GDPR Geliyor: Nasıl Hazırlanır?

Yayınlanan: 2017-11-15

Not: Bu yalnızca genel bilgilendirme amaçlıdır ve yasal analiz veya yasal tavsiye oluşturma amacı taşımaz. GDPR kapsamındaki belirli yükümlülükleriniz hakkında daha fazla bilgi edinmek için bir avukatla iletişime geçmelisiniz.

Avrupa Birliği vatandaşlarıyla iş yapan bir kuruluşun parçasıysanız, Genel Veri Koruma Yönetmeliği'ni (GDPR) içeren yakında yapılacak değişiklikleri duymuş olabilirsiniz. GDPR, AB vatandaşlarının yararına veri koruma kurallarını ve haklarını güçlendirmeyi ve birleştirmeyi amaçlayan bir Avrupa Birliği yasasıdır. GDPR, AB'ye mal ve hizmet sağlayan veya AB kullanıcılarının davranışlarını izlemek için izleme teknolojilerini (çerezler veya izleme pikselleri gibi) kullanan AB kuruluşları ve AB dışı kuruluşlar (her boyutta) için geçerlidir.

GDPR, 25 Mayıs 2018'den itibaren yürürlüğe girecek.

O zaman, uyumlu olmayan herhangi bir kuruluş para cezasına ve diğer düzenleyici yaptırımlara tabi olabilir. GDPR'ye genel bir bakış için bu makale başlamak için harika bir yerdir.

GDPR'nin Temel İlkeleri

Siz ve ekibiniz yaklaşmakta olan GDPR'ye hazırlanırken aşağıdaki ilkeleri aklınızda bulundurun:

  • Toplanan kişisel verilerin adil, yasal ve şeffaf bir şekilde işlenmesi gerekmektedir. Bir kişinin makul bir şekilde beklemeyeceği hiçbir şekilde kullanılmamalıdır.
  • Kişisel veriler yalnızca belirli bir amacı gerçekleştirmek için toplanmalı ve bu amaçlarla bağdaşmayan bir şekilde daha fazla kullanılmamalıdır. Kuruluşlar, kişisel verileri toplarken neden ihtiyaç duyduklarını belirtmelidir.
  • Tutulan kişisel verilerin güncel ve doğru tutulması gerekmektedir. Amacını yerine getirmek için gereğinden fazla tutulmamalıdır.
  • AB vatandaşları kendi kişisel verilerine erişme hakkına sahiptir. Ayrıca verilerinin bir kopyasını talep edebilir ve verilerinin herhangi bir engel olmaksızın güncellenmesini, silinmesini, kısıtlanmasını veya başka bir kuruluşa taşınmasını talep edebilirler.
  • Tüm kişisel verilerin güvenli ve emniyetli tutulması gerekiyor ve belirli türde faaliyetlerde bulunan şirketlerin artık bir veri koruma görevlisi ataması gerekiyor.

Kişisel Veriler Nedir?

Kişisel verilerin GDPR tanımı, ad, pasaport numarası, doğum tarihi vb. gibi tipik olarak kişisel olarak tanımlanabilecek bilgileri (PII) içerir, ancak IP adresleri veya cihaz gibi PII olmayan verileri de içerir. kimlikler.

Kişisel veriler, hash edilmiş veya şifrelenmiş bir kişi hakkındaki verileri bile içerebilir.

GDPR'nin kişisel verileri ne olarak kabul ettiğinin kapsamlı bir listesi için lütfen GDPR'nin 4(1) Maddesini okuyun.

Ayrıca, kişisel veri tanımına “özel kişisel veri kategorileri” olarak bilinen bir veri alt kümesi de dahil edilmiştir. Özel kişisel veri kategorileri, GDPR'de açıkça belirtilen belirli bir veri listesidir ve ırk, din, siyasi görüşler, sağlık verileri vb. gibi şeyleri içerir.

GDPR'ye Hazırlanma Adımları

Veri Eşleme – Aşağıdakileri belirleyin (ve belgeleyin):

  • Hangi kişisel verilere sahipsiniz veya topluyorsunuz?
  • Kişisel veriler hangi amaçlarla kullanılmaktadır?
  • Bu veriler nereden geldi ve hangi taraflarla paylaşıldı?
  • Bu veriler şu anda nerede bulunuyor?
  • Veriler ne kadar süreyle saklanır?
  • Bir veri sahibi bir talepte bulunursa bu veriler nasıl silinecek veya değiştirilecek?

Haklar – Veri öznelerinin haklarına uyabildiğinizden emin olmak için mevcut prosedürlerinizi kontrol edin. AB vatandaşları kendi kişisel verilerine erişme hakkına sahiptir. Ayrıca belirli durumlarda verilerinin bir kopyasını ve verilerinin herhangi bir engel olmaksızın güncellenmesini, silinmesini, kısıtlanmasını veya başka bir kuruluşa taşınmasını talep edebilirler.

Rıza – Kişisel verileri işlemenin temeli olarak rızaya güvenirken, rıza nasıl takip ettiğinizi, elde ettiğinizi ve belgelediğinizi ele alın. Belirli (ancak tümü değil) faaliyet türleri için, örneğin, özel kişisel veri kategorilerini işlerken, verilerini kullanmak için genellikle bir kişiden izin alınmalıdır. GDPR, rızanın net bir onaylayıcı eylemle verilmesi gerektiğini belirtir; sessizlik, önceden işaretlenmiş kutular veya hareketsizlik genellikle rıza teşkil etmez. Rıza da bildirilmelidir.

Kuruluşlar, kişisel verileri neden topladıkları ve ne için kullanılacağı hakkında bilgi vermek zorunda kalacaklar.

Ayrıca, kimin rıza gösterdiği, ne zaman ve hangi belirli beyanlara rıza gösterdiği de dahil olmak üzere, alınan tüm rızaların bir kaydını tutmanız gerekecektir. AB bireyleri, herhangi bir zamanda onayını geri alma hakkına sahip olacaktır.

Gizlilik Politikaları – Mevcut gizlilik politikanızı gözden geçirin ve herhangi bir güncellemenin gerekip gerekmediğini belirleyin.

Ürün Tasarımı – Projelere tasarım yoluyla gizlilik inşa etmeli ve ürünlerinizin gizlilik etkisini nasıl en aza indirebileceğinizi düşünmelisiniz. Uygun veya gerekli olduğunda takma ad, anonimleştirme ve şifreleme kullanmaya çalışın. Tasarım gereği gizlilik hakkında daha ayrıntılı bilgi GDPR'nin 25. Maddesinde bulunabilir.

Veri İhlal Prosedürleri – Herhangi bir veri ihlalini tespit etmek, raporlamak ve araştırmak için prosedürleriniz olduğundan emin olun. GDPR, kuruluşların, ihlalin bireylerin gizlilik haklarına yönelik bir riske yol açması muhtemel olmadığı sürece, genellikle tespit edildikten sonra 72 saat içinde veri koruma yetkililerine bir ihlali bildirmelerini gerektirir.

Veri Koruma Görevlisi – Bir veri koruma görevlisi (DPO) atamanız gerekip gerekmediğini belirleyin. GDPR, kuruluşun temel faaliyetleri "veri öznelerinin geniş ölçekte düzenli ve sistematik olarak izlenmesini" içerdiğinde veya kuruluşun "özel kişisel veri kategorilerinin" büyük ölçekli işlenmesini gerçekleştirdiği durumlarda bir DPO atanması gerektiğini belirtir. DPO, GDPR gerekliliklerine uyumu denetlemekten sorumludur ve kuruluş ile denetim makamları arasında iletişim noktası görevi görür.

Üçüncü Şahıs Sağlayıcılar – Veri öznelerinin kişisel verilerine erişimi olan veya bunları işleyen, halihazırda kullandığınız tüm üçüncü şahıs çözümlerinin (web sitesi izleme tanımlama bilgileri dahil) bir listesini yapın. Üçüncü taraf sağlayıcılarla yaptığınız tüm sözleşmeleri gözden geçirmelisiniz. Sözleşmelerinize, gerektiğinde GDPR ile uyumlu gizlilik ve veri gizliliği maddeleri ekleyin. Kapsam dahilinde olduğunu belirlediğiniz üçüncü taraf sağlayıcılara GDPR düzenlemesine uygun olup olmadıklarını sorun.

Farkındalık – Çalışanlarınızı GDPR ve bunun müşterilerin kişisel verilerinin toplanması ve işlenmesi üzerindeki etkisi hakkında eğitin.

Gizlilik Kalkanı Nedir?

GDPR, kişisel verilerin AB dışına aktarılmasıyla ilgili özel gereksinimlere sahiptir.

Örneğin, veri aktarımı yalnızca yeterli veri koruma yasalarına sahip olduğu belirlenen veya uygun veri dışa aktarma mekanizmalarını devreye soktuğunuz ülkelerde gerçekleşmelidir.

AB, ABD'nin yeterli veri koruma yasalarına sahip olduğunu düşünmemektedir - ancak Gizlilik Kalkanı, ABD kuruluşlarının GDPR'nin bu gereksinimini karşılamak için yeterli veri koruma uygulamalarına sahip olduklarını göstermek için katılabileceği gönüllü bir kendi kendini onaylama programıdır. .

SendGrid, Gizlilik Kalkanı sertifikalıdır ve ayrıca müşterilere alternatif bir veri dışa aktarma mekanizması olarak Standart Sözleşme Maddeleri sunar.

Bu, E-postayı Nasıl Etkiler?

GDPR'nin pazarlama uygulamaları üzerinde etkisi olacaktır. GDPR ile ilgilenen tüm e-posta pazarlamacılarının, gerektiğinde nasıl izin aldıklarını, aldıklarını ve belgelediklerini ele almaları gerekir. Pazarlamacılar ayrıca, istendiğinde bir bireyin verilerini güncelleyebileceklerinden, silebileceklerinden, kısıtlayabileceklerinden veya taşıyabileceklerinden emin olmak isteyeceklerdir. GDPR'ye uyarak ve istenmeyen konuların e-posta adreslerini listelerinizden kaldırarak, teslim edilebilirliğinizi artırabilirsiniz!

Sıradaki ne?

Kuruluşunuzun GDPR'den etkileneceğine inanıyorsanız, GDPR kapsamındaki belirli yükümlülükleriniz hakkında daha fazla bilgi edinmek için lütfen bir avukatla iletişime geçin. Bu gönderinin amacı, GDPR'nin bir sonucu olarak kuruluşlar için meydana gelebilecek bazı değişiklikleri vurgulamaktır. GDPR'nin tam metnine buradan ulaşabilirsiniz. Ayrıca çerez kullanımı, E-Gizlilik Yönetmeliği ve bunun GDPR ile ilişkisi hakkında daha fazla bilgiyi burada bulabilirsiniz.