GDPR'yi nasıl yönetiyoruz
AB GDPR, 25 Mayıs 2018'de yürürlüğe giren kapsamlı bir gizlilik düzenlemesidir. Teknolojimizde, yalnızca GDPR girişimlerini yönetmekle kalmayıp, aynı zamanda Zonos kullanan herkes için bir gizlilik odaklı yaklaşım sağlamak amacıyla AB sınırlarını aşan güncellemeler yerleştirdik.
Zonos , alışveriş yapanlar ve satıcıların verileri ve süreçleri üzerinde kontrol sahibi olmalarını sağlamak için sektör lideri gizlilik teknolojisi sunmaktadır - AB GDPR çerçevesini karşılamaktadır.
Zonos'un işiniz için hedefleri şunlardır:
- Sınır ötesini anlamanıza yardımcı olmak.
- Küresel tedarik zinciri üzerinde kontrol sağlamanızı.
- Uluslararası alıcılarınız için güvenli ve harika bir deneyim sunmak.
Anahtar GDPR yönerge maddeleri
Cezalar
GDPR'yi ihlal edenler için para cezaları, yıllık küresel cironun %4'üne veya 20 milyon €'ya kadar çıkabilir. Bu, en ciddi ihlaller için uygulanabilecek maksimum cezadır; örneğin, verileri işlemek için yeterli müşteri onayı olmaması veya "Tasarımda Gizlilik" kavramlarının özüne aykırı davranılması gibi.
Kişisel veri tanımı
Kişisel veri, bir kişiyi doğrudan veya dolaylı olarak tanımlamak için kullanılabilecek herhangi bir bilgidir; örneğin, bir isim, bir fotoğraf, bir e-posta adresi, banka bilgileri, sosyal medya sitelerindeki gönderiler, tıbbi bilgiler veya bir bilgisayar IP adresi.
Onay
Onay, veri işleme amacının bu onaya eklenmesiyle birlikte, anlaşılır ve kolay erişilebilir bir biçimde verilmelidir. Açık, kolayca tanımlanabilir olmalı ve clear ve kolayca anlaşılır bir dil kullanılmalıdır. Onayı geri çekmek, vermekten de kolay olmalıdır. Hassas kişisel verilerin işlenmesi durumunda, "opt-in" dışında hiçbir şey yeterli olmayacaktır.
Veri konusu 16 yaşın altındaysa, çocuğun kişisel verilerini işlemek için ebeveyn onayı gerekecektir. Üye devletler ebeveyn onay yaşını düşürebilir, ancak 13 yaşın altına düşüremezler.
Veri Koruma Görevlileri (DPO'lar)
DPO'lar, (a) kamu otoriteleri, (b) büyük ölçekli veya büyük veri sistematik izleme yapan kuruluşlar veya (c) hassas kişisel verilerin kitlesel işlenmesine katılan kuruluşlar durumunda atanmalıdır (Madde 37). Kuruluşunuz bu kategorilerden birine girmiyorsa, DPO atamanıza gerek yoktur.
Veri sahiplerinin hakları
İhlal bildirimleri
GDPR kapsamında, veri ihlali, "bireylerin hakları ve özgürlükleri için bir risk oluşturma olasılığı" varsa, tüm üye devletlerde zorunlu hale gelecektir. İhlalden haberdar olduktan sonra 72 saat içinde bildirim yapılmalıdır. Veri işleyicileri, bir veri ihlalinden haberdar olduktan sonra "gereksiz gecikme olmaksızın" denetçilere bildirimde bulunmak zorundadır.
Erişim hakkı
Veri sahipleri, kendileriyle ilgili kişisel verilerin işlenip işlenmediğine dair veri denetçisinden onay alma hakkına sahiptir; nerede ve hangi amaçla işlendiğini öğrenebilirler. Veri denetçisi, kişisel verilerin bir kopyasını, ücretsiz olarak, elektronik formatta sağlamalıdır.
Unutulma hakkı
Veri silme olarak bilinen unutulma hakkı, veri sahibinin veri denetçisinden kişisel verilerini silmesini, verilerin daha fazla yayılmasını durdurmasını ve potansiyel olarak üçüncü tarafların verileri işlemeyi durdurmasını talep etme hakkını tanır. Veriler, işleme için orijinal amaçlarla artık ilgili olmamalıdır veya veri sahibi onayını geri çekmelidir. Bu hakkın, denetçilerin talep edilen hakları "verilerin erişilebilirliği konusundaki kamu yararı" ile karşılaştırmasını gerektirdiği de belirtilmelidir.
Veri taşınabilirliği
Veri sahibi, kendisiyle ilgili daha önce sağladığı kişisel verileri "yaygın olarak kullanılan ve makine tarafından okunabilir bir formatta" alma hakkına sahiptir ve bu verileri başka bir denetçiye iletme hakkına sahiptir.
Tasarımda gizlilik
Veri gizliliği, denetçilerin ve işleyicilerin veri sahiplerinin bilgilerini yönetmek için kullandıkları teknoloji sistemlerinin merkezinde olmalıdır, sadece ek bir özellik değil.
Veri sahibi bilgileri
Veri toplandığında, veri sahibine sağlanması gereken bilgiler kesin bir şekilde tanımlanmış olup şunları içermektedir:
- Denetçinin ve DPO'nun kimliği ve iletişim bilgileri
- Kişisel verilerin işlenme amaçları
- İşlemenin yasal dayanağı
- Uygun olduğunda, denetçi veya üçüncü taraf tarafından izlenen meşru menfaatler
- Uygun olduğunda, kişisel verilerin alıcıları veya alıcı kategorileri
- Kişisel verilerin ne kadar süreyle saklanacağı veya bu mümkün değilse, bu sürenin belirlenmesinde kullanılan kriterler
- Kişisel verilere erişim, düzeltme veya silme hakkının varlığı
- Veri taşınabilirliği hakkı
- Herhangi bir zamanda onayı geri çekme hakkı
- Denetim otoritesine şikayette bulunma hakkı
Önemli olarak, veriler doğrudan veri sahibinden elde edilmemişse (belki bir üçüncü taraf listesi kullanılarak), liste değişir ve kişisel verilerin hangi kaynaktan geldiğini içerir:
- Herhangi bir profil oluşturma ve bununla ilgili mantık hakkında anlamlı bilgiler ile bu tür işlemenin veri sahibi üzerindeki önemi ve öngörülen sonuçları.
- GDPR, üçüncü taraf listelerinden veri alan pazarlamacılar için önemli bir sorun teşkil etmektedir.
Meşru menfaat
GDPR düzenlemesinin 6. Maddesi, bir veri toplayıcısının yalnızca meşru menfaat veya onay varsa verileri yasal olarak işleyebileceğini belirtmektedir. Meşru menfaatinizin olup olmadığını belirlemek, topladığınız verilerin beklentileri ve bağlamı üzerine "dikkatli bir değerlendirme" gerektirir.
Onay gereksinimini aşmak için meşru menfaatin geniş bir yorumunu kullanmak cazip gelebilir. Verileri toplamak için meşru menfaatin açık uçlu bir görüşünü kullanmayı teşvik etmiyoruz. GDPR, dolandırıcılığı önlemek, çalışanlar ve müşterilerle ilgili iç idari amaçlar, ağ güvenliği ve olası suç faaliyetleri veya kamu güvenliğine yönelik tehditlerin raporlanması gibi bazı örnekler sunmaktadır.
Meşru menfaat etrafında hala gri bir alan vardır ve tanım zamanla daha belirgin hale gelecektir. Kısa vadeli öneri, "aynı hedef, kişisel verileri işlemeksizin elde edilebilir mi?" sorusunu sormak alışkanlığı edinmektir. Cevap evet ise, en iyi uygulama, verileri işlemek için meşru menfaatten uzaklaşmak; onay almanız gerektiğidir.
Öneriler
Zonos AB'nin GDPR'sine uyum sağlamak için aşağıdakileri önermektedir:
GDPR'ye Uyum İçin Adımlar
- GDPR uyumunuz için proaktif bir plan oluşturun.
- Gizlilik bildirimlerini ve politikalarını gözden geçirin ve GDPR uyum seviyelerini karşıladığından emin olun.
- Bir güvenlik ihlali durumunda bir plan hazırlayın.
- Onaylarınızı denetleyin.
- Pazarlama onaylarını isteğe bağlı hale getirin.
- Yasal danışmanınızla birlikte direktifin meşru menfaat kısmını gözden geçirerek, alıcının verilerini işlemek ve yönetmek için kuruluşunuzu kapsadığından emin olun.
- Kişisel verilerin kullanımı hakkında onay dilinizi bulması ve okunması kolay hale getirin.
- Verilerin kullanımı için kuruluşunuza veri sahibi talepleri için bir eylem planı oluşturun.
- Uyumunuzdan sorumlu olun.
- Çalışanlarınızı eğitin.
- clear süreçlerinin yazılı ve denetimli olarak mevcut olduğundan emin olun.
- Gerektiğinde bir DPO atayın.
- Kontrolör/işlem ortaklarınızın uyumlu olduğundan emin olun.
Sıkça Sorulan Sorular
Bu kimleri etkiler?
GDPR, AB veri sahiplerine mal veya hizmet sunan, AB içinde ve dışında bulunan kuruluşlar, kontrolörler ve işlemciler için geçerlidir. GDPR ayrıca, AB veri sahiplerinin davranışlarını izleyen veri sağlayan veya kullanan pazarlama kuruluşları gibi kuruluşlara da uygulanır.
Kontrolör ile işlemci arasındaki fark nedir?
Kontrolör, kişisel verilerin işlenmesi için amaçları, koşulları ve araçları belirlerken, işlemci kişisel verileri kontrolör adına işler.
AB GDPR
Nasıl Zonos AB GDPR girişimini yönetiyor öğrenin.Veri koruma, günlük iş hayatında hayati bir önem kazanmaktadır. Genel Veri Koruma Yönetmeliği (GDPR) girişimi, pazardaki ilk gizlilik girişimi olmasa da, bugüne kadar bireylerin verilerini ve veri haklarını anlama ve yönetme konusunda en önemli itici güç olmuştur.
Dikkati çekmek ve ilerleme kaydetmek için, AB, üye devletlerine GDPR'yi ihlal edenler için yıllık küresel cirosunun %4'üne kadar veya 20 milyon €'ya kadar para cezası uygulama yetkisi vermektedir. Yönerge ayrıca, yönetim için kolaylık ve "tek durak" arzusunu ifade etmektedir.