AB’nin Yeni Veri Koruma Yönergesi (GDPR) Uygunluğu İçin Yapmanız Gereken Temel Değişiklikler

95/46/EC sayılı Veri Koruma Direktifi’nin yerini alan GDPR hakkında yeterli bilgi sahibi misiniz?

Geçtiğimiz ay resmen yürürlüğe giren GDPR (General Data Protection Regulation) için web sitenizde revizyona gittiniz mi? Eğer gitmediyseniz mutlaka yapmanız gereken değişiklikleri en sade haliyle sizinle paylaşıyoruz.

GDPR’dan “Bana ne? Benim web sitem Türkiye’de barınıyor.” diyorsanızda büyük bir yanılgı içerisinde olduğunuzu söylememiz gerekir. Çünkü web siteniz AB ülkelerinden trafik almaya başladığı anda GDPR uygulama alanı bulacaktır.

Tüm Kullanıcı Formlarını Kontrol Edin

İster sadece üyelik, isterse de satış e-ticaret yapan bir web siteniz olsun, hiç farketmez. GDPR kullanıcıdan kişisel veriyi aldığınız an uygulamaya geçecektir. Örneğin üyelik aşamasında kullandığınız bir kayıt formu var. Siz bir üyeden e-mail adresini aldığınız anda GDPR himayesine girdiniz demektir.

Her kullanıcı formu için gayet net ve görülecek bir şekilde gizlilik politikanız yer almalıdır. Bu politika bir bağlantı olacağı gibi aynı sayfada da yer alabilir. Önemli olan kullanıcının gizlilik politikasını kabul ettiğini gösteren check box’u işaretlemesidir.

Not: “Gizlilik politikasını kabul ediyorum.” seçeneği için varsayılan olarak check işareti bulundurmayın. Bu durum açıkça GDPR’a aykırıdır.

Ayrıca olabildiği kadar az kişisel veri alın. Gizlilik politikanızda kişisel verilerin her biri için neden istendiğini açıklamak zorundasınız. Yani bir kullanıcı için meslek sorusu sorduğunuzda bu veriyi ne amaçla istediğiniz mutlaka belirtilmeli.

Üzerinde durulması gereken bir diğer önemli hususta kullanıcının rızası. Web sitenize kayıt olan bir kullanıcının e-posta adresine rızasını almadan bülten göndermeniz GDPR’a aykırıdır. Bunun için özellikle izin alınması lazım. StartUp Legalist Blog’da gezerken sitenin çeşitli yerlerinde gördüğünüz “Bülten Kaydı İster Misiniz?” tarzında bir form, işinizi görecektir.

Gizlilik Politikası

Gizlilik politikası GDPR’ın getirdiği en önemli değişikliklerden. Şöyleki her web sitesinde istisnasız olarak bir gizlilik politikası bulunmak zorunda. Bu politikada:

  1. Web siteniz ne tür bilgileri topluyor ve ne amaçla kullanıyor?
  2. Web siteniztoplanan verileri nasıl işliyor?
  3. Web siteniz toplanan bilgileri nasıl koruyor?
  4. Web siteniz toplanan bilgileri başkalarıyla paylaşıyor mu? Eğer öyleyse kimlerle paylaşılıyor?
  5. Web sitenizin site üyelerinin kişisel verileri üzerinde bir kontrolü var mı?
  6. Veri ihlali durumunda kullanıcıları nasıl bilgilendireceksiniz?*
  7. Sorularına mutlaka cevap vermelisiniz. Sitenizin çalışma prensiplerine göre bu sorular artış gösterecktir.

*Bir veri ihlalini öğrendikten sonra (barındığınız kişisel verilerin saldırıya uğraması) kullanıcıları en geç 72 saat içerisinde bilgilendirmeniz gerekmektedir. Son zamanlarda Twitter, BiletX gibi kuruluşların e-posta ile tarafınıza veri ihlalini bildirmesi GDPR’nin getirdiği bir yeniliktir.

Çerezlerin (Cookies) Kullanımı

Her web sitesine ilk defa girdiğinizde sitenin altında, üstünde, sağında ya da solunda “Çerez politikasını kabul ediyorum.” veya “Bu siteye girmekle çerez politikasını kabul etmiş sayılırısınız” şeklinde bir uyarı çıkar. İşte bu uyarılar yine GDPR yeniliğidir.

Çerezler pazarlamanın ayrılmaz bir parçası haline gelmiştir. Ziyaretçi demografisini analiz etmek, kişiselleştirilmiş web deneyimleri sağlamak, yeniden hedeflemeye dayalı reklamlar yayınlamak için kullanılır. Tüm bu faaliyetler için kullanılan çerezler GDPR kapsamında kişisel veri topladığından kullanıcılara çerez politikanızdan bahsetmelisiniz.

Politika ayrı olarak düzenlenebileceği gibi Gizlilik politikası içerisinde “Çerezler” alt başlığını taşıyacak biçimde de yer alabilir.

Çok önemli not: “Bu siteye girmekle çerez politikasını kabul etmiş sayılırısınız” şeklinde kullanıcıya tercih imkanı vermeyen çerez bilgilendirmeleri GDPR’a göre geçersizdir. Kullanıcı çerez politikasını kabul edip etmemekte özgür bırakılmalı ve bu yöndeki iradesini istediği zaman değiştirebilmelidir.

Veri Koruma Sorumlusu

KVKK veri koruma sorumlusunu “Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemektedir.” şeklinde tanımlamakta. Yani GDPR’ın yanı sıra doğrudan KVKK’de bir veri koruma sorumlusu bulundurmanız gerektiğine işaret ediyor.

Bu nedenle bir veri koruma sorumlusunu mutlaka belirtmeniz gerekecektir.


İçeriği Paylaş: