GDPR Nedir? | Haklar, Sorumluluklar ve Yapılması Gerekenler

GDPR, Avrupa Birliği dahilindeki tüm bireyler için veri koruma ve gizlilik konusunda AB tarafından oluşturulan bir yönetmelik olan Genel Veri Koruma Yönetmeliği anlamına gelmektedir. GDPR, 1995’ten beri gizlilik yasası olan 95/46 / EC sayılı Directive (“Direktif”) olarak bilinen eski bir gizlilik yasasının yerini alacak.

GDPR’nın temel amacı, kişilere kişisel verileri üzerinde daha fazla kontrol sağlamaktır. AB’de bulunan işletmeler ve AB’de ikamet eden kişilerin verilerini toplayıp işliyorsa AB’nin dışındaki işletmeler için geçerlidir.

GDPR, 2016 yılında onaylandı ve uygulanma zorunluluk tarihi 25 Mayıs 2018’dir. Özellikle ticari firma web siteleri bu tarihten önce uyumlu hale getirilmelidir.

GDPR, kişisel verileri toplayan tüm işletmeleri etkiler ve kişisel verilerin tanımı çok geniştir. GDPR aynı zamanda geriye dönüktür. Bu, 25 Mayıs 2018 tarihinden önce toplanmış olsa bile, sakladığınız veya kullandığınız tüm müşteri verileri için geçerli olduğu anlamına gelir.

Bir web sitesini işletiyor ve AB’den herhangi bir web sitesi ziyaret ediyorsanız, GDPR’den etkilenirsiniz. Bir e-posta listeniz yoksa, herhangi bir ürün satmıyorsanız, hatta reklam dahi vermiyor olsanız bu kuralları uygulamalısınız. Çünkü, GDPR AB’de yaşayan insanların kişisel verilerini toplayan herhangi bir alanda iş-hizmet veriyor olmanızla ilgilenir. Avrupa Komisyonu’na göre “kişisel veriler, bir şahsa ilişkin, onun özel, profesyonel veya kamusal yaşamıyla ilgili olsun yada olmasın, herhangi bir bilgidir. İsim, ev adresi, fotoğraf, e-posta adresi, banka bilgileri, sosyal medya sitelerinde yayınlar, tıbbi bilgiler veya bilgisayarın IP adresi olabilir.

Bir web sitesi sahibi olarak bir IP adresinin kaydedilmesi bile sizi GDPR kurallarına uymanızı gerektirir.  Çoğu CMS, varsayılan olarak IP adresleri topladığından, web sitesilerinin GDPR ile uyumlu olması gerekir.

• Kullanıcı profili olan bir forum
• Herhangi bir ürünü (fiziksel veya dijital) satan ve kullanıcı verilerini (satın alma veya başka bir şekilde) kaydeden bir e-Ticaret mağazası
• Yeniden hedefleme için çeşitli etiketler kullanan bir web sitesi
• Kullanıcıların yorum yapmasına izin veren herhangi bir Web Sitesi
• Kullanıcıların e-posta listelerine kaydolmasına izin veren herhangi bir Web sitesi
• Analytics kurulumu olan herhangi bir Web Sitesi

En basit ifadeyle, herhangi bir web sitesine sahipseniz ve tüm AB trafiğini engellemiyorsanız, GDPR’den etkileneceksiniz.

İşletmeniz GDPR’ye uygun olmayan bir şekilde bulunursa, 20 milyon Euro veya global yıllık gelirinizin %4’ü kadar, hangisi daha yüksekse o rakam üzerinden cezalandırılabilirsiniz.

Uygunluğu proaktif olarak teşvik etmek için yüksek maliyetler uygulamaya konulmuştur. Bu nedenle, sitenizin GDPR uyumlu olması oldukça önemlidir.

GDPR’ye göre, okuyucularınız / kullanıcılarınız / müşterileriniz, verileriyle ilgili 8 hakka sahiptir. Bu haklarla ilgili herhangi bir talep alırsanız, talebe 30 gün içinde cevap vermelisiniz.

1. Bilgilendirme hakkı
Kullanıcılar hangi verileri topladığınızı ve nasıl kullanıldığını bilme hakkına sahiptir. Bu, kişisel verilerin neden toplandığına, nasıl kaydedileceğine, ne kadar süre saklanacağına ve başka kimlerin erişebileceğine dair net bilgi vermeniz gerektiği anlamına gelir.

2. Erişim hakkı
Kullanıcılar, istek üzerine veri denetleyicisi tarafından kaydedilen verilere erişim hakkına sahiptir. Veri denetleyicisi, verilerini tutan varlıktır.

3. Düzeltme hakkı
Kullanıcılar, yanlış veya eksik verilerini güncelleme veya düzeltme hakkına sahiptir. Veri denetçisi düzeltme için bir istek alırsa, verilerin doğruluğunu kontrol etmek ve gerekirse güncelleştirmek için gerekli adımları atmalıdır.

4. Silme hakkı (veya unutulması)
Kullanıcılar kişisel verilerini tamamen silme hakkına ve ayrıca daha fazla veri toplanmasını önleme hakkına sahiptir. Veri denetleyicisi bu isteği alırsa, kullanıcı, verileri kaydedilmek üzere onaylarını etkili bir şekilde geri çeker.

5. Kısıtlama hakkı
Belirli koşullar altında, kullanıcılar verilerini kullanma ve işleme koymalarını kısıtlama getirebilirler. Bu durumda, kullanıcının verileri kaydedilebilir, ancak herhangi bir amaçla kullanılamaz.

6. Taşınabilirlik hakkı
Kullanıcılar, verilerini makine tarafından okunabilir ve insan tarafından okunabilir biçimlerde isteme hakkına sahiptir. Bu verileri, uygun gördüğü herhangi bir şekilde kullanabilir ve hatta başka bir veri denetleyicisine aktarabilirler.

7. Nesne hakkı
Kullanıcılar kişisel çıkarları içeren kişisel verilerin kullanımına itiraz etme hakkına sahiptir. Ayrıca, verilerin belirli bir şekilde kullanımına itiraz edebilirler ve veri denetleyicisi, kullanıcıların verilerin nasıl işleneceğinin farkında olduklarından emin olmalıdır.

8. Otomatik karar almaya tabi olmamak hakkı
Kullanıcılar, olumsuz bir yasal etki veya benzer bir şey oluşacağı durumlarda, otomatik karar verme sürecinden vazgeçme hakkına sahiptir.

Sözleşmeye göre GDPR kapsamında web sitesi sahibi sorumlulukları şunlardır:

• Kullanıcıları kendi kimliğiniz, topladığınız veriler, neden topladığınız, neleri depoladığınız ve kimlerle paylaştığınız hakkında bilgilendirin
• Herhangi bir veri toplarken kullanıcıdan açık ve net onay alın
• Kullanıcıların, topladığınız verilere erişmesine ve indirmesine izin verin
• Kullanıcıların istedikleri takdirde verilerini silmelerine izin ver
• Kullanıcıları herhangi bir veri ihlalinden itibaren 72 saat içinde bilgilendirin

Bu kuralların her birini anlamak önemlidir, bu yüzden bunları tek tek açıklığa kavuşturalım.

Kullanıcıları kimliğiniz, topladığınız veriler, neden topladığınız, neleri depoladığınız ve kimlerle paylaştığınız hakkında bilgilendirin
Bu kural, verilerini saklayan kişinin / kurumun kim olduğu ve nasıl kullanıldığı hakkında bilgi vermeyi amaçlamaktadır. GDPR’ye göre, topladığınız veriler konusunda spesifik olmanız ve veri topladığınızda açık bir onay almanız gerekir (2. maddede ele alınmıştır).

Bu kuralı anlamak için bir örnek verelim. Bir e-Ticaret mağazası işlettiğinizi varsayalım. Bu kurala uymak için hayata geçirmek için gereken temel bilgiler.

• Gizlilik politikanızda işletme ayrıntıları ve iletişim bilgilerinizi belirtin.
• Kullanıcılara hangi verileri topladığınızı ve hangi sayfalarda olduğunu açıklayın.
• E-posta adresi topluyorsanız, neden topladığınızı ve onay aldığınızı belirtin
• Kullanıcılara e-posta gönderimi yapacaksanız bunu belirtin ve onay alın.
• Fiziksel adreslerini kargo için topluyorsanız, bunu belirtin ve onay alın.
• Müşterilerin ürün incelemesine izin verirseniz, incelemenin nasıl ve nerede paylaşılabileceğinden ve onay alınabileceğinden bahsedin.
• Kullanıcılar ürün resimlerini paylaşabiliyorlarsa, bu resimleri nasıl kullanılabileceğinizden ve onay alınabileceğinden bahsedebilirler.
• Kişisel bilgilerinizi üçüncü taraflarla (örneğin bir kargo şirketi) paylaşıyorsanız, bunu belirtin ve onay alın.
• Bilgilerini herhangi bir dönem için saklarsanız (muhasebe, yeniden hedefleme, vb.), bunu belirtin ve onay alın.

Hatırlanması gereken en önemli şey, ziyaretçilerin, verilerin kullanılabileceği her şekilde bilgilendirilmesi gerektiğidir. Ayrıca, verilere erişen her 3. kişilerden de haberdar olmaları gerekir.

Herhangi bir veri toplarken kullanıcıdan açık ve net onay alın

“Açık” tanımı, ziyaretçinin toplanan verileri anlamasını sağlamak için günlük dili kullanmanız gerektiği anlamına gelir. Spesifik tanımları netleştirmelisiniz ve Şartlar ve Koşullar gibi yasal terminolojide kalmayıp, temel dilde anlatılmalıdır.

“Net onay”, her veri toplama işleminde, ziyaretçinin onaylaması gerektiği anlamına gelir. Bu bir onay kutusu şeklinde olabilir, ancak onay kutusunun varsayılan olarak işaretli olmaması önemlidir.

Kullanıcıların, topladığınız verileri onlara erişmesine ve indirmesine izin verin

Bir kullanıcı isteğinde, kendileri hakkında topladığınız tüm verilere erişim vermeniz gerekir. Bu eklentiler ve temalar tarafından toplanan verileri içermelidir.

Bu kural uyarınca, okuyucularınıza oluşturdukları verilere erişim sağlamanız gerekir. Örneğin, ziyaretçinin web sitenizde hangi yazıları okuduğunu kaydediyorsanız, bu verileri paylaşmanız gerekir. Ancak, okumak istedikleri içerik türünü tahmin etmek için bazı analizler kullandıysanız, bu bilgileri atlayabilirsiniz.

Kullanıcıların istedikleri takdirde verilerini silmelerine izin verin

Bu kural, yukarıdaki kuralla benzerdir, ancak ziyaretçiler yalnızca verilerini görüntülemek yerine, verilerinin silinmesini de talep edebilir.

Bu kuralın birkaç istisnası vardır. Verileri (fatura verileri gibi) saklamanız için yasal bir neden varsa, verileri silmeyi reddedebilirsiniz.

Herhangi bir veri ihlali durumunda kullanıcıları 72 saat içinde bilgilendirin

Ziyaretçinizin verileri herhangi bir şekilde sızdırılmışsa (saldırıya uğramış web sitesi, çalınan bilgisayarlar, yanlışlıkla parola paylaşımı), ziyaretçileriniz, okuyucularınız veya müşterileriniz 72 saat içinde sızıntı hakkında bilgilendirilmelidir. Ayrıca yerel GDPR yetkililerinizi sızıntı hakkında bilgilendirmeniz gerekiyor.

Tüm web sitelerinin GDPR’den etkileneceği açıktır. Tamamen uyumlu bir web sitesine sahip olmak için, web sitenizi müşteri verileri penceresinden düşünerek tasarlamaya başlamalısınız.

Verilerin yakalandığı tüm yerlerin bir listesini yaparak başlayın ve aşağıda belirtilen kurallar hakkında bir kontrol listesi oluşturun.

• Kullanıcıların veri toplandığını bildiriyor muyum?
• Verilerin ne için kullanılacağını belirtmekte açık mıyım?
• Ziyaretçiler açık ve net bir onay vermesinin bir yolu var mı?
• Bu verileri istekleri üzerine ziyaretçilere sunabilir miyim?
• Bu verileri istekleri üzerine silebilir miyim?
• Bu verileri istek üzerine anonim hale getirebilir miyim?
• Gizlilik politikam veri kullanımıyla ilgili tüm gerekli bilgileri veriyor mu?

Kullanıcı bilgilerini topladığınız tüm yerler için kendinize bu soruları sormanız gerekir. Bunun dışında, temanızın ve eklentilerinizin hangi tür verileri yakaladığını da bilmeniz gerekir. Kullandığınız her tema ve eklenti de GDPR uyumlu olmalıdır.

Web siteleri genellikle aşağıdaki yöntemlerle veri toplar.

• Kayıtlı kullanıcılar
• Yorumlar
• İletişim formları
• Trafik ve analiz unsurları
• E-posta abonelikleri
• Reklam unsurları
• Güvenlik eklentileri

 Bütün bu noktalarda GDPR kurallarına uymak zorundasınız.

Ne tür bir web sitesi sahibi olursanız olun, en kısa zamanda GDPR ile uyumlu hale gelmeniz önemlidir. Web sitenizi uyumlu hale getirmek için yapmanız gereken adımlar.

Yukarıda vurgulanan temel yönergelere dayanarak, aşağıdaki alanlarda değişiklik yapmanız gerekir:

• Şartlar ve Koşullar sayfanız
• Gizlilik Politikanız
• Yorum Alanları
• Etkileşim formları (haber bülteni, rss ve bildirim abonelikleri, e-posta abonelik formu, iletişim formları)
• Analiz eklentileri
• Kullanıcı bilgilerini topladığınız diğer noktalar

1. Adım: Şartlar ve Koşullar

Şartlar ve koşullar, ziyaretçilerinizi web sitenize bağlayan temel kurallardır; gizlilik politikası ise topladığınız verilerle ilgilenir. GDPR’ye uygunluk ile ilgili bilgileri ve ayrıca kullanıcıların kendi verileriyle ilgili isteklerini nasıl yerine getirebileceğini bu sayfaya dahil edin.

2. Adım: Gizlilik Politikası

GDPR, öncelikli olarak tüketici verileriyle ilgili olduğundan, yapmanız gereken en önemli değişiklikler, gizlilik politikanızda olacaktır.

Özellikle, aşağıdaki bilgileri vermeniz gerekir:

• Kimsiniz – Adınızı veya kuruluşunuzun adını, adresini, iletişim bilgilerini vb. ekleyin.
• Hangi veriler toplanır – Topladığınız IP Adresi, adı, e-posta ve diğer bilgileri kaydettiğinizden emin olun. Bu bilgiler web sitesinden siteye farklılık gösterecektir
• Verileri neden toplarsınız – Özellikle neden veri topladığınızdan emin olun.
• Veriler ne kadar süre korunuyor – Verileri ne kadar süreyle saklayacağınızdan bahsedin
• Veriler nasıl paylaşılır? – Verileri başka kiminle paylaşırsınız? E-posta bülteni gönderiyorsanız, verilerinizi e-posta servis sağlayıcınızla paylaşıyorsunuzdur. Verileri paylaştığınız tüm hizmetlerden bahsedin.
• Müşteriler verilerini nasıl indirebilir? – Müşterilerin kendi bilgilerine nasıl erişebileceklerine dair süreci tanımlayın.
• Veriler nasıl silinir? – Müşterilerin verilerini nasıl silebileceğini veya silinmesini isteyeceğini açıklayın.
• Veri Koruma Görevlisinin İletişim Bilgileri – Çoğu durumda, bu sizin e-posta adresiniz olacaktır.

3. Adım: Yorum Alanları

Yorumlar web sitenizde saklanacağından ve kişisel veriler olarak nitelendirileceğinden, bu, bilgileri yakalamadan önce kullanıcının açık rızasını almanız gerektiği anlamına gelir.

4. Adım: Etkileşim Formları

Bir kullanıcının herhangi bir bilgiyi verebileceği iletişim formu ve diğer yerler, hangi verilerin yakalandığı ve nasıl kullanılacağı hakkında bilgi ekleyerek uyumlu hale getirilmelidir. Ayrıca, kullanıcıların bu verilerin kullanılmasına izin vermeleri için bir onay kutusu eklemeniz gerekecektir.

5. Adım: Analiz Eklentileri

Web sitenizde kullandığınız tüm analiz eklentilerini gözden geçirmeniz ve gizlilik politikanızda toplanan verileri belirtmeniz gerekir.

6. Adım: Bilgi toplayan diğer noktalar

Kullanıcı bilgilerini toplayabilecek tüm sayfaları (içerik yükseltmeleri, vb.) gözden geçirin ve bu sayfalardaki GDPR yönergelerini takip edin.

7. Adım: Eklentiler, temalar ve 3. taraf hizmetleri

Temalarınızı, eklentilerinizi ve diğer 3. taraf hizmetlerinizi (e-posta hizmeti vb.) inceleyin ve bunların hepsinin GDPR uyumlu olduğundan emin olun. Bir temanın veya eklentinin uyumlu olmaması, GDPR’ye uymadığınızı gösterir.