Amatörler için GDPR

Dünyamız giderek dijitalleşirken, veri gizliliği giderek daha önemli bir sorun haline gelmeye başladı. Bütün online aktivitelerimiz bizimle ilgili kaydedilen ve işlenen veriler bırakır ve bu verilerin güvenliğini sağlamak şirketlerin sorumluluğundadır.

Verilerin etik ve sorumlu bir şekilde yönetildiğinden emin olmak için birçok küresel gizlilik yasası ortaya çıkmıştır. Genel Veri Koruma Yönetmeliği (GDPR) bunların en bilineni ve en katısıdır.

Kanun çok bilinir olmasına rağmen birçok kişi hâlâ GDPR'a uymaları gerekip gerekmediğini ve uymaları gerekiyorsa GDPR gereksinimlerinin nasıl karşılanacağı konusunda net bilgi sahibi değil.

Amatörler için GDPR kılavuzunda, herkesin GDPR'ı anlayabilmesi ve ona uymak için gerekli önlemleri alabilmesi adına gelin, bu uzun kanunu basit ilkelere ayıralım.

GDPR nedir?

• GDPR, kişisel verilerin nasıl toplandığını, işlendiğini ve korunduğunu düzenleyen, vatandaşların kişisel verilerini korumak için AB'de geliştirilmiş bir yasadır. Kanun, vatandaşlara kişisel verilerinin toplanması ve kullanılması konusunda daha fazla kontrol vermeyi amaçlamaktadır.

• AB'deki müşterilere hizmet veren tüm şirketler (Türkiye’deki veya ABD’deki işletmeler dahil) GDPR'a tâbidir.

• Uyumsuzluk milyonlarca dolarlık para cezalarına yol açabilir.

• Şirketler verileri dikkatli bir şekilde toplamalı, verilerinin nasıl toplandığı ve kullanıldığı konusunda kullanıcılara karşı şeffaf olmalıdır.

• Mayıs 2018'de kabul edildiğinden beri GDPR, küresel gizlilik yasalarının standartlarını belirlemede başrolde olmuştur. GDPR sadece Avrupa'yı değil, dünyanın her yerinden işletmeleri etkilemektedir.

‘Kişisel veriler’ ne demek?
GDPR'ın resmi ‘kişisel veri’ tanımı, ‘kimliği belirli veya belirlenebilir gerçek kişiyle ilgili her türlü bilgi’yi ifade eder. Bu tanımın içerdiği bazı bilgiler şunlardır:

• İsimler
• IP adresleri
• E-postalar
• Telefon numaraları
• Sosyal medya gönderileri
• Doğum tarihi
• Banka hesabı bilgileri

GDPR, işletmelerin kişisel verileri nasıl yönetmesi gerektiğine dair 7 temel ilkeye sahiptir:

1. Veriler yasal, adil ve şeffaf bir şekilde işlenmelidir

2. Veriler yalnızca önceden belirlenmiş amaç için işlenmeli ve kullanılmalıdır

3. Yalnızca gerekli miktarlarda veri toplanmalıdır

4. Toplanan tüm veriler doğru olmalıdır

5. Veriler yalnızca gereken süre kadar saklanmalıdır

6. Veriler güvende tutulmalıdır

GDPR neden önemli?
Facebook ve Google gibi şirketler tarafından ne kadar kişisel veri toplandığı göz önüne alındığında, bu bilgilerin reklamcılara satılması durumda büyük kazançlar elde edilebileceği ve kullanıcılarının gizlilik haklarının kâr uğruna kötüye kullanılabileceği endişesi doğuyor.

GDPR, kullanıcı haklarından ödün vermeden dijital işletmeleri ayakta tutmak için şirketlerin kişisel bilgilerle ne yapmasına izin verilip verilmediğini açıklamaktadır.

GDPR kanunu, veri öznelerine (verilerini bir şirket tarafından toplanan herkes) verilerinin nasıl işlendiği konusunda daha çok söz hakkı veriyor.

Örneğin, AB veri özneleri aşağıdaki haklara sahiptir:

• Şirketlere verilerinin nasıl kullanıldığını sormak
• Toplanan kişisel verilerine erişmek
• Hatalı verilerin düzeltilmesini istemek
• Artık gerekmediğinde verilerin silinmesini istemek

GDPR kimleri etkiler?
GDPR, işletmenin nerede faaliyet gösterdiğinden bağımsız olarak AB vatandaşlarından veri toplayan tüm işletmeleri etkiler. İşletmenizin büyüklüğü ne olursa olsun, AB müşterilerine hizmet veren bir web siteniz varsa GDPR'a tâbi olursunuz.

GDPR, AB'deki kullanıcılara ek olarak Norveç, İzlanda, Lihtenştayn ve İsviçre'deki kullanıcıları da korur.

Herhangi bir ürün satmayan veya AB sakinlerinden herhangi bir kişisel bilgi toplamayan küçük bir blogunuz veya web siteniz varsa GDPR sizin için geçerli değildir.

Mevzuat iki tür veri işleyici için geçerlidir:

1. Veri denetleyicileri: Veri toplama amaçlarını, toplanacak verilerin türünü ve verilerin nasıl toplanacağını belirleyen bir kişi veya kurumu ifade eder. 

Örneğin ziyaretçi sayıları, kullanıcıların siteye girdiği kanallar, her sayfada ne kadar kaldıkları gibi kullanıcı verilerini toplayan bir online giyim mağazanız varsa, tüm bu bilgilerin nasıl kullanılacağına siz karar verebileceğiniz için veri denetleyicisi siz olursunuz.

Denetleyiciler, yukarıda listelenen temel GDPR ilkelerine uyma konusunda en üst düzeyde sorumluluğa sahiptir ve aynı zamanda veri işleyenlerin uyumluluğundan da sorumludur.

2. Veri işleyenler: Denetleyici adına kişisel verileri toplayan ya da işleyen gerçek veya tüzel kişilerdir. İşledikleri veriler onların sahipliğinde veya kontrolünde değildir.

Yukarıdaki e-ticaret örneğini kullanırsak, işletme sahiplerinin hangi sayfaların en popüler olduğunu ve hangi sayfaların ziyaretçileri kaçırdığını öğrenmek için verileri Google Analytics ile paylaşmaya karar verdiğini varsayalım. Bu durumda üçüncü taraf olan Google Analytics, veri işleyendir.

Veri işleyenlerin, tüm veri işleme faaliyetlerinin kayıtlarını tutması ve kişisel verilerin güvenliğini sağlaması gerekir.

Uyumsuzluk cezaları nelerdir?

GDPR'a uyulmaması, ihlalin ciddiyetine bağlı olarak yüksek para cezalarına sebep olabilir.

Hafif ihlaller, 10 milyon Euro veya şirketin küresel cirosunun yüzde 2’si kadar (hangisi daha fazla ise) para cezasına çarptırılabilir.

Daha ciddi ihlaller, 20 milyon Euro veya şirketin küresel cirosunun yüzde 4’ü kadar (hangisi daha fazla ise) cezaya çarptırılabilir.

İşletmem GDPR'a nasıl uyum sağlayabilir?

GDPR’a göre şirketinizin uyması gereken ana gereksinimleri şunlardır:

1. Veri Koruma Etki Değerlendirmesi (DPIA)

Şirketinizin veri işleme faaliyetlerinin kişilerin hak ve özgürlüklerini etkileme riski yüksekse, bir Veri Koruma Etki Değerlendirmesi (DPIA) raporu hazırlamanız gerekir.

Yüksek riskli faaliyetler, bireylerin sistematik profilinin çıkarılmasını, geniş ölçekte kamusal alanların izlenmesini ve büyük ölçekte hassas verilerin işlenmesini içerir.

2. Veri İhlali İhbarı

Veri ihlali, kişisel verilerin kaybolmasına, çalınmasına, yok edilmesine veya değiştirilmesine neden olan olayları ifade eder.

Bir veri ihlali meydana gelirse, şirketinizin denetleme yetkilisini bilgilendirmek için 72 saati vardır ve bunu kullanıcılara mümkün olduğunca çabuk bildirmeniz gerekir. Proaktif olmak için şirketler bir veri ihlali acil durum planı geliştirmelidir.

3. GDPR Gizlilik Politikası

GDPR kapsamında, kullanıcıların bilgileriyle ne yaptığınızı özetleyen bir gizlilik politikanız olması gerekir. Gizlilik politikanızın GDPR'ın gerektirdiği bilgileri içerdiğinden emin olmak için GDPR uyumlu bir gizlilik politikası şablonu kullanın. İnternette bu şablonların örneklerini bulabilirsiniz.

GDPR uyumlu bir gizlilik politikası, bulması ve okuması kolay olmalıdır ve kullanıcı verileriyle nasıl etkileşim kurduğunuzu açıkça açıklamalıdır.

4. Diğer gereksinimler

Şirketinizin GDPR uyumlu hale gelmesi için yapması gereken eylemler, şirketinizin büyüklüğüne ve veri işleme düzeyine bağlı olacaktır.

Daha fazla bilgiye Avrupa Komisyonu web sitesinden erişebilirsiniz. İşte bazı genel ipuçları:

• Amacını belirlemek için elinizdeki verilerin üzerinde bir denetim gerçekleştirin (gerekli olmayan verileri imha edin)
• Veri toplamak için açık rıza alın (örneğin, kayıt sayfalarına, kullanıcıların e-posta adreslerinin toplanmasına ve kullanılmasına izin verip vermediğini soran bir onay kutusu ekleyin)
• Kullanıcılara mevcut verilerine erişme hakkı verin (bu genellikle internette örneklerini bulabileceğiniz bir DSAR formu aracılığıyla yapılır)
• Kişisel verileri korumak için güvenlik kontrolleri oluşturun (güvenlik personelinizin kullanıcı verilerini korumak için bir eylem planı olduğundan emin olun)
• Verileri yalnızca gerektiği kadar saklayın (gereksiz verileri temizleyerek yükümlülüğünüzü azaltın)
• Şirketinizin büyüklüğüne ve şirketinizin işlediği veri miktarına bağlı olarak, tüm GDPR etkinliklerinden ve evrak işlerinden sorumlu bir veri koruma görevlisi (DPO) atamanız gerekebilir (bu madde sadece büyük ölçekli veri işliyorsanız geçerli)

Mutlaka!

İşletmeniz uyumluluğa tâbiyse, GDPR'ın birçok gereksinimi ve sizin için ne anlama geldiği hakkında daha fazla bilgi edinmenizi öneririz. GDPR uyumluluğuna bir gizlilik politikası hazırlayarak başlayabilirsiniz.