Web sitenizi GDPR uyumlu hale getirme

Yayınlanan: 2021-07-19

GDPR gereklilikleri, Birleşik Krallık'ın Brexit'ten çekilme döneminde ve AB ile ticaret yapan tüm işletmeler için uygulanmaya devam etmektedir. İşte yasaların doğru tarafında kalmak ve müşterilerinizi mutlu etmek için web sitenizde şimdi yapmanız gereken 10 değişiklik.

Bu gönderide, web sitenizi GDPR ile nasıl uyumlu hale getireceğinize ilişkin dar alanı özellikle ele almak ve yapmanız gereken belirli değişiklikler için önerilerde bulunmak istiyorum.

Peki ya Brexit ve 2020… GDPR hala bir gereklilik mi?

Genel Veri Koruma Düzenlemeleri (GDPR), AB'de yerleşik tüm şirketler ve müşteri olarak AB vatandaşlarına sahip olanlar için geçerlidir. Birleşik Krallık'taki işletmeler için Brexit Geri Çekilme anlaşması, geçiş döneminde uyum sağlama ihtiyacında herhangi bir değişiklik yapmayacak ve AB içinde ticaret yapan işletmeler için gereksinimler değişmeyecek.

Ayrıca Birleşik Krallık, GDPR'nin yüksek standartlarını korumaya kararlıdır (ve hükümet bunu Brexit'ten sonra Birleşik Krallık yasalarına dahil etmeyi planlamaktadır.

Mevcut GDPR düzenlemeleri 25 Mayıs 2018'de yürürlüğe girmiştir.

GDPR düzenlemelerinin uygulanmasını dikkate almak ilginçtir ve GDPR Enforcement Tracker web sitesi, AB içindeki veri koruma makamlarının GDPR kapsamında uyguladığı para cezalarının ve cezaların bir listesini ve genel bakışını sağlar.

İlk olarak, hukukçu olmadığımı söylemeliyim, ikincisi bu, yüzeysel bir analiz. Yazma sırasında, veritabanı şunları içerir:

  • Aralık 2019'da yasal haberler için bir web sitesi işleticisiyle ilgili bir dava da dahil olmak üzere, özetin "web" kelimesini içerdiği 16 para cezası ve ceza davası seyirci.
  • Özetin "e-posta" kelimesini içerdiği 5 vaka, 2019'da Vodafone'un kör kopya özelliğini kullanmadan çok sayıda alıcıya (müşteriye) pazarlama e-postası gönderdiği bir vaka da dahil. 60.000 Euro'luk ilk para cezası 36.000 Euro'ya düşürüldü.

Bir yandan, bu, uyumsuzluk nedeniyle çok sayıda kovuşturma değil, bu riski kişisel veri işlemenin artan duyarlılığı ve bir sorun olarak bu konudaki farkındalık ile birleştirir ve GDPR uyumluluğu sadece yasal bir gereklilik değil, aynı zamanda iyi iş anlayışı.

GDPR, web sitemin planlarını ve işlevselliğini nasıl etkiler?

GDPR'nin web sitesi gereksinimleri üzerinde önemli bir etkisi vardır ve bu da web sitenizin e-posta pazarlaması, sosyal medya ve e-ticaret etkinlikleri gibi diğer dijital etkinliklerinizle nasıl bütünleştiği üzerinde dalgalı bir etkiye sahiptir.

Tüm bu önerileri birbirine bağlayan altın iplik, GDPR kapsamında, rızanın özgürce, spesifik ve bilgilendirilmiş olarak verilmesi kavramının yeni kurallarla güçlendirilmesidir, bu da bizimki gibi işletmelerin daha fazla şeffaflık sağlaması gerektiği anlamına gelir.

İşte web siteniz için gözden geçirmek isteyeceğiniz 10 adım ve web geliştirme ekibinizle gerekli değişiklikleri tartışın. Herhangi bir sorunuz, benimle temas kurmaktan çekinmeyin.

Yapmanız gereken basit değişikliklerle başlayalım ve ardından daha karmaşık alanlara geçelim.

1. Formlar: aktif katılım

Kullanıcıları haber bültenlerine abone olmaya davet eden veya iletişim tercihlerini belirten formlar varsayılan olarak "hayır" olmalı veya boş olmalıdır. Durumun böyle olduğundan emin olmak için formlarınızı kontrol etmeniz gerekecektir.

Örnek olarak, GDPR öncesi uyumluluk öncesi geçerli Boots kayıt formu, kullanıcıyı aktif olarak devre dışı bırakmaya zorlayarak kabul kutusunu işaretledi. Çok yaramaz, kötü kullanıcı deneyimi ve Mayıs ayına kadar değiştirilmesi gerekiyor.

GDPR Seçimi Başarısız

2020'de bu formun işareti artık GDPR gereksinimlerine göre kaldırılmıştır.

Boots 2020 Web Sitesi GDPR uyumluluğu

Öte yandan, Sainsbury's'in bir kabul olduğunu varsayarak ve beni devre dışı bırakmak için kutuyu işaretlemeye zorlayarak bana harika bir deneyim yaşatmadığını iddia ediyorum. Bu konuda rüzgara yakın yelken açabileceklerini ve beni potansiyel bir müşteri olarak kesinlikle memnun etmediklerini iddia ediyorum:

2020 GDPR Sainsburys kapsam dışında kalıyor

2. Gruplandırılmamış katılım

İstediğiniz onay, hüküm ve koşulları kabul etmek ve diğer veri kullanım yöntemleri için onayın kabulü için ayrı olarak belirtilmelidir.

Bu örnekte, Sainsbury's, şart ve koşullarının kabul edildiğini ve iletişim izinleri için etkin katılımı ayrı olarak belirlemiştir.

Sainsbury's'in iletişim tercihi tercihleri ​​(e-posta, SMS, posta) açısından daha ayrıntılı olma seçeneğine sahip olmaması çok yazık.

sainsburys ayrıntılı tercih

3. Ayrıntılı katılım

Kullanıcılar, farklı işleme türleri için ayrı onay verebilmelidir.

Bu örnekte, ABC Ödülleri her tür işleme (posta, e-posta, telefon) için özel izin ister ve ayrıca üçüncü bir tarafa geçmiş ayrıntılar için izin ister.

4. İzni geri almak veya devre dışı bırakmak kolaydır

Rızayı kaldırmak da vermek kadar kolay olmalı ve bireylerin her zaman rızalarını geri çekme hakkına sahip olduklarını bilmeleri gerekir.

Web kullanıcı deneyiminiz açısından, bu, abonelikten çıkmanın belirli iletişim akışlarına yönelik onayı seçici olarak geri çekmekten oluşabileceği anlamına gelir:

İzni geri çekme GDPR

Veya iletişim sıklığını kolayca değiştirin veya tüm iletişimleri tamamen durdurun:

izni geri çekme sıklığı

5. Adlandırılmış taraflar

Web formlarınız, onay verilen her bir tarafı açıkça belirtmelidir. Üçüncü taraf kuruluşların özel olarak tanımlanmış kategorilerini söylemek yeterli değildir. Adlandırılmaları gerekiyor.

Bu örnekte, John Lewis'in Waitrose, John Lewis ve John Lewis Financial Services'tan güncellemeler için adlandırılmış izinler vermemiz gereken özü anladığını görebilirsiniz.

Daha önce form, kullanıcılardan kaydolmak yerine devre dışı bırakmalarını istiyordu:

john lewis izinleri

6. Gizlilik bildirimi ve şartlar ve koşullar

Bilgi Komisyonu Ofisi (ICO), web sitenizde kullanabileceğiniz örnek bir gizlilik bildirimi sunmuştur. Özlü, şeffaf ve kolayca erişilebilir.

GDPR terminolojisine atıfta bulunmak için web sitenizdeki hüküm ve koşullarınızı da güncellemeniz gerekecektir. Özellikle, bilgileri aldıktan sonra ne yapacağınızı ve bu bilgileri ne kadar süreyle hem web sitenizde hem de ofis sistemlerinizde tutacağınızı şeffaf hale getirmeniz gerekecektir.

Ayrıca nasıl ve neden veri topladığınızı da bildirmeniz gerekecektir. Gizlilik politikanızın, kullanıcı etkileşimini izlemek için kullandığınız uygulamaları detaylandırması gerekecektir.

7. Çevrimiçi ödemeler

Bir e-ticaret işletmesiyseniz, finansal işlemler için bir ödeme ağ geçidi kullanıyor olmanız muhtemeldir. Ayrıntıları ödeme ağ geçidine aktarmadan önce kendi web siteniz kişisel verileri topluyor olabilir.

Durum buysa ve web siteniz bu kişisel bilgileri bilgiler iletildikten sonra saklıyorsa, makul bir süre sonra, örneğin 60 gün sonra herhangi bir kişisel bilgiyi kaldırmak için web süreçlerinizi değiştirmeniz gerekecektir. GDPR mevzuatı gün sayısı konusunda açık değildir, neyin makul ve gerekli olarak savunulabileceği konusunda kendi kararınızdır.

8. Üçüncü taraf izleme yazılımı

Üçüncü taraf izleme yazılımı söz konusu olduğunda işler artık zorlaşmaya başlıyor.

Birçok web sitesi, web sitelerinde üçüncü taraf pazarlama otomasyon yazılımı çözümleri kullanıyor. Bunlar Lead Forensics, Leadfeeder veya CANDDI gibi müşteri adayı izleme uygulamaları olabilir. Veya Infinity Call Tracking veya Ruler Analytics gibi arama izleme uygulamaları olabilir.

Bu izleme uygulamalarının kullanımı, GDPR uyumluluğu açısından bazı çok ilginç soruları gündeme getiriyor ve bence bu gri bir alan olarak kalıyor. Bu uygulamalar ilk bakışta kullanıcıları beklemedikleri ve izin vermedikleri şekillerde takip ediyor . Örneğin, web sitenize her döndüğümde veya sitenizdeki belirli bir sayfayı görüntülediğimde davranışımı izliyor.

Ancak bu uygulamaların tedarikçileri, GDPR ile uyumlu olduklarını bize garanti eder.

İlk olarak, CANNDI gibi tedarikçiler, çerezlerin kullanıldığını açık ve net bir şekilde belirten afişleri tavsiye ediyor,

CANNDI GDPR uyumluluğu

Ve yazılım tedarikçileri, tanımlama bilgisi izleme teknolojisinin kullanımının bir veri denetleyicisi olarak işletmenizin meşru menfaatine olduğunu ve özellikle "doğrudan pazarlama amaçları için işleme veya sahtekarlığı önlemeye" izin veren Betimleme 47'yi savunuyor.

CANNDI'nin tavsiyeleri:

Meşru Menfaat​ - ​ ​Web sitenizin takibinde meşru menfaat ilkesini kullanıyorsanız, GDPR hazırlığı sırasında durumun böyle olduğunu kaydetmeniz tavsiye edilir. Bu, bunu kullandığınız gerekçeleri içermelidir.

CANNDI'ya GDPR bakış açısını paylaştığı için teşekkür etmek istiyorum ve okumanızı tavsiye ederim (PDF.)

CANNDIO GDPR Perspektifi

Bu araçların sağlayıcıları, GDPR uyumlu olduklarından emindir. Ancak yazılım yasa dışı bir şey yapıyorsa, Veri Denetleyicisi olarak bu sizin işletmenizin sorumluluğundadır. Asıl soru, bu tür yazılımları kullanmanın GDPR uyumluluğu risklerini belirlemek ve bir işletme sahibi olarak risklerinizi azaltmaktır. Sonuç olarak, bu yazılım sağlayıcılarla yaptığınız sözleşmeyi dikkatlice gözden geçirmeniz gerekir.

9. Google Analytics ve Google Etiket Yöneticisi ne olacak?

Google'ın GDPR taahhüdüyle ilgileniyorsanız, bu web sitesi başlamak için iyi bir yer: Google veri koruma yasalarına nasıl uyuyor?

Birçok web sitesi, kullanıcı davranışını izlemek için Google Analytics'i kullanacak şekilde yapılandırılmıştır. Google Analytics her zaman anonim bir izleme sistemi olmuştur. Toplanan “kişisel veri” yoktur, bu nedenle GDPR'nin kullanımını etkilemediğine inanıyorum.

Google Etiket Yöneticisi ile ilgili olarak; küçük miktarlarda kod ekleyerek web sitenizin üçüncü taraf uygulamalara bilgi göndermesini sağlayan güçlü bir araçtır. Şirket içi veri havuzlarının yanı sıra harici yeniden pazarlama ve yeniden hedefleme sistemlerini ve bir dizi başka hizmeti entegre edebilirsiniz. İşletmelerin Etiket Yöneticisi ile ilgili sorunu, Etiket Yöneticinize erişimi olan kişilerle (bu, web tasarımcınız veya dijital pazarlama ajansınız olabilir) yasal sorumluluklarını anlamalarını sağlamak için bir sözleşmenizin olmasını sağlamaktır. veri denetleyicisi olarak sizin adınıza bir veri işlemcisi.

Bu nedenle, yeni GDPR'nin altında yatan sorun, her iki çıkarınızı da korumak için üçüncü taraf veri işlemcilerinizle sözleşmeler belirlemek ve bunları yürürlükte tutmaktır.

10. Ve son olarak… GDPR uyumlu olması gereken yalnızca web siteniz değildir

GDPR ile getirilen değişiklikler tüm işletmenize nüfuz edecek ve bu makale dizisinde tamamen dijital pazarlamanıza odaklanıyoruz.

Web sitenizin detaylarını planlamaya başladığınızda, bir Alaaddin'in göz önünde bulundurmanız gereken konuların mağarasını ortaya çıkaracaksınız. Bilgi Komiseri, referans olması için mükemmel bir kaynak seti sağladı, ancak Mayıs son tarihine yaklaşırken şu anda göz önünde bulundurmanız gereken birkaç önemli soru var:

  • Muhtemelen iş çevresinde çeşitli yerlerde depolanmış çok sayıda kişisel veriniz vardır. Elinizde tuttuğunuz verileri iyi anlıyor ve belgelenmiş bir kaydınız var mı?
  • Elinizde bulunan veriler için onay almanız veya yenilemeniz mi gerekiyor?
  • Kişisel verileri gereksiz yere saklamamak ve güncel tutulmasını sağlamak için ne kadar süreyle saklayacağınıza dair tanımlanmış bir politikanız var mı?
  • Veri güvenliğinde hem teknoloji hem de insan faktörleri göz önünde bulundurularak verileriniz güvenli bir şekilde tutuluyor mu?
  • İster bir veri denetleyicisi, ister veri işleyen (veya her ikisi) olun, doğru yasal düzenlemelere sahip misiniz?

Web Tasarım ve Kreatifinizle ilgili yardıma ihtiyacınız varsa, bizimle iletişime geçmekten çekinmeyin.