Son çare: E-Ticaretinizin GDPR İçin Hazır olup olmadığını Kontrol Edin

Yayınlanan: 2018-05-24

Genel Veri Koruma Yönetmeliği ilkelerinin yürürlüğe girmesine sadece birkaç saat kaldı. Bu, e-ticaret işletmenizin tüm AB gereksinimleriyle GDPR uyumluluğunu kontrol etmek için hala kısa bir süreniz olduğu anlamına gelir.

Bu gönderide, kullanıcılarınızın kişisel verilerinin kontrolü ve işlenmesi ile ilgili yaklaşan mevzuat hakkında en gerekli bilgileri kısaca sunmaya çalışacağız. GDPR'nin nasıl çalıştığını ayrıntılı olarak inceleyebileceğiniz faydalı bağlantılar eklemenin yanı sıra. Ayrıca, bu gönderinin altında, 25 Mayıs 2018'den sonra büyük para cezalarından kaçınmanıza yardımcı olabilecek kısa bir GDPR kontrol listesi bulacaksınız.

GDPR: Kökler ve Meyveler

2010'da Avrupa Komisyonu, AB veri koruma kurallarını güçlendirmek ve AB'nin 1995 Veri Koruma Yönergesi ile 1998 Birleşik Krallık Veri Koruma Yasasını revize etmek için bir strateji belirledi.

AB vatandaşları arasında, kullanıcıların %61'inin e-ticaret web sitelerinin sahip olduğu kişisel bilgilerinin gizliliği konusunda endişeli olduğunu ve endişelerinin yarısından fazlasının (%55) çevrimiçi alışveriş yaparken dolandırıcılık ile ilgili olduğunu ortaya çıkaran bir anket yaptılar.
Ankete göre, ankete katılanların %75'i kişisel bilgilerini istedikleri zaman çevrimiçi olarak talep edebilmek ve silebilmek istiyor. Ve insanların %90'ından fazlası Avrupa genelinde aynı veri koruma haklarına sahip olmak istedi.

Bizi izlemeye devam etmek ve doğrudan gelen kutunuza hızlı, uygulanabilir pazarlama ipuçları almak için abone olun.

6 yıl boyunca, Avrupa Komisyonu, kullanıcı verilerinin korunması ilkelerini ve bunların dünya çapında İnternet'te uygulanmasının etkili yöntemlerini detaylandırıyordu. Ve son olarak, 2016'da GDPR, AB parlamentosundan geçti. Bu ilkeleri genel olarak ele alalım.

GDPR İlkeleri

  • Yasallık, adalet ve şeffaflık
    Ziyaretçilerinize sunduğunuz tüm izinler basit ve anlaşılır bir dilde yazılmalıdır. Gizlilik politikanız ve hizmet şartlarınızın yanı sıra. Tüketicilerinize veya potansiyellerinize gönderdiğiniz her türlü e-posta, 'abonelikten çık' düğmesini içermeli ve e-postanızı neden aldıklarını açıklamalıdır. Avrupa Birliği, müşterilerinizin işlediğiniz verilerin amaçları, yöntemleri ve hacminden haberdar olma haklarına sahip olmasını şart koşar.
  • Yeterlilik, alaka düzeyi ve sınırlılık
    GDPR, alakasız kişisel verileri ve sahip olduğunuz takma adlı kullanıcı verilerini en aza indirmeyi amaçlar. Yalnızca e-posta pazarlamanızda, soğuk e-posta gönderimlerinizde kullanmayı planladığınız verileri toplamalı ve gereksiz veya pasif temaslardan kurtulmalısınız.
  • Kesinlik
    Sahip olduğunuz kişisel veriler doğru ve güncel olmalıdır. Bunu sağlamak için müşterilerinizin kişisel bilgilerini istedikleri zaman değiştirme imkanına sahip olmaları gerekir. Ayrıca şirketinizin işlediği kişisel verileri hakkında bilgi talep edebilir ve unutulma hakkını kullanabilirler.
  • Depolama sınırlaması
    Kişisel verileri, işleme amaçlarınız için gerekli olduğundan daha uzun süre tutmamalısınız. Her neyse, denetleyiciler şu ana kadar veri saklama için zaman sınırları belirlemedi. Dolayısıyla bu ilke, 'unutulma hakkı' ışığında değerlendirilmelidir.
  • Bütünlük ve gizlilik
    Müşterilerinizin diğer kişi veya şirketlerinin kişisel verilerini, veri sahibinin izni olmadan asla paylaşmamalı veya satmamalısınız. Tüm şirketler veritabanlarından sorumludur ve güvenliklerine gereken özeni göstermelidir.

GDPR Kişisel Veri Listesi

Kanunda 'kişisel veri' terimi 'yaşayan, kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi' olarak tanımlanmaktadır. Bu ilkeler, herhangi bir AB vatandaşının verilerini tutan ve izleyen tüm kamu makamları için geçerlidir.

Bu nedenle, GDPR aşağıdaki durumlarda sizi ilgilendirir:

  • Siz müşteriler ve potansiyeller Avrupa Birliği vatandaşlarısınız
  • E-posta aboneleriniz AB'den
  • Soğuk e-posta pazarlaması için veritabanınız, AB sakinlerinin kişisel verilerini içerir.

E-ticaret web sitenizin WordPress, Magento, WooCommerce veya Joomla kullanılarak oluşturulmuş olması veya siteyi kendi CMS'nizde geliştirmiş olmanız farketmez. GDPR, yalnızca kullanıcılarınız ve onların kişisel verilerinin güvenliği ile ilgilidir .

GDPR kapsamında 'Kişisel veriler' nedir:

  • Bir isim;
  • Bir kimlik numarası;
  • Konum verileri;
  • Çerez tanımlayıcıları;
  • Çevrimiçi tanımlayıcılar;
  • Biyometrik veri;
  • Gelir;
  • Kişinin kimliğini belirlemeye yardımcı olabilecek, kişinin “fiziksel, fizyolojik, genetik, zihinsel, ekonomik, kültürel veya sosyal kimliğine” özgü bir veya daha fazla faktör.

GDPR Ücretleri

GDPR ilkeleri, uyumsuzluk nedeniyle verilen büyük para cezaları nedeniyle çok konuşuldu. En büyük para cezası 20.000.000 Euro'ya kadar veya önceki mali yılın dünya çapındaki toplam yıllık cirosunun %4'üne kadar (hangisi daha yüksekse) olabilir. Bu nedenle büyük şirketlerin çoğu GDPR uyumluluğu için milyon dolardan fazla harcamaya karar verdi.
Ancak her durumun benzersiz olduğunu unutmamalısınız, bu nedenle para cezasının boyutu bire bir olarak tahmin edilecektir.
Genel olarak, perakende şirketinizin para cezasına çarptırılmasının iki ana nedeni vardır: kişisel verilerin toplu olarak sızdırılması ve hassas kişisel verilerin ihlali.

Veri Koruma Uzmanları

Bu, başlamanız gereken olmazsa olmaz bir adımdır (bunu daha önce yapmadıysanız). E-ticaret şirketinizin, tüm GDPR ayrıntılarıyla uyumlu ve müşterilerinizin verilerinin korunmasıyla ilgilenecek bir Avukatı/Avukatı olmalıdır. Yüksek ifşa riski olan hassas verileri tutmanız ve işlemeniz durumunda veya verilerin toplu olarak ihlal edilmesini bekliyorsanız, bir Veri Koruma Görevlisi tutmanız gerekir.
Sorumlulukları arasında, müşterilerin şikayetlerini yanıtlamak ve özellikle şirketiniz yeni çözümler, formlar, pazarlama e-postaları test ediyorsa, yeni bir web sitesi arayüzü veya uygulaması geliştiriyorsa, e-ticaret web sitenizin GDPR uyumluluğunu izlemek vardır.
Ayrıca, veri koruma görevlinizin (veya uzmanınızın) sistemsel bir arıza, bilgisayar korsanlığı saldırısı veya müşterilerinizin güvenliği için ciddi sonuçlara yol açabilecek başka bir sorun olması durumunda, veri ihlali bildirimini 72 saat içinde ICO'ya bildirmesi gerekir.

GDPR, E-ticaret için iyi bir şey mi?

Genel Veri Koruma Yönetmeliği, çevrimiçi perakende sektörü üzerinde olumlu bir etkiye sahip olabilir ve olacaktır. Bu, müşteri güvenini ve sadakatini artırmanın yanı sıra ödeme sürecine olan güveni artırabildiği için. Bu nedenle müşterilerinize kişisel bilgilerinin gizliliğine en iyi şekilde özen göstereceğinizi bildirmenizi tavsiye ederiz.

GDPR E-ticaret kontrol listesi

Birincil GDPR belgesinde çok sayıda gereksinim ve ayrıntı bulunmaktadır. Ancak en gerekli olanı bu kontrol listesine dahil etmeye çalıştık. Web sitenize, e-postalarınıza, iletişim formlarınıza ve her onay formuna uygulamak için hiçbir şeyi kaçırmadığınızı öğrenmek için buna bakın.

Veri Koruma Uzmanı

  • Bir veri işlemcisi olarak, hassas verileri işliyorsanız bir veri koruma uzmanı veya veri koruma görevlisi tuttunuz.

İzin Uyumluluğu Kontrol Listesi

  • Onaylarınız, müşterilerinizin kişisel bilgilerinin ne için ve ne için işleneceğini kolayca anlayabilmeleri ve aynı zamanda neyi kabul ettiklerini net bir şekilde anlayabilmeleri için basit ve açık bir şekilde yazılır.
  • Onay formlarınız açıktır. Bunlar, varsayılan olarak önceden işaretlenmiş kutular veya başka bir onay içermez.
  • Olumlu bir rıza ile 'cevap butonunuz' başka bir renkle vurgulanmıyor.
  • Onay formunuz belirgindir ve Şartlar ve koşullar bölümünden ayrıdır.
  • Kuruluşunuzu ve üçüncü şahısları formunuzun alt kısmında belirtmişsiniz.
  • Müşterilerinizin bu onayı reddedebileceğini belirttiniz.
  • Müşterilerinizin onaylarını nasıl geri çekebileceklerini açıkladınız.
  • Çevrimiçi müşterilerinizin çocuklar olabileceğini düşünüyorsanız veya biliyorsanız, onay formunuzda yaş doğrulaması ve ebeveyn izni talebi yer alır.

Ayrıca burada GDPR'ye uygun bir izin formu şablonunun nasıl oluşturulacağına dair çeşitli seçenekler bulabilirsiniz.
İçerik gereksinimi hakkında daha ayrıntılı bilgi almak için lütfen Birleşik Krallık'ın ICO GDPR Onay Kılavuzuna bakın.

Gizlilik Politikası GDPR-Uyumluluk Kontrol Listesi

  • Hizmet Şartlarınızı ve Gizlilik Politikanızı zaten incelediniz. Ve bunların müşterileriniz için anlaşılır bir dilde yazıldığından eminsiniz. Gizlilik politikası, kullanıcı verilerini işleme şeklinizin açıklamasını ve kullanıcı verilerini işlemek için kullandığınız üçüncü tarafların hizmetlerinin listesini içerir.
  • Müşterilerinizin sahip olduğunuz bilgilerini nasıl talep edebileceğini, değiştirebileceğini veya web sitenizden verilerini nasıl çekebileceğini web sitenizde belirttiniz.
  • Müşterilerinizin, kendilerini etkileyen herhangi bir GDPR ilkesinin ihlali olarak sizi nasıl bildirebilecekleri talimatını eklediniz.
  • Müşterilerinizi onaylarını geri çektikleri için cezalandırmadığınızı belirttiniz.
  • Gizlilik Politikanıza DPO'nuzun bir e-posta adresini eklediniz.
  • Gizlilik politikanızın bağlantısını web sitenizin altbilgisinde göze çarpan yere eklediniz.

İzni Yönetme

  • Müşterilerinizin her birinin onayını ne zaman, nerede ve nasıl aldığınızın kaydını tutarsınız.
  • Müşterilerinizin size tam olarak hangi bilgileri sağladığının kaydını tutarsınız.
  • İlişkinin, işlemenin ve amacın değişmediğine dair düzenli bir kontrol ne zaman uygulayacağınızı zaten planladınız.
  • Kullanıcı verilerinizi ne zaman yenileyeceğinizi zaten planladınız.

E-posta adresleri, adlar, kullanıcı kimlikleri, konum verileri, işlem kimlikleri, IP adresleri dahil olmak üzere müşterilerinizin kişisel verilerini kod düzeyinde Google Analytics'e göndermediğinizden emin olun. Daha fazlasını bulmak için bu Google makalesini okuyun.

Kullanıcılar ne yazık ki çoğu onaya olumlu tıklamaya alıştı. Bu nedenle, müşterilerinizin hangi verileri bıraktıklarını anlamalarını sağlamak için ek bir yeniden onay açılır penceresi oluşturmanızı öneririz.

Risk değerlendirmesi

  • Veri koruma uzmanlarından oluşan ekibinizin bir risk değerlendirmesi hazırlaması gerekir - şirketin hangi belirli verileri topladığını, bunları nasıl ve ne için işlediğini belirtmeleri gereken bir belge.
  • Risklerinizi analizler yaptınız, potansiyel zayıf noktalar buldunuz ve bir şeyler ters giderse ne yapacağınızı tahmin ettiniz.

Bu belgenin web sitenize yüklenmesi gerekmez, ancak bu, bir şikayet aldığınızda yapacağınız işlemler için güçlü ve meşru bir temel olabilir.

Bir GDPR özeti derleyelim

Bugün, GDPR hala çok erken aşamalarındadır ve zamanla gelişecektir. Bununla birlikte, bu, iş şeffaflığına yönelik küresel bir eğilim açısından artık müşterilerinize karşı genel bir nezakettir.

  • Bırakın ne tür kişisel bilgiler bırakabileceklerine müşterileriniz karar versin.
  • Verilerinin ne ve hangi nedenle işlenebileceğini bilmelerine yardımcı olun.
  • Kişisel bilgilerini nasıl talep edebileceklerini, onaylarını nasıl geri çekebileceklerini veya aboneliklerini nasıl iptal edebileceklerini onlara bildirin.
  • Lütfen hedef kitlenizle konuşurken basit bir dil kullanın – metin yazarlarınızdan kimsenin anlamadığı binlerce gereksiz hukuki terim kullanmalarını istemenize gerek yoktur.
  • Onay formlarınızı yeniden tasarlayın.
  • E-posta pazarlama hedef kitlenizi dikkatli bir şekilde hedefleyin.
  • Veri Koruma Görevlinizin sorumluluklarını belirleyin. Ayrı e-posta adreslerini etkinleştirin.
  • Aldığınız ve işlediğiniz tüm kullanıcı bilgilerinin kaydını tutun.
  • Hizmet Şartlarınızı ve Gizlilik Politikası dosyalarınızı güncelleyin.

Bunun zaman ve kaynaklar gerektirdiğini biliyoruz ve şimdiye kadar hazır olduğunuzu umarız. Ancak sıkı çalışmanız ve uyumlu olma çabanız müşteri güvenini kazanacaktır.