Telegram GDPR Uyumlu mu? Veri, Saklama ve AB Hukuku Üzerine Bir CRM Operatörü Rehberi

Ekibiniz müşteri konuşmalarını Telegram'da yürütüyorsa ve bu müşterilerden herhangi biri Avrupa Birliği'nde yaşıyorsa, Genel Veri Koruma Yönetmeliği (GDPR) kapsamında bir veri sorumlususunuz. Telegram'ın bir CRM değil mesajlaşma olması bu sınıflandırmayı değiştirmez. Sakladığınız her kişi adı, telefon numarası, sohbet dökümü ve etiket kişisel veridir ve uygulanan hukuki çerçeve, e-posta pazarlama platformunuzun 2018'den beri uğraştığı çerçevenin aynısıdır.

Çoğu operatör burada donar. Yönetmelik uzun, denetim makamları tanıdık değil ve kamuya açık rehberlik özel hukuk ekipleri olan sektörler için yazılmış. Pratik soru — 'bir çalışma alanı içinde kişisel bir Telegram hesabı kullanıyorsam farklı olarak ne yapmam gerekiyor?' — kamuya açık internette esasen özel bir cevaba sahip değil. Bu makale o cevaptır; hukukçular için değil, kurucular, destek liderleri ve gelir operasyonları için yazılmıştır. Bunların hiçbiri hukuki tavsiye değildir, ancak Entergram üzerinde çalışan GDPR denetimli ekiplerde işe yaradığını gördüğümüz operasyonel duruştur.

Boyunca yetkili referanslar: yönetmeliğin kendisi GDPR.eu adresindedir, Avrupa Veri Koruma Kurulu'nun resmi rehberliği gri alanları kapsar ve NIST SP 800-53, çoğu güvenlik ekibinin kontrol eşleme tarafı için kullandığı standarttır. Bir denetçi referans göstermenizi istediğinde, bu üçünü gösterin.

GDPR, her işleme faaliyetinin — bir kişiyi saklamak, bir yayın göndermek, bir sohbeti etiketlemek — altı hukuki dayanaktan birine dayanmasını gerektirir. Telegram CRM kullanımı için üçü önemlidir: rıza, sözleşme ve meşru menfaat.

Rıza, yayınlar ve pazarlama için en temiz dayanaktır. 'Özgürce verilmiş, belirli, bilgilendirilmiş ve açık' olmalıdır; bu, botunuzdaki /start düğmesinin rıza olmadığı, kayıt formunuzdaki onayın rıza olduğu anlamına gelir. Sohbetteki bir etiket — 'consent-marketing-YYYY-AA-GG' kullanıyoruz — dayanağı bir zaman damgasıyla kaydeder, böylece bir denetimde onay anını üretebilirsiniz.

Sözleşme, mevcut müşterilerle ödedikleri hizmet hakkında yaptığınız konuşmaları kapsar. Bir abonelik hakkındaki bir destek sohbeti ayrı bir rıza gerektirmez. Sözleşmeyi ifa ediyorsunuz; işleme bunun için gereklidir. Bu, çoğu biletleme ve müşteri başarısı akışını kapsayan dayanaktır.

Meşru menfaat en yanlış anlaşılan dayanaktır. Müşteri arama, dahili analitik ve dolandırıcılık önlemeyi kapsar — veri sahibinin işlemeyi makul olarak bekleyeceği yerde işi yürütmek için gerekli olarak gerekçelendirebileceğiniz şeyler. Yine de menfaatinizi veri sahibinin haklarına karşı dengelemeli, denge testini belgelemeli ve herhangi bir itiraza saygı göstermelisiniz. Bir sohbeti 'outreach-lead-source-web' olarak etiketlemek ve pipeline takibi için doksan gün saklamak klasik bir meşru menfaat durumudur; aynı sohbeti 'işe yarayabilir' diye beş yıl saklamak değildir.

GDPR sabit bir saklama penceresi belirlemez. Kişisel verilerin toplandığı amaç için gerekenden daha uzun süre tutulmamasını gerektirir. Operasyonel çevirisi şudur: amacı tanımlayın, pencereyi tanımlayın, yazıya dökün ve programa göre silin.

Bir B2B Telegram CRM için iyi denetlenen çalışan varsayılanlar: aktif müşteri sohbetleri sözleşme süresince artı bir yıl (garanti ve vergi yükümlülüklerini kapsamak için), kapanan-aday sohbetleri on iki ay, pazarlama-rıza sohbetleri rıza aktif olduğu sürece, spam/kötüye kullanım sohbetleri otuz gün. Bunlar başlangıç noktalarıdır — kendi düzenleyiciniz ve sektörünüz, özellikle finans, sağlık ve eğitimde farklı pencereler gerektirebilir.

Pratik gereksinim, gerçekten silebilmenizdir. Entergram, veri dışa aktarmayı ve veri silmeyi çalışma alanı düzeyinde ve bireysel sohbet düzeyinde sunar. Her mesaj içeriği uçtan uca şifrelenir ve yalnızca Telegram'ın sunucularında saklanır — Entergram mesaj düz metnini asla görmez — bu nedenle sildiğimiz CRM katmanı meta veri, etiketler, notlar ve yapılandırılmış alanlardır. Güçlü silme iddiaları yapabilmemizin nedeni şifreleme tasarımıdır: unutulacak ikincil bir konuşma kopyası yoktur. Güvenlik sayfamız bunu ayrıntılı olarak açıklar.

Yönetmeliğin 15. Maddesi uyarınca, herhangi bir veri sahibi, hakkında hangi kişisel verileri tuttuğunuzu sorabilir. Yanıt vermek için bir ayınız vardır. Talebi görmezden gelmek, ceza kazanmanın en ucuz yollarından biridir. İyi yanıt vermek, hangi sistemlerden çekmeniz gerektiğini bilmek meselesidir.

Bir Telegram CRM için bu şu anlama gelir: kişinin sohbet meta verisi, uygulanan tüm etiketler, tüm özel sütun değerleri, tüm dahili yorumlar, tüm bilet geçmişi, aldıkları herhangi bir yayın ve sohbetlerine bağlı herhangi bir analitik olay. Entergram'ın CSV dışa aktarımı bunların her birini kapsar. Filtreyi veri sahibinin sohbet kimliğine yöneltin, dışa aktarın, üçüncü tarafları ifşa edecek herhangi bir şey için gözden geçirin ve gönderin. Ekiplerin bu iş akışını kullanarak uçtan uca veri sahibi erişim yanıtlarını yirmi dakikadan kısa sürede yaptığını gördük.

Silme karşılığı (17. Madde, silme hakkı) Entergram'da tek bir eylemdir: sohbeti çalışma alanından silin. Cihazın kendisindeki Telegram mesaj geçmişi ayrıdır, Telegram'ın kendi gizlilik politikası tarafından yönetilir ve veri sahibi kendi tarafını Telegram uygulamasında silebilir. Kontrol etmediğiniz şeyi silmeye söz vermeyin.

Müşteri konuşmalarını yönetmek için Entergram kullanan bir ekipseniz, veri sorumlusu sizsiniz ve Entergram bir veri işleyendir. Bu ilişki bir Veri İşleme Sözleşmesi (DPA) ile yönetilir — çalışma alanında tek bir AB kişisi saklamadan önce imzalı bir tane dosyanızda olmalı. Bizimki talep üzerine mevcuttur; çoğu rakip Telegram aracı hiç sunmaz, ki bu başlı başına bir uyumluluk sinyalidir.

DPA bizi belirli bir yükümlülük listesine bağlar: yalnızca belgelenmiş talimatlarınızla işleme, gizliliği koruma, uygun teknik ve organizasyonel önlemleri uygulama, veri sahibi erişim ve ihlal bildirim görevlerine yardımcı olma ve alt işleyen şeffaflığı. Bu listedeki her madde Entergram mimarisinin somut bir parçasına eşlenir — şifreli oturumlar, hesap başına özel IP'ler, kimlik bilgileri için şifreli kasa, sunucu tarafı denetim günlükleri ve barındırma ve e-posta için belgelenmiş alt işleyenler.

Schrems II sonrasında, kişisel verileri Avrupa Ekonomik Alanı dışına aktarmak ek güvenceler gerektirir, genellikle Standart Sözleşme Hükümleri artı bir aktarım etki değerlendirmesi. Telegram CRM kullanımı için pratik soru şudur: çalışma alanı verileriniz ve oturum dosyalarınız nerede barındırılıyor?

Entergram, AB sakinleri olan çalışma alanları için AB'de barındırılan altyapı işletir. AB merkezli bir ekipseniz veya AB müşterileriniz varsa, çalışma alanınız için yalnızca AB veri yerleşimi talep edebilirsiniz ve sizi ilk günden AB bölgesinde başlatırız. Oturum dosyalarının kendisi — Entergram'ın Telegram hesabınıza bağlanmasını sağlayan şifreli durum — AES-256-GCM ile şifrelenir ve çalışma alanı AB kapsamlı olduğunda AB bölgesinde saklanır. Güvenlik ekibiniz sorarsa, EDPB'nin aktarım rehberliği birincil referanstır.

Bir denetçi bir ISO 27001 veya SOC 2 hazırlık kontrolü için geldiğinde, Telegram CRM soruları her zaman aynı beştir. Belirli bir sohbeti kim görebilir? Oturum kimlik bilgileri nasıl korunuyor? Şifreler nasıl saklanıyor? Bir ekip arkadaşı ayrıldığında ne olur? Yetkisiz erişimi nasıl tespit ediyorsunuz?

Entergram'daki kısa cevaplar: çalışma alanı gizlilik sınırı, her kullanıcının paylaşılan bir çalışma alanı içinde bile yalnızca kişisel olarak bağladığı hesaplardan gelen sohbetleri görmesi anlamına gelir. Oturum dosyaları, destek tarafından kurtarılamayan anahtarlarla AES-256-GCM ile bekleme halinde şifrelenir. Kimlik doğrulama, 2FA desteğiyle standart OAuth kullanır. İşten çıkarma, koltukları ve oturum erişimini iptal eden tek bir çalışma alanı eylemidir. Denetim günlükleri her koltuk eylemini, yayını, dışa aktarmayı ve silmeyi kapsar ve yapılandırdığınız pencereye göre saklanır.

Bu kontrol seti, NIST SP 800-53 orta-temel gereksinimlerinin çoğunluğuyla uyumludur. Denetçiniz bir kontrol eşleme elektronik tablosu isterse, güvenlik ekibimiz bunu bir gizlilik sözleşmesi (NDA) kapsamında üretir.

'Telegram kullanımınız GDPR uyumlu mu?' Evet, işleme faaliyeti başına bir hukuki dayanağınız, belgelenmiş bir saklama programınız, CRM tedarikçinizle bir DPA'nız, bir aydan kısa sürede yürütebileceğiniz bir veri sahibi erişim süreciniz, AB sakinleri için AB veri yerleşiminiz ve erişim sınırlarını uygulayan bir çalışma alanı mimariniz olduğunda. Gerçek cevap budur. Entergram, bu parçaların her birinin kendiniz birleştirmeniz gereken bir özellik değil, altyapı olması için tasarlanmıştır — bu nedenle kişisel Telegram hesapları aracılığıyla yayınlar, biletleme ve satış yürüten düzenlemeye tabi ekipler, bunu hukuk ekiplerinin kriz yaşaması olmadan yapabilir.