95/46/EC sayılı Veri Koruma Direktifi’nin yerini alan GDPR hakkında yeterli bilgi sahibi misiniz?
Geçtiğimiz ay resmen yürürlüğe giren GDPR (General Data Protection Regulation) için web sitenizde revizyona gittiniz mi? Eğer gitmediyseniz mutlaka yapmanız gereken değişiklikleri en sade haliyle sizinle paylaşıyoruz.
GDPR’dan “Bana ne? Benim web sitem Türkiye’de barınıyor.” diyorsanızda büyük bir yanılgı içerisinde olduğunuzu söylememiz gerekir. Çünkü web siteniz AB ülkelerinden trafik almaya başladığı anda GDPR uygulama alanı bulacaktır.
Tüm Kullanıcı Formlarını Kontrol Edin
İster sadece üyelik, isterse de satış e-ticaret yapan bir web siteniz olsun, hiç farketmez. GDPR kullanıcıdan kişisel veriyi aldığınız an uygulamaya geçecektir. Örneğin üyelik aşamasında kullandığınız bir kayıt formu var. Siz bir üyeden e-mail adresini aldığınız anda GDPR himayesine girdiniz demektir.
Her kullanıcı formu için gayet net ve görülecek bir şekilde gizlilik politikanız yer almalıdır. Bu politika bir bağlantı olacağı gibi aynı sayfada da yer alabilir. Önemli olan kullanıcının gizlilik politikasını kabul ettiğini gösteren check box’u işaretlemesidir.
Not: “Gizlilik politikasını kabul ediyorum.” seçeneği için varsayılan olarak check işareti bulundurmayın. Bu durum açıkça GDPR’a aykırıdır.
Ayrıca olabildiği kadar az kişisel veri alın. Gizlilik politikanızda kişisel verilerin her biri için neden istendiğini açıklamak zorundasınız. Yani bir kullanıcı için meslek sorusu sorduğunuzda bu veriyi ne amaçla istediğiniz mutlaka belirtilmeli.
Üzerinde durulması gereken bir diğer önemli hususta kullanıcının rızası. Web sitenize kayıt olan bir kullanıcının e-posta adresine rızasını almadan bülten göndermeniz GDPR’a aykırıdır. Bunun için özellikle izin alınması lazım. StartUp Legalist Blog’da gezerken sitenin çeşitli yerlerinde gördüğünüz “Bülten Kaydı İster Misiniz?” tarzında bir form, işinizi görecektir.
Gizlilik Politikası
Gizlilik politikası GDPR’ın getirdiği en önemli değişikliklerden. Şöyleki her web sitesinde istisnasız olarak bir gizlilik politikası bulunmak zorunda. Bu politikada:
- Web siteniz ne tür bilgileri topluyor ve ne amaçla kullanıyor?
- Web siteniztoplanan verileri nasıl işliyor?
- Web siteniz toplanan bilgileri nasıl koruyor?
- Web siteniz toplanan bilgileri başkalarıyla paylaşıyor mu? Eğer öyleyse kimlerle paylaşılıyor?
- Web sitenizin site üyelerinin kişisel verileri üzerinde bir kontrolü var mı?
- Veri ihlali durumunda kullanıcıları nasıl bilgilendireceksiniz?*
- Sorularına mutlaka cevap vermelisiniz. Sitenizin çalışma prensiplerine göre bu sorular artış gösterecktir.
*Bir veri ihlalini öğrendikten sonra (barındığınız kişisel verilerin saldırıya uğraması) kullanıcıları en geç 72 saat içerisinde bilgilendirmeniz gerekmektedir. Son zamanlarda Twitter, BiletX gibi kuruluşların e-posta ile tarafınıza veri ihlalini bildirmesi GDPR’nin getirdiği bir yeniliktir.
Çerezlerin (Cookies) Kullanımı
Her web sitesine ilk defa girdiğinizde sitenin altında, üstünde, sağında ya da solunda “Çerez politikasını kabul ediyorum.” veya “Bu siteye girmekle çerez politikasını kabul etmiş sayılırısınız” şeklinde bir uyarı çıkar. İşte bu uyarılar yine GDPR yeniliğidir.
Çerezler pazarlamanın ayrılmaz bir parçası haline gelmiştir. Ziyaretçi demografisini analiz etmek, kişiselleştirilmiş web deneyimleri sağlamak, yeniden hedeflemeye dayalı reklamlar yayınlamak için kullanılır. Tüm bu faaliyetler için kullanılan çerezler GDPR kapsamında kişisel veri topladığından kullanıcılara çerez politikanızdan bahsetmelisiniz.
Politika ayrı olarak düzenlenebileceği gibi Gizlilik politikası içerisinde “Çerezler” alt başlığını taşıyacak biçimde de yer alabilir.
Çok önemli not: “Bu siteye girmekle çerez politikasını kabul etmiş sayılırısınız” şeklinde kullanıcıya tercih imkanı vermeyen çerez bilgilendirmeleri GDPR’a göre geçersizdir. Kullanıcı çerez politikasını kabul edip etmemekte özgür bırakılmalı ve bu yöndeki iradesini istediği zaman değiştirebilmelidir.
Veri Koruma Sorumlusu
KVKK veri koruma sorumlusunu “Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemektedir.” şeklinde tanımlamakta. Yani GDPR’ın yanı sıra doğrudan KVKK’de bir veri koruma sorumlusu bulundurmanız gerektiğine işaret ediyor.
Bu nedenle bir veri koruma sorumlusunu mutlaka belirtmeniz gerekecektir.
Merhaba,
KVKK tarafından yapılan son düzenleme ile VERBİS’e kayıt süresi uzatıldı.
Ancak, kimlerin VERBİS’e kayıt olması gerektiği hala büyük bir muamma. Örn, KVKK tarafından yapılan açıklamada şöyle denilmektedir; “Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları”
Soru-1: Ana faaliyet konusu özel nitelikli kişisel veri işleme olmayan gerçek ve tüzel kişiler kimlerdir, bunun tespiti nasıl ve neye göre yapılmaktadır?
Soru-2: Bir Yaşam Koçu sadece iletişim formu ile ad-soyad-eposta topladığı için VERBİS’e kayıt olmak zorunda mıdır?
Soru-3: Ana faaliyet konusu özel nitelikli kişisel veri işleme olmayan gerçek ve tüzel kişiler kayıt zorunluluğu olmasa da internet sitelerinde Aydınlatma Metni yayınlamak zorundalar mı?
Bu konudaki cevaplarınızı merak ediyoruz.
İyi çalışmalar
Merhaba,
Aslında ayrımı 6698 Sayılı Kanunun 6. Maddesi göstermiş. Bu maddeyi göz önünde bulundurarak “özel nitelikli kişisel veri”nin neler olduğunu sıralayabiliriz.
1- Ana faaliyet konusu özel nitelikli kişisel veri işleme olmayan gerçek ve tüzel kişiler 6698 Sayılı Kanunun 6. Maddesinde belirtilen verileri işlemeyen kişilerdir. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri özel nitelikli veri olarak kabul edilir ve sınırlı sayıdadır. (numerus clausus) Bu nedenle kıyas yolu ile genişletilmesi mümkün değildir.
2- Yalnızca bahsettiğiniz bilgileri topluyorsanız hayır, verbise kaydolmak zorunda değilsiniz. Tabii ki 6698 Sayılı Kanunun 9. maddesine düzenlenen bu istisnai durumdan yararlanmak için yıllık çalışan sayısının 50’den az ve mali bilanço toplamının 25 milyon TL’den az olması gerekmektedir.
3- Evet, aydınlatma metnini, kişisel veri topladığınız için (ad&soyad, e-mail) websitenizde bulundurmanız gerekmektedir.
İyi çalışmalar.