Veri gizliliğiyle ilgili düzenlemeler, özellikle de GDPR söz konusu olduğunda pek çok pazarlamacının kafası hâlâ karışık. Anlaşılması gereken çok şey var ama pratik açıdan nasıl çalışıyor? Aşağıdaki pazarlamacı kılavuzu, GDPR düzenlemeleriyle uğraşırken pazarlama süreçlerinizi düzene sokmanıza yardımcı olacaktır.
Biraz arka plan bilgisi edinmek için GDPR ve Pazarlamaya ilişkin genel bakışımızı okumak ve uzman Steven Roberts ile Veri Gizliliği 101 hakkındaki podcast’imizi dinlemek isteyebilirsiniz.
Önerilen makale: dunyanin en zengin insanlarinin ilginc zevkleri hakkında bilgi almak ve güncel girişimcilik haberlerine ulaşmak almak için ilgili sayfayı ziyaret edebilirsiniz.
GDPR Hazırlığı
Verilerinizi denetleyin
Bu kılavuz, AB vatandaşları hakkındaki bilgileri işleyen şirketlerde çalışan pazarlamacılara yöneliktir. AB dışında yerleşik pek çok şirket, AB vatandaşlarıyla ilgili verileri de yanlışlıkla işleyebilir; dolayısıyla bu şirketlerin ilk adımı, verilerini denetlemek ve bunların AB vatandaşlarıyla ilgili olup olmadığını keşfetmektir.
Profesyonel ipucu: GDPR uyumluysanız muhtemelen tüm pazarlarda uyumlu olduğunuzu varsayma hatasına düşmeyin. GDPR tartışmasız dünyadaki en sağlam veri düzenlemesi olsa da, ticaret yaptığınız tüm pazarlardaki Kaliforniya Tüketici Gizliliği Yasası (CCPA) gibi yerel düzenlemelerin nüanslarının da farkında olmalısınız.Kimlerin etkilendiği hakkında tam bilgi için ve nerede, resmi AB GDPR sitesine başvurun.
BT ekibinizi tanıyın
GDPR uyumluluğunun büyük kısmı hem pazarlamanın hem de BT’nin sorumluluğundadır. Bu kılavuzda pazarlama kapsamına giren öğeleri tartışacağız ancak BT departmanınız veya sağlayıcınızla yakın çalışmanız gerekecek.
BT departmanının, GDPR uyumluluğunun aşağıdakiler gibi son derece önemli unsurlarını karşılamak için yardımınıza ihtiyacı olacak:
Verilerin nerede saklandığını bilmek (Hangi ülkede saklanıyor? Eski bir makinede mi yoksa şirket içi bir sunucuda mı? Bulutta mı?)
Güvenlik ihlaline hazırlık
Veri sürecinin her adımında güvenlik önlemlerinin alınmasını sağlamak
GDPR’ye uyun
Veriler genellikle ‘yeni petrol’ olarak kabul edilir. Uyumlu bir şekilde kullandığınızdan emin olmak için adımlar atmak mantıklıdır.
Son yıllarda mali ve itibar açısından sonuçları olan birçok yüksek profilli veri ihlaline tanık olduk. British Airways, 400.000’den fazla müşterisinin kişisel ve mali bilgilerini korumadığı için 20 milyon £ para cezasına çarptırıldı. Ve Marriott otel grubu, milyonlarca müşterinin kişisel verilerini güvende tutmadığı için 80,5 milyon £ para cezasına çarptırıldı.
Uyumsuzluk çeşitli faktörlerden kaynaklanabilir. Bu kasıtlı bir karar olabilir. Örneğin birçok kuruluşun kişisel verileri nasıl kullandıkları konusunda yeterince şeffaf olmadığı görüldü. Ancak çoğu durumda bu, yalnızca insan hatasının veya organizasyonel dikkatsizliğin sonucudur. (Bu nedenle sürekli eğitim çok önemlidir!)
Biliyor musun? AB Veri Koruma Yetkilileri, Ocak 2022’ye kadar olan 12 ayda yaklaşık 1,1 milyar Euro para cezası verdi!
GDPR uyumluluğunu sağlamak için şirketlerin şunları yapması gerekir:
Kişisel verileri nasıl topladıkları ve kullandıkları konusunda şeffaf olun.
Bu verileri korumak için süreç ve prosedürlere sahip olun.
Bu veriler tehlikeye girdiğinde sorumlu olun.
Pazarlamacıların GDPR uyumluluğuna ilişkin sorumlulukları hakkında daha fazla bilgi için GDPR ve Pazarlama makalemize bakın.
GDPR uyumluluğuna yönelik 8 adım
GDPR uyumluluğuna ilişkin sekiz adımlı kontrol listemiz aşağıda verilmiştir:
Gizlilik politikası sayfanızı sıfırdan hazırlayın.
Katılım onayı için mevcut veritabanlarınızı denetleyin.
Mevcut veritabanları için kampanyaları yeniden etkinleştirin.
Katılım onayı için bir süreç oluşturun.
Satış ekibini gemiye alın.
Veritabanlarınıza erişimi olan üçüncü tarafları inceleyin.
Bilgi talepleri için kolaylaştırılmış bir sürece sahip olun.
Güvenlik ihlaline hazırlanın.
1. Adım. Gizlilik politikası sayfanızı sıfırdan hazırlayın
GDPR, gizlilik politikanıza ilişkin katı düzenlemeler içerir; nasıl yazılması gerektiği, neleri içermesi gerektiği ve ona nasıl erişilmesi gerektiği.
Gizlilik politikanızın metni üzerinde hukuk ekibiniz veya hukuk danışmanınızla birlikte çalışmanız gerekirken, GDPR düzenlemeleri bunun “özlü, şeffaf, anlaşılır ve kolay erişilebilir, açık ve sade bir dil kullanılarak” yazılması gerektiğini şart koşuyor.
Topladığınız verileri tam olarak nasıl kullanacağınıza dair “amaçlanan işleme ilişkin anlamlı bir genel bakış” sunmalısınız.
Kuruluşunuzdaki veri denetleyicisinin ve veri koruma görevlisinin kimliğini ve iletişim bilgilerini sağlayın.
Verileri üçüncü taraflarla paylaşmayı düşünüyorsanız, bu kuruluşları ve aktarılan verileri korumak için uygulanan önlemleri tanımlayın.
Ayrıca aşağıdaki ayrıntıları da sağlayın:
Amaçlanan saklama süreleri veya bu süreyi belirlemek için kullanılan kriterler
Kişisel verilere erişim ve bunların düzeltilmesi veya silinmesi haklarına ilişkin ayrıntılar
Veri işlemenin her türlü amacına yönelik onayı geri çekme hakkına ilişkin ayrıntılar
Denetleyici makama şikayette bulunma hakkı
Kullanılan mantığın ayrıntıları ve birey için potansiyel sonuçlar da dahil olmak üzere, otomatik karar almanın ayrıntıları
Önemli İpucu: En tepeden liderlik yapın ve kuruluş genelinde veri koruma savunucularını belirleyin. GDPR yalnızca bir pazarlama meselesi değildir!
2. Adım. Katılım onayı için mevcut veritabanlarınızı denetleyin
Mevcut veritabanınızın kişisel ayrıntılarının kullanılmasına ilişkin açık onayınızın olup olmadığını ve verilerinin kullanılmasına tam olarak hangi amaçlarla izin verdiklerini belirleyerek başlayın.
Her bir amaç için onaylarının belgelendiğinden emin olun ve ardından veri tabanınızı, amaca göre belgelenen onaya göre ayrı listelere bölün. Daha sonra, her liste için bir ‘sonraki adım’ planı oluşturun; onayı yeniden onaylamak veya farklı amaçlarla izin istemek için iletişime geçin. Aşağıdaki durumlarda katılımı yeniden onaylamanız gerekebilir:
Üçüncü taraflardan alınan iletişim bilgileri
Kayıtlı katılım yok
Spesifik olmayan katılım (her veri kullanımı için açıkça izin vermez)
Verileri kullanmakta olduğunuz veya kullanmak istediğiniz belirli yöntemler için katılım yok
Katılımın kaydedildiği ancak uzun süredir etkileşimde bulunmadığınız durumlarda
3. Adım. Mevcut veritabanları için kampanyaları yeniden etkinleştirin
1. adımda tanımladığınız listelere dayanarak, kişilerden verilerini kullanmak istediğiniz belirli amaçlar için katılmalarını veya yeniden kaydolmalarını talep etmek üzere ilgi çekici kampanyalar oluşturun.
Tüketicilerin kişisel verilerinin gizliliğine ilişkin duyarlılığı hiç bu kadar gerilimli olmadığından bu kolay bir iş değil. İnsanlar bu değerli verileri makul ve adil bir şekilde kullanacağınıza güvenmezlerse sizinle paylaşmak istemeyeceklerdir. GDPR’ye bağlılığınızı göstererek müşterilerinize güven vermenize ve itibarınızı artırmanıza yardımcı olabilirsiniz.
Verilerini kullanmak için size neden izin vermesi gerektiği konusunda tüketiciye faydayı açıkça aktarın ve verilerinin korunması için azami özenin gösterileceği konusunda güvence verin.
Her kampanya için doğru mesajı oluşturun.
İlgi çekici açılış sayfaları ve katılım formları oluşturun.
İşletmeniz için uygun veya mümkünse, e-postaları pazarlama veya satış ekibinden kişiselleştirilmiş telefon görüşmeleri ile takip edin.
Not: Kaydedilmiş bir görüşmede net bir soruya sözlü olarak izin verilmesi geçerli bir katılım şeklidir. Bu aramaları yapan ekip üyeleri için bir komut dosyası oluşturun.
4. Adım. Katılım onayı için bir süreç oluşturun
Denetiminizin ardından veritabanınıza eklediğiniz yeni iletişim bilgileri için, her yeni ilgili kişi için gerekli katılım düzeyini toplayacak bir sürecin mevcut olduğundan ve bu kişilerin ayrıntılarının uygun listeye eklendiğinden emin olmak istersiniz.
GDPR düzenlemeleri, rızanın artık varsayılan olarak kabul edilmesi ve vazgeçmek zorunda kalması yerine aktif olarak kaydolan müşteriler tarafından alınması gerektiğini şart koşuyor. Örneğin bu, iletişim formlarının sonundaki satış ve pazarlama iletişimine izin veren onay işaretlerinin varsayılan olarak işaretli olmaması gerektiği ve kullanıcıların kaydolmak için kutuları işaretlemesi gerektiği anlamına gelir.
İnsanların aktif olarak katılabileceği yollara bazı örnekler:
Bir katılım onay kutusunu işaretleyin
Bir kaydolma düğmesini veya bağlantısını tıklayın
Evet/Hayır seçeneği açılır menüsünden veya düğmelerinden seçim yapın
Hesap kontrol panelinde tercihleri ayarlayın.
İzin isteyen bir e-postayı yanıtlama
Açık bir sözlü onay talebine şahsen veya telefonla evet yanıtı verin
Kağıt üzerinde bir onay beyanı imzalayın.
Katılma Onayı
Ayrıca verilerini kullanmak istediğiniz her yol için ayrı bir katılım onayına ihtiyacınız vardır. Yeni katılım sürecinize karar verdikten sonra:
Web sitenizdeki blog veya haber bülteni abonelik formunu, verileri kullanmak istediğiniz her yönteme özel ve açık katılım içerecek şekilde ayarlayın.
Web sitenizdeki tüm formları (iletişim, fiyat teklifi talebi, demo talebi vb.) belirli açık tercihleri içerecek şekilde ayarlayın.
Tüm formlardan gizlilik politikanıza bağlantı verin.
Abonelikten çıkmanın açık yollarını sunun.
Herhangi bir nedenle veritabanlarının kopyalarını saklıyorsanız, tüm iletişim türleri veya belirli iletişim türleri için devre dışı bırakılması istendiğinde tüm müşteri bilgilerinin her kopyadan silinebileceği bir süreci belgeleyin.
Tüm mevcut ve yeni ekip üyelerini bu prosedürü izlemenin önemi konusunda eğitin.
Her yeni projenin, aracın veya sürecin veri toplama, işleme ve depolama prosedürlerinizi nasıl etkileyebileceğini sorun.
Unutmayın: İşletmeniz yalnızca ekibinizdeki en az eğitimli kişi kadar uyumlu olabilir, bu nedenle mevcut personelin sürekli eğitimi çok önemlidir!
Adım 5. Satış ekibini işe alın
İşletmeniz potansiyel müşteri yaratan bir işletmeyse (perakende veya e-ticaretin aksine), pazarlama muhtemelen potansiyel müşterileri getirecek ve bunları dönüşüm için satış ekibine iletecektir.
Geçmişte, satış ekibiniz, kapılı içeriği indirmek veya bültene abone olmak için e-postalarını veren potansiyel müşterilerin veritabanlarını almış ve onlarla bir satış konuşması veya ücretsiz deneme veya demo teklifi için iletişime geçmiş olabilir. Ancak GDPR uyarınca, potansiyel müşteriler satış ekibinin kendileriyle iletişim kurması için açık izin vermediği sürece bu uygulamaya artık izin verilmemektedir.
Satış ekibine aşağıdakileri sağlamak için GDPR eğitimi düzenleyin:
Onları azaltılmış kurşun sayılarına hazırlayın.
Onları GDPR’ye uymamanın sonuçları konusunda eğitin.
Hangi müşteri adaylarıyla etkileşime geçebileceklerini onlara bildirin.
Ağ oluştururken, soğuk bir potansiyel müşteriyle etkileşimde bulunurken veya LinkedIn’de katılım onayının nasıl alınacağı ve kaydedileceği konusunda onları eğitin.
Potansiyel müşterilerin pazarlamadan satışa nasıl aktarıldığına ilişkin süreci gözden geçirin ve bu yoldaki tüm adımların güvenli olduğundan emin olmak için BT ile birlikte çalışın.
6. Adım. Veritabanlarınıza erişimi olan üçüncü tarafları inceleyin
Verileri hangi üçüncü taraflarla paylaşıyorsunuz? Bunu nasıl kullanıyorlar? GDPR politikaları nelerdir?
Müşteri verilerinize erişen tüm iş ortaklarını inceleyin. Erişime ihtiyaçları var mı? Bunu ne için kullanıyorlar? Gerekirse erişimi iptal edin.
Hâlâ veritabanlarınıza erişmesi gereken tüm dış iş ortaklarıyla iletişime geçin ve iş süreçlerinin güvenli ve GDPR uyumlu olduğunu doğrulayın.
Aynı durum, müşteri verilerini girdiğiniz veya aracılığıyla topladığınız yazılım sağlayıcıları için de geçerlidir. Verileri nerede sakladıklarını (ülke) ve yazılımla ilgili gizlilik politikanıza eklemeniz gereken herhangi bir şey olup olmadığını sorun.
Pazarlama Ajansları için
Bir ajansta dijital pazarlamacıysanız (şirket içi pazarlamanın aksine), muhtemelen birçok şirketin veri tabanlarını yöneten üçüncü taraflardan birisiniz. Örneğin, müşterilerinin kişisel verilerini gösteren belgeleri, Excel dosyalarını, CRM erişimini veya web sitesi CMS erişimini sizinle paylaşan müşterileriniz olabilir.
Her müşteri için işlemlerinizi ve erişim düzeylerini ve kişisel verilere erişiminiz olduğunu tespit ettiğiniz yerleri denetleyin:
Kişisel verilere erişebileceğiniz yazılıma erişim düzeyinizin, herhangi bir kişisel veri olmadan işlem numaraları ve gelir gibi yalnızca ihtiyacınız olanı görmenize olanak tanıyacak şekilde değiştirilmesini talep edin.
Müşterilerin sahiplerine Google Ads gibi şeylere erişim izni verin (eğer henüz sahip değillerse) ve onları kendi veritabanı listelerini yükleme konusunda eğitin.
Adım 7. Bilgi talepleri için kolaylaştırılmış bir süreç uygulayın
GDPR uyumlu olmak, veri erişim taleplerine zamanında ve uygun şekilde yanıt verebilmenize yardımcı olacaktır. GDPR’nin temel ilkelerinden birinin, kişisel verileri makul şekilde kullanmanız olduğunu ve müşterilerin bu konuda size soru sorabileceğini unutmayın.
Biliyor musun? Buna bazen Makul Kişi Testi denir. Makul bir kişi hangi uygulamanın yasal ve adil olduğunu düşünür? Halk dilinde bu kişiye genellikle Clapham omnibusundaki adam denir!
GDPR kuralları, bilgi talebine en geç bir ay içinde tam yanıt verebilmeniz gerektiğini şart koşuyor. ‘Tam yanıt’ şunları içermelidir:
Birey hakkında hangi veriler kaydediliyor?
Bu verilerin nerede saklandığı
Verileri neden kaydettiniz ve kullandınız?
Ne kadar süre saklamayı düşünüyorsun
Bu verileri almak için kolaylaştırılmış bir süreç ayarlayın:
Bilgi talep formuyla web sitenizde bir açılış sayfası oluşturun.
İstekleri kontrol etmekten, verileri almaktan (mümkünse otomasyon aracından) ve bir ay içinde yanıt vermekten sorumlu olan bir ekip üyesini (veya üyelerini) atayın.
Abonelikten çıkma veya izin düzeylerini yönetme seçeneğinin yanı sıra verilerin güncellenmesi veya silinmesi seçeneğini de içeren, bireysel verilerin eklenebileceği bir şablon yanıt e-postası taslağı hazırlayın.
Adım 8. Güvenlik ihlaline hazırlanın
BT ekibiniz teknik güvenlik ihlallerinin önlenmesi, hazırlanması ve ele alınmasında aslan payını üstlenecek olsa da, bir güvenlik ihlali manşetlere çıktığında müşteri şikayetlerini ve sorularını yanıtlamak için genellikle pazarlama ve müşteri hizmetleri ön saflarda yer alır.
Aşağıdakiler de dahil olmak üzere, bir güvenlik ihlali olasılığıyla ilgilenen standart kriz iletişim belgelerini hazırlayın:
İrtibat noktaları, acil durum irtibat numaraları, sözcü vb. içeren bir süreç belgesi
Taslak medya beyanı, blog ve sosyal medya güncellemeleri
Taslak bir metin ve telefon veya sosyal medya üzerinden sahadaki müşteri sorularına kısa yanıtlar
Tüm departmanların GDPR ve BT güvenliğine uyum sağlamak için attığı adımları özetleyen tek sayfalık belgeler ve Soru-Cevap belgeleri
Veri koruma uygulamalarınız için son 5 ipucu
Veri Koruma 101 podcast’imizde Steven Roberts aşağıdaki beş çıkarımı önerdi.
Verilerinizi denetleyin
Süreç ve prosedürlerinize dikkatlice bakın
Düzenli eğitim
Temelleri doğru anlayın ve bunun üzerine inşa etmeye devam edin.
Pazarlama ekibinizdeki veri koruma şampiyonlarını belirleyin
Panik yapma. GDPR Sürecinizi Belgeleyin.
GDPR uyumluluğu, güçlü veri koruma süreçlerine sahip olduğunuzu ve her türlü veri ihlaline etkili bir şekilde yanıt verebildiğinizi kontrol etmenize yardımcı olur.
GDPR ile uyumlu olmak “sahip olunması hoş” bir durum değil. Kuruluşlar, kişisel verileri korumadıkları takdirde ağır mali para cezaları ve itibar kaybıyla karşı karşıya kalabilirler. Uyumlu olmak iş açısından mantıklıdır ve uyumlu kalabilmek için en son veri trendleri ve tehditleri konusunda güncel bilgilere sahip olmanız gerekir.
Yukarıdaki yönergeleri takip ederseniz ve sürecinizi belgelendirirseniz, düzenlemelere uymak için elinizden gelenin en iyisini yaptığınızı gösterebilirsiniz.
Not: Bu kontrol listesini hukuki tavsiye olarak almayın; uyumlulukla ilgili yarım kalmış işlerin kalmadığından emin olmak için BT ekibiniz ve hukuk ekibinizle birlikte çalışmalısınız.
Pazarlama Okulu 