GDPR nedir?
GDPR nedir?
Genel Veri Koruma Yönetmeliği (GDPR), şirketlerin ve diğer kuruluşların kişisel verileri nasıl ele aldığını kontrol eden AB çapında bir düzenlemedir. Bu, 20 yıldaki veri koruma konusundaki en önemli girişimdir ve Avrupa Birliği'nden bireylere hizmet veren dünyadaki herhangi bir kuruluş için önemli etkileri vardır.
İnsanlara verilerinin nasıl kullanılacağı üzerinde kontrol sağlamak ve "gerçek kişilerin temel hak ve özgürlüklerini" korumak için mevzuat, veri işleme prosedürleri, şeffaflık, dokümantasyon ve kullanıcı onayı konusunda katı gereksinimler ortaya koymaktadır.
Herhangi bir kuruluş, kişisel veri işleme faaliyetlerinin kaydını tutmalı ve izlemelidir.
Veri denetleyicisi olarak herhangi bir kuruluş, kişisel veri işleme faaliyetlerinin kaydını tutmalı ve izlemelidir. Bu, kuruluş içinde ve aynı zamanda üçüncü taraflarca - sözde veri işlemcileri tarafından işlenen kişisel verileri içerir.
Veri işlemcileri, bir Hizmet Olarak Yazılım sağlayıcılarından gömülü üçüncü taraf hizmetlerine, kuruluşun web sitesinde ziyaretçileri izleme ve profil oluşturma gibi herhangi bir şey olabilir.
Hem veri kontrolörleri hem de işleyiciler, ne tür verilerin işlendiğini, işlemenin amacını ve verilerin hangi ülkelere ve üçüncü taraflara iletildiğini hesaplayabilmelidir.
Kişisel veriler, GDPR'nin erişiminin ötesindeki veya GDPR tarafından 'yeterli' kabul edilmeyen kuruluşlara veya yargı bölgelerine gönderiliyorsa, kullanıcıyı özellikle bu ve ilgili riskler hakkında bilgilendirmelidir.
Tüm rızalar, rızanın verildiğine dair kanıt olarak kaydedilmelidir.
4 Mayıs 2020'de Avrupa Veri Koruma Kurulu (EDPB) , GDPR kapsamında geçerli rızaya ilişkin yönergeleri kabul etti.
Geçerli onay, kullanıcının isteklerinin serbestçe verilmiş, belirli, bilgilendirilmiş ve açık bir göstergesi, yani kullanıcı tarafından açık ve olumlu bir eylem olmalıdır.
EDPB kurallar o temizlemek yapmak kaydırma veya geçerli rıza teşkil etmez bir web sitesinde gezinirken devam ve bu çerez afiş önceden işaretli onay kutularını sahip olmalarına izin verilmez .
Çerez duvarları (zorla izin) de uyumlu değildir.
EDPB, AB genelinde GDPR'nin uygulanmasından sorumlu en yüksek denetim makamıdır ve her bir AB üye devletinin veri koruma makamlarından temsilcilerden oluşur. Kılavuzları ve kararları, GDPR'nin ulusal düzeyde uygulanmasının temellerini oluşturur.
Kişiler artık “veri taşınabilirliği hakkı”, “veri erişim hakkı” ile birlikte “unutulma hakkı”na da sahip olup, istedikleri zaman rızalarını geri çekebilirler. Böyle bir durumda, veri sorumlusu, toplanma amacı için artık gerekli değilse, bireyin kişisel verilerini silmelidir.
Bir veri ihlali durumunda şirket, veri koruma yetkililerini ve etkilenen bireyleri 72 saat içinde bilgilendirebilmelidir.
Ayrıca GDPR, kamu yetkililerine, 250'den fazla çalışanı olan kuruluşlara ve büyük ölçekte hassas kişisel verileri işleyen şirketlere bir veri koruma görevlisini (DPO) istihdam etme veya eğitme yükümlülüğü getirir. DPO, kuruluş genelinde GDPR uyumluluğunu sağlamak için önlemler almalıdır.
Brexit ile ilgili olarak, Birleşik Krallık Hükümeti, GDPR'yi büyük ölçüde takip edecek eşdeğer mevzuat uygulamayı planlıyor.
GDPR web siteniz için ne anlama geliyor?
Web siteniz AB'den bireylere hizmet veriyorsa ve siz - veya Google ve Facebook gibi yerleşik üçüncü taraf hizmetleri - her türlü kişisel veriyi işliyorsanız, ziyaretçiden önceden izin almanız gerekir.
Geçerli bir onay almak için, herhangi bir kişisel veriyi işlemeden önce, ziyaretçiye veri işlemenizin kapsamını ve amacını sade bir dille açıklamanız gerekir.
Bu bilgiler, örneğin gizlilik politikanızın bir parçası olarak, her zaman ziyaretçiye açık olmalıdır. Ayrıca, ziyaretçinin onayını değiştirmesi veya geri çekmesi için kolay bir yol sağlamalısınız.
Tüm izinler kanıt olarak kaydedilmeli ve kişisel verilerin tüm takibi, ayrıca gömülü üçüncü taraf hizmetleri tarafından da belgelenmelidir, bu belge uyarınca verilerin hangi ülkelere iletildiği.
Veri koruma yasalarının reformu hakkındaki AB bilgi sayfasına göz atın .
Ayrıca bilgi grafiğine bakın Veri Koruma - Küçük işletmeler için daha iyi kurallar
TrustHoop nasıl yardımcı olur?
TrustHoop ile izleme ve rıza ile ilgili şartların web siteniz için GDPR uyumunu otomatik hale getirebilirsiniz.
TrustHoop, web sitenizdeki her türlü takibi izlemenizi ve belgelemenizi, ilgili bilgileri web sitenizin ziyaretçilerine göstermenizi ve tüm kullanıcı onaylarını otomatik olarak almanızı ve günlüğe kaydetmenizi sağlar.
Kişisel verilerin tanımı nedir?
GDPR, kişisel verileri "kimliği belirli veya belirlenebilir bir gerçek kişiyle ("veri konusu") ilgili herhangi bir bilgi olarak tanımlar; tanımlanabilir bir gerçek kişi, özellikle ad gibi bir tanımlayıcıya atıfta bulunarak doğrudan veya dolaylı olarak tanımlanabilen kişidir. , bir kimlik numarası, konum verileri, çevrimiçi bir tanımlayıcı veya o gerçek kişinin fiziksel, fizyolojik, genetik, zihinsel, ekonomik, kültürel veya sosyal kimliğine özgü bir veya daha fazla faktöre."
IP adresleri gibi çevrimiçi tanımlayıcılar, anonimleştirilmedikleri sürece artık kişisel veri olarak nitelendirilmektedir.
Takma anonimleştirilmiş kişisel veriler, tersine mühendislik yoluyla kime ait olduklarının tespit edilmesinin mümkün olması durumunda da GDPR'ye tabidir.
GDPR yürürlüğe girme tarihi: 25 Mayıs 2018
AB veri koruma reformu, 27 Nisan 2016 tarihinde Avrupa Parlamentosu ve Avrupa Konseyi tarafından kabul edilmiştir. Avrupa Veri Koruma Yönetmeliği 25 Mayıs 2018 tarihinden itibaren geçerlidir ve Veri Koruma Direktifinin yerini almıştır.
GDPR Cezaları
Uygunsuzluk durumundaki kuruluşlar, hangisi daha yüksekse, 20 milyon Euro'ya veya kuruluşun küresel yıllık cirosunun %4'üne kadar ağır para cezaları riskiyle karşı karşıyadır.
GDPR kontrol listesi: Yapmam gereken 6 şey
1. Kuruluşunuzu hazırlayın:
Kuruluşunuzdaki paydaşları GDPR gereklilikleriyle tanıştırın. Siber Güvenlik, Tasarıma Göre Gizlilik ve Varsayılanlara Göre Gizlilik ilkeleri konusunda çalışan eğitimi gerçekleştirin. Gerekirse, yani 250'den fazla kişi çalıştırıyorsanız, bir Veri Koruma Görevlisi (DPO) atayın.
2. Verilerinizi denetleyin:
Tüm verilerinizin nerede yaşadığını, kimin erişimi olduğunu ve hangi cihazlarda olduğunu bildiğinizden emin olun. Üçüncü taraf işlemciler de dahil olmak üzere kişisel verilerin nerede işlendiğini belirleyin. Yasal işleme gerekçelerini belgeleyin ve mevcut gizlilik politikalarını güncelleyin.
3. Denetim hizmeti ortakları:
Hizmet ortaklarının, yani web sitenize yerleştirilmiş üçüncü taraf hizmetlerin veya Hizmet Olarak Yazılım sağlayıcılarının da GDPR ile uyumlu olduğundan veya resmi olarak onaylanmış bir veri yargı yetkisi altında olduğundan emin olun. Uluslararası veri akışlarını gözden geçirin ve haritalayın.
4. Onay alın:
Uyumluluğu sağlamak için izin arama, alma ve kaydetme yöntemlerini uygulayın. Her bir veri sahibinin neye rıza gösterdiğinin net bir kaydını tutun ve veri konusunun bir rızayı iptal etmesi veya değiştirmesi için seçenekler sağlayın.
5. Veri haklarına yanıt verin:
Kuruluşunuzun veri sahibi haklarına yanıt vermesini sağlayan prosedürleri uygulayın, yani veri erişimi, düzeltme ve silme. Hem müşteri hem de çalışan bağlamında nasıl uygulanacaklarını belgeleyin.
6. Veri ihlallerine hazırlanın:
GDPR'nin 72 saatlik son bildirim tarihini karşılamak için kişisel veri ihlallerini tespit etmek, araştırmak ve raporlamak için prosedürlerin mevcut olduğundan emin olun.
GDPR uyumluluğu ve gereksinimleri
GDPR Kursları, Eğitim ve Sertifikasyon:
IT Governance gibi çeşitli kurslarda EU GDPR Foundation (EU GDPR F) ve EU GDPR Practitioner (EU GDPR P) yeterliliklerini (her ikisi de ISO 17024 onaylı) elde edebilirsiniz . Uluslararası Gizlilik Uzmanları Birliği (IAPP) ayrıca çevrimiçi eğitim sağlar .
GDPR Uyumluluk Yazılımı:
Kişisel veri işlemenizi uyumlu hale getirmenize yardımcı olan TrustHoop gibi GDPR uyumlu hale getirme sürecinde size yardımcı olabilecek yazılım çözümü sunmaktadır. .
TrustHoop , web sitenizdeki kullanıcı izinlerinin işlenmesini otomatikleştirmenize ve kullanımda olan çerezleri ve diğer izleyicileri belgelemenize yardımcı olabilir.
Kaynaklar
Genel Veri Koruma Yönetmeliği PDF indir
AB Komisyonu: Kişisel verilerin korunması GDPR 'yeterli' ülkeler
Birleşik Krallık Bilgi Komisyonu Ofisi (ICO): Birleşik Krallık veri koruma reformu
Tasarımla Gizlilik - 7 Temel İlke (PDF)
AB veri koruma kuralları 2018 reformu
İnfografik : Küçük işletmeler için daha iyi kurallar