İş Web Siteleri için GDPR e-Ticaret Kontrol Listesi - Eksiksiz Kılavuz

Yayınlanan: 2020-09-26

giriiş

GDPR uyumluluğu, ürünlerini veya hizmetlerini Avrupa ülkelerine sunan herhangi bir web sitesi için birincil gerekliliktir. Web sitesini sadece yasal çerçeveye uygun hale getirmekle kalmaz, aynı zamanda ziyaretçilerin gözünde güvenilir kılar. Şeffaflığını arttırdığı için. Ancak GDPR ile nasıl uyumlu olunacağı bazı web sitesi sahipleri için belirsiz bir nokta olabilir.

Bu yazımızda sizin için bir GDPR e-Ticaret kontrol listesi getirdik. İster alanında yeni biri olun ister uzman olun, GDPR kontrol listemiz e-ticaret uyumluluğu için yol gösterici bir çerçeve görevi görecektir. Makalenin sonunda, iki basit WordPress eklentisini kullanarak sitenizi GDPR ile nasıl kolay bir şekilde uyumlu hale getirebileceğinizi de anlatacağız. Makaleyi gözden geçirin, web sitenizi herhangi bir güçlük çekmeden birkaç kolay adımda GDPR uyumlu hale getirebileceksiniz.

GDPR nedir?

1

Genel Veri Koruma Yönetmeliği veya GDPR, bir Avrupa yasal çerçevesidir. AB sakinlerinin veri gizliliğini korumak için 25 Mayıs 2018'de uygulandı.

GDPR kimler için geçerlidir?

GDPR, aşağıdaki durumlarda kar amacı gütmeyen bir kuruluş için geçerlidir:

  • Herhangi bir AB ülkesinde ticari varlığı vardır.
  • AB'de bir ticari varlığı yoktur, ancak Avrupa'da ikamet edenlerin kişisel verilerini işler ve ürünlerini veya hizmetlerini AB ülkelerinde ikamet edenlere sunar
  • 250'den fazla çalışanı olan bir güce sahiptir
  • 250'den az çalışanı vardır, ancak veri toplama ve işleme, veri sahiplerinin gizlilik haklarını ve özgürlüklerini etkiler, süreç düzenlidir ve belirli türde hassas verileri içerir.

Bilmeniz gereken e-Ticaret GDPR cezaları

İşte GDPR kapsamındaki büyük para cezaları -

  • Bir şirketin bir önceki yılın yıllık gelirinin %2'sine kadar veya daha yüksek ne olursa olsun, 10 milyon dolara kadar. Uygunsuzluk durumunda geçerlidir.
  • Şirketin bir önceki yılın yıllık gelirinin %4'üne kadar veya 20 milyon $'a kadar, hangisi daha yüksekse. Veri ihlalleri içindir.

Ana GDPR gereksinimleri ve GDPR'ye nasıl uyulacağı

Verilerin işlenmesi için yasal dayanak

GDPR'ye göre, AB sakinlerinin kişisel verilerine ancak en az bir yasal dayanağı varsa sahip olunabilir. GDPR'nin veri işleme için sağladığı yasal dayanaklar aşağıdadır -

  • Kullanıcılar belirli bir amaç için onay vermişse
  • Kullanıcının katılımcı olduğu bir sözleşmeyi sürdürmek veya girmek için veri işleme gereklidir
  • Veri sorumlusunun tabi olduğu yasal bir yükümlülüğün yerine getirilmesi için veri işlemenin gerekli olması
  • Kullanıcıların çıkarlarının korunması için veri işleme gereklidir
  • Kamu yararına yapılan bir faaliyet için veri işlemenin gerekli olması
  • Veri işleme, verilerin denetleyicisinin veya başka bir kişinin meşru menfaati için yapılır

Razı olmak

Onay kelimesi, basitçe, kullanıcıların veri işleme izni anlamına gelir. Rıza gönüllü olmalıdır ve genellikle doğası gereği değişkendir. Yani, bir kullanıcı rızasını istediği zaman değiştirebilir. Onay bildirimi temiz ve net olmalıdır. İçinde herhangi bir belirsizlik olmamalıdır.

Bir kuruluş aşağıdaki izin kayıtlarını tutmalıdır -

  • Kim onay verdi?
  • Kullanıcıdan onayın ne şekilde ve ne zaman alındığı
  • İzin toplama sırasında bir kullanıcıya bir izin formu verilip verilmediği
  • Rıza toplanması sırasında hangi yasal belgeler ve koşullar geçerliydi?

Kullanıcı hakları

GDPR, AB vatandaşlarına mahremiyetlerinin ve güvenliklerinin korunması için birçok hak vermiştir. GDPR kapsamındaki başlıca haklar şunlardır:

  • Bilgilendirilme hakkı

Veri sahipleri, veri işleme konusunda bilgilendirilmeli ve veri toplanmadan önce rızaları istenmelidir. Verilerin hangi amaçla toplandığını, nasıl işlenip saklanacağını ve üçüncü kişilerle paylaşılıp paylaşılmayacağını, kimlerle paylaşıldığını bilme hakları vardır.

  • Erişim hakkı

Veri sahipleri artık bir kuruluşun veri tabanında bulunan kişisel verilerine istedikleri zaman erişme hakkına sahiptir. Denetleyici, bir kullanıcı isterse, veri işleme sürecine ilişkin bir genel bakış sunmakla yükümlüdür.

  • Düzeltme hakkı

Kullanıcılar artık eksik veya yanlış olması durumunda verilerini düzeltme hakkına sahiptir. GDPR ayrıca düzeltmenin sürece dahil olan tüm üçüncü taraf alıcılara ifşa edilmesi gerektiğini belirtir. Bir kullanıcı talep ederse, kuruluş onu üçüncü taraf alıcılar hakkında bilgilendirmelidir.

  • Silme hakkı

Bir kullanıcı, bir kuruluştan verilerini veritabanından silmesini isteyebilir. Bu durumda kuruluş bilgileri silmekle yükümlüdür.

  • İşlemeyi kısıtlama hakkı

Veri sahipleri, veri işlemeyi kısıtlama hakkına sahiptir. Talep, talebin alınmasından itibaren bir ay içinde işleme koyulmalıdır.

  • Veri taşınabilirliği hakkı

Bir kullanıcı, kişisel verilerini veri işleyenden herhangi bir itiraz olmaksızın bir kontrolörden diğerine aktarmak için elde edebilir. Hem sağlanan hem de gözlemlenen veriler bu kurala tabidir.

  • itiraz hakkı

GDPR, kullanıcılara kişisel verilerini içeren bazı belirli veri işleme faaliyetlerine itiraz etme hakkı verir. Veri işlemenin kamu yararına yapılması halinde, kullanıcının itiraz için geçerli bir gerekçe sunması gerekir. İşleme yalnızca pazarlama amacıyla yapılırsa, kullanıcıların itirazda bulunması için herhangi bir motivasyona gerek yoktur.

  • Otomatik karar verme ve profil oluşturma ile ilgili haklar

Veri sahipleri, otomatik veri işleme sistemine hayır deme hakkına sahiptir. Bir kuruluş, yalnızca, kullanıcıların iznine dayalı olarak AB eyalet yasaları tarafından kabul edilen ve veri sahipleri üzerinde herhangi bir yasal veya benzer etkisi olmayan bir sözleşmeye girmek veya bu sözleşmeyi sürdürmek zorundaysa, otomatik veri işlemeyi gerçekleştirebilir.

Sınır ötesi veri aktarımları

GDPR, yalnızca verilerin aktarıldığı ülkenin AB standardına göre yeterli düzeyde veri korumasına sahip olması koşuluyla AEA veya Avrupa Ekonomik Alanı dışına veri aktarımına izin verir.

Diğer koşul ise ilgili kişinin bu konuda bilgilendirilmesi gerektiğidir. Konu sahibinin rızası olmadan herhangi bir veri aktarımına izin verilmez.

Tasarım ve varsayılan olarak gizlilik

Veri işleme, iş sürecinin tasarımının başlangıcından ve gelişmelerinden itibaren dahil edilmelidir. Başka bir deyişle, bir şirket veri işleme standardının yüksek olmasını ve veri işleme yaşam döngüsü ile ilgili olarak GDPR tarafından belirlenen standartları karşılamak için gerekli tüm önlemlerin alınmasını sağlamalıdır.

İhlal bildirimi

İhlal durumunda, veri sorumlusu tarafından veri ihlalinin farkına varıldığı andan itibaren 72 saat içinde üst mercilere bildirilmelidir. Veri işleyen tarafından veri sorumlusu adına işleniyorsa, veri ihlalini öğrendiği anda veri sorumlusuna bilgi vermelidir. Kullanıcılar ayrıca veri ihlalleri hakkında bilgilendirilmelidir.

Veri Koruma Görevlileri

Veri Koruma Görevlisi, bir kuruluşun GDPR yasalarına uymasına yardımcı olan bir kişidir. Bir organizasyonun tüm kuralları uygulamasına, gündemi belirlemesine ve dahili uyum için harekete geçmesine yardımcı olur.

Özellikle aşağıdaki durumlarda bir veri koruma görevlisi gereklidir -

  • Düzenli olarak büyük ölçekli sistematik kullanıcı izlemenin yapıldığı bir yer
  • Veri işlemenin resmi makamlarca yapılması halinde
  • Kullanıcıların verileriyle karmaşık bir işlem yapılıyorsa, özellikle hassas verilerle ilgileniyorsa.

İşleme faaliyetlerinin kayıtlarının tutulması

GDPR, veri denetleyicisini ve işlemciyi, kullanıcı verilerinin kapsamlı ve güncel “tam ve kapsamlı” kaydını tutmasını zorunlu kılar.

Aşağıdaki durumlarda bir kayıt tutulmalıdır -

  • Veri işleme ara sıra değil
  • AB sakinlerinin mahremiyet hakları ve özgürlükleri için risk oluşturabilir
  • Hassas veya özel veri kategorilerini içerir
  • İşleme, 250'den fazla çalışanı olan bir kuruluş tarafından yapılır.

Kayıt şunları içermelidir -

  • Veri sorumlularının adı ve iletişim bilgileri
  • Veri işlemenin amacı
  • Veri kategorilerinin, kullanıcıların ve veri alıcılarının yeterli açıklaması
  • Farklı veri kategorilerinin işlenmesi için yaklaşık bir zaman sınırı
  • Bir kuruluşun teknik güvenlik önlemlerinin açıklaması

Veri Koruma Etki Değerlendirmesi (DPIA)

DPIA veya Veri Koruma Etki Değerlendirmesi, bir kuruluşun kendisini GDPR standartlarını karşılayacak ve onunla uyumlu olacak şekilde yükseltmesine yardımcı olan bir süreçtir. Esas olarak bir kayıt tutma sürecidir. Veri işlemenin ilgili kişilerin mahremiyetine yönelik bir risk oluşturma ihtimalinin bulunduğu durumlarda zorunludur. DIPA, organizasyonun rahatlığı için yazılı olarak kaydedilmelidir.

DIPA aşağıdakileri içerir -

  • İşlenen verilerin açıklaması
  • Veri işlemenin amacı
  • Amacıyla ilgili olarak veri işlemenin gereksinimleri ve kapsamı hakkında bir değerlendirme raporu
  • Risk faktörlerinin değerlendirilmesi
  • Riskleri ele almak için alınan önlemlerin açıklamaları

Tam uyumluluğa başlamak için gerekenler:

GDPR ile uyumlu olmanın birçok farklı yolu vardır. Amaca yönelik temel gereksinimler, e-ticaret web siteleri için gizlilik politikası, kullanıcıların kişisel verilerini toplama izni ve çerez kullanmanız durumunda bir çerez bildirim politikasıdır. Bu gereksinimleri karşılamanın en kolay yolu bir WordPress eklentisi kullanmaktır. WP Legal Pages Pro ve WP Cookie Consent adlı iki kullanıcı dostu eklenti öneriyoruz.

WP Yasal Sayfalar PRO

2

WP Legal Pages Pro, WordPress web sitenizde yalnızca birkaç tıklamayla avukat düzeyinde yasal belgeler oluşturmanıza yardımcı olan güçlü bir WordPress aracıdır. 25'ten fazla önceden tasarlanmış şablonla birlikte gelir. Bu WordPress gizlilik politikası eklentisi, e-Ticaret web siteleri için GDPR gizlilik politikasını içerir. Tek yapmanız gereken eklentiyi kurmak ve etkinleştirmek, şablonu içe aktarmak, ayrıntılarınızı eklemek ve web sitenizi GDPR ile uyumlu hale getirmek için “Yayınla” düğmesine tıklamak.

WP Çerez İzni

3

WP Cookie Consent, üzerinde özel bir çerez çubuğu kullanarak sitenizi GDPR ile uyumlu hale getirmenize yardımcı olan zarif ve modern bir WordPress çerez izin eklentisidir. Dakikalar içinde herhangi bir zorluk yaşamadan çerez bildirimleri oluşturmanıza olanak tanır. Bu bildirimleri coğrafi konuma göre gösterebilir veya gizleyebilirsiniz. Etkinleştirildiğinde tüm web sitelerini ve üçüncü taraf tanımlama bilgilerini otomatik olarak algılayan tek tıklamalı bir tarayıcı vardır. Çerez ayrıntılarını manuel olarak düzenleyebilirsiniz.

Son düşünceler

Bu yazımızda GDPR yasal çerçevesi ve e-Ticaret uyumu hakkında fikir vermeye çalıştık. Web sitenizi yeni uygulanan gizlilik kuralına uygun hale getirmenize yardımcı olmak için ayrıntılı bir GDPR gereksinimleri kontrol listesi de verdik. Makalenin sonunda, GDPR'nin gerektirdiği yasal belgeleri oluşturmak için tasarlanmış yeni başlayanlar için uygun ve duyarlı iki eklenti önerdik. Eklentileri alabilir ve ilerleyebilirsiniz. Dakikalar içinde sitenizi GDPR ile uyumlu hale getirebileceksiniz.

Makaleyi faydalı bulduysanız, lütfen Twitter ve Facebook'ta paylaşın. Görüşlerinizi aşağıdaki yorumlar bölümüne bırakın. Geri bildiriminizi duymak isteriz. Daha fazla bilgiye ihtiyacınız varsa, lütfen bizimle iletişime geçmekten çekinmeyin. Yakında size geri döneceğiz. Video eğitimlerimiz için YouTube kanalımıza abone olun.

Feragatname : Bu, komşunun blogundan gelen misafir katkısıdır.