory - Genel Veri Koruma Yönetmeliği), 25 Mayıs 2018'de yürürlüğe giren yeni bir dijital gizlilik düzenlemesidir. Avrupa Birliği genelinde, tüm üye ülkelerdeki kullanıcıları koruyacak tek bir merkezi düzenlemeyle geniş bir yelpazedeki farklı gizlilik yasalarını standartlaştırır.

Basitçe söylemek gerekirse, şirketlerin artık dijital ortamda ve web sitelerinde gizlilik ayarlarını, Avrupa Birliği’nin istediği standartlara getirmeleri gerekir. Şirketler ayrıca, gizlilik etki değerlendirmelerini düzenli olarak yürütmek, kişisel verileri kullanmak için izin alma yöntemlerini güçlendirmek, kişisel verileri nasıl kullandıklarını belgelemek ve veri ihlallerini iletme biçimlerini geliştirmek zorundadırlar.

Her ne kadar kanunu Avrupa Birliği üyeleri yürürlüğe alsa da yaptırımlar, Avrupa Birliği dışındaki şirketleri de kapsıyor. Yani Türk bir şirket, elinde Avrupa Birliği vatandaşı bir kişinin bilgilerini tutuyorsa ve bu bilgileri GDPR’a uygun biçimde toplayıp işlemiyorsa ceza alması söz konusu olacak. Ceza demişken o konuyu da biraz açalım; GDPR kurallarının ihlal şekline göre firma, 20 milyon EUR ya da toplam global cirosunun %4’üne kadar (hangisi daha büyükse) ceza alabilecek.

Kişisel Veri Nedir?

Aşağıdaki bilgiler kişisel verilere örnek olarak verilebilir.

• Ad

• Soyad

• Doğum tarihi

• Sosyal güvenlik numarası

• Ehliyet bilgileri

• Email adresi (kişisel ve kurumsal)

• Telefon / fax numarası (kişisel ve kurumsal)

• Fotoğrafları

• GPS verisi

• Ödeme geçmişi

• Geliri

• Askerlik durumu

• Sabıka kaydı

• Hesap numarası

• IP adresi

• Sağlık geçmişi ve ilgili tarihler

• CV (Özgeçmiş)

• Vücudundaki ayırt edici özellikler (dövmeler, yara izleri vs)

• Eğitim verileri

• Kredi raporu

• Kredi kartı numarası

• Araç plakası

• Telefon konuşmaları

• Siyasi oy tercihi

• Biometrik ayıraçlar (DNA, iris, parmak izi vs)

• Sağlık verisi

 

Neden GDPR’a Gereksinim Duyuldu?

Avrupa Birliği’nin kişisel verilerle ilgili mevzuatı 1995 yılında yazıldı ve zaman içinde ufak bazı güncellemeler yapıldı. Yani bir nevi internet çağından önce kalan bir kişisel verileri koruma mevzuatı söz konusuydu. Bu da, tabii ki gelişen teknoloji ile beraber, AB'nin eskimiş veri gizliliği ilkelerinin, bireylerin verilerinin korunması konusunda, sosyal medya, akıllı telefonlar, gelişmiş web teknolojisi için kurallar ve çözümler içermediği anlamına geliyordu. Durum böyle olunca Avrupa Birliği konuya el attı ve GDPR regülasyonlarını yürürlüğe aldı.

GDPR’ın Pazarlamaya Etkisi Ne Olacak?

GDPR’ın pazarlamaya üç alanda etki edeceği görülüyor; veri toplama, verilere saklama ve işleme ve verileri yok etme.

1. Veri Toplama: 

Transparanlık

Bu konuyu bir örnekle açıklayalım. Mesela, John Doe isimli bir AB üyesi ülke vatandaşı, web sitenizden “ERP’nin Faydaları” adlı bir doküman indirdi ve bunun karşılığında, dokümanı indirebilmek için size bir form vasıtasıyla kişisel bilgilerini verdi. Bu durumda şirketiniz, John Doe adlı kişiye, verilerini hangi amaçla kullanacağını açıkça bildirmelidir. Örneğin şirketiniz, John Doe’nin, web sitenizi kullanım bilgilerini izlemek, e-posta ile kendisine pazarlama mesajları göndermek ya da kişisel bilgileri iş ortakları ile paylaşmak istiyorsa mutlaka bu konular hakkında kendisini bilgilendirmelidir. Önceden tiklenmiş bir kutucuk ile onay almak ve John Doe’ye “listeden çık” opsiyonunu da sunan mailler göndermek, GDPR’ye göre bir suç teşkil etmektedir. Mutlaka ve mutlaka John Doe, kendi rızasıyla kutucuğu tıklamalı ve size bilgilerini kullanma hakkı vermelidir.

Bireyin onayını almadan onunla iletişim kurmanın tek istisansı var; referans programları. Örneğin, John Doe’nin iş arkadaşı Jane Foe, sizin sunduğunuz bir ürün ya da hizmetle John’un ilgilenebileceğini düşündü ve web sitenizdeki referans formuna John Doe’nin e-posta adresini yazdı. Bu durumda siz, John Doe’ye bu durumu bildiren bir e-posta gönderebilirsiniz. Ancak tabii ki John Doe’nin e-posta adresini referans pazarlama yoluyla elde etmeniz, John Doe’ye kafanıza göre pazarlama mailleri gönderebileceğiniz anlamına gelmiyor. Sadece konuyu anlatan bir e-posta gönderebilirsiniz.

Gerekli Olduğu Kadar Veri Toplama

Bir AB vatandaşından kişisel verilerini toplarken sadece ilgili bilgileri toplamanız gerekmekte. Bir örnekle açıklamak gerekirse; “ERP’nin Faydaları” dokümanınızı indirmek isteyen kişilere, siyasi tercihlerini sormanız ve bu bilgileri toplamanız konuyla alakası olamayan gereksiz bilgiler olarak değerlendirilecektir. Bu şekilde gereğinden fazla bilgi toplamanız GDPR’ye göre suç teşkil etmektedir.

2. Veri Saklama ve İşleme

Kullanım Sınırlaması

Şirketler, topladıkları ve sakladıkları verileri, açık ve meşru amaçlarla kullanabilirler. Bu verileri, bireylere verilerini toplarken bildirdikleri amaçlar dışında kullanamaz. Ayrıca, verileri başka bir şirketle paylaşmayı planlıyorlarsa, bunu yapmaları için kişinin onayını almaları gerekmektedir.

Güvenlik

Kişisel veriler toplandıktan sonra, bu veriler; çalınması, uygunsuz biçimde kullanılması, yanlışlıkla silinmesi, ifşa edilmesi, değiştirilmesine karşı GDPR’de tanımlanan güvenlik kriterlerine uygun olarak saklanmalıdır. Şirketler, bu gereksinimleri karşılayacak teknik sistemleri kurmak zorundadır. Verinin tipine göre şirketler bu veriyi anonimleştirerek enkripte bir biçimde tutmayı da planlamalıdır.

Hesap Verebilirlik

Şirketler, GDPR kapsamındaki yükümlülüklere uyumu kanıtlamaktan sorumludur. Sadece uyumluluğk kanıtlamak için kayıtları (örneğin toplanan tüm verilerin onay kayıtları gibi) tutmaları yeterli değildir. Aynı zamanda bu verilerin toplanması ve kullanılmasını yöneten politikaları da oluşturmaları gerekmektedir.

3. Verilerin Yok Edilmesi

Belirli Süre Daha Verileri Saklama

Şirketler, bireyler ile ilişkilerinin bitmesi durumunda (örneğin bireyin iş arama sitesinde üyeliğini sonlandırması) bireyin verilerini ne kadar süre daha sistemlerinde tutacağını açıkça bildirmelidir. Makul olan, verinin hemen silinmesidir ancak kanuni zorunluluklardan dolayı kişisel verilerin bir müddet daha şirketin sistemlerinde saklanması gerekebilir. Örneğin, bir finans kuruluşunun, bir bireyin kredi bilgilerini, yasal denetime girmesi durumunda kullanmak zorunda olduğu için bir müddet daha saklaması gerekebilir.

Verinin Silinmesi

Bir birey, şirketten, kişisel verilerinin silinmesini talep ederse, şirket bu verilerei mümkün olan en kısa sürede, tamamen silmekle mükelleftir. Yalnızca kendi sistemlerinden silmesi de yetmez. Eğer bu verileri başka kurumlarla paylaşmışsa, o kurumların sistemlerinden de silindiğinden emin olmak zorundadır.

GDPR’dan Pazarlama Departmanlarında En Çok Kim Etkilenecek?

Günümüzde en yaygın pazarlama iletişimi yöntemlerinden biri e-posta pazarlama (email marketing) olduğu için GDPR’den en çok e-posta pazarlama (email marketing) ile ilgilenen kişilerin etkileneceğini söylemek yanlış olmaz. Toplanacak e-posta bilgilerinin GDPR kurallarına uygun biçimde elde edilmesi, gönderilecek e-postaların da GDPR kurallarına uygun olması, e-posta pazarlamacılarını en çok etkileyecektir.

Benzer şekilde PR yöneticierinin de konudan etkileneceğini söyleyebiliriz. Çünkü oluşturulan PR içerikleri basın mensuplarına çoğunlukla e-posta yöntemiyle iletiliyor. Eğer basın mensuplarından, kendilerine PR içerikleri gönderilebileceğine dair onay alınmazsa, bu da bir GDPR ihlali olarak değerlendirilebilir.

Pazarlama Deparmanınızı GDPR’a Uyumlu Hale Getirmek İçin 7 Öneri

• Mevcut mail listenizi yeniden gözden geçirin

• Kişisel veri toplama metodlarınızı gözden geçirin

• Kişisel verileri toplamak için “içerik pazarlama” yöntemine yatırım yapın

• Satış ekibinizi, sosyal satış konusunda eğitin

• Kişisel verileri, CRM sistemi gibi merkezi bir sistemde tutun

• Sadece gerekli verileri topladığınızdan emin olun

• Gizlilik sözleşmenizi yeniden gözden geçirin (Eğer yoksa hemen bir tane hazırlayın)

Worst Practices

Honda Motor Avrupa, mail listesindeki 289.790 kişiye “would you like to hear from Honda?” başlıklı bir e-posta gönderdi. E-postanın amacı, bu kişilerin onaylarını güncellemesiydi. Ancak, bu 289.790 kişinin içinde daha önce Honda’nın e-posta listesinden çıkmış bireylerde yer almaktaydı. Bu sebeple Honda, 13.000 euro cezaya çarptırıldı.

Daha önceden şirketinizle etkileşime geçmemiş bireylere, onlarla etkileşime geçmek için onaylarını almak amacıyla bile gönderilecek e-postalar, GDPR ihlali olarak değerlendirilmektedir ve cezaya sebebiyet vermektedir.

Yasal Uyarı: Bu blogda yazılan yazılar, yasal tavsiye niteliğinde değildir. Konuyla ilgili yasal tavsiye almak için hukuk danışmanlık bürolarına başvurmanız gerekmektedir.