Web Sitenizi GDPR Uyumlu Hale Getirme

Kullanıcılarımızın çoğu bize GDPR hakkında sorular soruyor: Bu ne anlama geliyor? Kime ve neye uygulanır? Bir iş olarak beni nasıl etkiler? İnternette çok fazla bilgi dolaşırken, bu bilgilerin bir kısmının eksik, yanlış veya yanıltıcı olabileceğini biliyoruz.

Bu nedenle, önde gelen İngiliz hukuk firmalarından biri olan, fikri mülkiyet konusunda uzmanlaşmış bir firma olan Fladgate ile temasa geçtik. Bu gönderide yer alan konuyla ilgili eksiksiz ve profesyonel cevaplar sunacak kadar naziktiler.

Aşağıda, Elementor site oluşturucularıyla ilgili konularla ilgili olduğu için GDPR için okunabilir ve anlaşılması kolay yönergeler bulacaksınız. Yasal olarak yazılmıştır, bu nedenle her zamanki blog argomuzdan biraz farklıdır, ancak bunun GDPR kurallarını net bir şekilde anlamanın en iyi (ve tek) yolu olduğuna inanıyoruz. Fladgate'den Eddie Powell'a, topluluğumuz için bu ayrıntılı ve kapsamlı yönergeleri hazırlayıp açıkladığı için teşekkür ederiz.

Bu gönderide yanıtlanan sorular şunlardır:

GDPR nedir ve neden önemlidir?

GDPR'nin temel kuralları nelerdir?

Hangi kişisel verileri kullanabilirim ve nasıl kullanılabilir?

Kişisel verileri üçüncü bir tarafa aktarabilir miyim?

Bireylerin işletmelere karşı hakları nelerdir?

Bir işletme sahibi olarak web sitemdeki kişisel verileri nasıl korumalıyım?

GDPR, Genel Veri Koruma Yönetmeliği anlamına gelir. İşletmelerin bireylerin kişisel verilerini nasıl tuttuğunu ve kullandığını düzenleyen AB tarafından formüle edilmiş yeni kurallar dizisidir.

Çoğu kişi, kuralları çiğneyen işletmelere verilebilecek para cezalarını duymuştur. Bunlar, 20 milyon Euro'ya kadar veya özellikle büyük şirketler grupları için grubun küresel cirosunun %4'üne kadar çıkabilir ki bu çok büyük bir para olabilir.

Ancak daha da önemlisi, Veri Koruma kurallarına uyulmamasıyla ilgili tanıtım, bir işletmenin itibarına önemli ölçüde zarar verebilir ve müşterilerin ve tedarikçilerin ona güvenmemesine yol açabilir. Ek olarak, müşteriler bilgi konusunda işletmeye güvenmezse ve yüksek bir gizlilik standardını sürdürürse, yeni işletme etkilenecektir. Müşteriler, kişisel bilgilerinin kontrolünün ellerinde olduğunu hissetmek isterler.

Kurallar “kişisel veriler” için geçerlidir. Kişisel veriler, kişilerin adları, adresleri ve iletişim bilgileri vb. gibi bariz bilgileri içerir. Ayrıca, kişiyi adreslerinden tanımlayabileceğiniz bir e-posta adresleri listesi de içerecektir (örn. [e-posta korumalı] – Bob Smith'in Universal'de çalıştığını söyleyebilirsiniz. Widget'lar) ve IP adresleri. Anonimleştirirseniz, bilgi kişisel veri olmaktan çıkar, böylece bilgi setinden bir bireyin kim olduğunu asla çözemezsiniz.

GDPR, bu kişisel verileri (bunların tümüne "işleme" denir) sırf işletmenizin sisteminde depolandığı için toplayamayacağınızı, saklayamayacağınızı, kullanamayacağınızı ve aktaramayacağınızı söylüyor. Ne yapmak istediğinizi düşünmeli ve kuralları uygulamalısınız.

GDPR'nin belirttiği 6 gerekçeden birine sahip olmanız gerekir. Amaçlarımız için anahtar olanlar:

• bireyle bir sözleşme yapmak veya bir sözleşmeyi yürürlüğe koymak için bilgileri kullanmak;
• işletmenin tabi olduğu yasal bir yükümlülüğe (başka bir şirketle yapılan sözleşmeye değil) uymak – örneğin kara para aklamayla mücadele kurallarına uyum veya suçun önlenmesi;
• bireyin, bilgileriyle ne yapmak istediğinize (belirli, bilgilendirilmiş ve açık olmalıdır) onay verdiği; ve
• Gerçekleştirmek istediğiniz işlemin işletmenin meşru menfaati için gerekli olduğu, ancak mahremiyetiyle ilgilenecek olan ilgili bireyin hak ve menfaatlerine karşı dengeli olduğu durumlarda.

Çocuklarla ilgilenirken ebeveynlerinden onaylarını doğrulamanız gereken özel kurallar vardır. Ayrıca, kişilerin cezai mahkumiyetleri ve yasanın “özel kategoriler” olarak adlandırdığı bilgilerle ilgili olarak aşağıdakiler hakkında bilgi içeren özel kurallar vardır:

• Sağlık
• Etnik köken
• cinsel yönelim
• siyasi inançlar
• Din
• sendika üyeliği
• Genetik ve biyometrik veriler.

Ayrıca e-posta ve SMS pazarlaması için özel kurallar (GDPR'nin bir parçası olmayan) olduğunu hatırlamakta fayda var - birinin e-posta adresine veya iletişim bilgilerine sahip olduğunuz için onlara bu kanallar aracılığıyla pazarlama iletişimleri gönderebileceğinizi varsaymayın. Bilgileri topladığınızda onlara bu iletişimleri devre dışı bırakma olanağı vermiş olmalısınız ve her zaman gelecekteki pazarlama iletişimlerinden çıkmak istemelerini de dahil etmiş olmalısınız.

Kişisel verileri yeni bir yazılım uygulaması, yeni bir veritabanı projesi veya müşterilere daha kişiselleştirilmiş bir hizmet sağlamak gibi bir şey için kullanmak istiyorsanız, mevcut kişisel verileri almanın uygun olduğunu varsaymamak gerçekten önemlidir. işletme sistemlerinde kullanın ve kullanın. Yukarıda tartışılan temeller hakkında düşünmeniz ve özellikle dahil edilebilecek herhangi bir özel kategori verisi olup olmadığını düşünmeniz gerekir, çünkü bunlarla ilgili kurallar çok daha katıdır.

Belirttiğiniz amaç için daha fazla bilgi toplarsanız, yalnızca gerçekten ihtiyacınız olanı topladığınızdan emin olun. Kişilerden kendilerine söylenen amacı gerçekleştirmeniz için gerekenden fazlasını sağlamalarını istemeyin.

Bireye, kişisel bilgileriyle neler olduğu hakkında çok net bir şekilde anlatılması gerekir. Bu içerir:

• şirket bilgileriniz ve iletişim bilgileriniz;
• verilerin işlenmesinin amacı nedir;
• verileri kime göndereceğiniz;
• verileri başka bir ülkeye aktarma niyetinde olup olmadığınızı;
• verileri ne kadar süreyle tutacağınız; ve
• GSYİH kapsamında ortaya çıkan onayı geri alma hakları ve diğer haklar hakkında bilgi.

Bu bilgiler, bilgiler toplandığında veya (bilgiler dolaylı olarak alınmışsa) alındığı tarihten itibaren bir ay içinde GDPR kapsamında sağlanmalıdır. İşletmeniz, bu bilgileri vermenize olanak sağlayacak standart formlara sahip olmalıdır – bunlar her zaman yeni kişisel veriler toplandığında kullanılmalıdır.

Yukarıdakilere uyduktan sonra, planladığınız projeyi yürütün, ancak buna bağlı kalın ve gerekli olmayan veya yasal olarak muhafaza edilemeyen tüm kişisel verileri sildiğinizden emin olun. Planlarınızı değiştirirseniz veya kişisel verilerle başka bir şey yapmaya karar verirseniz, adımları tekrar gözden geçirmeniz ve alıştırmayı yeniden yapmanız gerektiğini unutmayın.

İşletmenizin kullanması için toplanan kişisel verileri kullanırken özellikle dikkatli olun ve artık bunları üçüncü bir tarafa aktarmak istiyorsunuz.

Yukarıdaki temel uyumluluk adımlarını düşünmeniz ve işleme için yasal gerekçeleri karşıladığınızdan ve bireye bu konuda gerekli tüm bilgilerin verildiğinden emin olmanız gerekir.

Alıcı sizin talimatınızla sizin için bir iş yapıyorsa (maaş bordrosu hizmetleri sağlayıcısı gibi), o zaman sizin “işlemciniz” olacaktır ve onlarla güvenlik ve uyumlulukla ilgili belirli garantileri içeren yazılı bir sözleşmeniz olmalıdır.

“Özel kategorilerdeki” verileri almanız veya aktarmanız pek olası değildir ve bu gerekliyse, işletmenizin uyum ekibiyle kontrol ettiğinizden emin olmalısınız.

Kişisel verilerin korunmasına ilişkin yasaların bu kadar katı olmayabileceği, AB dışındaki bir ülkeye bilgi taşımak istiyorsanız da özel kurallar vardır. Kişisel verileri alacak olan işletme veya kuruluşla standart sözleşme formlarını kullanmanız veya kişinin haklarına saygı gösterilmesini sağlayacak başka düzenlemeler yapmanız gerekebilir.

GDPR, bireylere kişisel verilerini tutan işletmelere karşı bir dizi hak verir. Bunlar şunları içerir:

• Düzeltme – herhangi bir hata veya yanlışlık düzeltilmelidir;
• Erişim – verilerin bir kopyası ve ne için kullanıldığına dair ayrıntılar sağlanmalıdır;
• İşlemenin durdurulması – birinin kişisel verilerinin tüm kullanımını durdurma
• Silme (unutulma hakkı) – kişiyle ilgili tüm kayıtların silinmesi
• Taşınabilirlik – makine tarafından okunabilir bir biçimde tutulan kişisel verilerin bireye veya başka bir sağlayıcıya aktarılması.

GDPR, güvenlik seviyelerini belirtmez; sadece işletmelerin yeterli düzeyde teknolojik ve organizasyonel güvenliğe sahip olması gerektiğini söyler, bu nedenle şirketiniz bu gerekliliğe uymanıza yardımcı olmak için tasarlanmış güvenlik prosedürlerine sahip olacaktır. Onlara daima itaat edin.

Kişisel veri güvenliğinin ihlali olabilecek yalnızca büyük ölçekli siber saldırılar olmadığını unutmayın. Mobil cihazlarda saklanan kişisel verilerin kaybolması veya şifrelenmemiş dizüstü bilgisayarların ortak alanlarda bırakılması gibi en büyük sorunlara genellikle küçük şeyler neden olur. Kişisel veri kaybının en büyük nedenlerinden biri, yanlış e-posta adresini girerek otomatik tamamlama nedeniyle yanlış giden e-postalardır.

GDPR, işletmelere herhangi bir güvenlik ihlalini yetkililere bildirme yükümlülüğü getirir ve şirketiniz, yönetimin neyin bildirilmesi gerektiğine karar verebilmesi için ne kadar küçük olursa olsun tüm ihlallerin kaydını tutmakla yükümlü olacaktır. . Kişisel verilerle ilgili herhangi bir kaybın, hızlı bir şekilde düzeltilse veya herhangi bir zarara yol açması muhtemel olmasa bile, şirketinizin politikasına uygun olarak bildirildiğinden emin olun.

Eddie Powell, Londra'daki Fladgate LLP avukatlarının Ticari Spor ve IP ekibinin ortağıdır. Daha fazla bilgi için bkz. https://www.fladgate.com/lawyer/eddie-powell/

Sitenizi GDPR uyumlu hale getirmek için hangi adımları attınız? Aşağıdaki yorumlarda bize bildirin.