GDPR Uyumluluk Son Tarihi: Basit İngilizce ile Nasıl Uyumlu Olunur

Yayınlanan: 2018-05-15
Roshni Shaikh
Konuk Katılımcı

Google, LinkedIn, Twitter ve benzerleri gibi şirketlerin şartlarını ve gizlilik politikalarını birbiri ardına değiştirmesine neyin sebep olduğunu bir düşünün . Bildirimleri şimdiye kadar fark etmiş olmalısınız.

Evet, Facebook zaten kullanıcı veri tutarsızlıkları için ilgi odağında. Ancak tüm çerez politikalarına ne olduğuna bakın. Şirketler şartlarını hızla güncelliyor.

Bu çılgınlığı tetikleyen nedir? Elbette bu, iş dünyasını karıştırmayı başaran bir yasa nedeniyle oluyor – GDPR

Avrupa Birliği'nin GDPR yasası 25 Mayıs 2018'den itibaren yürürlüğe giriyor. Bu, kurulduğundan ve Nisan 2016'da AB Parlamentosu tarafından kabul edildiğinden beri haberlerde yer alıyor.

Kanun, büyük miktarda veri yöneten işletmeleri etkileyecektir. Bu, konumlarından bağımsız olarak tüm AB vatandaşlarının verileri için geçerlidir.

GDPR nedir ve neden kullanıma sunuluyor?

Basitçe söylemek gerekirse, AB'de ikamet eden biri olarak verilerim GDPR nedeniyle korunuyor.

GDPR, Genel Veri Koruma Yönetmeliği anlamına gelir. Eski ve geçerliliğini yitirmiş 1995 Veri Koruma Direktifinin yerini almıştır. GDPR, yirmi yılda çok şey değiştiği için bugün daha alakalı.

Hızlı teknolojik gelişmeler ve işletmeler tarafından veri işleme/kullanımı, GDPR gibi bir yasaya olan ihtiyacın farkına varılmasına yol açmıştır.

Bu yeni düzenleme, kişisel verilerin kontrolünü AB vatandaşlarına geri vermek için yürürlüğe giriyor. Bir işletmenin kamuya ait kişisel verileri istismar etme kabiliyetini kontrol etmek için harekete geçirilir. GDPR, vatandaşlara dijital haklarını vermek için kullanıma sunulmuştur.

Bu yasa, ulusal hükümetlerin herhangi bir yaptırım yasasını geçirmesini gerektirmez. Bu, AB vatandaşlarının verileriyle ilgilenen herhangi bir kişi, kuruluş veya işletme için doğal olarak geçerli olduğu anlamına gelir.

Bu yasa, şirketiniz işletme düzeyinde veya işletme düzeyinde tüketici düzeyinde faaliyet gösteren şirketinizden bağımsız olarak işletmeniz için geçerlidir.

GDPR işinizi nasıl etkileyecek?

GDPR dalgasının yarattığı etki hakkında hem iyi hem de kötü haberler var. Neden görelim.

Bazı küçük işletme sahipleri panikliyor ve ani aşırı iş yükünden şikayet ediyor. Bir ürün destek şirketinin sahibi Russel Xiam, GDPR uyumlu yazılım platformlarına geçiş yapmak için yapılacak çok şey olduğunu söylüyor.

GDPR için planlama, iş tercihlerinizi yeniden gözden geçirmeye eşdeğerdir. Russel Xiam

Bu da en çok küçük işletmelerin etkilendiğini gösteriyor.

Bir proje yönetim şirketi olan Azybao'nun sahibi John Higham, insanların Avrupa şirketleriyle iş yapmayı reddettiklerini çünkü sıkışıp kalacaklarından korktuklarını söyledi.

Almanya'dan bir İK görevlisi olan Isabelle Trijt şöyle diyor:

GDPR uyumlu çemberin içinde kalabilmemiz için yeni işe alma ve çalışan işe alım politikalarını değiştirmem/değiştirmem/hurdaya çıkarmam gerekiyordu. Ayrıca geçmiş görüşmecilerin verilerini içeren tüm eski kayıtları silme sorumluluğunu da üstlenmek zorunda kaldım.

Buna ek olarak, Brüksel'deki bir işletme sahibi Convertkit'ten MailChimp'e geçiş yaptı çünkü Convertkit, kullanıcının verileri “seçmesine” izin veren bir onay kutusu seçeneği sunmuyordu. Bu, işletme sahiplerinin, Convertkit işlevlerini bugün itibariyle güncellemiş olmasına rağmen, kullanıcıya daha fazla kontrol vermeyen e-posta servis sağlayıcılarını terk ettikleri anlamına geliyor.

Bu mantıklı çünkü bir işletme olarak e-posta servis sağlayıcınızın uymadığı kurallar nedeniyle tehlikeye atılmamalısınız. Sonuçta, e-posta yanıtlayıcısının, işletmenizin neden olduğu herhangi bir kayıptan kendilerini sorumlu tutmayan politikaları olabilir, değil mi?

Böyle bir senaryonun ortaya çıkması nadir olmakla birlikte, yine de yasalara uymamaktan sorumlu tutulacaksınız, çünkü bu sizin sorumluluğunuzdadır.e-posta listesi.

Öte yandan, Fransa'dan Ivizone'nin CTO'su ve Kurucu Ortağı Sidney Burks şöyle diyor:

Yeni politikaların işimiz üzerinde çok büyük bir etkisi olmadı. Bu, büyük ölçüde, Fransız yasalarının zaten veri koruma ve gizlilik konusunda oldukça katı gerekliliklere sahip olmasından kaynaklanıyor olabilir. GDPR, bizi veri gizliliğini ürünlerimizin özüne almaya ve sıfırdan düşünmeye zorladı, ancak ürünümüz için yeni bir sürüm geliştirirken bunu temiz ve verimli bir şekilde yapabildik.

Sidney ayrıca GDPR'nin işletmeleri veri evlerini sırayla almaya zorladığını da ekliyor. Artık eski ve gereksiz verileri silmek için ek politikalar eklediler ve veri depolama ve erişimle ilgili dahili güvenlik politikalarını güçlendirdiler. Bu, müşterilerine daha yüksek düzeyde veri güvenliği sağladıkları anlamına gelir.

Bu nedenle, işletmeniz veya kuruluşunuz kullanıcı verilerini işliyor ve işliyorsa, kullanıcı verilerinin güvenliği konusunda endişelenmelisiniz. Bu durumda GDPR uyumlu olmak zorundasınız. İşletmeniz GDPR yasasına uymuyorsa ağır cezalarla karşılaşabilirsiniz.

En ciddi sapma için en yüksek ceza, küresel cironuzun %4'üne veya hangisi daha yüksekse, 20 Milyon Euro'ya mal olacaktır (cezalar hakkında daha fazla bilgi sonraki bölümlerde).

GDPR Yasası ____ için geçerlidir?

Yasanın kime uygulanacağı konusunda büyük bir kafa karışıklığı var. AB vatandaşları hakkında konuşan çok az kaynak var ve AB sakinleri hakkında konuşan başkaları da var.

GSYİH haklarına sahip kişilere “veri özneleri” olarak atıfta bulunulduğundan bu karışıklık ortaya çıkmaktadır. Ancak bu veri özneleri kimlerdir?

Veri özneleri, onlar kim?

GDPR, tüm AB vatandaşlarının verileri için geçerli mi?

Yoksa sadece AB'de ikamet eden kişiler için mi geçerli?

Veri sahibi, kişisel verileri bir kontrolör veya işleyici tarafından işlenen gerçek kişi olarak tanımlanır. Denetleyici veya işlemci, veri işleme hunisini belirten bir işletme veya işletme tarafından istihdam edilen bir kuruluş olabilir.

“Veri konuları” teriminin belirli bir tanımı yoktur. Aslında bu bir çağrışımdır. GDPR, işletmelerin AB üye ülkeleri içinde gerçekleşen tüm işlemlerde AB vatandaşlarının gizliliğini ve kişisel bilgilerini korumasını gerektirir. Cyber ​​Counsel'a göre, AB üye ülkelerinde belirli bir noktada bulunan herhangi bir kişi veri sahibi olur.

İncelemeye tabi olan veri türleri nelerdir?

GDPR, gerçek bir kişiyle ilgili her türlü kişisel veriyi o kişiye ait olarak kabul eder. Veri türü şunları içerebilir:

  • Dijital Bilgi
  • Biyometrik veri
  • Genetik Veri
  • Şifrelenmiş Veri
  • Kişisel veri

Bir veri sahibinin hakları:

1. EU GDPR'ye göre, veri sahibi olmayı veya olmamayı seçebilirsiniz. Bunun anlamı, verilerinizin işlenmesini reddedebileceğiniz ve bunu yaparak, veri sahibi olmama hakkınızı kullanacağınızdır.
2. Veri sahibi olmayı seçerseniz, verileriniz hakkında bilgilendirilme hakkınız vardır. Kişisel bilgilerinizi içeren tüm bilgi işlemlerini arama hakkına sahipsiniz.

3. Ayrıca, herhangi bir noktada kişisel verilerinizi değiştirme veya verilerinizi geri çekme konusunda tam yetki ve yetkiye sahipsiniz. İşletmelerin, kullanıcıya onay alma konusunda daha fazla özgürlük ve güç sağlamak için onay kutusu seçenekleri (yukarıdaki bölümde ele alınmıştır) sağlamasının ana nedeni budur.

4. Veri sahibi, işlenen verinin yanlış veya hatalı olduğunu düşünürse, verilerinin herhangi birinin/veya tamamının işlenmesine de itiraz edebilir.

5. Bir veri sahibi ayrıca, verilerinin bir hizmet sağlayıcıdan diğerine aktarılmasına itiraz edebilir veya direnebilir. Bunun yanı sıra veri sahibi olarak da verilerinizin kayıtlardan silinmesini talep edebilirsiniz. Ancak işlenen verilerin hukuki amaçlar, halk sağlığı amaçları, araştırma amaçları vb. amaçlarla olması halinde bu hak ilgili kişi tarafından kazanılamaz.

Kısacası, iş yeri, kuruluş veya vatandaşlıklarından bağımsız olarak tüm AB sakinleri için geçerlidir. Ve veri öznelerinin haklarının ihlal edilmesi ağır cezalar gerektirir.

Cezayı belirleyen faktörler nelerdir?

1. Geçmişteki İhlaller – GDPR açısından veya daha önce aktif olan Veri Koruma Direktifi açısından bir ihlal geçmişiniz varsa, bu ceza miktarını belirleyen bir faktör olacaktır.
2. Neden – İhlal kasıtlı ve kârlı bir amaç için olabilir. Ya da ihmal edilebilir bir adımın sonucu olabilirdi. Her iki durumda da karar organı, ceza miktarını nedene bağlı olarak belirler.
3. Bilgi türü – Kullanılan bilginin sınıflandırılmasına bağlıdır. Örneğin bir şirket, bir kişinin/kişilerin genetik veya biyometrik verilerini iş amacıyla kullanmış olabilir. Bu, istihdam ayrıntıları gibi bilgilerden daha yüksek bir ceza alabilir. Yine, ceza tamamen AB yasalarının takdiri ve sınırları dahilindedir.
4. Çözümler ve Önlemler – İşletmenizden doğrudan etkilenen bir kişi veya grup için verilen zararı azaltmak için adımlar attıysanız, bu da belirleyici bir faktör olacaktır.
5. Önleyici tedbirler – AB, Mayıs 2018'de yürürlüğe girmeden ve tam yürürlüğe girmeden önce 2 yıllık bir geçiş dönemine sahiptir. Şirketiniz GDPR yasalarına uyumlu kalmak için önlemler aldıysa ve buna rağmen bir ihlal meydana geldiyse, bu ceza verilmeden önce vurgulanacak bir nokta.
6. Niyet – Veri hasarı kasıtlı ise, bu ceza için bir tetikleyici olabilir.
7. İşbirliği ve İlişkiler – İşletme, hasarı onarmak ve muhtemelen ihlali tersine çevirmek için denetim makamı ile işbirliği yapmak zorunda kalmışsa, bu, cezayı azaltabilecek bir pozitif olarak hareket eder.
8. Raporlama – İhlal, ihlal eden kuruluşun kendisi tarafından proaktif olarak bildirilmişse veya ikincil bir kaynak tarafından bildirilmişse.

Lütfen yukarıdaki faktörlerin hiçbirinin belirli bir cezayı garanti etmediğini unutmayın, çünkü para cezasının belirlenmesi tamamen AB yasalarının takdirindedir.

Daha fazla bilgi için, burada GDPR Kanunlarının uygulanmasına yol açan temel ilkelere bakın.

Bir Veri Koruma Görevlisi (DPO) Atama

İşletmenizde işlenen verilerin izlenmesi gerekebilir. İşinizi GDPR'ye uyacak şekilde düzenleme konusunda yardıma ihtiyacınız varsa, AB kuruluşu uzman danışmanlığı almanızı önerir.

AB Üye Devletlerinin her biri, veri yasalarına uygunluğun izlenmesine yardımcı olması için bir veya daha fazla bağımsız kamu makamını aday gösterebilir.

GDPR'ye göre, işletmeniz aşağıdaki seviyelerde faaliyet gösteriyorsa Veri Koruma Görevlileri atanmalıdır:

1. Kamu otoritesi olarak hareket eden kuruluşlar

2. Büyük ölçekli veri toplama ve izleme ile uğraşan şirketler

3. Önemli kişisel bilgilerin büyük ölçekli işlenmesiyle uğraşan şirketler

GDPR hakkında 5 Efsane

1. ABD şirketleri büyük ölçüde etkileniyor – AB müşterileri olan tüm şirketler (yalnızca ABD şirketleri değil) yasalara uymalıdır.

2. Küçük işletme sahiplerinin GDPR konusunda endişelenmesine gerek yoktur – Küçük veya büyük bir işletme: Kullanıcı verilerini işliyorsa GDPR uyumlu olmalıdır.

3. Kullanıcı, abonelik sırasında kişisel bilgilerini girmeyi seçiyorsa, kullanıcı onayı zorunlu değildir – 25 Mayıs 2018 tarihinden itibaren, kullanıcının bir onay kutusu şeklinde açık onayı zorunludur.

4. AB içinde iş yapmıyorsanız, endişelenmemelisiniz – AB vatandaşlarının verileriyle uğraşan bir işletmeyseniz, vatandaşların bulunduğu yerden bağımsız olarak GDPR geçerlidir.

5. Kullanıcı verileri yalnızca kullanıcılar tarafından sağlanan verilerdir – Çerezler biçiminde toplanan, oluşturulan, değiştirilen, dönüştürülen veya elde edilen tüm veriler, kullanıcı davranışı yine de kullanıcı verileridir.

Çözüm

Veri konularının kişisel bilgilerini toplayan bir web sitesine sahip bir işletmeyseniz, artık kullanıcı bilgilerini elde etmek için yasal olarak uyumlu yollar uygulamakla yükümlüsünüz. Örneğin, web sitenizde bir açılır pencere veya abonelik formunuz varsa, kullanıcının onayını aldığınızdan emin olmanın tek yolu şudur:

  • Yalnızca rıza ile ilgilenen üyeleri bir araya getiren çift katılım yöntemini uygulamak.
  • Kullanıcıya verilerini düzenlemeyi seçme seçenekleri sunmak.
  • Kullanıcıya abonelikten çıkma seçeneği sunmak.
  • Kullandığınız tüm üçüncü taraf hizmetlerinin GDPR uyumlu olmasını sağlamak.
  • Veri toplama prosedürlerinizi kontrol altında tutmak.
  • Gizlilik politikalarınızı şeffaf bir şekilde iletmek.
  • Bir Veri Koruma Görevlisi atamak veya veri ihlalini önlemek için işletmenizi eğitmek ve eğitmek.
  • Düzenli veri denetimlerinin ve erişilebilirliğinin sağlanması.
  • Tuttuğunuz ve işlediğiniz verileri en aza indirmek.

Sorumluluk Reddi: Yukarıdaki bilgiler yalnızca referans ve bilgilendirme amaçlıdır. Hukuki tavsiye niteliğinde değildir. Daha fazla tavsiye için lütfen hukuk danışmanına başvurun.