GDPR: AB sakinleri için kişisel verilerin işlenmesi için yeni kurallar

Bu düzenleme, 28 Avrupa Birliği ülkesinin tümünü doğrudan etkilemektedir. Kişisel verilerin korunması konusundaki direktif çerçevesinin yerini alacaktır. 95/46 / EC 24 Ekim 1995. GDPR’nin önemli ince yönleri, kişisel işleme için yeni Avrupa düzenlemelerinin çalışmasından ekstratoritoryallerin ilkesidir. Hizmet Avrupa veya uluslararası pazarlara odaklanıyorsa, şirketin onlara dikkatlice dikkat etmelidir. Yeni düzenlemeler, AB vatandaşlarına toplam kişisel verilerini kontrol etmeleri için araçlar sağlar. Mayıs 2018’den bu yana, kişisel verilerin işleme kurallarını ihlal etme sorumluluğu daha ağır hale geldi: GDPR para cezasına göre 20 milyon avro veya şirketin yıllık küresel gelirinin% 4’üne kadar. Bu makalede, AB’de kişisel verilerin işlenmesi ve şirketler için GDPR’ye nasıl yanıt verileceği konusunda öneriler formüle etmek için yeni kurallar analiz ediyoruz.
GDPR Eylem Bölgesi GDPR’nin dışa dönük bir etkisi vardır ve şirketin yeri dışında nüfus ve Avrupa Birliği vatandaşlarının kişisel verilerini işleyen tüm şirketlere uygulanır. Tabii ki, AB bölgesindeki şubeler ve ofis temsilcisi ofisleri yeni gereksinimleri karşılamalıdır. Diğer konu kategorileri (belirsiz) aşağıdaki örnekte dikkate alınacaktır: Bu kuruluş AB bölgesinin dışına dayanmaktadır. AB’den kullanıcılar da dahil olmak üzere kullanıcılara ürün ve çevrimiçi hizmetler satar. Hizmetler, yerel dillerdeki kullanıcılara, AB ülkelerinin ulusal seviyesinin ulusal alanındaki yerel para birimlerindeki (örn. De, .nl veya .c.uk) sunulmaktadır. Aynı zamanda, bu kuruluş doğrudan AB bölgesinde herhangi bir operasyon veya taşeron gerçekleştirmez.
Böyle bir kuruluş GDPR’ye uymalı mı? Evet kesinlikle. Sonuçta, AB sakinlerine hizmetler ve mallar açıkça sunulmaktadır, çünkü: hizmetler/mallar AB nüfusunun yerel diline ayarlanır;
Yerel para birimlerinde ödenen hizmetler/mallar;
Hizmetler/mallar AB ülkelerinin ulusal düzeyde alanında verilmektedir.
Bu, çevrimiçi satış uygulayan çeşitli ülkelerde Avrupa kişisel verilerini işleyen kuruluşların (örneğin, trenler, havayolları, oteller, pansiyonlar vb.) GDPR’ye tabi olduğu ve kişisel verileri işlemek için yeni Avrupa düzenlemelerine uyması gerektiği anlamına gelir.
GDPR’de kişisel verilerin işlenmesine ek olarak, GDPR kapsamındaki diğer konu kategorilerini teşvik eden veri konularının davranışını izleme kavramının kullanıldığını belirtmek önemlidir. GDPR, AB dışında (kontrol veya işlemciler olarak) AB sakinlerinin davranışını kontrol ederse (AB’de bu davranışa gelince) kurulmuş kuruluşlar için geçerlidir. İzleme şunları içerebilir:
AB sakinlerini internette izlemek;
Bireysel profiller, davranışları veya bir şeyle ilişkiler oluşturmak için veri işleme yöntemlerinin kullanılması (örneğin, kişisel tercihleri ​​analiz etmek veya tahmin etmek).
Avrupa yasa koyucuları ayrıca veri kontrolü ve veri işlemcileri kavramını da paylaşmaktadır. Geminin kaptanı olarak hareket eden kontrolör, gemide denizci görevi gören işlemciden daha fazla yasal sorumluluk taşıyor. Aslında, denetleyici kişisel verilere ne olduğuna karar verir ve işlenmeden sorumludur ve işlemci bir tür “uygulama” dır.
Örneğin, çalışanlarınız tarafından müşterinin kişisel verilerini de saklayan görevleri ve projeleri yürütmek için kullanılan bulut sistemi bir veri işlemcisi ve dolayısıyla bir denetleyici olarak olacaktır. GDPR’deki kişisel verilerle kastedilen nedir? Kişisel veriler, doğrudan veya dolaylı olarak belirlenen veya tanımlanan (konu verileri) ile ilgili bireylerle ilgili bilgilerdir. Diğer şeylerin yanı sıra, bu bilgiler adını, konumu, çevrimiçi kimliği veya fiziksel, fizyolojik, genetik, entelektüel, ekonomik, kültürel veya sosyal kimliği ayırt eden daha fazla veya daha fazla faktörü içerir (Bölüm 1, nokta 4). Tanım, IP adreslerinin bile kişisel veriler olabileceği konusunda geniş ve oldukça açıktır. Özel veya gizli kişisel veri kategorisine dahil olan bazı kişisel veri türlerinin olduğunu belirtmek önemlidir. Bu bilgi ırk veya etnik kökenin kökenini, siyasi görüşleri, dini veya felsefi inançları ve sendikaların üyeliğini ortaya koymaktadır. Buna ek olarak, bu grup genetik verileri, bireyleri tanımlamak için kullanılan biyometri, sağlık durumu verileri, cinsel yaşam veya cinsel yönelim ile ilgili bilgileri içerir (Madde 9). 6 GDPR Veri İşleme İlkeleri Genel Avrupa Kişisel Verilerin işlenmesine yönelik yaklaşımlar altı temel ilke şeklinde formüle edilmiştir:
Yasallık, adalet ve şeffaflık. Kişisel veriler yasal, adil ve şeffaf bir şekilde işlenmelidir. Kişisel verilerin işleme amacı, yöntemi ve hacmi hakkında her bilgi erişilebilir ve mümkün olduğunca basit ilan edilmelidir.
Nesnel sınırlama. Veriler yalnızca Şirket tarafından belirtilen amaçlar için (çevrimiçi hizmet) toplanmalı ve kullanılmalıdır.
Verileri en aza indirin. Kişisel verileri işleme amacıyla gerekenden daha büyük bir ciltte toplayamazsınız. Yanlış kişisel veriler silinmeli veya geliştirilmelidir (kullanıcının isteği üzerine).
Depolama kısıtlamaları. Kişisel veriler, veri konularının işleme amacıyla gerekenden daha fazla olmayan bir süre için tanımlanmasına izin veren bir biçimde saklanmalıdır.
Bütünlük ve gizlilik. Kullanıcı verilerini işlerken, şirket kişisel verilerin işleme, yıkım ve yetkisiz veya yasadışı hasarlardan korunmasını sağlamalıdır.
GDPR ihlallerinin bildirimi için ana gereksinimler Şirketin, ihlalin tespitinden sonraki 72 saat içinde kişisel verilerle ilgili ihlallerle ilgili düzenleyici makamları (ve bazı veri konularında) bilgilendirmesi gerekmektedir.
Örneğin, Uber’e hacker saldırıları hakkındaki en son haberler, bu kuralı ihlal etmenin somut bir örneğidir. Uber, Basın’a bilgisayar korsanlarının bir yıl sonra 57 milyon kullanıcı ve sürücünün kişisel verilerine erişebileceğini söyledi. GDPR artık geçerlise, yıllık cironun% 4’ünün yüksek para cezalarından kaçınmak imkansızdır. Tüm AB ülkeleri için kişisel veri alanında ulusal otorite listesi burada verilmiştir. Ayrıca, 29. Madde üzerinde bir Pan-Avrupa Düzenleyicisi Çalışan Taraf 29 veya Çalışma Grubu da bulunmaktadır. Ancak, GDPR’nin yürürlüğe girmesinden sonra, 29. Madde’deki çalışma grubu yeni bir Body-Avrupa Veri Koruma Kurulu’nun (EDPB) yerini alacaktır. ).
GDPR veri konusu hakları, vatandaşların ve AB sakinlerinin kişisel verilerini kontrol etme haklarını önemli ölçüde genişletmektedir. Avrupalı ​​kullanıcılar, veri işleme, yerler ve işleme hedefleri, işlenmiş kişisel veri kategorisi, üçüncü taraf kişisel verilerin ifade edildiği, veri işleme süresi ve aynı zamanda kuruluşun kabul kaynağını netleştirme hakkına sahiptir. kişisel veriler ve düzeltilmesini gerektirir. Buna ek olarak, kullanıcılar veri işleme feshi talep etme hakkına sahiptir. GDPR ayrıca, Avrupalıların dağıtımdan kaçınma veya üçüncü taraflara aktarma talebinde kişisel verilerini silmelerini sağlayan unutulma hakkı silme hakkını da verir. Bu yeni bir hak değildir; Aynı zamanda mevcut direktife. 2014 Google İspanyolca davasında Kararında Avrupa Birliği Adalet Mahkemesi (CJEU), veri konusunun kamu yararını temsil etmezse arama sonuçlarından kendisi hakkında bilgi silme hakkına sahip olduğunu açıklamaktadır. Ancak, unutulma hakkı sadece arama motorlarına uzanmakla kalmaz. Verileri işleyen her şirket, kamu yararı veya Avrupalıların diğer temel haklarıyla çelişmezse, kişinin kişisel verilerini talep üzerine silmelidir. Örneğin, bir haber hizmeti iseniz, verileri silmeden önce, silinmenin konuşma özgürlüğünü ve Avrupa Birliği İnsan Hakları Şartı’nın 11. maddesine göre Avrupalılar için garanti edilen bilgilere erişme hakkını etkilemediğinden emin olun.
Veri Taşınabilirlik Hakları Veri taşınabilirliği hakkı, GDPR tarafından sunulan AB veri işleme kurallarında yeniliktir. Bu hak, şirketlerin kişisel verilerden kişisel verilerden kişisel verilerin kendisi konusunun talebi üzerine ücretsiz elektronik kopyalar sağlamasını gerektirir. Örneğin, “Sunny” adlı bir girişim, sosyal medya değişim siteleriyle pazara girmek istiyor, ancak piyasanın zaten büyük bir pazar payı ile kendi devi var. Veri taşınabilirliği hakkı, potansiyel müşterilerin bir çevrimiçi hizmetten başka bir çevrimiçi hizmete veri aktarmasını kolaylaştıracaktır (aynı verileri farklı sitelerde yeniden giriş yapmadan). Diğer örnekler. Veri konuları “e-kitap” e-kitap okuyucuları kullanır. Bir noktada kullanıcı “çevrimiçi okuma” hizmetine geçmeye karar verdi. Bu durumda, veri taşınabilirliği hakkı, kişisel veriler (örneğin, literatürde ve diğerlerinde tercihler) “elektronik kitaplardan” almanıza ve diğer hizmetlere aktarmanıza olanak tanır. GDPR işleme onayı, veri işleme için onay almak için yüksek gereksinimleri öngörür. Bir kişinin kişisel verilerin işlenmesi için onayı, bir ifade şeklinde veya net bir kullanıcı eylemi şeklinde belirtilmelidir ve
aktif. Kullanıcının seçeneği yoksa veya kendisine zarar vermeden onayını geri çekemezse, kişisel verilerin onaylanması geçersiz olacaktır. Kullanıcı kişisel verilerini işlemeyi kabul ettiyse, denetleyici bunu gösterebilmelidir. Varsayılan onay almak için varsayılan alanın onayla ilgili olarak varsayılan alanın kullanılması önerilmez. Onay ayrıca sessizce belirtilemez veya kullanıcıdan hareket etmez. Kişisel verilerin işlenmesi için onayı iptal etme prosedürü hakkında bilgi, kullanıcıların kolayca bulabilecek şekilde yerleştirilmelidir. Çocukların Özel Koruma Kişisel Veriler Çocuklar Özel Korumayı Haklar, çünkü kişisel verilerin işlenmesi ile ilgili risklerin, sonuçların, garantilerin ve hakların daha az farkında oldukları için. Çocuk veri işleme onayı ebeveynler (veya çocuk yasal temsilcileri) tarafından onaylanmalıdır. Ebeveynlerin yetkisi için yaş eşiği AB üyesi ülkeler (13 ila 16 yıl) tarafından ayrı ayrı belirlenir. Kişisel verileri korumaktan sorumlu kişinin atanması Bu gereksinim, büyük ve sistematik ölçekli gözlemler yapan, bireyleri izleyen şirketler için geçerlidir (yukarıda belirtilen);
Veya özel kişisel verileri büyük ölçekte işleyenler, örneğin tıbbi kayıtlar veya cezai cezalar hakkında bilgi. Her halükarda, herhangi bir kuruluş, kullanıcı veri işlemesini yönetmek ve GDPR gereksinimlerine uyumu izlemek için gönüllü olarak veri koruma görevlilerini atayabilir. Bu durumda, şirket çalışan hakkında bilgi yayınlamalı ve ilgili Avrupa Birliği devlet kişisel verilerinin korunması için Ulusal Düzenleyiciye göndermelidir. Ne yapalım? Yeni Avrupa Veri Koruma Yönetmeliği kapsamı veya AB ülkelerine hizmet ve mal sağlama ve sunma planları alanına girerseniz, şirkette kullanılan kişisel verilerin işleme yöntemleri ve araçları hakkında kapsamlı bir değerlendirme yapılması önerilir. ve onları yeni GDPR kurallarıyla uyumlu hale getirmek. Avrupa tüketicileri ve kullanıcıları için tasarlanan web sitelerinin ve çevrimiçi hizmetlerin kullanımı hükümlerinden kişisel verilerin işlenmesi konusundaki gizlilik ve düzenleyici politikaların da gözden geçirilmesi gerekmektedir. GDPR gereksinimlerine uymak için, dahili veri koruma politikaları geliştirmek, tren personelini kontrol etmek, veri işlemesini kontrol etmek, işleme süreci hakkında belgeleri korumak, doğuştan gelen gizlilik sistemine adımlar uygulamak ve kişisel verilerin işlenmesinden sorumlu kişiyi atamak gerekir. veriler (işlenmiş kişisel verilerin niteliği ve hacmi dikkate alınarak). Ciddi kişisel veri işleme için yeni gereksinimlerin yanı sıra, Avrupa dışı oyuncular için olumlu bir tarafı var:
Veri koruma ve işleme için bir dizi kurala uymak, GDPR’den önce nasıl yapıldığını her bir Avrupa Birliği’nin kişisel verilerinin işlenmesinin ulusal ayrıntılarını göz önünde bulundurmaktan daha kolaydır. Buna ek olarak, reformlar AB’de faaliyet gösteren şirketler için maliyetleri ve bürokrasiyi azaltarak ekonomik büyümeyi teşvik etmeyi amaçlamaktadır. Bir kurala uyum, 28 (AB üyesi ülke sayısı) değil, küçük ve gelişmekte olan şirketlerin yeni pazara girmesine yardımcı olacaktır. Yasaya göre, bazı durumlarda, yükümlülükler işin büyüklüğüne, işlenen verilerin niteliğine ve diğer faktörlere bağlı olarak değişir. Ayrıca, Avrupa Düzenleyici Otoritesinden gelen sorulara yanıt verme mekanizması ve GDPR çerçevesinde mümkün olan kişisel verilerin (kullanıcılar) konusu (örneğin, veri açıklaması, kaldırılması, işleme feshi veya diğer şirketlere aktarma ile ilgili olarak veri taşınabilirliği için uygun) önceden de dikkate alınmalıdır. GDPR, AB ve dışarıdaki kişisel verilerin korunma düzeyini önemli ölçüde artıran önemli bir yasama belgesidir. Bu çok dikkatli bir çalışma ve gözlem gerektirir. Reform, veri koruma alanında uygulanması gereken kuralların netliğini ve tutarlılığını sağlar. Ayrıca, işletmelerin tek Avrupa dijital pazarındaki fırsatlardan yararlanmalarına izin veren kullanıcıların güvenini de geri kazanır. Kişisel veriler açıkça “para” modern bir ekonomidir. Kişisel verilerin dünya çapında toplanması, analizi ve hareketi muazzam ekonomik çıkarlar elde etmiştir. Başvurunuzu GDPR’ye göre nasıl yapıyorsunuz?
1. İlk adımı topladığınız tüm verilere gerçekten ihtiyacınız olup olmadığını düşünün, hangi verileri topladığınızı kontrol etmektir. Onlara gerçekten ihtiyacın var mı? Gereken minimum kümeyi yönetmek anlamına gelen verilerin kullanımı ile gelecek için en iyi yol. 2. Şifreleme Tüm kişisel veri şifrelemesi genellikle GDPR uyumluluğunun temel faktörü olarak adlandırılır, ancak gerçekte gerekli değildir. Bu olasılığı görmezden gelmemelisiniz. Veri sızıntılarından kaçınılamaz, ancak uzmanlara göre, veri hırsızlığı nedeniyle hasarı azaltmanın en iyi yolu bitişin sonlandırılmasıdır. Bu yöntemde, veriler yalnızca istemci tarafından erişilebilen bir anahtar kullanarak istemcinin cihazında şifre çözülebilir. Maliyet veya performans nedeniyle şifreleme kullanamıyorsanız, takma adlar gibi alternatif yöntemler kullanabilirsiniz. HTTP’yi uygulamanızın önemli bir parçası haline getirin Geri bildirim formu genellikle kişisel bilgileri, örneğin e -posta adresi, telefon ve hatta ev adresi içerir. Kaydettiğinizde ve bu bilgileri sıradan metin olarak gönderdiğinizde bilgisayar korsanları için kapıyı açarsınız. Şifrelemeyi kullanın ve müşterilere verilerini nasıl ve ne zaman saklayacağınızı söyleyin. Bir sonraki adım, istemci ve sunucu arasında veri şifreleyen bir protokol olan HTTPS’yi uygulamaktır. Bu durumda istemciler, güvenli bir bağlantı için anahtar içeren bir SSL sertifikası alırlar. Bu nedenle, güvenilir bir sağlayıcıdan sertifika almak ve düzgün bir şekilde kurmak önemlidir. Ayrıca, sertifikanızın protokol güvenlik açığına karşı savunmasız olmadığından emin olun.
4. Mayıs 2018’den bu yana onay formunuzu sipariş etmek için getirin. Daha önce kontrol edilen onay işaretini unutmalısınız. Yeni yasa, “ücretsiz, spesifik, bilgilendirilmiş ve belirsiz olmayan kullanıcı onayı” gerektirir. Bu, onay formunuzun boş olması veya varsayılan olarak “değil” olarak ayarlanması gerektiği anlamına gelir. Bir parça parçası için onay isteyin, pazarlama amacıyla istemciyle iletişime geçmek istiyorsanız, her bir veri türünü ayrı ayrı işlemek için onay istemeniz gerekir. Örneğin, promosyon materyali e -posta, telefon ve mektup yoluyla göndermek istiyorsanız, onay şeklinde üç ayrı öğe yapmalısınız. Yalnızca e -postaya ihtiyacınız varsa, yalnızca pazarlama için onayınız olabilir. Ancak kişiselleştirme, segmentasyon veya hedefleme kullanıyorsanız, pazarlama mektupları için onay almanız ve demografik veri toplama veya ek davranış için onay almanız gerekir. 6. Üçüncü Taraflar Hakkında Özel Müşterinizin kişisel verilerini üçüncü taraflara aktarırsanız, tüm katılımcıları onay formunuzda göstermeniz gerekir.
Aynı zamanda, birçok kullanıcı verilerine üçüncü taraflara erişim sağlamak istemez. Bu sorunun üstesinden gelmenin en iyi yolu web analiz platformunuzu kullanmaktır. Google Analytics, belirli kullanıcıları izleyemediği için GDPR ile çelişmez. 7. Kullanım Koşulları için ayrı onay Diğer onay biçimlerinden, Kullanım Koşulları artık diğer onay biçimleriyle uyumlu olmayacaktır. Her türlü veriyi işlemek için kullanıcı izni istemeniz gerekir.
8. Kullanım Koşullarını Oluşturun, GDPR, parçaları kullanım gereksinimleriyle gizlememenizi ve bunları küçük kalıplarda yayınlamamanızı gerektiriyor gibi görünüyor. Bu tür planlar artık yasaya uymayacaktır: 9. Kullanıcıların onaylarını kolayca çekmelerine izin verin Kullanıcıların abone olmayı durdurabilmesi ve onaylarını istedikleri zaman geri çekebilmeleri gerekir. Örneğin, bülteninizde bir “Aboneliği Durdur” işlevi olmalıdır.
Ancak “Aboneliği Durdur” bağlantısı bile bu örnekte olduğu gibi sizin için işe yarayabilir:
10. Çerez politikanızı değiştirin Mayıs 2018’den beri reklam, analitik veya proje işlemleri için çerezleri kullanmayı bırakmanız gerekir veya kullanımları için yasal bir temel bulmalısınız. Bu, yasal yükümlülükler, kişisel hakları ihlal etmeyen yasal çıkarlar, sözleşme uygulama gereksinimleri veya kullanıcı onayı şeklinde olabilir. GDPR’ye göre, sitenizi ilk kez ziyaret etme eylemi, kişisel verilerin işlenmesi için onay almak anlamına gelmez. “Bu siteyi ziyaret ederseniz, çerez kullanma gereksinimlerini aldınız” gibi bir bildirim gösterseniz bile. Onaylarını geri çeken kullanıcılar için siteye erişimi engelleyemeyeceğinizi unutmayın. Ve hesaptan ayrıldıktan sonra, onlar hakkındaki tüm bilgileri silmeniz gerekir. 11. Web uygulamalarına kaydolurken kişisel bilgileri içeren güvenlik sorularından kaçının, genellikle şu sorular görürsünüz:
Bu yeni yasalar tarafından yasaktır. Mayıs 2018’den beri güvenlik sorunları müşterinin ailesini, tercihlerini, evlerini vb. İçeremez. İki faktör kimlik doğrulaması kullanmak veya kullanıcıların doğrulama için kendi sorularını yapmalarına izin vermek, ancak kişisel bilgileri ifade etmenin tehlikeleri konusunda uyarmak daha iyi olacaktır. 12. Kullanıcılara, sisteminizin kimlik doğrulama işlemi sırasında bir IP adresi veya konum bilgisi kullanıp kullanmadığını kontrol ettikleri IP adresi ile notları anlatın. Notlarınız verileri içeriyorsa, kullanıcıyı bu verileri kaydetme yolu ve zaman konusunda uyarmalısınız. Girişinizi açıklayın ve içindeki parola gibi hassas verileri kaydetmeyin. 13. Ödeme sonrasında tüm kişisel verilerin silindiğinden emin olun, ödeme biçimini kullanırsanız, kullanıcınızın kişisel bilgilerini toplayabilirsiniz. Birçok durumda, bu veriler GDPR’ye göre yasadışı sisteminizde kalır. Bu verilerin belirli bir süre içinde silinmesi için işleminizi tekrarlamanız gerekir. 14. Kullanıcıların Ticari Site İş Analiz Sisteminin izlenmesini reddetmesine izin verin, önerileri artırmak için kullanıcı davranışını izler. Şimdi bu tür faaliyetler mükemmel ve net bir anlaşma gerektirecektir. Kullanıcı izlemeyi reddederse, bu seçime saygı duymalısınız. 15. Abonelik kullanıcılarını durdururken kullanıcı verilerini silin Kullanıcılar hesaplarını ve kişisel verilerini silebilmelidir. İşiniz onlara tüm verilerin silineceğini açıkça göstermektir.