GDPR uyumluluğu nedir? İşte bilmeniz gereken en az şey

Avrupa'da kullanıcıları olan herkes için GDPR veya Genel Veri Koruma Yönetmeliği bugün yürürlüğe giriyor. SON DERECE ÖNEMLİ olmakla birlikte ANLAMASI ZOR olmanın talihsiz bir bileşimine sahiptir.

Çoğu dönüştürme uzmanının, e-posta pazarlamacısının ve genel çevrimiçi pazarlamacının hukukçuları gözden geçirmek için zamanları olmayacak, ancak yine de patlama bölgesinden çıkmaları gerekecek.

Bu makale, bu pazarlamacılar için bir başlangıç ​​noktası olması amaçlanmıştır.

Hukuk ekibinizin tavsiyesinin yerini tutmaz – stratejiyi sonuçlandırmak için mutlaka bilgi güvenliği ve hukuk ekiplerinizle bir araya gelmelisiniz. Ancak bu, sizi doğru yöne yönlendirmeli ve GDPR ile ilgili ayrıntıları sade bir dille almak istiyorsanız size yardımcı olacaktır.

Veri minimizasyonu – “açgözlü pazarlamacı” sendromu yok

AB'nin GDPR'yi uygulamasının başlıca nedenlerinden biri, verilerin pazarlamacılar tarafından nasıl toplandığıdır. Dünyanın hemen her yerinde bilgi istediğinizde, karşılığında orantısız miktarda bilgi isteyebilirsiniz. Dönüşüm oranınız muhtemelen bundan dolayı düşecek, ancak bunu yapamamanız için yasal bir neden yok.

GDPR bunu değiştirir.

İşte kişisel verilerin işlenmesine ilişkin esaslara ilişkin 5. maddenin ilgili bölümü.

Kişisel veriler:

• veri sahibi ile ilgili olarak yasal, adil ve şeffaf bir şekilde işlenir ('hukuka uygunluk, hakkaniyet ve şeffaflık');
• belirli, açık ve meşru amaçlar için toplanır ve bu amaçlarla bağdaşmayan bir şekilde daha fazla işlenmez; 89(1) maddesi uyarınca kamu yararına arşivleme amaçları, bilimsel veya tarihi araştırma amaçları veya istatistiksel amaçlar için daha fazla işlemenin, ilk amaçlarla ('amaç sınırlaması') uyumsuz olduğu düşünülmeyecektir;
• yeterli, ilgili ve işlendikleri amaçlarla ilgili olarak gerekli olanlarla sınırlı ('veri minimizasyonu');

Bunun anlamı, yalnızca ihtiyacınız olan verileri toplamak için daha da fazla nedeniniz olmasıdır.

• Kullanıcıya istediği PDF'yi iletmek için bu e-posta adresine ihtiyacınız var.
• Pazarlama otomasyon sisteminizde profillerini oluşturmak için telefon numarasını, çalıştıkları şirketi, şirketin boyutunu ve fiziksel adresini istiyorsunuz.

İstediğiniz ekstra şeyler? Avrupa'da kullanıcılarınız varsa, artık adil bir oyun değiller.

Verileri ne için kullanacağınız konusunda açık olmanız ve yalnızca kullanıcıdan ihtiyaç duyduğunuz verileri toplamanız gerekir.

Katılım onayı – varsayılan abonelik yok

Bazı pazarlamacılar bu rıza oyunlarını ziyaretçilerle oynar:

• Kullanıcılar bir formu doldururken devre dışı bırakabilir, ancak kabul onay kutusu önceden işaretlenmiştir
• Kullanıcılar otomatik olarak kaydolur ve kullanıcıların belirli bir programa katılmak istemediklerini şirkete manuel olarak bildirmeleri gerekir.
• Katılım programındaki dil, kullanıcıların farkında olmadan birden çok şeye kaydolabileceği kadar belirsizdir.

Bu oyunların tümü, kuruluşları uyumsuzluk riskiyle karşı karşıya bırakacaktır. İşte muvafakat şartları 7. maddenin ilgili bölümleri:

İşlemenin rızaya dayalı olduğu durumlarda, kontrolör, veri sahibinin kişisel verilerinin işlenmesine rıza gösterdiğini gösterebilmelidir.

İlgili kişinin rızasının başka hususları da içeren yazılı bir beyan bağlamında verilmiş olması halinde, muvafakat talebi diğer hususlardan açıkça ayırt edilebilecek şekilde, anlaşılır ve kolay erişilebilir bir biçimde, açık ve anlaşılır bir dil kullanılarak sunulur. sade dil. Bu Tüzüğün ihlalini oluşturan böyle bir beyanın herhangi bir kısmı bağlayıcı olmayacaktır.

Bunun sizin için anlamı, Avrupa'da kullanıcılarınız varsa, bu rıza oyunlarının artık geçerli olmayacağıdır.

Kullanıcıların neyi tercih ettiği konusunda net olmalısınız. Bülteninize kaydolmalarını ve onlara ürün tanıtımlarını göstermelerini istiyorsanız, her iki şeye de ayrı ayrı rıza göstermelerini istersiniz ve bunu açıkça belirtmeniz gerekir.

Şu dört şeyi hatırlayın:

• Rıza aktif olarak verilmelidir
• Kullanıcılar ne için kaydoldukları konusunda anlaşılır bir dille bilgilendirilmelidir.
• Sessizlik ve önceden işaretlenmiş kutular onay olarak sayılmaz
• Bir faaliyet için rıza, diğer faaliyetler için rıza olarak geçerli değildir

İznin geri alınması – ziyaretçilerin çemberlerden atlamalarına izin verilmez

Üzerinde çalışmanız gereken başka bir şey, kullanıcılara programlarınızdan çıkma seçeneği sunmaktır. 7. Madde devam ediyor:

Veri sahibi, herhangi bir zamanda rızasını geri çekme hakkına sahip olacaktır. Rızanın geri çekilmesi, geri çekilmeden önce rızaya dayalı işlemenin yasallığını etkilemeyecektir. Onay vermeden önce, veri sahibi bu konuda bilgilendirilecektir. Rıza vermek kadar geri çekilmek de kolay olacaktır.

Ürün promosyonları veya haber bültenleri şeklinde e-posta patlamalarınız varsa, bunların her zaman insanların programlarınızdan çıkmaları için açık yolları olmalıdır. Ve bunlar açıkça görülebilmelidir.

Eskiden yalnızca veritabanınızda orada olmak İSTEYEN kişilerin olması dönüşüm açısından daha iyiydi. Şimdi, bu yasal açıdan da daha iyi.

Teknoloji yığını – güvenlik yok, isim yok

Kişisel olarak tanımlanabilir bilgiler içeren herhangi bir şeyle hızlı ve gevşek oynuyorsanız, teknoloji yığınınızı hızlı bir şekilde güçlendirmeniz daha iyi olur. Bu, takma ad veya ilgili teknolojiler için hükümler olmadan hassas müşteri bilgilerine ve profil oluşturmaya sahip olamayacağınız anlamına gelir.

Şirkette gerçek adlar ve hassas bilgilerle dolaşan Excel dosyaları her zaman hayır-hayır olmalıydı, ancak şimdi bunun olmasını engellemek için daha fazla nedeniniz var.

Tasarım ve varsayılan olarak veri koruması olan Madde 25, hafif güvenlikli şirketler için oldukça katı hükümlere sahiptir:

Kontrolör, en son durumu, uygulamanın maliyetini ve işlemenin niteliği, kapsamı, bağlamı ve amaçlarının yanı sıra işlemenin gerçek kişilerin hak ve özgürlüklerine ilişkin değişen olasılık ve şiddetteki riskleri dikkate alarak, hem işleme araçlarının belirlenmesi sırasında hem de işlemenin kendisi sırasında, veri minimizasyonu gibi veri koruma ilkelerini etkin bir şekilde uygulamak için tasarlanan takma ad gibi uygun teknik ve organizasyonel önlemleri uygulayın. Bu Tüzük gerekliliklerini karşılamak ve veri sahiplerinin haklarını korumak için gerekli önlemleri işlemeye entegre etmek.

Kontrolör, varsayılan olarak yalnızca işlemenin her bir özel amacı için gerekli olan kişisel verilerin işlenmesini sağlamak için uygun teknik ve organizasyonel önlemleri uygular. Bu yükümlülük, toplanan kişisel verilerin miktarı, işlenme kapsamı, saklanma süresi ve erişilebilirliği için geçerlidir. Özellikle, bu tür önlemler, varsayılan olarak kişisel verilerin, bireyin sınırsız sayıda gerçek kişiye müdahalesi olmaksızın erişilebilir hale getirilmemesini sağlayacaktır.

Sonuç olarak, kişisel olarak tanımlanabilir bilgileri barındırmak istiyorsanız, bu bilgileri güvende tutmak için pony yapmanız gerekir.

GDPR Uyumluluğu: Karmaşık Bir Canavar

Penaltılarla vurulmaktan kaçının. GDPR uyumluluğu işinde gerideyseniz, en azından şunları yapmanız gerekir…

• Ne kadar veri topladığınızın ve herhangi bir veri minimizasyonu yapmanız gerekip gerekmediğinin denetimi,
• kişisel verileri anonim verilere nasıl dönüştürdüğünüzün bir özeti ve
• ziyaretçi verilerini kullanmak için izin alma konusunda ne kadar açık olduğunuzun bir incelemesi