GDPR Kapsamında İşlemci ve Denetleyici Yükümlülükleri: Bir Hile Sayfası

Yayınlanan: 2021-08-18

Yaklaşan Genel Veri Koruma Yönetmeliği (GDPR) hakkındaki blog serisi devam, biz o zaman, farklı yükümlülükler veri kontrolörleri ve veri işlemcileri üzerinde GDPR koyar açıklayan birkaç dakika harcamak bazı hızlı bir hile-levha ile terk edeceğiz Uyum için hazır olduğunuzdan emin olmak için özellikle hangi görevlere ihtiyaç duyabileceğinizi belirlemenize yardımcı olacak eylem noktaları.

Ama önce, bazı tanımlar.

GDPR, Madde 4(6)'da bir veri denetleyicisini şu şekilde tanımlar :

Kişisel verilerin işlenme amaçlarını ve araçlarını tek başına veya başkalarıyla birlikte belirleyen gerçek veya tüzel kişi, kamu otoritesi, kurum veya diğer kuruluş”

Bir veri işlemcisi (Madde 4(7)):

“Kontrolör adına kişisel verileri işleyen gerçek veya tüzel kişi, kamu otoritesi, kurum veya diğer kuruluş”

Daha somut bir örnek vermek gerekirse: çevrimiçi bir widget satıcısıysanız ve Jane Doe, widget'larınız hakkında daha fazla bilgi edinmeyi (veya belki bir satış yapana kadar etrafta dolaşmayı) umarak posta listenize kaydolursa, muhtemelen kaydolduğunda e-posta adresini ve belki diğer iletişim bilgilerini toplayın. Tebrikler! Az önce Jane Doe'nun kişisel verilerinin denetleyicisi oldunuz. Sizden pazarlama mesajları almayı kabul etti ve bu e-postaların ne zaman ve nasıl gönderileceğini veri denetleyicisi olarak siz belirleyebilirsiniz.

Şimdi, aslında kendi pazarlama e-postalarınızı göndermediğinizi varsayalım, belki içeriğinizi oluşturmanıza, e-postaları planlamanıza ve teslimatı takip edip raporlamanıza yardımcı olması için bir e-posta servis sağlayıcısı (ESP) kiralarsınız. ESP'nin Jane'in verileriyle her istediğini yapma hakkı olmayacaktı, yalnızca isteğiniz üzerine kampanyalarınızı hazırlamanıza, e-postalarınızı göndermenize vb. yardım etme hakkına sahip olacaktı. Bu durumda ESP, veri işlemcisidir.

Yolun aşağısında, yakınınız olan A İş Ortağınızla ortak markalı bir pazarlama çalışması yapmaya karar verdiniz (bu durumda sorun değil, çünkü Jane kaydolduğunda, bu amaçla verilerini İş Ortağı A ile paylaşmak için onun onayını aldınız ). Pazarlık sürecinde, kampanyayı göndermek için sizinki yerine İş Ortağı A'nın ESP'sini kullanmaya karar verdiniz. Böylece abone listenizi (Jane'in verileri dahil) ortağınıza gönderirsiniz, o da onu ESP'lerine yükler. E-postalar gönderilir.

Ortak pazarlama faaliyetleri için Jane'in verilerini İş Ortağı A ile paylaştığınız için, İş Ortağı A'yı Jane'in verilerinin ortak denetleyicisi yaptınız. İş Ortağı A, Jane'in verilerini Jane ile olan ilişkiniz dışında kullanmaya devam edecektir. İş Ortağı A'nın ESP'si hâlâ bir veri işleyicidir ve hem sizin hem de İş Ortağı A'nın gereksinimlerine uymak zorundadır, ancak Jane ile ilişkinize GDPR'nin takip etmenizi gerektireceği bazı karmaşıklıklar da getirdiniz.

GDPR kapsamında, verilerinin sahipleri olarak veri sahiplerine aşağıdaki gibi haklar verilir: (Bunun tam bir liste olmadığını unutmayın.)

  • Madde 15 (erişim hakkı): Jane size yazabilir ve ondan topladığınız kişisel verilerin bir kopyasını isteyebilir. Veri denetleyicisi olarak sizin, talebin alınmasından itibaren 30 gün içinde bu talebe uymanız gerekecektir;
  • Madde 16 (düzeltme hakkı): Jane, sahip olduğunuz verilerin yanlış veya eksik olduğunu tespit ederse, sizden bunları güncellemenizi isteyebilir (örneğin, e-posta adresini veya veritabanınızdaki adının yazılışını değiştirin);
  • Madde 17 (silme hakkı): Jane sizden verilerini tamamen silmenizi isteyebilir. Belki ileride sizden mesaj almak için onayını geri çekiyordur veya belki de ona hedeflediğiniz kampanyaların yanlış yöne gittiğini düşünüyor ve sıfırdan başlamak istiyor;
  • Madde 18 (işlemenin kısıtlanması hakkı): Belki Jane'in açılışlarını ve tıklamalarını izlemeye başladınız (davranış temelli izleme), ancak Jane bunu yapmanıza izin vermeyi kabul etmediğini düşünüyor (GDPR'ye göre, davranışa dayalı izleme rıza gerektirecektir. Bunu yapabileceğinizi varsayamazsınız). Jane, gerçekte neye rıza gösterdiğini çözene kadar açılışlarını ve tıklamalarını izlemeyi bırakmanızı isteyebilir;
  • Madde 20 (veri taşınabilirliği hakkı): Bazı durumlarda, Jane'in verilerini sıkıştırıp rakiplerinizden birine aktarmanızı isteme hakkı vardır. (Evet! Gerçekten. Bu, Jane'in verilerini (örneğin) bir cep telefonu sağlayıcısından diğerine taşımasına veya sosyal medyadaki varlığını bir uygulamadan diğerine kolayca taşımasına yardımcı olmayı amaçlamaktadır. bir sözleşmenin" veya "rızaya dayalı", bu hüküm sizin için geçerli olabilir.

Jane haklarını kullanmaya karar verir ve verilerini tek denetleyici-işlemci paradigmasında silmenizi isterse, bu oldukça basittir. Onun verilerini sisteminizden silersiniz ve işlemcinizden (ESP'nizden) onlarınkinden de silmesini istersiniz.

Ancak, ortak denetleyici modelinde, Madde 17(2) uyarınca, onu yalnızca sizin ve işlemcinizin altyapısından silmeniz değil, aynı zamanda şunları yapmanız gerekir:

“Kişisel verileri işleyen sorumluları veri sahibinin silme talebinde bulunduğu konusunda bilgilendirmek için teknik önlemler de dahil olmak üzere makul adımları atmak”

Başka bir deyişle, Jane'in verilerini nereye gönderdiğinize dair çok dikkatli kayıtlar tutmanız ve Jane'in verilerine sahip olabilecek diğer ortak denetleyicilere Jane adına veri silme talepleri başlatmanız gerekir. Bu ortak denetleyicilerin daha sonra kullandıkları işlemcilere de ulaşmaları ve Jane'in verilerini bu sistemlerden de silmeleri gerekecektir.

Ve bu, Jane'in bilgilerinin veri işlemcileri ve denetleyicileri olarak yükümlülüklerinizin sadece başlangıcı. GDPR kapsamında nelerin gerekeceğinin hızlı bir listesi ve GDPR'de daha fazla ayrıntı bulabileceğiniz yerler için aşağıya bakın.

Veri güvenliği
 Kontrolör yükümlülükleri:Verilerin güvenliğini korumak için uygun teknik ve organizasyonel önlemleri uygulayın.

  • Uygunsa verilerin şifrelenmesi, takma ad verilmesi
  • Verilerin gizliliğini, bütünlüğünü ve esnekliğini sağlama yeteneği
  • Güvenliği düzenli olarak test etme, değerlendirme ve değerlendirme süreci
  • Çabalarınızı belgeleyin.

İşlemci yükümlülükleri:Verilerin güvenliğini korumak için uygun teknik ve organizasyonel önlemleri uygulayın.

  • Uygunsa verilerin şifrelenmesi, takma ad verilmesi
  • Verilerin gizliliğini, bütünlüğünü ve esnekliğini sağlama yeteneği
  • Güvenliği düzenli olarak test etme, değerlendirme ve değerlendirme süreci
  • Çabalarınızı belgeleyin.

GDPR Maddesi:Sanat. 32 İşleme Güvenliği

İhlal Bildirimi
 Kontrolör yükümlülükleri:

  • Veri sahiplerine yönelik yüksek risk olasılığı varsa, ihlalden sonraki 72 saat içinde denetim makamını bilgilendirin
  • Uygunsa, veri sahibi bildirimi

İşlemci yükümlülükleri:

  • Bir ihlalin öğrenilmesi üzerine gereksiz gecikme olmadan denetleyiciyi bilgilendirin

GDPR Makaleleri:Sanat. 33 Veri ihlali bildirimi
Sanat. 34 Bir veri ihlalinin veri sahibine iletilmesi

Veri İşleme İlkeleri
 Kontrolör yükümlülükleri:

  • Verilerin yasal ve şeffaf bir şekilde veri sahibine işlenmesini sağlamak
  • Belirli amaçlar için toplanan ve işlenen verilerin orijinal amaçlarla bağdaşmayan bir şekilde olmadığından emin olun.
  • Toplanan verilerin doğru ve güncel olduğundan emin olun
  • Uyumluluğu gösterebildiğinizden emin olun

GDPR Makaleleri:Sanat. 5 Kişisel verilerin işlenmesine ilişkin ilkeler
Sanat. 6 İşlemenin yasallığı

Gizlilik Bildirimi
 Kontrolör yükümlülükleri:

  • Veri sahibinin kullanımına açık olmalıdır.
  • Hangi verilerin hangi amaçlarla toplanacağını açıklayın.
  • AEA dışına aktarılıp aktarılmayacağı ve verilerin ileriye dönük aktarımla nasıl korunacağı da dahil olmak üzere verileri alacak olan alıcıları ayrıntılandırın.
  • Verilerin toplanmasında ve/veya işlenmesinde herhangi bir meşru menfaat varsa.
  • Veri saklama ve/veya saklama sürelerini veya saklama sürelerini belirlemek için kullanılan kriterleri açıklayın.
  • Veri sahibi haklarını ve bir veri sahibinin haklarını nasıl kullanabileceğini açıklayın.
  • Otomatik karar vermenin herhangi bir kullanımına ilişkin ayrıntılar.

GDPR Makaleleri:Sanat. 12 Veri sahibinin haklarının kullanımına yönelik şeffaf bilgi, iletişim ve usuller
Sanat. 13 Veri sahibinden kişisel verilerin toplandığı durumlarda sağlanacak bilgiler
Sanat. 14 Veri sahibinden kişisel verilerin elde edilmediği durumlarda sağlanacak bilgiler

İşlemci ile Sözleşme Gereksinimleri
 Kontrolör yükümlülükleri:

  • Yalnızca GDPR düzenlemelerini karşılayabilecek işlemciler kullanın.
  • Yalnızca veri sahibi verilerini uygun şekilde koruyabilen işlemciler kullanın.
  • İşleme faaliyetinin konusunu, süresini ve doğasını açıklayın.
  • İşlemenin doğasını ve amacını açıklayın.
  • İşlenen kişisel veri türlerini açıklayın.
  • İşlenmekte olan veri konularının kategorilerini açıklayın.

İşlemci yükümlülükleri:

  • Verileri yalnızca kontrolörden gelen belgelenmiş talimatlara göre işleyin
  • Verileri işlemeye yetkili tüm kişilerin gizlilik sözleşmelerini taahhüt ettiğinden emin olun
  • Veri konusu erişim hakları taleplerini işleme koymada denetleyiciye yardımcı olun
  • Güvenlikle ilgili yükümlülükler ve denetleyici makamlardan gelen talepler konusunda denetleyiciye yardımcı olun.
  • Uygun olun ve uyumluluk yükümlülükleri konusunda kontrolöre yardımcı olun
  • Denetleyici talebi veya gereksinimi üzerine tüm verileri silin veya iade edin
  • AEA dışındaki tüm veri aktarımlarını ana hatlarıyla belirtin ve verileri koruyacak önlemleri açıklayın
  • Kontrolör veya diğer gerekli otorite tarafından yürütülen denetimlere katkıda bulunmak
  • Alt işlemcilerin herhangi bir katılımının, kontrolör tarafından istenen yükümlülüklerin aynısını karşıladığından emin olun.
  • Alt işlemcileri yalnızca kontrolörün onayından sonra devreye alın.

GDPR Makaleleri:Sanat. 24 Kontrolörün Sorumlulukları
Sanat. 28 İşlemci
Sanat. 29 Kontrolör veya işleyici yetkisi altında işleme

Veri Koruma Uygulamalarını Benimseyin
 Kontrolör yükümlülükleri:

  • Uygunsa, veri minimizasyonu ilkelerini ve tasarım ve/veya varsayılan veri korumanın kullanıldığını gösterebilme
  • Veri sahibi için risk oluşturması muhtemel olan herhangi bir işleme faaliyeti üzerinde gizlilik etkisi değerlendirmeleri yapın

GDPR Makaleleri:Sanat. 5 Kişisel verilerin işlenmesine ilişkin ilkeler
Sanat. 25 Tasarım ve Varsayılan Olarak Veri Koruma
Sanat. 35 Veri Koruma etki değerlendirmesi

İşleme Faaliyetlerinin Kayıtlarını Saklayın
 Kontrolör yükümlülükleri:

  • Veri denetleyicisinin ve DPO'nun veya AB temsilcisinin adı/iletişim bilgileri
  • Veri konularının kategorilerini, kişisel veri kategorilerini ve verilerin alıcılarını belgeleyin
  • AEA dışındaki herhangi bir veri aktarımı için yasal temeli belgeleyin ve verileri koruyacak önlemleri açıklayın
  • Veri saklama zaman dilimleri
  • Veri işleme faaliyetleri için yasal dayanağı belgeleyin

İşlemci yükümlülükleri:

  • Veri denetleyicisinin ve DPO'nun adı/iletişim bilgileri
  • Kontrolör için gerçekleştirilen işleme kategorileri

GDPR Maddesi:Sanat. 30 İşleme Faaliyetleri Kaydı

Bu, alınması gereken çok şey ve çok fazla iş gibi görünebilir. Ancak uzun vadede, sizi ve ortaklarınızı Avrupa yasalarına uygun tutar ve veri öznelerinizin haklarını korur. Daha fazla GDPR bilgisi mi arıyorsunuz? Blogumuzdaki GDPR kategorisinde ve isteğe bağlı web seminerimizde daha fazla bilgi bulabilirsiniz: GDPR'ye Giden Yol.