Dijital Pazarlamada GDPR ve Veri Gizliliği İlkeleri ne demek? GDPR, Genel Veri Koruma Yönetmeliği anlamına gelir. AB üye ülkelerinin tamamında geçerli olan bir düzenlemedir. Avrupa içindeki kuruluşlar kadar, Avrupa dışındaki işletmeler ve bireyler içinde oldukça öneme sahiptir. GDPR (Genel Veri Koruma Yönetmeliği), Avrupa’da Avrupa Birliği vatandaşlarının kişisel verilerini koruma amacıyla hayata geçirilmiş önemli bir düzenlemedir. GDPR adındaki bu düzenleme, Avrupa Birliği içindeki bütün işletmeleri kapsar ve bu işletmelerin AB vatandaşlarının kişisel verilerini koruma yükümlülüğünü yerine getirir. GDPR, 25 Mayıs 2018 tarihinde yürürlüğe girmiş olup aynı zamanda bahsettiğimiz AB üyesi ülkelerde geçmesi dışında bu ülkelerle veri paylaşımı sağlayan diğer ülkelerde de geçerliliğini korumakta.
Avrupa İnsan Hakları Sözleşmesi’nin 8. maddesini kendine kaynak edinen GDPR yönetmeliği; 173 paragraf, 99 madde ve 90 sayfadan oluşmakta olup özel hayatın gizliliği, önemi ve ailenin verilerinin korunması gibi temel konuları kapsıyor. İşletmelerin GDPR’a uymaması durumunda karşılaşacağı iki türlü para cezası da bulunuyor. Düşük seviye ihlalde, hangi ihlalin daha baskın olmasına bağlı olarak, 10 milyon Euro para cezası veya işletmenin bir önceki yıla göre dünya çapındaki yıllık gelirin %2’si kadar para cezası kesiliyor. Bu ceza kayıt tutma, veri güvenliği gibi seçeneklerle bağlantılı ihlaller için geçerli oluyor. Üst seviye ihlalde ise yine hangi ihlalin daha yüksek olduğuna bağlı olarak, 20 milyon Euro veya işletmenin bir önceki mali yıla göre dünya çapındaki toplam gelirin %4’ü kadar para cezası kesiliyor. Bu yüksek miktardaki para cezaları da veri koruma ilkeleri ihlali, hassas verilerin işlenmesinin yasaklanması, veri konularının haklarının reddedilmesi veya AB üyesi olmayan ülkelere veri aktarımı ile ilgili ihlaller için veriliyor. Bu para cezaları bir davaya bağlı olarak veriliyor ve bu dava da şu kriterlere dikkat ediliyor:
- İhlalin kasıtlı olup olmadığı
- Etkilenen kişi sayısı
- Şirketin hasarı azaltmak için ne tür önlemler aldığı
- Yetkililerle işbirliği düzeyi vb.
GDPR’ın 7 adet temel prensibi bulunur:
- Hukuka uygunluk, adalet ve şeffaflık
- Amaç sınırlaması
- Veri minimizasyonu
- Doğruluk
- Depolama sınırlaması
- Bütünlük ve gizlilik (güvenlik)
- Hesap verilebilirlik
Şirketlerin Koruması Gereken Kişisel Veriler:
- Çalışanların kişisel verileri (isim, adres, doğum tarihi vb.)
- Müşteriler/hastalar/sakinler hakkında bilgiler (pazarlama veri tabanları, tıbbi kayıtlar, kişi listeleri)
- İş ortaklarının ve sağlayıcıların kamuya açık olmayan kişisel verileri
- Üçüncü kişilere aktarılan ve üçüncü kişiler tarafından işlenen kişisel veriler (muhasebe defterleri, kredi kayıtları, doğrudan pazarlama)
- Görüntüler ve ses kayıtları
- Şifrelenmiş veriler (IP adresleri, MAC adresleri, gerçek bir kişiye bağlanabilen çerezler)
- Bireylerin fotoğrafları
- Video kayıtları
GDPR’a göre Bireylerin Hakları:
- Bilgilendirilme hakkı
- Erişim hakkı
- Düzeltme hakkı
- Silme/unutulma hakkı
- İşlemeyi kısıtlama hakkı
- Veri taşınabilirliği hakkı
- İtiraz hakkı ve otomatik karar verme ve profil oluşturma ile ilgili haklar