GDPR Dijital Pazarlama Dünyasında Neleri Değiştirdi?

Verinin öneminin giderek arttığı bir dönemdeyiz. Veri toplama, işleme ve depolama faaliyetlerinin şirketler için önemli bir kaynak olduğu bu dönemde, veri üzerinden yapılan çıkarımlar ve bu çıkarımların sistemli bir şekilde ticari kazanımlara dönüştürülmesi “veri”nin önemini daha da artırmaktadır. Verileri işleme süreci bugün, kişileri tüketim alışkanlıklarından ideolojik düşüncelere kadar yönlendirilmeye açık olan “sanal silah” olarak tanımlanıyor. Kişisel verilerin şirketler tarafından işlenmesiyle doğan General Data Protection Regulation (GDPR) ise kişileri merkeze almakta ve kişilerin hangi verilerinin ne amaçla ne kadar süre ile kullanılacağını bilme hakkına sahip olduğunun altını çizmektedir.

GDPR Nedir?

Açılımı Avrupa Birliği Genel Veri Koruma Yönetmeliği olan GDPR, 25 Mayıs 2018 tarihinde yürürlüğe girmiş bir Avrupa Birliği (AB) regülasyonudur. 95/46/EC sayılı Veri Koruma Direktifi’nin genişletilmiş bir hali olan ve onun yerini alan bu regülasyon, AB vatandaşlarının kişisel verilerini korumayı amaçlar. Bu kişisel veriler, isim, adres, kimlik no, konum, IP adresi, Cookie bilgileri gibi internet verileri, fiziki görünüme ait veriler, siyasi görüş, ırk ve kökene ait bilgiler gibi pek çok veri olabilir. Bireylerin kendi kişisel bilgileri üzerindeki kontrol kabiliyetinin artırılmasını amaçlayan bu regülasyon, işletmelere büyük bir sorumluluk yüklemektedir. GDPR’a göre işletmeler, AB sınırları içerisinde kurulmuş olmasa bile, müşterileri ve çalışanlarıyla ilgili işletmekte oldukları kişisel verileri yazılı ve yasal izinler doğrultusunda kullanmak zorundadırlar. Bu regülasyon ile şirketler kullandıkları her veriyi dokümante etmek zorundadır.

GDPR Web Dünyasında Neleri Değiştirdi?

Verinin işlenebilir olmasıyla değerinin artması yeni bir temel hak ve özgürlükler alanı ortaya çıkarmıştır. Temelde merkezdeki otoritenin hakimiyetini kişilere devreden ve kişilerin kendi verileri üzerinde hakimiyet kurmasını amaçlayan GDPR, web dünyasında da birçok değişime neden olmuştur. Kullanıcı profili oluşturan forum sitelerinden, ürün satışı yapan ve böylelikle kullanıcı verilerini kaydeden e-ticaret sitelerine kadar internet dünyası GDPR’dan etkilenmiştir. Hatta kişilere yorum yapma izni vermesi sebebiyle WordPress siteleri de bu düzenlemeden etkilenmektedir. Henüz 2 yaşından küçük olmasına rağmen etkileri bir hayli fazla olan GDPR, öncelikle web dünyasındaki “ahlaki” değişime öncülük etmektedir. Kullanıcı verilmiş hakları sebebiyle web sitesine başvurursa, site kullanıcıya 30 gün içerisinde cevap vermek zorundadır. Düzenlemenin web sitelerine yüklediği açık izin alma sorumluluğundan dolayı web siteleri sadece “Şartlar ve Koşullar” gibi genel bir seçenekle izin alma işlemini gerçekleştirememekte, her veri toplama işleminde kullanıcıya sorulması anlamına gelen “net onay” sistemi web sitelerinde benimsenmektedir. Kullanıcılar istedikleri zaman onayladığı izinlerini silebilir.

GDPR’ın dijital dünyadaki etkisini incelediğimizde, ABD ve İngiltere’deki büyük firmaların uyumluluk maliyetlerinin yaklaşık 9 milyar dolara ulaştığını görüyoruz. GDPR yürürlüğe girdikten 9 ay sonra Avrupa Ekonomik Alanına bağlı 11 ülkede toplam 56 milyon euroluk bir ceza uygulandı. Finansal tablonun yanı sıra markaları artık tüketici verisi toplarken ve işlerken çok daha dikkatli davrandıkları ortada. Firma içi bilincin artırılması, hukuk firmalarından danışmanlık alınarak hazırlıkların tamamlanması, tüm iş birimlerinin bilgilendirilmesi, dijital izin yönetimi uygulamalarına yatırım yapılması, hem içeride hem de müşterilere dokunulan noktalardaki dokümanların ve formların tekrar düzenlenmesi gibi çeşitli aksiyonlara girişildi. Bu konuda yatırımlar hala sürüyor, zira genel uyumluluk oranı 2019 sonunda hala %42 idi.

GDPR’dan Hangi Sektörler Etkilendi?

GDPR şirketlerin, müşterilerinin veya çalışanlarının kişisel verilerini toplama, işleme ve saklama gibi faaliyetlerinde çeşitli kısıtlamalar getirmektedir. Bu kapsamda değerlendirildiğinde, GDPR, reklam şirketlerini, reklam verenleri, ajansları, teknoloji şirketlerini ve yayıncıları etkilemektedir. Kısacası kişisel verileri işleyerek var olan bütün sektörler GDPR’dan etkilenmiştir. Doğal olarak kullanıcıları da birebir etkilemektedir. AB içerisindeki kuruluşlar ile AB sınırları içerisindeki kişilere mal ve hizmet sağlayan tüm işletmeler (AB sınırı içerisinde bulunup bulunmamasına bakılmaksızın) GDPR’a karşı sorumlu tutulmaktadır. Düzenlemeler hem denetçiler hem de işleyiciler için de geçerli olduğundan, özellikle son yıllarda bir hayli popüler olan bulut sistemleri de düzenlemeden etkilenmektedir.

Şirketlerin Dikkat Etmesi Gereken Hususlar Nelerdir?

GDPR ile veriyi işleyen şirketlerin sorumlulukları artırılmıştır. 1995’ten beri gizlilik yasası olarak bildiğimiz Veri Koruma Direktifi’nin yerini alan GDPR’ın Direktif’e göre kapsamı daha genişletilmiştir. Buna göre şirketler müşterilerine ve ilgili kişilere, bilgilerin toplaması, saklaması ve işletilebilmesi için, verilerin hangi amaçla kullanılacağını özellikle belirtmesi gerekir. Eğer şirketin veriyi işleme amacı değişirse ilgili kişiden muvaffakiyet alınmalıdır. Şirketler, kişisel verileri talep ettiği, işlediği ve sakladığı tüm süreçlere ilişkin davranışlarını açık, şeffaf ve anlaşılabilir olarak yürütmelidir. Eğer kullanıcılar verilerinin kullanılması için izin vermişse, şirket kişiye bu izinleri istediği anda kaldırabilme hakkını da tanımak zorundadır. Özellikle 16 yaşından küçük çocukların kişisel verilerinin işlenmesi konusunda ailesinin veya velisinin açık imzasının alınması zorunlu tutulmaktadır. GDPR yönergesi ile şirketler kurallara nasıl uyduklarını ispatlamak zorundadırlar. Bunun yanında şirketler için ihlal bildirimleri de zorunludur. Eğer bir ihlal olduğu tespit edilmişse 72 saat içerisinde bu ihlalden etkilenen kullanıcılar tespit edilmeli ve net bir şekilde bilgilendirilmelidir. Şirketler kişisel verilere dayanan tüm işlemlerinin hesap verilebilir olmasına dikkat etmelidir. Öte yandan GDPR’a uymayan şirketlere ise çok ağır yaptırımlar uygulanmaktadır. Kişisel veriler konusunda düzenlemeye uygun hareket etmeyen şirketlere yıllık cirosunun %4’üne veya 20 milyon avroya (hangisi daha fazla ise) varan cezai yaptırımlar getirilmektedir.

GDPR’ın Sunduğu Fırsatlar Nelerdir?

GDPR bir mal veya hizmet satın alan kullanıcılar için, kişisel verilerin gizliliği konusunda, büyük avantajlar sağlamaktadır. Bireyin merkeze alındığı ve kullanıcı-şirket ilişkisinde hakimiyeti bireyin ele almasını sağlamaktadır. “Rıza” kavramının altı çizilmekte ve kullanıcının rızayı açık bir şekilde onaylayıcı eylemde bulunması şart koşulmaktadır. Bireylerin ırk, etnik köken, cinsel yönelim gibi hassas bilgilerinin işlenmesi için de açık rıza şart olarak koşulmuştur.

Öte yandan GDPR büyük şirketlerin hakimiyetini ve etki alanını da azaltmakta ve büyük veri şirketlerinin tekelleşmesini engellemeye çalışan bir regülasyon olarak düşünülmektedir. İkincil hedefi büyük teknolojiler ve tüketiciler arasındaki güç dengesizliğini gidermek olan düzenleme sayesinde kamuoyunda da çok tartışma yaratan büyük teknoloji şirketlerini verilerin işlenmesinden ve saklanmasından sorumlu tutmaktadır.

Dijital pazarlama dünyasında ise verilerin korunması anlamında birtakım sorumluluklar yüklenirken aynı zamanda GDPR sayesinde müşteri güvenini de sağlayarak daha güvenilir veriler üretebilecektir.