GDPR Kurallarına Göre Web Yöneticisinin Sorumlulukları

Sözleşmeye göre GDPR kapsamında web sitesi sahibi sorumlulukları şunlardır:

• Kullanıcıları kendi kimliğiniz, topladığınız veriler, neden topladığınız, neleri depoladığınız ve kimlerle paylaştığınız hakkında bilgilendirin
• Herhangi bir veri toplarken kullanıcıdan açık ve net onay alın
• Kullanıcıların, topladığınız verilere erişmesine ve indirmesine izin verin
• Kullanıcıların istedikleri takdirde verilerini silmelerine izin ver
• Kullanıcıları herhangi bir veri ihlalinden itibaren 72 saat içinde bilgilendirin

Bu kuralların her birini anlamak önemlidir, bu yüzden bunları tek tek açıklığa kavuşturalım.

Kullanıcıları kimliğiniz, topladığınız veriler, neden topladığınız, neleri depoladığınız ve kimlerle paylaştığınız hakkında bilgilendirin
Bu kural, verilerini saklayan kişinin / kurumun kim olduğu ve nasıl kullanıldığı hakkında bilgi vermeyi amaçlamaktadır. GDPR’ye göre, topladığınız veriler konusunda spesifik olmanız ve veri topladığınızda açık bir onay almanız gerekir (2. maddede ele alınmıştır).

Bu kuralı anlamak için bir örnek verelim. Bir e-Ticaret mağazası işlettiğinizi varsayalım. Bu kurala uymak için hayata geçirmek için gereken temel bilgiler.

• Gizlilik politikanızda işletme ayrıntıları ve iletişim bilgilerinizi belirtin.
• Kullanıcılara hangi verileri topladığınızı ve hangi sayfalarda olduğunu açıklayın.
• E-posta adresi topluyorsanız, neden topladığınızı ve onay aldığınızı belirtin
• Kullanıcılara e-posta gönderimi yapacaksanız bunu belirtin ve onay alın.
• Fiziksel adreslerini kargo için topluyorsanız, bunu belirtin ve onay alın.
• Müşterilerin ürün incelemesine izin verirseniz, incelemenin nasıl ve nerede paylaşılabileceğinden ve onay alınabileceğinden bahsedin.
• Kullanıcılar ürün resimlerini paylaşabiliyorlarsa, bu resimleri nasıl kullanılabileceğinizden ve onay alınabileceğinden bahsedebilirler.
• Kişisel bilgilerinizi üçüncü taraflarla (örneğin bir kargo şirketi) paylaşıyorsanız, bunu belirtin ve onay alın.
• Bilgilerini herhangi bir dönem için saklarsanız (muhasebe, yeniden hedefleme, vb.), bunu belirtin ve onay alın.

Hatırlanması gereken en önemli şey, ziyaretçilerin, verilerin kullanılabileceği her şekilde bilgilendirilmesi gerektiğidir. Ayrıca, verilere erişen her 3. kişilerden de haberdar olmaları gerekir.

Herhangi bir veri toplarken kullanıcıdan açık ve net onay alın

“Açık” tanımı, ziyaretçinin toplanan verileri anlamasını sağlamak için günlük dili kullanmanız gerektiği anlamına gelir. Spesifik tanımları netleştirmelisiniz ve Şartlar ve Koşullar gibi yasal terminolojide kalmayıp, temel dilde anlatılmalıdır.

“Net onay”, her veri toplama işleminde, ziyaretçinin onaylaması gerektiği anlamına gelir. Bu bir onay kutusu şeklinde olabilir, ancak onay kutusunun varsayılan olarak işaretli olmaması önemlidir.

Kullanıcıların, topladığınız verileri onlara erişmesine ve indirmesine izin verin

Bir kullanıcı isteğinde, kendileri hakkında topladığınız tüm verilere erişim vermeniz gerekir. Bu eklentiler ve temalar tarafından toplanan verileri içermelidir.

Bu kural uyarınca, okuyucularınıza oluşturdukları verilere erişim sağlamanız gerekir. Örneğin, ziyaretçinin web sitenizde hangi yazıları okuduğunu kaydediyorsanız, bu verileri paylaşmanız gerekir. Ancak, okumak istedikleri içerik türünü tahmin etmek için bazı analizler kullandıysanız, bu bilgileri atlayabilirsiniz.

Kullanıcıların istedikleri takdirde verilerini silmelerine izin verin

Bu kural, yukarıdaki kuralla benzerdir, ancak ziyaretçiler yalnızca verilerini görüntülemek yerine, verilerinin silinmesini de talep edebilir.

Bu kuralın birkaç istisnası vardır. Verileri (fatura verileri gibi) saklamanız için yasal bir neden varsa, verileri silmeyi reddedebilirsiniz.

Herhangi bir veri ihlali durumunda kullanıcıları 72 saat içinde bilgilendirin

Ziyaretçinizin verileri herhangi bir şekilde sızdırılmışsa (saldırıya uğramış web sitesi, çalınan bilgisayarlar, yanlışlıkla parola paylaşımı), ziyaretçileriniz, okuyucularınız veya müşterileriniz 72 saat içinde sızıntı hakkında bilgilendirilmelidir. Ayrıca yerel GDPR yetkililerinizi sızıntı hakkında bilgilendirmeniz gerekiyor.