Rıza ve Meşru Menfaat: Pazarlama için Hangisini Seçmelisiniz?

GDPR'nin 6. Maddesi, kullanıcılarınızın kişisel verilerini Rıza ve Meşru Menfaat dahil altı yasal dayanak altında işlemenize olanak tanır:

GDPR Madde 6(1)(a) – Verilerin işlenmesi için yasal bir dayanak olarak rıza: Veri sahibi, kişisel verilerinin bir veya daha fazla özel amaç için işlenmesine izin vermiştir;

GDPR Madde 6(1)(f) – Veri öznesinin çıkarlarının veya temel hak ve özgürlüklerinin, veri sahibinin çıkarları veya temel hak ve özgürlükleri tarafından geçersiz kılındığı durumlar hariç olmak üzere, veri sorumlusu veya üçüncü bir taraf tarafından izlenen meşru menfaatlerin amaçları için işleme gereklidir. özellikle veri sahibinin bir çocuk olduğu durumlarda kişisel verilerin korunması.

Bu ikisi aynı zamanda kişisel verilerin pazarlama amacıyla işlenmesi için en çok tartışılan yasal dayanaklardır.

Kullanıcı, veri işlemenize “rıza gösterdiği” için, bunlardan rıza temeli oldukça basittir.

Bununla birlikte, rıza ile ilgili sorun, pazarlama sürecine her zaman uygun olmamasıdır.

Bu da pazarlamacılara Meşru Çıkarlar hükmünü bırakır.

İlk bakışta Meşru Menfaat, pek çok kişisel veri işlemeye izin verebilecek genel bir terim gibi görünüyor. Ancak, Meşru Menfaatlerin yasal bir dayanak olarak kullanılması, veri işlemenin gerçekten GEREKLİ OLDUĞUNDA, yalnızca verilerin işlenmesi için Hukuki Bir Dayanak olarak kabul edilebileceğinden dikkatli bir şekilde ele alınmasını gerektirir.

Pazarlama Amaçlı Rıza ve Meşru Menfaat Arasında Seçim Yapmak

Yasal dayanak olarak rıza kullanılarak kişisel verilerin işlenmesi, rızanın “altın standart” olması nedeniyle oldukça güvenli kabul edilmektedir.

Aynı zamanda, veri işlemek için Meşru Menfaatler temelinden çok daha güçlü bir zemindir, çünkü nettir. Kullanıcıya sordunuz ve “Evet!” dediler.

Ancak, belirli bir tür kişisel veriyi her işlemek istediğinizde onay almak, kullanıcılarınızın bir dizi farklı izin formuna kaydolmasını sağlamak anlamına gelir.

Aslında GDPR, yasal olarak nasıl rıza isteyebileceğiniz konusunda çok net ve katı direktifler sunmaktadır:

[…] bir rıza göstergesi net olmalı ve açık bir olumlu eylemi (opt-in) içermelidir. Özellikle önceden işaretlenmiş tercih kutularını yasaklar. Ayrıca, farklı işleme işlemleri için farklı ('ayrıntılı') onay seçenekleri gerektirir. Onay, diğer hüküm ve koşullardan ayrı olmalı ve genellikle bir hizmete kaydolmanın ön koşulu olmamalıdır.

Meşru Menfaatlerin yasal dayanağı ise oldukça esnektir.

Her şeyden önce, GDPR, pazarlamacıların kişisel verilerin doğrudan pazarlama amaçlarıyla işlenmesini Meşru Menfaatler temelinde yasal temele oturtmasına olanak tanır:

…Kişisel verilerin doğrudan pazarlama amacıyla işlenmesi, meşru bir menfaat için yapılmış olarak kabul edilebilir.

Ayrıca, ICO (Information Commissioner's Office, işletmelere GDPR gibi İngiltere'nin veri gizliliği yasalarının nasıl uygulanacağı konusunda rehberlik eden, Birleşik Krallık merkezli bağımsız bir otorite), pazarlamaya yönelik bu tür meşru bir ilginin (“satışları artırma” gibi) nasıl olabileceğini açıklar. verileri işlemek için gerçek bir amaç yapmak:

[W]e satışları artırmak için ürünlerimizi mevcut müşterilere pazarlamak konusunda meşru bir çıkarımız vardır.

ICO ayrıca Meşru Menfaatlerin aşağıdakiler gibi birden çok durumda en uygun temel olabileceğini de açıklar:

• işlemenin kanunen zorunlu olmadığı, ancak sizin veya başkaları için açık bir yararın olduğu;
• birey üzerinde sınırlı bir mahremiyet etkisi vardır;
• kişi, verilerini bu şekilde kullanmanızı makul bir şekilde beklemelidir; ve
• işlemeye itiraz etme ihtimalleri olmadığında, bireye tam ön kontrol (yani rıza) veremez veya vermek istemezsiniz veya onları rahatsız edici rıza talepleriyle rahatsız edemezsiniz.

Eldeki her pazarlama ihtiyacı (veya amacı) için, bir pazarlamacının kullanacağı farklı yasal dayanaklara (GDPR'nin veri işlemeye izin verdiği altı yasal dayanak arasından) dikkatli bir şekilde karar vermesi gerekir. Bu altısından rıza ve Meşru Menfaat, genel (veya oturum açmamış) ziyaretçiler için web sitesi kişiselleştirmesi için sıklıkla kullanılan iki yasal dayanaktır. (Bu makale, web sitesi deneyimlerinizi kişiselleştirmek için Meşru Menfaatlerin yasal dayanağını nasıl kullanabileceğinize odaklanmaktadır.)

Genel olarak, Meşru Menfaat hükmü kapsamında bir davayı dahil etmek çok fazla düşünülmelidir. Bunu biraz kolaylaştırmak için, ICO, elinizdeki amacın Meşru Menfaat hükmüne göre yasal bir dayanak olup olmadığını belirlemenize yardımcı olacak üç parçalı bir test tasarladı.

İşte ICO'nun GDPR kapsamında Meşru Menfaatleri belirlemeye yönelik üç parçalı testi:

1. Amaç testi – işlemenin arkasında meşru bir menfaat var mı?
   Meşru Menfaatleri kişisel verileri işlemek için yasal bir dayanak olarak kullanmak için öncelikle ilgili kişisel verileri işleme ihtiyacınızı açıklamanız gerekir. Bunu işlemek istemenin arkasında açıkça ifade edilmiş bir amaca ihtiyacınız var.
2. Gereklilik testi – bu amaç için işleme gerekli mi?
   Meşru Menfaatleri kişisel verileri işlemek için yasal bir dayanak olarak kullanmak için, amacınıza ulaşmak için daha az istilacı başka bir yol olmadığını ve işleminizin “ amaçlarını karşılamak için orantılı ve yeterli şekilde hedeflenmiş ” olduğunu kanıtlamanız gerekir.
3. Dengeleme testi – bireyin çıkarları, hakları veya özgürlükleri meşru menfaatin önüne geçiyor mu?
   Durumunuz ilk iki testte hak kazandıktan sonra, ilgili kişisel verilerin işlenmesinin, kişisel verileri işlenecek kişinin hak ve özgürlüklerini ihlal etmediğinden emin olmanız gerekir.

Bununla, şimdi GDPR'nin Meşru Çıkarlar hükmü kapsamına girebilecek çok yaygın bazı kişisel veri işleme örneklerine bakalım.

Meşru Menfaat Kullanılarak Kişisel Verilerin İşlenmesine İlişkin 10 Sebep Örneği

Gerçek örnekleri görmeden önce, lütfen aşağıda listelenen her örneğin büyük bir uyarı listesi olduğunu anlayın. Bu örnekler, yalnızca Meşru Menfaat hükmü altında incelenebilecek pazarlama amaçlarına ilişkin bazı önerilerde bulunmak içindir.

İşte gidiyor…

1. IP adresi veri işleme

Ne kadar veri yakaladığınıza bağlı olarak, bir IP adresi çok şey söyleyebilir. Örneğin, bir ziyaretçinin yerini bulmak için kullanabilir veya hangi şirkette çalıştıklarını öğrenmek için de kullanabilirsiniz (bununla ilgili daha fazla bilgiyi ABM 101 makalemizde okuyun).

Meşru Menfaat, bir kullanıcının IP adresi verilerini (kişisel veriler olarak sınıflandırılır) işlemek için kullanılabilecek yasal dayanaklardan biridir. IP adresini kullanan Meşru Menfaat hükümleri kapsamındaki bir pazarlama amacına örnek olarak yerelleştirilmiş teklifler sunulabilir.

Örneğin, bir e-ticaret mağazası, muson mevsimi olan bir bölgede gezinen birine yağmurluk tanıtımı yapabilir. Alternatif olarak, bir çevrimiçi mağaza, ziyaretçinin bulunduğu bölgeye sınırlı bir süre için ücretsiz gönderim teklifi sunmak için bir ziyaretçinin konum verilerini kullanabilir.

Benzer şekilde, bir B2B şirketi, bir ziyaretçinin şirketini (IP adresinden tanımlanan) kullanarak, örneğin şirketin adı veya sektörü ile kişiselleştirilmiş bir resim veya içerik biçiminde bazı dinamik kişiselleştirmeleri gösterebilir.

Not: Ziyaretçilerinizin IP adreslerini web sitesi deneyimlerini kişiselleştirmek için kullanıyorsanız, hava durumu veya konum servisleri için kullandıysanız onları asla veritabanınızda saklamamak en iyisidir. Bu şekilde, aynı noktada bir kişi hakkında birden fazla veri noktası toplanırken bu veriler sorun teşkil etmeyecektir.

2. Web sitesi analitiği veri işleme

Çoğu web sitesi, performans optimizasyonu amacıyla ziyaretçilerinin tarama verilerini toplar. Bu genellikle Meşru Menfaat hükümleri kapsamındadır. Genellikle, bu tür veriler genellikle anonim hale getirildiklerinden ve Google Analytics gibi analiz araçlarının çoğu, PII'nin (Kişisel Olarak Tanımlanabilir Bilgiler) işlenmesini/saklanmasını yasakladığından bir sorun teşkil etmez.

Bu tür veri işlemeden gelen eğilimler, çok çeşitli kişiselleştirilmiş web sitesi deneyimlerinin temelini oluşturmak için kullanılabilir.

Örneğin, Google Analytics'i kullanarak, web sitenizde potansiyel müşterilerinizin çoğunu kaybettiğiniz sayfaları belirleyebilirsiniz. Ayrılan kitle segmentlerini belirlemek için Google Analytics'teki bazı gelişmiş segmentasyon seçeneklerini de kullanabilirsiniz. Bu tür veri işleme, sizin için demografi ve kaybettiğiniz trafik hakkında daha fazla bilgi sağlayabilir.

Bu bilgileri kullanarak, bu segmentlere daha kişiselleştirilmiş web sitesi deneyimleri sunmayı da test edebilirsiniz.

Örneğin, bir e-Ticaret mağazası, belirli bir ürün sayfasının yüksek bir bırakma oranına sahip olduğunu tespit ederse, ürün sayfasının mesajlaşmasında ince ayar yapmak için kitlesinin demografik bilgilerini kullanabilir.

Bu tür kişiselleştirme sadece incelikli ve anlamlı olmakla kalmaz, aynı zamanda işlenen kişisel veriler de müdahaleci hissettirmez.

3. İletişim verilerinin işlenmesi

E-posta veya SMS yoluyla kişiselleştirilmiş pazarlama iletişimleri yürütmek için her zaman açık onay gerekir.

Ayrıca, GDPR'yi yayınlamak, bir kişinin e-postasını CRM'nize eklemek ve sırf iletişim formunuz aracılığıyla sizinle e-postalarını kullanarak iletişim kurdukları için pazarlama e-postaları göndermek yasal değildir. Bunu yapmak için açıkça ziyaretçinin iznini isteyen iletişim formunuzun altındaki onay kutularını kullanmanız gerekir.

Ayrıca, GDPR tek başına çalışmaz. Bu nedenle, e-posta (veya SMS) pazarlama kampanyalarınız, kullanıcılara abonelikten çıkma bağlantısı ve daha fazlasını sunmak gibi ilgili yasal düzenlemelere uygun olmalıdır.

Bununla birlikte, bir aboneden bu tür iletişimler için onay aldıysanız, pazarlama e-postalarınız veya SMS'lerinizle etkileşimlerine dayanarak web sitenizin böyle bir abone için deneyimini kişiselleştirebilirsiniz. Bu, Meşru Menfaat hükmü kapsamında makul bir şekilde ele alınmalıdır.

Örneğin, bir seyahat şirketi abonelerine kişiselleştirilmiş sayfalar göstermek için iletişim geçmişini kullanabilir. Örneğin, lüks seyahate ilgi gösteren (örneğin bir bağlantıya tıklayarak) bir aboneye lüks bir otelde konaklama paketini tanıtan bir sayfa gösterilebilir. Alternatif olarak, bir bütçe gezginine ekonomik otellerde birkaç seçkin fırsat gösterilebilir.

4. Çerezler, web işaretçileri vb. aracılığıyla davranışsal veri işleme.

Davranışsal veri işleme, web sitesi analitik veri işlemeye çok benzer. Tıpkı web sitesi analitik verileri gibi, davranışsal içgörülere dayalı kampanyaları güçlendirmek için kullanılan kişisel veriler de anonimleştirilir. Ve GDPR, anonimleştirilmiş verilerin işlenmesi konusunda oldukça esnektir.

Ziyaretçilerin bir web sitesiyle etkileşiminden elde edilen bilgiler (örneğin görüntüledikleri sayfalar ve tıklama verileri), içerik açısından zengin web sitesi deneyimleri sunmak için kullanılabilir.

Örneğin, kurumsal düzeyde bir yazılım şirketi, ziyaretçilerinin davranış verilerini izleyebilir ve tekrar ziyaretlerinde onlara daha kişiselleştirilmiş deneyimler sunabilir. Örneğin, belirli bir çözümü araştırıyor gibi görünen bir ziyaretçiye, bir sonraki web sitesi ziyaretlerinde aynı çözümün deneme sayfası veya kayıt formu gösterilebilir.

5. Profil veri işleme

Tıpkı web sitesi analitiği ve davranışsal veri işleme gibi, bir şirket, kullanıcı profilleri oluşturmak (profil oluşturma) için anonimleştirilmiş kişisel verileri kullanmak için Meşru Menfaat esasını kullanabilir.

Örneğin, bir gadget karşılaştırma web sitesi, temel kitle türlerini belirlemek için kullanıcılarının anonimleştirilmiş kişisel verilerini kullanabilir. Daha sonra her birine kişiselleştirilmiş teklifler ve promosyon kampanyaları sunabilir (örneğin, ileri teknoloji kitle segmentine ileri teknoloji cep telefonları önerme ve bütçeye uygun segmentine düşük maliyetli cep telefonlarında indirimler gösterme).

Meşru Menfaatlerin kullanılmasına ilişkin kılavuza ilişkin doküman, Meşru Menfaatler kapsamında kişisel verilerin işlenmesi için sadece böyle bir yasal dayanak önermekle kalmaz, aynı zamanda sosyal medya verileri kullanılarak bu tür kullanıcı profillerinin oluşturulmasını da destekler. Doküman, bir şirketin şunları kullanabileceğini belirtir:

… [A]n algoritması, reklamlarını 'benzerlere' daha iyi hedeflemek için sosyal medya sağlayıcısı tarafından sağlanır - yani, o işletmenin kendi müşterilerine benzer özelliklere sahip diğer bireyler. İşletme, sosyal medya hedeflemesini etkinleştirmek için müşterilerine gerekli minimum kişisel verileri yükler, ancak pazarlamaya itiraz edenleri hariç tutar. Profil oluşturma, hedeflemeyi sağlamak için sosyal medya platformunda gerçekleştirilir, ancak tamamen pazarlama amaçlıdır ve işletme, bu kişiler üzerinde herhangi bir yasal veya benzer şekilde önemli bir etkiye yol açmadığını değerlendirmiştir.

6. İkinci taraf ve üçüncü taraf veri işleme

Birinci taraf verilerine (yani bir şirketin kendi topladığı veriler - örneğin Google Analytics hesabından alınan veriler) ek olarak, çok az sayıda şirket ikinci taraf ve üçüncü taraf verilerini de kullanır.

Ortaklardan ve veri alışverişlerinden elde edilen bu veriler, pazarlamacıları psikografik, teknoloji ve hedef kitlelerinin demografisi hakkında güçlü içgörülerle güçlendirir. Genellikle ayrıntılı müşteri profilleri oluşturmak için kullanılır. Bunlar da, daha alakalı içerik ve mesajlaşma oluşturmak ve bunları genel kitleden kilit segmentlere ulaştırmak için kullanılır.

Örneğin, bir B2B işletmesi bu tür verileri hedef kitlesindeki kilit segmentleri belirlemek ve her segmenti kişiselleştirilmiş içerik önerileriyle hedeflemek için kullanabilir.

Bu tür kaynaklı verileri kullanmanız gerekiyorsa, yalnızca adil ve yasal veri toplama ve işleme uygulamalarına uyan veri sağlayıcılar ve borsalarla ortak olduğunuzdan emin olun.

7. Satın alma geçmişi veri işleme

Bir e-ticaret mağazası, işlem geçmişine göre ziyaretçilerine kişiselleştirilmiş ürün önerileri sunabilir.

DPN (Veri Koruma ve Gizlilik konusunda uzman tavsiyesi sunan Birleşik Krallık merkezli bir kuruluş olan Veri Koruma Ağı), Meşru Menfaatlerin kullanımı konusunda birçok rehberlik sunar. Bir çevrimiçi mağazanın kişiselleştirilmiş ürün önerileri yapmak için bir kullanıcının satın alma geçmişini kullanmasının, kişisel veri işlemenin yasal bir temeli için iyi bir zemin olabileceğini öne sürüyor:

Geniş bir ürün yelpazesine sahip bir perakendeci, müşterinin başka hangi ürün ve hizmetlerle ilgilenebileceğini tahmin etmek amacıyla, müşterinin işlem geçmişine dayanan otomatik işleme yürütür.

8. Hesap geçmişi veri işleme

Hesap veri işleme, satın alma geçmişi veri işlemenin eşdeğeri olarak kabul edilebilir, ancak bir B2B kurulumu için.

Bir B2B şirketi, daha zengin bağlamsal içerik deneyimleri sunmak için kullanıcının hesap geçmişi verilerini kullanabilir. Örneğin, bir B2B şirketi, müşterilerinin verilerini onlara daha alakalı ve daha iyi yükseltme veya çapraz satış teklifleri sunmak için kullanabilir.

9. Çerez veri işleme

Çerez verilerinin hem müdahaleci olmayan hem de alakalı kişiselleştirilmiş web sitesi deneyimleri sunmaya yardımcı olabileceği birçok yol vardır. Etkili deneyimleri güçlendirebilen çerez türlerinin çoğu, kullanım ve devre dışı bırakma talimatları bir web sitesinin gizlilik sayfalarında açıklanabileceğinden, açık kullanıcı onayına bile ihtiyaç duymaz.

Örneğin, bir işletme web sitesi, potansiyel müşteriye hangi içeriğin sunulacağını belirlemek ve onları satış hunisinde daha ileriye taşımak için tanımlama bilgisi verilerini kullanabilir. Çerez verilerinin gizliliğe uygun şekillerde bile kullanılmasının sonsuz yolu vardır. Aslında, yukarıdaki örneklerden elde edilen tüm veriler çoğunlukla bazı çerez türlerinde toplanır ve saklanır.

Meşru Menfaatler maddesi kapsamında verilerin işlenmesi hakkında daha fazla örnek için, AB Genel Veri Koruma Tüzüğü kapsamında Meşru Menfaatlerin kullanımına ilişkin Rehber'e bakın.

Sarmalamak …

Pazarlama amaçlarınız için iki seçenekten (Meşru Menfaat veya Rıza) birini seçmek, duruma göre ayrı ayrı ele alınmalıdır. Meşru Menfaatler çoğu pazarlamacı için kişisel verilerin işlenmesi için en yaygın yasal dayanak olabilir (ve öyle olsa da), bunların dikkatli bir şekilde kullanılması gerekir.

Ayrıca, Meşru Çıkarlar hükmü birçok web sitesi kişiselleştirme taktiğini kapsayabilir, ancak yine de Meşru Menfaat Değerlendirmesi'ne girmeli ve buna başvurmadan önce iki kat emin olmak için yasal bir çevrimiçi gizlilik uygulayıcısından yardım almalısınız.

Deneyimleri Dönüştür'de, tıpkı sizin gibi pazarlamacıları, kullanıcılarınıza GDPR açısından güvenli ve gizlilik dostu kişiselleştirilmiş web sitesi deneyimleri sunma konusunda destekliyoruz. Ayrıca, bu tür kişiselleştirmeleri güçlendirmek için Meşru Menfaat hükmü kapsamında kullandığımız tüm verilerin kapsamlı bir LIA'sını da gerçekleştirdik. Buradan kontrol edin. Tasarım gereği gizlilik ve varsayılan olarak gizlilik sunan web sitesi kişiselleştirmeleri sunmak istiyorsanız, Deneyimleri Dönüştür'e göz atın.