GDPR'ye Hazırlanmak için Bir e-Ticaret Uzmanı Kılavuzu
Yayınlanan: 2018-05-15Bu günlerde, her konuşma çevrim içi gizliliğe ve verilerin kötüye kullanılmasına geri dönüyor gibi görünüyor. Kısa süre önce Facebook CEO'su Mark Zuckerberg'in ABD Senatosu önünde Facebook'ta kişisel verilerin kullanımıyla ilgili ifade verdiğini ve şirketin skandal sonrası katılımın azalmasıyla itibarını yeniden inşa etme çabasını izledik. Her gün, çözülecek yeni bir veriyle ilgili tartışma var gibi görünüyor.
Kamuoyunun daha anonim bir internet arzusu ve özel sektörün kullanıcı verilerini toplamanın iş için iyi olduğunu kabul etmesiyle, tartışma devam ediyor. Bu arada, Avrupa ülkeleri vatandaşlarını yanlış veri yönetimine karşı korumak için çalışıyor ve bunun sonuçları dünya çapındaki işletmeler için çok büyük olabilir.
25 Mayıs 2018'de Avrupa işletmeleri, tüketici verilerini ele alma biçimlerini ele almak zorunda kalacak. Genel Veri Koruma Yönetmeliği'nin (GDPR) bir parçası olarak işletmeler, müşterilere verilerinin nasıl toplandığı, depolandığı ve nihai olarak nasıl kullanıldığı konusunda daha fazla kontrol vermelidir.
Düzenleme, veri toplayan şirketin nerede olduğuna bakılmaksızın Avrupa Birliği içindeki vatandaşlar için veri korumasını ve mahremiyetini güçlendirmeyi amaçlıyor. Başka bir deyişle, Avrupalı müşterilere açık bir işletmeniz varsa, nihayet yürürlüğe girmeden önce GDPR'ye dikkat etmeniz gerekir. Şirketiniz AB kullanıcılarından gelen verileri işliyorsa, bu yeni düzenlemeyi öğrenmek için biraz zaman ayırmanız gerekir.
GDPR nedir? Genel Sorular ve Cevaplar
GDPR, 27 Nisan 2016'da resmi olarak kabul edildi, ancak şirketlerin yeni kurallara uyum sağlamasına yardımcı olmak için tasarlanmış iki yıllık bir geçiş dönemi nedeniyle 25 Mayıs 2018'e kadar geçerli olmayacak. Kısacası, düzenleme tüketicilere verilerinin nasıl toplandığı ve kullanıldığı konusunda tam kontrol sağlamayı amaçlamaktadır. AB, kişisel verileri doğum günü, adres, telefon numarası, maaş, kira ve IP adresi dahil olmak üzere “kimliği belirli veya belirlenebilir gerçek kişiyle ilgili her türlü bilgi” olarak tanımlamaktadır.
Bu sektör değişikliğine hazırlanmak için ek kaynaklar harcamanız gerekip gerekmediğini daha iyi anlayabilmeniz için bu kritik düzenlemeyle ilgili birkaç genel soru aşağıda verilmiştir.
Uymazsam para cezası alabilir miyim?
Evet, yeni düzenlemelere uymayan kuruluşlar ağır para cezalarıyla karşı karşıya kalacak. Düzenlemeler, GDPR'nin herhangi bir ihlalinin, hangisi daha büyükse, yıllık küresel cironun yüzde dördüne veya 20 milyon Euro'ya (yaklaşık 24 milyon ABD Doları) kadar bir cezayla sonuçlanabileceğini belirtir.
İşim için geçerli mi?
GDPR'nin kapsamı kesinlikle çok büyük. Avrupa Birliği sakinlerinin verilerini işleyen tüm şirketler için geçerlidir. Bununla birlikte, verileri yalnızca kişisel veya ev kullanımı için kullanıyorsanız düzenleme geçerli değildir ve 250'den az çalışanı olan şirketler için daha az katı olabilir. İşletmenizin boyutu ne olursa olsun, ayrıntılı dahili kayıtlar tutmanız ve GDPR'ye uymanız gerekir, ancak kayıt tutma gereksinimleri farklıdır.
ABD şirketleri ceza alabilir mi?
ABD şirketleri uyumsuzluktan sorumlu tutulacak ve uluslararası hukuka göre aynı standartlara göre para cezasına çarptırılabilecekler. Uzmanlar, Avrupa Birliği'nde fiziksel varlığı olmayan işletmelerin bile yeni düzenlemeye uyması gerektiğini söylüyor.
GDPR neyi koruyor?
Mevzuatın temel amacı, tüketicilere veri toplama konusunda açık, kafa karıştırıcı olmayan bir tercih dili sağlamaktır. Tüketicilere sekiz bireysel hak sunar: bilgilendirilme, erişme, düzeltme, silme, işlemeyi kısıtlama, veri taşınabilirliğine sahip olma, itiraz etme ve otomatik karar verme ve profil oluşturma ile ilgili kararlar verme.
GDPR tüketicilere nasıl fayda sağlar?
Yeni düzenlemenin ana faydası, tüketicilerin verilerini gizli tutması, bu da gizli kalmayı seçenler için daha iyi koruma anlamına geliyor. Aşağıda ele alacağımız gibi, yeni kuralların işletmeler için ölçülebilir birçok faydası olabilir.
Bu, e-Ticaret İşletmeleri için Ne Anlama Geliyor?
Bunda hiç şüphe yok. Tüketicilerinizi, reklamları yeniden hedefleme, e-posta pazarlama çalışmaları ve reklam kişiselleştirme gibi şeyler için verimli bir şekilde değerli verileri toplayabilen Springbot gibi e-ticaret analitik araçları aracılığıyla anlamak, çoğu çevrimiçi mağaza için genellikle önemli bir yatırımdır. Verileri sorumlu bir şekilde topladığınız sürece GDPR ve benzeri düzenlemeler karşısında bu değerli araçlara güvenmekten vazgeçmeniz gerekmez. Sonuç olarak, kişisel veri madenciliği inanılmaz derecede bulanık ve çoğu tüketici bunu yalnızca kontrol onlarda olduğunda destekliyor.
Kurallardaki değişimin temsil ettiği şey, daha standartlaştırılmış veri toplama için bir zorlamadır, bu da aslında işiniz için daha iyi şeyler anlamına gelebilir. Pratikte bu, bir kişinin verilerini her işlediğinizde - ister e-posta listenize kaydoluyor olsunlar ister bir satın alma yapıyor olsunlar - onlara inceleme, düzenleme, silme ve erişimi kısıtlama hakkı vermeniz gerektiği anlamına gelir.
Daha büyük resimde, tüketiciye öncelik verdiğiniz, işletmenizin siber güvenliğini iyileştirdiğiniz ve hatta itibarını koruduğunuz anlamına gelir. Bunu paylaşmak isteyen kişilerden veri toplarken, yine de temel analizleri toplayabilir ve bilgilerinin saklanmasını istemeyen kişilerden gelen müşteri memnuniyetsizliğini en aza indirebilirsiniz.
Hazırlanmak için Yapmanız Gereken İlk Beş Şey
İşletmenizi resmi GDPR uygulamasına hazırlamak için yapabileceğiniz en önemli şey yasaları öğrenmektir. Resmi düzenleme uzundur ve yasal jargonla doludur, ancak veri toplamayla ilgili yeni kuralların mükemmel bir özetini sağlayan kaliteli çevrimiçi kaynaklar vardır. Örneğin, yeni yasa, tüketicileri bir veri ihlali konusunda 72 saat içinde bilgilendirmeniz gerektiğini, tüketicilere verilerinin nasıl kullanıldığına erişim hakkı vermeniz gerektiğini ve onların “unutulmalarına” veya siteden çıkarılmalarına izin vermeniz gerektiğini belirtiyor. sisteminiz, istek üzerine.
Ardından, yasanın özellikle işinizi nasıl etkileyeceğini belirlemeniz önemlidir. Belirtildiği gibi, raporlama yönleri ve kayıt tutma kuralları, küçük ve orta ölçekli işletmeler (KOBİ'ler) için büyük ölçekli şirketlere göre farklılık gösterir, bu nedenle şirketinizin sorumluluklarının farkında olmalısınız.
Doğal olarak, işinizi uyumluluğa hazırlamak için yapabileceğiniz birçok faydalı şey vardır. Aşağıda önerilen ipuçlarına ek olarak, süreçlerinizin herhangi bir güvenlik açığı içermediğinden emin olmak için bir hukuk danışmanına danışmanızı öneririz.
1. Şeffaf Süreçlere Geçiş
Bu yönetmeliğin pasajından çıkarılacak en önemli şey, insanların, tüketicilerin verilerinin nasıl kullanıldığına dair her şeyi bilme hakkını istemesi – ve yasaların uygulayacağıdır. Bu, tüketicilerle verilerle ilgili her bir iletişimin mümkün olduğunca şeffaf olması gerektiği anlamına gelir. Şirketinizin verileri nasıl işlediğini anlamak, verilerin uyumlu olup olmadığını belirlemenize yardımcı olacaktır; dolayısıyla verilerinizin nerede depolandığını ve nasıl kullanıldığını bilin.
- Açık bir dille onay formlarını yeniden yazın.
- Verilerini toplarken kullanıcılardan açık onay alın.
- “Opt-out”tan “opt-in” diline geçin.
- Belirli verileri neden işlediğinizi belirtin.
- Bir veri koruma etki değerlendirmesi (DPIA) çalıştırın.
2. Liderleri Atayın ve Bilgileri Paylaşın
Bu düzenlemenin bir diğer önemli yönü, bazı şirketlerin, şirket içindeki veri koruma süreçlerini denetlemekten sorumlu olacak bir Veri Koruma Görevlisi (DPO) atamasının gerekeceğidir. Tüm şirketlerin bir DPO'ya ihtiyacı olmayacak - yalnızca çok büyük miktarda kişisel veri işleyenler - ancak her şirket, tüm yasaların doğru bir şekilde takip edilmesini sağlamaya yardımcı olabilecek bir uyumluluk lideri tayin etmelidir.
- İşletmenizin bir DPO gerektirip gerektirmediğini öğrenin.
- DPO'ya ihtiyacınız olmasa bile, bir veri gizliliği lideri atayın.
- Her departmanı yeni kurallar konusunda uyarın.
- Veri erişim isteklerinin nasıl ele alınacağına karar verin.
3. Tüm Hizmetlerinizi Kontrol Edin
Şirketlerin yalnızca yasal veri depolamayı uygulamaya yardımcı olan veri işlemcilerini kullanmaları gerekir; bu, yeni düzenlemeleri büyük ölçüde göz ardı edebilecek herhangi bir araca sahip olmadığınızdan emin olmak için sağlam bir denetim yapmanız gerektiği anlamına gelir. Örneğin, herhangi bir analiz eklentisi kullanıyorsanız, bunların tüketici verilerini GDPR'ye uygun bir şekilde depolayıp yönettiklerinden emin olun. Springbot, müşterilerin verileri yasal ve etik bir şekilde elde etmesine yardımcı olmayı taahhüt eder.
- Tüm üçüncü taraf hizmetlerinin uyumlu olduğundan emin olun.
- Kullandığınız araçların kullanıcıdan onay gerektirip gerektirmediğini öğrenin.
- Sürecinizi hızlandırmak için ortakların araçlarını arayın.
4. Kayıt Tutmanızı Yenileyin
GDPR'nin en göz korkutucu yönlerinden biri kayıt tutmadır. Tüketicilerin artık kişisel verileri hakkında bilgilendirilme, erişme ve silme hakkı olduğu için, süreçlerinizin titizlikle kayıt altına alındığından emin olmalısınız. Ayrıca, bir tüketici sizden talep ederse, müşteri verilerine isteğe bağlı olarak erişmeniz gerekir.
Üçüncü taraflarla paylaşıp paylaşmadığınıza bakılmaksızın, kişisel verileri tanımlayabilmeli ve bildirebilmelisiniz. Daha katı kayıt tutma kurallarının temel amaçlarından biri, kişisel verilerin doğru olmasını sağlamaktır. Doğru kişisel verileri kaydetmek ve diğer kuruluşları buna göre güncellemek size kalmış olacaktır.
- Kayıt tutmayı kapsayan 30. Maddeyi öğrenin.
- Herhangi bir veri işlemenin amacını kaydedin.
- Veri konusu ve alıcı kategorilerine ilişkin kayıtları tutun.
- 30. Maddenin gerektirdiğinin ötesinde her şeyi kaydedin.
5. Verilerden Doğru Şekilde Yararlanın
Son olarak, geçişe hazırlanmak için yapabileceğiniz son şey, bu yeni düzenlemeler kapsamında müşteri verilerinden yararlanmanın en sorumlu yolunu bulmaktır. GDPR, kişisel verilerin "kişisel verilerin işlendiği amaçlar için gerekli olandan daha uzun süre veri öznelerinin tanımlanmasına izin verecek bir biçimde tutulması" gerektiğini belirtir. Bu nedenle, tüketiciyi belirtilen amaç için kullanmayı planladığınızı bildirdiğiniz sürece, verileri yeniden hedefleme ve diğer uzun vadeli pazarlama çalışmaları gibi şeyler için kullanmaya devam edebilirsiniz.
- Kişisel verileri ne kadar süreyle kayıt altında tutmanıza izin verildiğini anlayın.
- Bu süreden sonra verilerin ne zaman ve nasıl yok edileceğine dair bir plan geliştirin.
- Verileri mümkün olduğunca "anonimleştirmeye" çalışın, böylece daha uzun süre saklayabilirsiniz.
- Hangi tür kişisel verilerin en yüksek riskleri oluşturduğunu belirleyin.
Neden Önemli
Bunların hepsi çok iş gibi görünüyor, değil mi? Ama şu var ki: GDPR, müşteri deneyimi için kişisel veri toplamak kadar iyidir. Bunun nedeni, tüketicilerin ezici bir çoğunlukla kişiselleştirilmiş deneyimleri tercih etmesine ve veri toplamanın daha kişisel bir çevrimiçi deneyime yol açabileceğini kabul etmesine rağmen, aynı zamanda tamamen kendi verilerinin kontrolünde olmak istemeleridir. Ayrıca, çevrimiçi alışveriş yapanların yüzde 92'si güvenlik ve gizliliği bir endişe kaynağı olarak belirttiğinden, çevrimiçi alışverişi daha özel hale getirmek için bu tür önlemler alınmalıdır.
Tüm bunları göz önünde bulundurarak, önemli gizlilik sınırlarını aşmadan müşteriye daha iyi hizmet vermemize yardımcı olacak yeni ayarlamalar yapmak için hepimizin çalışması önemlidir. Pazarlama, satış ve işinizi büyütme söz konusu olduğunda, GDPR sizi geri bırakmamalıdır.
Bunun yerine, mutlu, güvenilir ve sadık müşteriler yetiştirebilmeniz için işleri daha iyi yapma şeklinizi değiştirmelidir. Bu nedenle, işinizi GDPR'ye hazırlamak için biraz daha fazla zaman ve para harcamak, harcadığınız çabaya değecektir.