General Data Protection Regulation (GDPR)
Genel Veri Koruma Yönetmeliği (GDPR) Nisan 2016’da AB Parlamentosu tarafından onaylandı ve 25 Mayıs 2018 tarihinde yürürlüğe girdi. Hükmi kişilerin verilerini depolayan veya işleyen herhangi firmaya uygulanacaktır. Bu yönetmeliğe uymayan şirketlere yüklü para cezası uygulanacaktır. Birden fazla şirket telefon numaramız, kimlik numaramız gibi birçok kişisel verilerimize sahipler. Bu yaptırımın amacı vatandaşların verilerini gizli tutmak amaçlanmıştır.
GDPR Ne Sağlanmak İstenmiştir?
Şirket verilerinizi alıyorsa, verileri ne maksatla kullanacağını hangi verileri ne kadar sürede ve nasıl saklayacağını, paylaşılacaksa bilgilerin kimler tarafından paylaşılacağını bildirmelidir. Örnek vermek gerekirse verilerin artık kullanılmamasını istiyorsanız veya ihtiyaç duyulmadığını düşünüyorsanız verilerin silinmesini isteyebilirsiniz. Veriler nasıl ve ne amaçla kullanılırsa kullanılsın bildirilmelidir. Bir kurul veya kuruluş topladığı verileri görmek isterse 1 ay içinde görebilmektedirler. Kişi şirketin elindeki veriyi geçersiz olarak belirtiyorsa bu verilerin şirket tarafından düzenlenmesini talep edebilir.
GDPR’a Nasıl Uyumlu Olunur?
İlk olarak en önemli şey gizlilik politikanızdır.Yorum vb. şeyler web sitenizde bulunacağından kişisel veriler olarak nitelendirilecektir, bu, bilgileri yakalamadan önce kişinin açık rızasını almanız gerekir. Sitenizde kullandığınız eklentilere dikkat etmeli ve gizlilik politikanızda toplanan verileri belirtmeniz gerekir. Şartlar ve koşullar web sitenize adım atanları bağlayan temel ilkedir ; gizlilik politikası topladığınız verilerle ilgilenir. Etkileşim formları kişinin bilgiyi verebileceği iletişim formu gibi yerlerin verileri toplandığı zaman nasıl ve ne kadar süre ile kullanılacağı hakkında bilgi verilmelidir.
Yada bir web sitesini işletiyor ve Avrupa da herhangi bir çevrim içi web sitesine erişim sağlıyorsanız, GDPR’den etkilenirsiniz. Bir mail listeniz yoksa, herhangi bir ürün satmıyor pazarlamıyorsanız, hatta google gibi mecralardan reklam dahi vermiyor olsanız bile bu kuralları uygmanız gereklidir. Çünkü, GDPR Avrupa Birliğinde yaşayan kişilerin, kişisel verilerini toplayan herhangi bir alanda iş-hizmet faaliyet vermeniz halinde ilgilenir. Avrupa Komisyonu’na göre “kişisel veriler, bir kişiye ilişkin, onun özel, profesyonel veya kamusal yaşamıyla ilgili olsun yada olmasın, herhangi bir bilgidir. ad, soyad,lokasyon ev adresi, fotoğraf, e-posta adresi, banka bilgileri, sosyal medya sitelerinde yayınlar, hassas tıbbi bilgiler veya bilgisayarın IP adresi olabilir.
Bir web sitesi sahibi olarak bir IP adresinin kaydedilmesi bile sizi GDPR kurallarına uymanızı gerektirir. Çoğu CMS, varsayılan olarak IP adresleri topladığından, web sitesilerinin GDPR ile uyumlu olması gerekir.
Uyumlu Olmak İçin Adımlar
Kuruluşunuzun resmi web sitesini düzenlemeniz gerekmektedir.
Web sitesinde temel yönergelere dayanarak, aşağıdaki maddelerde değişiklik yapmanız gerekir:
- Şartlar ve Koşullar sayfanız
- Gizlilik Politikanız
- Yorum Alanları
- Etkileşim formları (haber bülteni, rss ve bildirim abonelikleri, e-posta abonelik formu, iletişim formları)
- Analiz eklentileri Çerezler
- Kullanıcı bilgilerini topladığınız diğer noktalar
1. Adım: Şartlar ve Koşullar
Şartlar ve koşullar, ziyaretçilerinizi web sitenize bağlayan temel unsurlardır; gizlilik politikası ise topladığınız verilerle ilgilenir. GDPR’ye uygunluk ile ilgili bilgileri ve ayrıca ziyaretçilerin kendi verileriyle ilgili isteklerini nasıl yerine getirebileceğini bu sayfaya dahil edin.
2. Adım: Gizlilik Politikası
GDPR, öncelikli olarak tüketici dataları ile ilgili olduğundan, yapmanız gereken en önemli değişiklik, gizlilik politikanızda olacaktır. Gizlilik politikası yok yeni bir gizlilik politikası oluşturmak için bizimle iletişime geçebilirsiniz.
Özellikle, aşağıdaki bilgileri vermeniz gerekir:
- Kimsiniz – Adınızı veya Şirketin adını, lokasyon, iletişim bilgilerini vb. ekleyin.
- Verileri toplama yöntemi ve hukuki sebebini belirtiniz. Topladığınız IP Adresi, adı, e-posta ve diğer çerezler teknolojileri bilgileri kaydettiğinizden emin olun. Sektörel olarak farklılık gösterebilir.
- Verileri neden toplarsınız – Özellikle neden hangi amaçla veri topladığınızdan emin olun.
- Veriler ne kadar süre korunuyor – Verileri ne kadar süreyle saklanacağından bahsediniz.
- Veriler nasıl paylaşılır? – Verileri başka kiminle paylaşılır? E-posta bülteni gönderiyorsanız, verilerinizi e-posta servis sağlayıcınızla paylaşılıyordur. Verileri paylaştığınız tüm hizmetlerden ve 3. taraflardan bahsediniz.
- Ürün veya hizmet alan müşteri, verilerini nasıl indirebilir? – Müşterilerin kendi bilgilerine nasıl erişebileceklerine dair süreci tanımlayın.
- Veriler nasıl silinir? – Müşterilerin verilerini nasıl silebileceğini hakkında nereye başvurabilir
- Veri Koruma Görevlisinin İletişim Bilgileri .
3. Adım: Yorum Alanları
Eğer web sitenizde bir yorum alanı varsa bilindiği gibi yorumlar web sitenizde saklanacağından ve kişisel veriler olarak nitelendirildiği için, bu, bilgileri yakalamadan önce kullanıcının açık rızasını almanız gerektiği anlamına gelir.
4. Adım: Etkileşim Formları
Bir kullanıcının herhangi bir bilgiyi verebileceği iletişim formu ve diğer yerler, hangi verilerin yakalandığı ve nasıl kullanılacağı hakkında bilgi ekleyerek uyumlu hale getirilmelidir. Ayrıca, kullanıcıların bu verilerin kullanılmasına izin vermeleri için bir onay kutusu eklemeniz gerekecektir.
5. Adım: Analiz Eklentileri
Web sitenizde kullandığınız tüm analiz eklentilerini gözden geçirmeniz ve gizlilik politikanızda toplanan verileri belirtmeniz gerekir.
6. Adım: Bilgi toplayan diğer noktalar
Kullanıcı bilgilerini toplayabilecek tüm sayfaları (içerik yükseltmeleri, vb.) gözden geçirin ve bu sayfalardaki GDPR yönergelerini takip edin.
7. Adım: Eklentiler, temalar ve 3. taraf hizmetleri
Temalarınızı, eklentilerinizi ve diğer 3. taraf hizmetlerinizi (e-posta hizmeti vb.) inceleyin ve bunların hepsinin GDPR uyumlu olduğundan emin olun. Bir temanın veya eklentinin uyumlu olmaması, GDPR’ye uymadığınızı gösterir.
Çocuk Verileri
GDPR , çocuklara ait veriler için özel korumaları bulunmaktadır. Sistemin verileri işlemeden önce yaşlarını doğru olduğunu doğrulayıp ebeveynlerin veya vasi onamın olması gerekmektedir.
GDPR Kimleri Kapsamaktadır
Dijital reklamcılıkla ilgili tüm şirketler, reklam verenler, ajanslar, telefon şirketleri, reklam servis sağlayıcıları, veri/teknoloji şirketleri ya da yayıncılar yasanın kapsamındadır.
GDPR ve KVKK
KVKK, GDPR’nin Türkiye için hazırlanan bi örneğidir. Türkiye Avrupa Birliği üyesi olmadığı için GPDR kapsamına girmez. Türkiye’de kişisel veriler oldukça hassas olduğundan dolayı ülkemiz bu tarz yönelik kanunlar çıkarabilir. Türkiye’de kişisel verilerin korunması ile ilgili çıkan son kanun KVKK’dır. Kişisel Verileri Koruma Kanunu GDPR’ye çok benzemektedir. Tabi ki iki düzenlemese arasında farklılıklar da vardır. GDPR ve KVKK kıyaslanınca KVKK GDPR’ye göre daha yetersiz kalır. GPDR kişisel verileri daha detaylı ve kapsamlı incelerken KVKK yalnızca veri sorumlularını kapsar. Yanı sıra GDPR’de ihlaller karşılığında daha ağır ve caydırıcı cezalar uygulanırken KVKK’da cezalar daha hafiftir. Son dönemlerde internet yoğunluğu ile artan siber saldırı ve korsanlar ülkemizde karşılık bulmuş ve büyük firmalar da dahil olmak üzere yeterli önlemi almadıkları için birçok kişisel veriyi çaldırmışlardır. Büyük firma iş işten geçtikten sonra bu kişisel verilerin çalındığını anlamış ve profesyonel hizmet almışlardır. Bu profesyonel hizmet sayesinde tam anlamıyla kişisel verilerin korunması sağlanmıştır. KVKK’nın bu konuda daha ağır ve caydırıcı cezalar vermesi tekrardan konuşulmaya başlamıştır. GDPR madde 20 ile düzenlenen “veri taşınabilirliği hakkı” madde 37 kapsamındaki hassas verilerin işlenmesi bakımından “zorunlu veri koruma görevlisi” ile madde 35. kapsamındaki riskli veri işleme faaliyetleri bakımından “zorunlu veri koruma etki değerlendirmesi” gibi kurumlara ilişkin düzenlemeler, 6698 sayılı KVKK’da bulunmamaktadır.
Yaptırımlar
Ulusal hukukta 83. GDPR maddesine göre ilk defa kasıtsız olarak yapılan suçlar için yazılı uyarı ve düzenli olarak veri koruma denetimleri. , 11, 25 ila 39, 42 ile 43. maddeleri uyarınca veri işletmecilerinin yükümlülüklerini. 41. Madde uyarınca izleme kuruluşunun yükümlülükleri.42. ve 43. Maddelerde belgelendirme kuruluşunun yüklerinin ihlal edilmesi sonucunda 20 milyon euroya kadar şirketin yıllık karına göre %2 sine kadar para cezası verilir.
Rıza için koşullar
Durumun rızaya dayalı olduğu zamanlar veri sahibinin kişisel verilerinin işlenmesinde rızası olduğunu gösterebilmelidir. Veri sahibinin yazılı bir şekilde beyan etmesi halinde muvafakat talebi diğer hususlardan açıkça ayırt edilebilecek şekilde açık ve net bir biçimde sunulur. Rızanın geri çekilmesi geri çekilmeden önce rıza ile yapılan işlemlerin yasallığını ihlal etmeyecektir. Kabul edilmeden önce veri sahibine bilgi verilecektir. Rıza vermek basit olduğu kadar rızanın geri çekilmesi bi o kadar kolay olacaktır.
GDPR Danışmanı: Uygar AYDIN