AB'nin Genel Veri Koruma Yönetmeliği (GDPR) bu yılın 25 Mayıs'ında yürürlüğe girecek. Büyük bir okuyucu değilseniz (ben de değilim), yaklaşan düzenlemeye hazırlanmanıza yardımcı olmak için bu “CliffsNotes” sürümünü oluşturmaya karar verdik. Hala GDPR'nin tam metnini okumak isteyenler için, sizi çok fazla yasal jargon ve kafa karıştırıcı lingo içeren uyarıyorum. Bu yüzden size yardımcı olmak için, içindeki terimleri ve kavramları daha iyi anlamanıza yardımcı olmak için bu gönderinin sonuna hızlı bir sözlük ekledik.

GDPR – “CliffsNotes” Versiyonu

GDPR, Avrupa Birliği (AB) içindeki bireylerin kişisel bilgilerinin toplanması ve işlenmesi için yönergeler belirleyen yasal bir çerçevedir. 28 AB ülkesinin tamamında (ve üyelerinden veri toplayan ülkelerde) veri koruma yasasını standart hale getiriyor ve kişisel olarak tanımlanabilir bilgilerin kontrolü ve işlenmesi konusunda katı yeni kurallar getiriyor. Avrupa Komisyonu'na göre, “kişisel veriler, bir bireye ilişkin, ister özel, ister mesleki veya kamusal yaşamla ilgili olsun, her türlü bilgidir. Bir ad, ev adresi, fotoğraf, e-posta adresi, banka bilgileri, sosyal ağ sitelerindeki gönderiler, tıbbi bilgiler veya bir bilgisayarın IP adresinden herhangi bir şey olabilir.” GDPR, birkaçı aşağıda özetlenen bir dizi temel ilkeden oluşur:

İşleme için yasal dayanak

Bunu yapmak için en az bir yasal dayanak olmadığı sürece veriler işlenemez:

• Veri sahibi, kişisel verilerin bir veya daha fazla belirli amaç için işlenmesine izin vermiştir.
• Veri sahibinin taraf olduğu bir sözleşmenin ifası veya bir sözleşmeye girmeden önce veri sahibinin talebi üzerine gerekli adımların atılması için işleme gereklidir.
• Veri sorumlusunun tabi olduğu yasal bir yükümlülüğe uyum için işleme gereklidir.
• Veri sahibinin veya başka bir gerçek kişinin hayati menfaatlerini korumak için işleme gereklidir.
• Kamu yararına yürütülen bir görevin yerine getirilmesi veya kontrolöre verilen resmi yetkinin kullanılması için işleme gereklidir.
• Kişisel verilerin korunmasını gerektiren veri sahibinin çıkarları veya temel hakları ve özgürlükleri, bu çıkarların, özellikle verinin veri sahibi olması durumunda, veri sahibinin çıkarları veya temel hakları ve özgürlükleri tarafından geçersiz kılınmadığı sürece, veri sorumlusu veya üçüncü bir kişi tarafından izlenen meşru menfaatlerin amaçları için işleme gereklidir. konu çocuk.

Razı olmak

“Rızanın açık ve diğer hususlardan ayırt edilebilir olması, anlaşılır ve kolay erişilebilir bir biçimde, açık ve sade bir dil kullanılarak verilmesi gerekir.” Bu, müşterilerinizin rıza almaya zorlanamayacağı veya kişisel verilerinin işlenmesini kabul ettiklerinin farkında olamayacakları anlamına gelir. Ayrıca, rızaları geri çekme hakları hakkında önceden bilgilendirilmeli ve rıza verirken tam olarak neye rıza gösterdiklerini bilmelidirler.

Erişim Hakkı, Veri Taşınabilirliği ve Silme Hakkı

Toplamadan sonra bir kayıt tutun ve rızanın ne için verildiğini ve ne için verildiğini kanıtlayabileceksiniz. Hangi verilerin toplandığını, nasıl kullanıldığını, nerede saklandığını, kimlerin bu verilere erişimi olduğunu ve ne kadar süreyle ihtiyaç duyulduğunu bilmeniz (ve bunun için bir kayıt yazmanız) gerekir. Bu verileri, toplama noktasında verilenler dışında herhangi bir nedenle kullanmayın.

• Erişim hakkı – veri öznesine bilgilerini güncelleme veya bilgi güncelleme taleplerini işlemek için yürürlükte bir prosedüre sahip olma yeteneği sağlamak
• Veri taşınabilirliği – veri sahibine tüm verilerin bir kopyasını ortak bir formatta sağlayabilme
• Unutulma hakkı – veri sahiplerinden gelen tüm verileri silme taleplerini karşılamaya hazır olun ve bunu 30 günlük bir süre içinde yapacak bir sürece sahip olun

Veri İhlallerini Raporlama

GDPR ayrıca, veriler anonimleştirilmediği veya şifrelenmediği sürece, veri denetleyicisinin bir kişisel veri ihlalini öğrenmesinden itibaren 72 saat içinde denetim makamını (DPC) bilgilendirmek için yasal bir yükümlülük altında olduğuna dair yeni bir gereklilik içerir. Ayrıca, ihlalin ilgili kişiye zarar verme olasılığı varsa, aynı süre içinde etkilenen kişilere de bildirilmelidir.

Tasarım ve DPIA ile Gizlilik

Yeni sistemler geliştiren şirketlerin, ürün ve hizmetler için iş süreçlerinin geliştirilmesine yönelik veri koruma tasarlaması gerekecektir. Gizlilik ayarları varsayılan olarak yüksek düzeyde ayarlanmalı ve ürün veya hizmetin yaşam döngüsü boyunca verilerin işlenmesinin mevzuata uygun olmasını sağlamak için denetleyici tarafından önlemler alınmalıdır.

Web sitenizin veya pazarlama girişimlerinizin işe yarayıp yaramayacağından emin değil misiniz? Mevcut durumunuzu gözden geçirmek ve uymanız gerekenler hakkında bazı geri bildirimler sağlamak için sohbet etmekten memnuniyet duyarız.

Hızlı GPR Sözlüğü

Veri Sahibi: AB'de yaşayan bir kişi.

Kişisel Veriler: Kimliği belirli/tanımlanabilir veri sahibine ilişkin her türlü bilgi (isim, TC Kimlik numarası, adres, IP Adresi vb.)

Denetleyici: İnsanların kişisel verilerini toplayan ve bunlarla ne yapılacağına karar veren bir şirket veya kuruluş. Örnek – bir pazarlamacı olarak sizin için çalıştığınız şirket

İşlemci: Verileri talimatlarına göre "işleyerek" bir denetleyiciye yardımcı olan, ancak verilerle ne yapacağına karar vermeyen bir şirket veya kuruluş. Örnek – Google Analytics aracılığıyla Google

Veri İşleme: Toplama, kaydetme, düzenleme, yapılandırma, depolama, uyarlama veya değiştirme, geri alma, danışma, kullanma gibi kişisel veriler veya kişisel veri kümeleri üzerinde otomatik veya başka yollarla gerçekleştirilen herhangi bir işlem veya işlem dizisi, iletim, yayma veya başka bir şekilde kullanıma sunma, hizalama veya birleştirme, kısıtlama, silme veya imha yoluyla açıklama.

Veri Koruma Görevlisi (DPO): GDPR uyumluluğunu denetleyen ve veri gizliliği uzmanı olan bir denetleyici/işlemci temsilcisi.

Veri Gizliliği Etki Değerlendirmesi (DPIA): Belirli bir işleme türü için yararlılık, riskler ve risk azaltma seçeneklerinin belgelenmiş bir değerlendirmesi.

Denetim Otoritesi: Eskiden “veri koruma yetkilileri” olarak anılırdı; bir üye devlette, o ülkenin veri gizliliği uygulamasını denetleyen bir veya daha fazla devlet kurumu (örneğin, İrlanda Veri Koruma Komiserliği Ofisi, Almanya'nın 18 ulusal/bölgesel makamı).