GDPR sizi nasıl etkiler?

Genel Veri Koruma Tüzüğü (GDPR), Avrupa'da bulunan veya Avrupa'daki müşterilere hizmet veren tüm Shopify satıcılarını etkiler. Shopify 25 Mayıs 2018 tarihinden itibaren kendisinin ve satıcılarının GDPR'ye uygunluğundan emin olmak için sıkı bir şekilde çalışıyor olsa da GDPR'nin, Shopify platformundan bağımsız olarak hareket etmenizi de gerektirdiğini unutmayın.

Shopify, satıcıların yasaya uygun olarak mümkün olan en iyi konuma gelmelerine yardımcı olmak ister. Bu makalede, mağazanızı yasaya uygun şekilde ayarladığınızdan emin olmak amacıyla yükümlülüklerinizi incelemenize yardımcı olabilecek sorular yer alır.

Ancak bunlar yasal öneriler değildir. GDPR karmaşık bir düzenlemedir ve farklı satıcılara farklı şekilde uygulanır. Tam olarak ne yapmanız gerektiğini öğrenmek için bir avukata danışmanız gerekir.

Veri taleplerinin işlenmesi hakkında bilgi edinmek için GDPR veri taleplerini işleme bölümüne bakın.

Neden GDPR uygunluğunu satıcılar yerine Shopify ele almıyor?

GDPR'ın, veri sorumlularına ve işleyenlerine atfettiği yükümlülükler farklıdır. Veri işleyen olarak Shopify, GDPR kapsamındaki yasal yükümlülüklerini yerine getirmektedir. Ancak satıcıların da (sorumlular olarak) yerine getirmesi gereken ayrı yükümlülükleri vardır.

Shopify, satıcılara GDPR'ye uygun olacak şekilde yapılandırılabilecek bir platform sunar ancak işletmenizi nasıl yöneteceğinizi kendi kendinize belirlemeniz gerekir.

Daha fazla yardım almak için Avrupa Birliği'nden aşağıdaki düzenleyici makamların GDPR ile ilgili talimatlarına bakabilirsiniz:

Kişisel verileri toplama

GDPR, Avrupa Birliği'ndeki kişilerin, kişisel verilerin işlenmesiyle ilgili temel haklarını korur.

Aşağıdakiler kişisel verilere örnektir:

  • Ad
  • Adres
  • E-posta adresi
  • Sosyal medya hesabı
  • IP adresi veya çerez kimliği gibi dijital tanımlayıcılar.

Aşağıdaki sorulara vereceğiniz yanıtları düşünün:

  • Avrupa'daki müşterilerin kişisel verilerini topluyor musunuz? Çoğu web sitesi Avrupa vatandaşlarının kullanımına açıktır ve GDPR'ye tabidir.
  • Mağazanız üçüncü taraf uygulamalarını veya temalarını kullanıyorsa verileri GDPR'ye göre topluyor ve işliyor mu? Bu süreci kolaylaştırmak amacıyla ve bir uygulamanın veri uygulamalarından memnun olup olmadığınızı değerlendirebilmeniz için Shopify, tüm uygulamaların, veri işleme uygulamalarını açıklayan bir gizlilik politikası yayınlamasını gerektirir. Shopify tarafından geliştirilen uygulamalar Veri İşleme Eki kapsamındadır ve bunların uygunluğundan Shopify sorumludur.
  • Kullandığınız kanallar veya ödeme ağ geçitleri verileri GDPR'ye uygun şekilde topluyor ve işliyor mu? Bundan emin olmak için kendileriyle tekrar iletişime geçmeniz gerekir.
  • Müşterilerinizden topladığınız tüm kişisel veri türlerinin ve bu verileri kullandığınız tüm yöntemlerin listesini tutuyor musunuz? GDPR'nin 30. Maddesi, veri uygulamalarınızın geçerli bir haritasını tutmanızı gerektirir.

Gizlilik bildirimi

GDPR (ve özellikle 12. ila 14. Maddeler), verilerini işlediğiniz kişilere genellikle gizlilik bildirimi veya gizlilik politikası biçiminde belirli bilgiler sağlamanızı gerektirir.

Başlamanıza yardımcı olması için Shopify'ın gizlilik politikasını kullanabilirsiniz. Bunu ayarlarınızdaki Ödeme veya online kısmında bulabilirsiniz.

Aşağıdaki soruya vereceğiniz yanıtı düşünün:

  • Sitenizde düzenleme kapsamında sağlamanız gereken tüm bilgileri içeren bir gizlilik politikanız var mı? Bu politika en azından müşterilerin, gizlilik sorularını yöneltmek için sizinle nasıl iletişime geçebileceğine ve verilerini silme veya düzeltme (değiştirme) gibi haklarının yanı sıra verilerine erişme hakkını nasıl uygulayabileceğine ilişkin bilgiler içeriyor mu?
  • Gizlilik politikanız, Shopify'ın otomatik risk ve sahtekarlık değerlendirmesi için müşterilerinizin kişisel verilerini nasıl kullanabileceğine ilişkin bilgiler içeriyor mu? Müşterilerinizin bilgileri, otomatik karar alma süreciyle bağlantılı olarak tarafınızdan (veya hizmet sağlayıcılarınız tarafından) kullanıldığında GDPR bunu açıklamanızı gerektirir. Shopify, otomatik karar alma süreciyle, hileli görünen belirli işlemleri engellemek için müşterilerinizin kişisel bilgilerini kullanır. Shopify'ın Gizlilik Politikası Oluşturucusu bu bilgileri içerir. Bu sistem hakkında daha fazla bilgi edinmek için Otomatik karar alma bölümüne bakın.

Bir Veri Koruma Görevlisi atama

Veri Koruma Görevlisi (DPO), verilerinizin toplanma ve işlenme biçimini denetler. İşletmenizin temel faaliyetleri, geniş çaplı online takip içeriyorsa GDPR, bir DPO atamanızı ve Gizlilik Politikanızda DPO'ya ait iletişim bilgilerini vermenizi gerektirir.

GDPR, kuruluşunuz kişisel verileri toplayıp işleme biçimini değiştirdiğinde veri koruma etki değerlendirmeleri gerçekleştirmek gibi bir DPO'nun yerine getirmesi gereken belirli görevleri içerir. DPO, şirket içinden GDPR ve veri koruma gereklilikleri konusunda uzmanlık sahibi bir kişi olabilir ancak harici DPO olabilecek bir danışman veya firma ile birlikte çalışmayı da tercih edebilirsiniz.

Aşağıdaki sorulara vereceğiniz yanıtları düşünün:

  • Vitrininizdeki takip teknolojilerinden kaç kişi etkileniyor? Bunlara davranışsal reklam uygulamaları ve hatta yeniden hedefleme uygulamaları dahil olabilir. Etkilenen kişi sayısının "fazla" olup olmadığı yasal bir karardır ve kendi koşullarınıza bağlı olarak bir avukata danışmanız gerekir.
  • Gönüllü olarak DPO atamanız gerekir mi? Yasal olarak DPO atamanız gerekmese de işletmenizin Avrupa'daki varlığı yeterince genişse müşterilerinizin verilerine yeterli düzeyde koruma sağladığınızdan emin olmak için bunu kendi isteğinizle yapabilirsiniz.

Veri işleme sözleşmeleri

  1. Madde, GDPR'ye tabi bir veri sorumlusu olarak, müşteri verilerinizi işlemesi için bir veri işleyen (Shopify gibi) ile birlikte çalışırken bu işleyenin söz konusu verileri işleyip kullanma biçimi konusunda sözleşmeye dayalı sıkı gereklilikler uygulamanızı gerektirir. Bu, genellikle bir Veri İşleme Eki veya DPA aracılığıyla gerçekleştirilir.

Shopify, 28. Maddenin gerekliliklerini ele alacak şekilde tasarlanmış bir Veri İşleme Sözleşmesi'ni (https://www.shopify.com/legal/dpa) hizmet şartlarına otomatik olarak eklemiştir.

Shopify Plus satıcıları için, imzaladıkları sözleşmeler Shopify ile aralarındaki ilişkiyi denetler. Plus Satıcıları gereksinimlerini karşılayabilecek bir Veri İşleme Eki imzalayabilir. Veri İşleme Eki imzalamayan Shopify Plus satıcıları, Shopify’ın online Veri İşleme Ekine tabidir.

Aşağıdaki sorulara vereceğiniz yanıtları düşünün:

  • Shopify'ın dışında çalıştığınız diğer veri işleyenler, müşterilerinizin verileri koruma konusunda sözleşmeye dayalı olarak taahhüt verdi mi? Çoğu üçüncü taraf uygulamaları, kanallar, ödeme ağ geçitleri veya diğer veri işleyenler de şartlarına bir Veri İşleme Sözleşmesi ekler. Bu üçüncü tarafların her birine danıştınız mı?

  • Sözleşme imzalamış bir Shopify Plus satıcısı mısınız? Veri İşleme Eki imzalamak istiyorsanız Shopify Plus Destek ekibiyle iletişime geçin. Destek ekibi imzalamanız için size Shopify'ın şablon DPA'sını sunabilir.

Müşteri onayı

GDPR kapsamında müşterilerinizin kişisel verilerini işleme onayı almanız veya bu onayı alma biçiminizi değiştirmeniz gerekebilir.

Örneğin, müşterilerinize pazarlama mesajları gönderiyor veya online reklam ya da yeniden hedefleme uygulamaları kullanıyorsanız müşterilerinizden onay almanız gerekebilir.

Onay almanız gerektiğinde GDPR, onayın aşağıdaki gereklilikleri karşılaması gerektiğini söyler:

  • Özgürce verilmiş: Tamamen gönüllü olarak verilmiş olması gerekir ve başka ürünler veya hizmetler ile birleştirilmemelidir.
  • Ayrıntılı: Net bir şekilde açıklanmış kullanım örneklerine dayandırılmalıdır.
  • Bilgilendirici: Yalnızca veriyle ilgili kişiye, toplanıp kullanılacak olan kişisel veriler hakkında yeterli düzeyde bilgi sağlandıysa verilebilir.
  • Net: Satıcı tarafından gerçekleştirilen doğrulayıcı bir eylemle gösterilmelidir (yalnızca hizmetleri kullanmaya devam ederek değil).

Bu, müşteriye söz konusu kullanım örneğiyle ilgili ayrıntılı bilgi verilmesi ve onayın gösterilmesi için tüketici tarafından bazı doğrulayıcı eylemlerin gerçekleştirilmesi gerektiği anlamına gelir.

Son olarak, müşterilerinize onay verme fırsatı sunmanız durumunda GDPR, müşterilerinizin onayı geri çekme seçeneğinin olmasını da gerektirir. Bu, genellikle abonelikten çıkma işlevi aracılığıyla gerçekleştirilebilir. Kişisel verilerin toplanması konusunda ne zaman ve nasıl onay almanız gerektiğine veya müşterilerinizin onaylarını geri çekmesine ne ölçüde izin verildiğine ilişkin sorularınız varsa veri koruma yasalarını bilen bir avukatla görüşmeniz gerekir.

Ancak onay GDPR'de, kişisel verilerin işlenmesini meşru kılan çok sayıda yasal dayanaktan yalnızca biridir. Sözleşmeye dayalı gereklilikleri yerine getirmek amacıyla veya yasaların, verileri işlemenizi gerektirmesi durumunda da kişisel verileri işleyebilirsiniz.

Avrupa'daki bazı düzenleyici makamlar, öncelikle onay istemeniz ve müşterinizin reddetmesi veya kabul edip daha sonra onayını geri çekmesi durumunda kişisel verileri işlemek için başka herhangi bir yasal dayanağı artık kullanamayabileceğinizi belirtmiştir. Sonuç olarak, yalnızca kişisel verileri işlemek için başka bir yasal dayanaktan yararlanmayı planlamamanız (veya buna ihtiyaç duymamanız) durumunda onaydan yararlanmanız gerekir.

Not: Birleşik Krallık Information Commissioner'ın web sitesinde veri işleme sürecini destekleyen farklı yasal dayanaklar hakkında daha fazla bilgi edinebilirsiniz.

Aşağıdaki sorulara vereceğiniz yanıtları düşünün:

  • Müşterilerinizin verilerini kullandığınız veya işlediğiniz her bir farklı yöntem için yasal dayanak nedir? Verileri müşterilerinizin onayını esas alarak mı işliyorsunuz? Verileri, müşteriye yönelik sözleşmeye dayalı bir yükümlülüğü yerine getirecek şekilde mi işliyorsunuz? Yasal işletme menfaatlerinizi artırmak için mi veri işliyorsunuz? Yasal dayanağı, Kişisel verileri toplama bölümünde açıklanan veri uygulamaları haritanızın bir parçası olarak kaydetmeniz gerekir.
  • Onaydan yararlandığınız durum nedir? Aldığınız onay, sunduğunuz ürünler veya hizmetler ile birleştirilmiş mi? Örneğin, by purchasing these goods, you agree to our use of your personal information gibi ifadelere artık GDPR kapsamında izin verilmez.
  • Müşterinin onayının bilinçli olarak verildiğinden emin olmak için söz konusu kişisel verileri nasıl kullanacağınıza ilişkin yeterince bilgi veriyor musunuz?
  • Müşterinin onayı başka bir yerde kaydedilip saklanıyor mu?
  • Müşterilerinize pazarlama mesajları göndermek için onay almanız gerekiyor mu? GDPR kapsamında onaya ihtiyacınız olmasa bile yerel yasalar, müşterilerinize pazarlama mesajları göndermek için onay almanızı gerektirebilir veya gerektirmeyebilir. Mağazanız için geçerli olabilecek gereklilikler konusunda bir avukatla görüşün.
  • Pazarlama mesajları göndermek için onay almanız gerektiğini düşünüyorsanız mağazanıza yönelik pazarlama izni onay kutusunun işareti varsayılan olarak kaldırılmış mı? Vitrininizi ayarlarken, müşterilere gösterilen pazarlama izni onay kutusunu varsayılan olarak önceden işaretlenmiş olmayacak şekilde sunmayı deneyin. Böylece müşterilerinizin bilinçli olarak onay verdiklerini gösteren bir eylemde bulunmasını sağlayabilirsiniz.

Ebeveyn onayı

GDPR 16 yaşın altındaki kullanıcıların kişisel verilerinin işlenmesi konusunda belirli ebeveyn onayı gereklilikleri içerir (ancak bu yaş belirli ülkelerde daha küçük olabilir).

Aşağıdaki soruya vereceğiniz yanıtı düşünün:

  • 16 yaşından küçük kullanıcıların verilerinin işlenmesini durdurmak veya ebeveyn onayı almak için müşteri verilerini işleme biçiminizi değiştirmeniz gerekiyor mu? Shopify App Store'daki bir yaş izni uygulamasını kullanarak veya ziyaretçilerden reşit olma yaşından büyük olduklarını doğrulamasını isteyerek 16 yaşından küçük kullanıcıların sitenize erişmesini engelleme yoluyla bunu yapabilirsiniz.

Otomatik karar alma

Müşterilerin kişisel bilgilerini, herhangi bir otomatik karar alma sürecini uygulamak için kullanıyor olmanız durumunda GDPR, bu konuda müşterileri bilgilendirmenizi gerektirir.

Otomatik karar alma, bir kişinin belirli hizmetler veya teklifler için uygun olup olmadığına, bu kişiden belirli bir ücretin alınmasının gerekip gerekmediğine ya da bu kişinin belirli ürün veya hizmet türleriyle ilgilenip ilgilenmeyeceğine ilişkin bir karar vermek üzere otomatik algoritmaları kullanmak anlamına gelir.

Müşteri üzerinde önemli bir yasal etkisi olacak, tamamen otomatik karar alma eylemini (insan müdahalesi olmadan) içeren süreçlerden yararlanıyorsanız müşterinin onayını almanız gerekir.

Otomatik karar alma süreçleri için gereksinimler
İşle Gereklilik
Otomatik karar alma Bildirim
Önemli yasal etkiye sahip tamamen otomatik karar alma Onay

Genel olarak Shopify, müşterilerinizin kişisel verileri söz konusu olduğunda tamamen otomatik karar alma süreçleri uygulamaz.

Bunun tek istisnası Shopify'ın risk ve sahtekarlık tarama sürecidir. Bu süreçte Shopify, belirli sayıda başarısız ödeme girişiminin ardından bir ödeme kartı numarasını veya IP adresini otomatik olarak engelleyebilir. Otomatik engelleme yalnızca kısa bir süre geçerli olduğundan Shopify bunun müşteriler üzerinde önemli bir yasal etki yarattığını düşünmemektedir.

Aşağıdaki sorulara vereceğiniz yanıtları düşünün:

  • Gizlilik politikanıza Shopify'ın risk ve sahtekarlık tarama sürecinde müşterilerin kişisel bilgilerinin, otomatik karar alma işlemleri için kullanılabileceği bilgisini eklediniz mi? Gizlilik Politikası'nın 13. Bölümünde Shopify'ın otomatik karar alma uygulamaları hakkında daha fazla bilgi edinebilirsiniz. Bulunduğunuz koşullara bağlı olarak bir avukatla görüşüp bu hizmetin müşterileriniz üzerinde önemli bir yasal etkisi olup olmadığını öğrenmeniz gerekir.
  • Otomatik karar alma sürecini uyguluyor olabilecek üçüncü taraf uygulamaları kullanıyor musunuz? Vitrininizle bağlantılı olarak kullandığınız tüm üçüncü taraf risk veya sahtekarlık hizmetlerini ya da profil oluşturabilecek veya müşteri segmentlerinizi hedefleyen her türlü pazarlama ya da reklam uygulamasını incelemeye özellikle özen göstermeniz gerekir.
  • Otomatik karar alma sürecini uygulayan üçüncü taraf uygulamalarını kullanıyorsanız müşterilerinize bunu bildirmeniz veya bu uygulamaları kullanmak için onay almanız gerekiyor mu?

Veri ihlali bildirimi

GDPR'ye tabiyseniz ve bir veri ihlaliyle karşılaştıysanız etkilenen kullanıcılara veya belirli düzenleyici makamlara bunu bildirmeniz gerekebilir.

Özellikle GDPR, bir veri ihlalinin, kişi hak ve özgürlüklerini olumsuz yönde etkileme olasılığının yüksek olması durumunda bildirim verilmesini gerektirir.

Bu, ihlal edilen bilgiler için aşağıdakilerin geçerli olması durumunda gerçekleşebilir:

  • Ödeme bilgileri içermesi.
  • Utanç verici veya kişisel bilgilerin ifşa edilmesi için kullanılabilecek olması.
  • Bir kişinin hesaplarına veya hizmetlerine erişmek için kullanılabilecek olması.

Mümkünse, ihlalden haberdar olduktan sonraki 72 saat içinde bildirimde bulunmanız gerekir.

Aşağıdaki sorulara vereceğiniz yanıtları düşünün:

  • Bir veri ihlaliyle karşılaşmanız durumunda toplayıp işlediğiniz hangi bilgilerin bildirim vermenizi gerektirebileceğini belirlemek için bir avukatla görüştünüz mü?
  • İşletmenizin, böyle bir olaya hazırlıklı olmak için oluşturduğunuz bir veri ihlali müdahale planı var mı?
  • Ödeme bilgileri içermesi.
  • Utanç verici veya kişisel bilgilerin ifşa edilmesi için kullanılabilecek olması.
  • Bir kişinin hesaplarına veya hizmetlerine erişmek için kullanılabilecek olması.

GDPR, kullanıcılarının kişisel verilerini işlemek için üçüncü taraf satıcıları ve hizmet sağlayıcılarını kullanan şirketlere yönelik gereklilikler sunar.

Shopify, müşterilerinizin verilerini işlemek için çok sayıda alt işleyen kullanır. Shopify'ın alt işleyenleri hakkında daha fazla bilgi için Shopify'ın alt işleyenleri bölümüne bakın.

Aşağıdaki soruya vereceğiniz yanıtı düşünün:

  • Müşterilerinizin kişisel verilerini koruma biçimlerinin uygun olduğundan emin olmak için Shopify da dahil olmak üzere kullandığınız satıcıların ve hizmet sağlayıcılarının gizlilik uygulamalarını incelediniz mi?

Üçüncü taraf uygulamaları

GDPR, kişisel verilerin tarafınızdan ve üçüncü taraf hizmet sağlayıcıları tarafından toplanması ve kullanılması ile ilgili bir dizi olumlu adım atmanızı gerektirir. Buna Shopify'ın yanı sıra Shopify mağazanızla bağlantılı bir şekilde kullanabileceğiniz üçüncü taraf uygulamaları da dahildir.

Shopify, yüklediğiniz uygulamaların hangi kişisel verilere erişebileceğini öğrenmenizi kolaylaştırmaya yönelik işlemler gerçekleştirmiştir.

Adımlar:

  1. Shopify yöneticinizden Uygulamalar'a tıklayın.

  2. İzinlerini incelemek istediğiniz uygulamada Ayrıntıları görüntüle seçeneğine tıklayın.

Bir uygulamayı yüklemeden önce, uygulama mağazasındaki yükleme ekranından da uygulama izinlerini inceleyebilirsiniz.

Ayrıca uygulama mağazasında her bir uygulama için, uygulama geliştiricilerinin tam olarak hangi verileri topladığını ve bunları nasıl kullandığını daha ayrıntılı bir şekilde açıklayan bir gizlilik politikasının bağlantısının verildiği bir bölüm bulunur.

Shopify, yüklemeyi seçtiğiniz uygulamaların veri işleme yöntemlerini değerlendirmenizi mümkün olduğunca kolaylaştırmak istese de üçüncü taraf uygulamalarını GDPR'ye uygun bir şekilde kullandığınızdan emin olmak sizin sorumluluğunuzdadır.

Aşağıdaki soruya vereceğiniz yanıtı düşünün:

  • Konumunuza, müşterilerinizin konumuna ve her bir uygulamayı kullanımınıza bağlı olarak, üçüncü taraf uygulamalarını GDPR'ye uygun şekilde kullanıyor musunuz? GDPR uygunluğunun sağlanması için belirli bir uygulamanın veri işleme yöntemlerinde ek değerlendirme veya çalışma yapmanız gerekip gerekmediğiyle ilgili sorularınız varsa bir avukata danışın.

Uluslararası veri aktarımları

GDPR, Avrupa vatandaşlarının kişisel verilerinin yeterli şekilde korunmadığı takdirde Avrupa dışına aktarılmasını yasaklar.

Shopify, kişisel veriler ABD'ye ve Kanada'ya aktarılıp bu konumlarda işlenirken bu verileri GDPR gerekliliklerine göre korur.

Shopify, satıcılara yönelik bu gerekliliklerin karşılanması için veri akışları ayarlamıştır. Shopify'ın Gizlilik Politikasının 12. Bölümünde belirtildiği şekilde, Avrupa'daki tüm kişisel veriler başlangıçta satıcılardan alınarak Shopify'ın İrlanda'daki satış ortağı Shopify International Ltd. tarafından İrlanda'da işlenir. Daha sonra Shopify bu verileri GDPR'ye uygun şekilde aktarır:

GDPR uluslararası veri aktarımları

Avrupa Ekonomik Alanı'ndan (AEA) elde edilen kişisel verilerin Shopify tarafından GDPR standartlarına ve bilgi güvenliği en iyi uygulamalarına göre nasıl alınıp işlendiği hakkında daha fazla bilgi için Shopify'ın GDPR teknik raporuna (İngilizce) bakın.

Aşağıdaki soruya vereceğiniz yanıtı düşünün:

Verileri aktardığınız diğer tarafların, bu verileri uluslararası çapta GDPR'ye uygun şekilde aktaracağından emin oldunuz mu? Bunu üçüncü taraf uygulamalarınızın, ödeme ağ geçitlerinizin veya diğer satıcılarınızın gizlilik politikalarına bakıp Avrupa'daki verileri nasıl koruyacaklarını açıklayıp açıklamadıklarını öğrenerek yapabilirsiniz.

Shopify'ın GDPR teknik raporunu indirme

Shopify'ın GDPR uyumluluğu hakkında daha fazla bilgi edinmek ve Shopify kullanımınızla bağlantılı olarak uyumlu konumda olduğunuzdan emin olmak için Shopify'ın GDPR teknik raporunu (İngilizce) indirin.

Shopify ile satış yapmaya hazır mısınız?

Ücretsiz olarak dene