GDPR: APAC'de Bağlı Kuruluş Pazarlaması için Ne Anlama Geliyor?

Yayınlanan: 2022-07-06

GDPR bir süredir gündemde olan bir konuydu ve şimdi nihayet bize geldi. Ancak düzenlemeler AB dışındaki bizler için ne anlama geliyor?

markus-spiske-357131-unsplash

Şimdiye kadar hepimiz GDPR'yi duyduk ve eğer değilse, gizlilik politikası güncellemeleriyle ilgili bu kadar çok e-posta almanızın nedeni budur - yasa dışı değilse de çoğu gereksizdir. Ancak uyumlu kalma çabasıyla şirketler, başlarının belaya girmemesini sağlamak için her şeyi yapıyor.

GDPR, AB vatandaşlarına odaklanmış olsa da, Avustralyalı perakendeciler, bağlı kuruluşlar ve ağlar için geniş kapsamlı etkileri olabilir. AB'de iş yapıyorsanız veya işiniz AB'deki bireylerin kişisel bilgilerini işliyorsa, işletmenizin yeni düzenlemelere uygun olduğundan emin olmanız gerekir.

GDPR nedir?

Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR), 25 Mayıs 2018'de yürürlüğe girecek yeni veri koruma gerekliliklerini içerir ve işletmelere yönetişim, onay, profil oluşturma ve veri taşınabilirliği ile ilgili katı yükümlülükler getirir.

GDPR, 1988 Avustralya Gizlilik Yasası'ndakilere benzer gereksinimleri ve benzer şekilde şeffaf bilgi işleme uygulamalarını ve veri işleme konusunda ticari hesap verebilirliği teşvik etmeyi amaçlayan ek önlemleri içerir. Açık, tek tip veri koruma yasalarının getirilmesi, işletmeler için yasal kesinlik oluşturmayı ve çevrimiçi hizmetlere tüketici güvenini artırmayı amaçlamaktadır.

GDPR, AB tüketicilerini ve onların verilerinin nasıl kullanılabileceği konusunda haklarını güçlendirmek için tasarlanmıştır. Bizim ve çevrimiçi perakendecilerinki gibi dijital endüstriler için bu, kişisel veri olarak kabul edilen şeyin tanımı, bir bireyi seçebilecek, ancak açıkça kişisel olarak tanımlanabilir olması gerekmeyen her şeyi içerecek şekilde genişletildiğinden, daha fazla önem kazanmaktadır. Bu nedenle, bir e-posta adresi açıkça kişisel veri olsa da, kapsam ayrıca IP adresi veya sipariş kimliği gibi takma adlı tanımlayıcıları da içerir.

Bu verileri işlemek için işletmelerin altı tane olan yasal bir temel seçmeleri gerekecektir.

  1. Razı olmak
  2. Sözleşme
  3. Yasal zorunluluk
  4. hayati ilgi
  5. Genel Görev
  6. Meşru Menfaat

Bazı şirketler için bu açık olacaktır, ancak birçok dijital pazarlama şirketi için genellikle 'rıza' veya 'meşru menfaat'i seçmeleri gerekecektir.

Komisyon Fabrikası, verileri işlemek için yasal bir dayanak olarak meşru menfaati kullanıyor.

GDPR İşimi Etkiler mi?

1988 Avustralya Gizlilik Yasası (Cth) (Gizlilik Yasası) (APP kuruluşları olarak bilinir) kapsamındaki bazı Avustralyalı işletmelerin, aşağıdaki durumlarda GDPR'ye uyması gerekebilir:

  • AB'de bir kuruluşa sahip olmak (kişisel verileri AB'de işleyip işlemediğine bakılmaksızın) veya
  • AB'de bir kuruluşu yoktur, ancak mal ve hizmetler sunar veya AB'deki bireylerin davranışlarını izler.

GDPR, büyüklüğü ne olursa olsun, AB'de bir kuruluşu olan veri işlemcileri veya kontrolörleri olan işletmelerin veri işleme faaliyetleri için geçerlidir. Genel olarak konuşursak, bir kontrolör, kişisel verilerin nasıl ve neden işlendiğini söyler ve bir işlemci, kontrolör adına hareket eder.

Bir işletmenin AB'de 'kuruluşunun' olduğu durumlarda, kişisel verilerin işlenmesini içeren işletmenin faaliyetlerinin, verilerin AB'de fiilen işlenip işlenmediğine bakılmaksızın GDPR'ye uyması gerekecektir.

GDPR, işleme faaliyetlerinin aşağıdakilerle ilgili olduğu durumlarda, boyutuna bakılmaksızın AB dışındaki işleyicilerin ve kontrolörlerin veri işleme faaliyetleri için de geçerlidir:

  • AB'deki bireylere mal veya hizmet sunmak (ödeme gerekip gerekmediğine bakılmaksızın)
  • AB'de bu davranışın gerçekleştiği AB'deki bireylerin davranışlarını izlemek

GDPR kapsamında olabilecek Avustralya işletmeleri şunları içerir:

  • AB'de ofisi olan bir Avustralya işletmesi
  • Web sitesi, örneğin bir Avrupa dilinde (İngilizce dışında) mal veya hizmet sipariş etmelerini veya euro cinsinden ödeme yapmalarını sağlayarak AB müşterilerini hedefleyen bir Avustralya işletmesi
  • Web sitesinde AB'deki müşterilerden veya kullanıcılardan bahseden bir Avustralya işletmesi
  • AB'deki bireyleri internette izleyen ve kişisel tercihleri, davranışları ve tutumları analiz etmek ve tahmin etmek için bireylerin profilini çıkarmak için veri işleme tekniklerini kullanan bir Avustralya işletmesi.

Karşılaştırma Tablosu

AB GDPR Avustralya Gizlilik Yasası
Bu kimler için geçerlidir? Büyüklüğü ne olursa olsun veri işleyen veya kontrol eden işletmelerin veri işleme faaliyetleri Çoğu Avustralya Devlet kurumu, yıllık cirosu 3 milyon dolardan fazla olan tüm özel sektör ve kar amacı gütmeyen kuruluşlar, tüm özel sağlık hizmeti sağlayıcıları ve bazı küçük işletmeler.
Ne için geçerlidir? Kişisel veriler – kimliği belirli veya belirlenebilir gerçek kişiyle ilgili her türlü bilgi: Madde 4(1) Kişisel bilgi (PI) – kimliği belirli bir kişi veya makul olarak tanımlanabilir bir kişi hakkında bilgi veya görüş: s 6(1)
yargı bağlantısı Veri işleyiciler veya kontrolörler için geçerlidir:
  • AB'de bir kuruluşla veya
  • AB dışındaki bireylere mal veya hizmet sunan veya AB'deki bireylerin davranışlarını izleyen: Madde 3
 İşletmeler için geçerlidir:
  • Avustralya'da yerleşik veya
  • Avustralya'da 'bir iş yürüten' ve Avustralya'dan PI toplayan veya Avustralya'da PI tutan: s 5B
Hesap verebilirlik ve yönetişim Kontrolörler genellikle şunları yapmalıdır:
  • GDPR uyumluluğunu göstermek ve varsayılan ve tasarım olarak gizlilik oluşturmak için uygun teknik ve organizasyonel önlemleri uygulayın: Sanat 5, 24, 25
  • zorunlu veri koruma etki değerlendirmelerini üstlenmek: Madde 35
  • veri koruma görevlilerini atayın: Madde 37
 APP kurumları, APP'lere uyumu sağlamak ve şikayetleri etkinleştirmek için uygulamaları, prosedürleri ve sistemleri uygulamak için makul adımlar atmalıdır: EK 1.2

İşletmelerin gizlilik yönetimi için kilit roller ve sorumluluklar ataması ve birçok yeni ve güncellenmiş proje için gizlilik etki değerlendirmeleri yapması bekleniyor.
Razı olmak Rıza şu şekilde olmalıdır:
  • özgürce verilen, spesifik ve bilgilendirilmiş ve
  • Bir beyan veya açık bir olumlu eylem yoluyla, veri sahibinin isteklerinin açık bir şekilde belirtilmesi, işlemenin kabul edildiğini gösterir: Madde 4(11)
 Anahtar unsurlar:
  • birey, rıza vermeden önce yeterince bilgilendirilir ve rızayı anlama ve iletme kapasitesine sahiptir.
  • rıza gönüllü olarak verilir
  • izin güncel ve spesifiktir: OAIC'in APP GL'leri
Veri İhlali bildirimleri Denetleyiciler ve işlemciler tarafından zorunlu DBN'ler (istisnalar geçerlidir): Sanat 33-34 22 Şubat 2018'den itibaren, gerçek ciddi zarar riskine yol açması muhtemel ihlaller için zorunlu raporlama
Bireysel haklar Bireysel haklar şunları içerir:
  • silme hakkı: Madde 17
  • veri taşınabilirliği hakkı: Madde 20
  • itiraz hakkı: Madde 21
 Bu hakların eşdeğeri yoktur.
Ancak, izin verilen bir amaç için artık ihtiyaç duyulmayan PI'yi yok etmek veya kimliğini gizlemek için işletme makul adımları atmalıdır: EK 11.2. Bir bireyin PI'sine erişim verildiğinde, genellikle talep edilen şekilde verilmelidir: EK 12.5
Yurtdışı transferler Kişisel veriler, aşağıdakiler dahil olmak üzere sınırlı durumlarda AB dışına aktarılabilir:
  • 'yeterli' düzeyde veri koruması sağlayan ülkelere
  • 'standart veri koruma hükümleri' veya 'bağlayıcı şirket kuralları'nın geçerli olduğu yerlerde
  • onaylanmış davranış kuralları veya yerinde sertifikalandırma: Chp V
 PI'yi yurt dışında ifşa etmeden önce, bir işletme, alıcının APP'leri şu bilgilerle ilgili olarak ihlal etmemesini sağlamak için makul adımlar atmalıdır: EK 8 (istisnalar geçerlidir). İşletme, aşağıdaki bilgilerle ilgili olarak yurtdışındaki alıcı tarafından APP'lerin ihlalinden sorumludur: s 16C (istisnalar geçerlidir)
Yaptırımlar 20 milyon Euro'ya kadar veya dünya çapındaki yıllık cironun %4'üne kadar idari para cezaları (hangisi daha yüksekse): Madde 83 Uyumluluğu ve en iyi uygulamayı kolaylaştırmak için kuruluşlarla çalışma yetkileri ve soruşturma ve uygulama yetkileri: Kısım IV ve V

Bu, bağlı kuruluş endüstrisini nasıl etkileyecek?

GDPR'ye yönelik bu güncellemenin bağlı kuruluş pazarlamacılarını veya çevrimiçi perakendecileri olumsuz yönde etkilemesini beklemiyoruz ve büyük ölçüde, birkaç yıldan beri var olan veri koruma yasalarını formüle etmeye ve düzenlemeye yönelik bir harekettir.

Komisyon Fabrikası ve bağlı şirketlerimiz için, işlenen kişisel verilerin doğası hassas değildir ve büyük ölçüde tekniktir ve reklamlar aracılığıyla hedeflenecek tüketici profilleri ve davranışları oluşturmak için kişisel verileri kullanan diğer kanalların aksine.

Veri toplama yasal dayanağımızı "Meşru Menfaat" olarak belirterek, yayıncılarımızın uyum yükünü en aza indirmeye çalışıyoruz ve yayıncılardan bizim için herhangi bir Veri İzni almalarını istememize gerek yok.

AB'de faaliyet göstermeyen, pazarlamayan veya bilgi toplamayan bağlı kuruluşlar veya AB'de ikamet edenler için izin alınması mümkün değildir. AB sakinlerinin AB dışındaki bir web sitesine erişmesi sizin kontrolünüz altında değildir. Sitenize AB'den erişebilmek, sitenizin AB'de iş yaptığını kanıtlamak için yeterli değildir ve katılım düzeyi bir faktördür.

Kişilerin gizlilikle ilgili sorguları için sizinle iletişime geçebileceği iletişim bilgilerine sahip olduğunuzdan emin olun. Denetleyiciler ve işleyiciler, belirli durumlarda, GDPR'ye ve dahili gizlilik politikalarına ve prosedürlerine uyumu izlemek ve tavsiyelerde bulunmak için bir veri koruma görevlisi atamalıdır. Kişisel verilerin sorumlu ve yenilikçi kullanımı konusunda bir iş danışmanının rolünü içeren bir 'gizlilik şampiyonu' rolü olarak tanımlanmıştır. Bu, Avustralya Gizlilik Koruma yasaları kapsamında zaten bir gereklilikti ve ne olursa olsun uygulanmalıdır.

Komisyon Fabrikası Bir Denetleyici mi yoksa İşlemci mi?

Komisyon Fabrikası, ortağımız Awin'e çok benziyor ve hukuk müşaviri, Reklamcılar ve Yayıncılar ile ortak bir veri denetleyicisi olarak kendimizi seçtikten sonra. Bu, bazılarının işlemci konumunu seçtiği ve verileri işleyen her işletmenin, bu verilerin işlenmesinde oynadıkları rolün ne olduğuna karar vermesi gerektiği için, bu konumun tüm bağlı kuruluş ağlarında aynı olduğu anlamına gelmez.

Komisyon Fabrikası bir Kontrolördür, çünkü ekonomik modele karar verdik ve reklamverenin bağlı kuruluş pazarlama kampanyasını sunmak için hangi verilerin işleneceği konusunda bağlı şirketlerimizle birlikte kararlar aldık.

Hangi rotayı izleyeceğiniz “Nasıl” ve “Neden” sorularıyla belirlenebilir. Bir dijital pazarlama şirketi olarak "Verilerin neden işlenmesi gerektiğine" ve "Amaca ulaşmak için nasıl işlenmesi gerektiğine" veya potansiyel olarak her ikisine birden karar verirseniz, o zaman "Kontrolör" tanımına girersiniz.

Bir İşlemci, Nasıl ve Neden'i belirlemez ve denetleyici tarafından belirlenen amaçlar için verilerin nasıl işleneceği konusunda sınırlı kararlar verebilir.

Bağlı kuruluş pazarlama modelinde, Reklamveren her zaman Kontrolör statüsüne girer. Bunun nedeni, verileri 'neden' işleyeceklerine ve "Bağlılık pazarlamasına katılalım ve komisyon karşılığında yönlendirilen satışlar için ödeme yapalım" gibi kararlar verebileceklerine yalnızca onlar karar verebilir.

Bir İşlemcinin rotasını seçmemenin nedeni, onunla ilişkili pratikliklerden kaynaklanmaktadır. Örneğin, Komisyon Fabrikası veya bağlı şirketlerimiz bir veri işlemci rolünün kısıtlamaları dahilinde çalışmaya çalışacak olsaydı, her seferinde her bir ilgili reklamveren tarafından önceden onaylanan herhangi bir yeni veri işleme almamız gerekirdi. Ayrıca, hata düzeltmeleri, güncellemeler, yükseltmeler veya ürünlerimizin veya hizmetlerimizin ek özelliklerinden yararlanmak istediklerinde Reklamverenlerden yazılı talimat almamız gerekir. Bu külfetli olurdu.

Komisyon Fabrikası tamamen bir bağlı kuruluş ağı olduğundan, reklamveren web sitelerine yapılan yönlendirmeleri, sonuç işlemlerini ve raporlamamızı izlemek için sınırlı kişisel veriler kullanırız, ancak bu verileri asla davranışsal kullanıcı profilleri oluşturmak veya başka pazarlama amaçları için yeniden kullanmayız. Ayrıca aşağıdakiler için başka veri toplamıyoruz:

  1. Davranışsal kullanıcı profilleri oluşturma
  2. Davranışsal olarak yeniden hedefleme
  3. Başka amaçlar için pazarlama

Bu tür işlemeden kaçınarak, işlemeyi haklı çıkarmak için meşru menfaate güvenebilir ve yasal olarak işlemleri izlemek için yayıncılardan veya reklamcılardan Veri İzni gerekliliklerinden kaçınabiliriz.

Şimdi ne var?

GDPR ağırlıklı olarak bir AB direktifi ve veri koruma yasası olsa da, kapsandığınızdan emin olmak ve yükümlülüklerinizin ne olduğu konusunda tavsiye almak yine de ihtiyatlı olacaktır.

Gizlilik Yasası ve GDPR ile bazı benzerlikler göz önüne alındığında, Avustralya işletmeleri GDPR'nin gerektirdiği bazı önlemleri halihazırda almış olabilir. Buna rağmen, tüm uygulamalarınızı ve yönetişim yapılarınızı GDPR düzenlemeleri ışığında değerlendirdiğinizden emin olmanız ve sıkı bir uyum sağlamak için gerektiğinde yasal tavsiye almanız önemlidir.

Bir ağ olarak bizim bakış açımızdan, verilerin kısa olması için isteğe bağlı izin araçlarını kullanıma sunacağız ve tüm web sitelerimize çerez izni ekleyeceğiz, ancak Yayıncılar uygun gördükleri herhangi bir şekilde izin almakta özgürdürler.

Cashback ve ödül yayıncıları gibi bazı bağlı kuruluş ücretlendirme modelleri, bağlı kuruluş çerezleri için bir Çerez İznine ihtiyaç duymayabilir, çünkü bağlı kuruluş çerezleri, nakit iadesi veya ödüle dayalı bir hizmet türünün çalışması için gereklidir.