Düzenlenen bu alıntı, Sachiko Scheuing ©2024 tarafından hazırlanan Müşteri Verileri Nasıl Kullanılır kitabından alınmıştır ve Kogan Page Ltd.’nin izniyle çoğaltılmıştır.
Kişisel verileri kullanıyor musunuz?
Eminim öyledir çünkü aksi takdirde bu kitabı okumazdınız. Şirketiniz kişisel verileri pazarlama, muhasebe, İK veya başka amaçlarla kullanıyorsa bir gizlilik politikasına ihtiyacınız vardır.
Veri koruma ve bilgisel olarak kendi kaderini tayin etme konusundaki geleneksel yaklaşım, kendi verilerinizin anlamlı kontrolünün yalnızca verilerin nasıl kullanılacağı konusunda bilgilendirilmeniz durumunda mümkün olduğunu öne sürmektedir.
GDPR’nin yasanın kapsamını ve farklı tanımlarını açıkladıktan sonra metninde ortaya koyduğu ilk kurallardan biri şu: Madde 5 (legislation.gov.uk, 2016)):
1. Kişisel veriler:
(a) veri sahibiyle ilgili olarak hukuka uygun, adil ve şeffaf bir şekilde işlenir (‘hukuka uygunluk, adillik ve şeffaflık’)
Bu gereksinim, bir gizlilik bildirimine olan ihtiyacı tetiklemektedir.
Şirketler, özellikle veri denetleyici olduklarında, veri kullanımlarından sorumlu olmalı ve bir gizlilik beyanına sahip olmalıdır. Bu gereklilik aynı zamanda GDPR’nin 24(2) Maddesinde de belirtilmiştir (legislation.gov.uk, 2016).
Bu makale, profil oluşturma da dahil olmak üzere otomatik bireysel karar alma konusunu kapsamaktadır; gösterilecek reklamların seçimini otomatikleştiren pazarlama amaçlı profil oluşturma değil, insanlar üzerinde ciddi bir etkiye sahip olabilecek profil oluşturma.
Madde 24(2), bu tür bir profil oluşturmanın ancak gizlilik bildirimini içeren uygun bir veri koruma politikasının uygulanması durumunda uyumlu olabileceğini belirtmektedir (legislation.gov.uk, 2016).
Her durumda, gizlilik bildirimi önemli bir belgedir. GDPR, gizlilik politikanızda yayınlamanız gereken kesin bilgileri listelemek için iki makale ayırmıştır; Madde 13, doğrudan tüketicilerden veri toplamanız durumunda gereklilikleri, Madde 14 ise verilerin dolaylı olarak toplandığı durumlara ilişkin gereklilikleri belirlemektedir (legislation.gov.uk, 2016).
Gizlilik Bildiriminizi Kim Okuyacak?
Gıda etiketlemesi durumunda, bunu okuyan, belirli bir içeriği kontrol eden bir müşteri olarak bendim. Gizlilik bildiriminizi kimin okuduğunu hiç merak ettiniz mi?
Müşteriler ve potansiyel müşteriler, verileri elinize geçtiğinde neler olacağı konusunda endişe duyan belirgin bir paydaş grubudur. Gizlilik aktivistleri ve tüketiciyi koruma kuruluşları da gizlilik bildiriminizi inceliyor olabilir.
Veri koruma alanındaki yazarlar ve akademik araştırmacılar, şirketlerin kişisel verileri nasıl kullandığını öğrenerek bunu harika bir bilgi kaynağı olarak görüyor. Şirketinizi ilgilendiren bir dava üzerinde çalışan düzenleyiciler, hakimler ve avukatlar da gizlilik bildiriminize büyük ilgi göstermektedir.
Kurumsal imajınız, gizlilik bildiriminizin nasıl okunduğuna göre şekillenir. Hem işletmeden işletmeye hem de işletmeden tüketiciye pazarlardaki müşteriler, gizlilik uygulamalarınıza büyük önem veriyor.
Şirketinizin iş ortakları ve tedarikçileri, durum tespiti anketlerinde gizlilik bildiriminiz hakkında sorular sorarak şirketinizin veri koruma uyumluluğunun incelemesini sıklıkla resmileştirir.
Okuyucular kim olursa olsun, müşteriler ve iş ortakları gibi gelir getirici taraflar da dahil olmak üzere çeşitli paydaşlar için başka bir “temas noktası”dır.
Onların gizlilik uygulamalarınız hakkında iyi bir izlenim sahibi olmalarını istiyorsunuz ve bunu sergilemeniz için ilk şansınız gizlilik bildiriminiz olabilir. ICO’nun sözlerini ödünç alırsak, iyi bir gizlilik beyanı “güven oluşturmaya yardımcı olur, kafa karışıklığını önler ve herkesin ne beklemesi gerektiğini bilmesini sağlar.” (ICO, 2023)
Gizlilik Bildirimim Ne Kadar Uzun Olmalı?
GDPR, hangi verilerin toplandığını, kullanıldığını ve saklandığını doğru bir şekilde açıklayabilmeniz için yeterince uzun bir gizlilik bildirimi hazırlamanızı beklemektedir. Bu, gizlilik bildiriminizi şeffaf hale getirir.
Aynı zamanda, GDPR’nin 12(1) Maddesine göre gizlilik bildiriminiz kısa ve öz olmalıdır (legislation.gov.uk, 2016). Bu iki gereklilik ilk bakışta birbiriyle çelişiyor gibi görünüyor. AB düzenleyicileri bu nedenle bazı açıklamalarda bulunuyorlar.
Gizlilik bildirimi, tüketicilerin kişisel verileri hakkında karar verebilmeleri için gerekli bilgileri vermeyi amaçlasa da, düzenleyiciler aynı zamanda “bilgi yorgunluğu” veya “aşırı bilgi yükü” olarak bilinen olgunun da farkındadır. Hipotez, insanların bilgiyi sindirme kapasitesinin sınırlı olduğu yönündedir.
Çok fazla bilgi sunulduğunda insanlar bunalmakta ve ya bilgiyi görmezden gelmekte ya da yaşadıkları psikolojik stresle başa çıkabilmek için mantıksız kararlar almaktadırlar (Simmel, 1950; Milgram, 1969).
Bunu önlemek için aynı zamanda gerekli tüm ayrıntıları sağlayabilecek iki strateji vardır.
Net Bir Yapıya Sahip Olun
Bir gizlilik bildirimi yazmaya başlamadan önce, sağlamanız gereken tüm bilgileri listeleyin. Ardından bunu müşterilerinize ve diğer veri sahiplerine mantıksal bir şekilde nasıl sunmak istediğinizi düşünün.
Bunu yaparken büyük tüketici markalarının ve kamu kuruluşlarının gizlilik bildirimlerini okumak ve gizlilik bildirimlerinin nasıl yapılandırıldığını öğrenmek isteyebilirsiniz.
Gizlilik bildirimlerinin şirket içi deneyimli avukatlar veya veri koruma konusunda uzmanlaşmış hukuk firmaları tarafından hazırlanması ihtimali yüksektir. Buradaki fikir, harika gizlilik bildirimlerinin neye benzediğine dair fikir edinmektir.
Ayrıca rakiplerinizin ve iş alanınızdaki ortaklarınızın gizlilik bildirimlerini de okumak isteyebilirsiniz.
Gizlilik sorumlunuza hangi rakiplerin veri koruma uygulamaları açısından iyi bir üne sahip olduğunu sorun veya belki de onların kim olduğunu zaten biliyorsunuzdur. Gizlilik bildirimlerinin nasıl yapılandırıldığına bir göz atın. Ayrıca ICO’nun gizlilik politikası şablonunun yapısını da kolayca benimseyebilirsiniz.
Ne yaparsanız yapın, önemli olan gizlilik bildiriminize mantıksal bir yapı kazandırarak okunabilirliğini artırmaktır.
Katmanlar halinde Gizlilik Bildirimlerini Hazırlayın
Düzenleyiciler tarafından desteklenen bir diğer yaklaşım ise katmanlı yaklaşımdır (Madde 29 WP, 2018).
Gizlilik bildiriminin çevrimiçi olacağını varsayarak, bağlantıları kullanarak gizlilik politikanızı etkileşimli hale getirebilirsiniz, böylece kullanıcılar daha fazla bilgi istediklerinde bunlara tıklayabilir veya isterlerse bunları atlayıp birinci düzey özet bilgilerde kalabilirler. Tıpkı çevrimiçi bir ansiklopedi kullandığınız gibi.
Bu şekilde, temel mesajlar basitleştirilir ve gizlilik bildiriminizin okuyucuları, bildirimin ilk katmanı hakkında iyi bir genel bakışa sahip olur.
Düzenleyiciler, gizlilik bildiriminin ilk katmanlarında aşağıdaki bilgilerin görünmesini önermektedir (Madde 29 ÇP, 2018, sayfa 19, para 36):
- İşleme amaçlarının ayrıntıları
- Veri sorumlusunun kimliği
- Veri sahiplerinin haklarının açıklaması
- Veri sahibi üzerinde en fazla etkiye sahip olan işlemeye ilişkin bilgi
- İşlemeyle ilgili onları şaşırtabilecek bilgiler.
Gizlilik Bildirimini Ne Zaman Sunmam Gerekir?
Tüketiciler, örneğin pazarlama amaçları için hangi verilerin toplandığı konusunda mümkün olduğunca erken bilgilendirilmelidir.
Doğrudan müşterilerinizden veri toplarken, verileri topladığınız anda gizlilik bildiriminizi sunmalısınız (bkz. GDPR Madde 13(1); mevzuat.gov.uk, 2016).
Verileri kamu kaynakları veya pazarlama verileri sağlayıcıları gibi diğer kuruluşlardan lisansladığınız bir senaryoda, Madde 14(3)a ve b, gizlilik bilgilerinin aşağıdaki şekilde sağlanmasını gerektirir (legislation.gov.uk, 2016) :
- kişisel verilerin elde edilmesinden itibaren makul bir süre içinde, ancak kişisel verilerin işlendiği özel durumlar dikkate alınarak en geç bir ay içinde;
- kişisel veriler veri sahibiyle iletişim için kullanılacaksa, en geç söz konusu veri sahibiyle ilk iletişim sırasında; veya
- başka bir alıcıya açıklanması öngörülüyorsa, en geç kişisel veriler ilk kez açıklandığında.
Kısaca iletişim bilgisi olmayan lisanslı veriler için gizlilik bildiriminin bir ay içerisinde iletilmesi gerekmektedir.
İsimler, telefon numaraları, e-posta adresleri ve fiziksel adresler gibi iletişim verilerini kullanıyorsanız, onlara ilk ticari mesaj gönderdiğinizde gizlilik bildirimini iletmeniz gerekir.
0 Yorumlar