Genel Veri Koruma Yönetmeliği (GDPR)

Published · Updated

Genel Veri Koruma Yönetmeliği (GDPR) Nedir?

Genel Veri Koruma Yönetmeliği ( Avrupa Birliği’nde (AB) yaşayan bireylerden kişisel bilgilerin toplanması ve işlenmesi için yönergeler belirleyen yasal bir çerçevedir. Yönetmelik, web sitelerinin nerede bulunduğuna bakılmaksızın geçerli olduğundan, özellikle AB sakinlerine mal veya hizmet pazarlamıyor olsalar bile, Avrupalı ​​ziyaretçileri çeken tüm siteler tarafından dikkate alınmalıdır.

GDPR, AB ziyaretçilerine bir dizi veri ifşası verilmesini zorunlu kılar. Site ayrıca, kişisel verilerin ihlal edilmesi durumunda zamanında bildirim olarak bu tür AB tüketici haklarını kolaylaştırmak için adımlar atmalıdır. Nisan 2016’da kabul edilen Yönetmelik, iki yıllık bir geçiş döneminin ardından Mayıs 2018’de tam olarak yürürlüğe girdi.

GDPR’nin Müşteri-Hizmet Gereklilikleri

Kurallara göre, ziyaretçilere sitenin kendilerinden topladığı veriler hakkında bilgi verilmeli ve bir Kabul Et düğmesine veya başka bir işleme tıklayarak bu bilgi toplamaya açıkça izin vermelidir. (Bu gereksinim, sitelerin “çerezler” (site ayarları ve tercihleri ​​gibi kişisel bilgileri tutan küçük dosyalar) topladığı açıklamaların her yerde bulunup bulunmadığını büyük ölçüde açıklamaktadır.)

Siteler ayrıca, site tarafından tutulan kişisel verilerinden herhangi birinin ihlal edilmesi durumunda ziyaretçilere zamanında bildirimde bulunmalıdır. Bu AB gereksinimleri, sitenin bulunduğu yargı alanında gerekenden daha katı olabilir.

Ayrıca, sitenin veri güvenliğinin ve özel bir veri koruma görevlisinin (DPO) işe alınmasınıngerekip gerekmediğiveya mevcut bir personelin bu işlevi yerine getirip getiremeyeceğininbir değerlendirmesi de zorunludur.

Ziyaretçilerin diğer önlemlerin yanı sıra sitedeki varlıklarının silinmesini de içeren AB veri haklarını kullanabilmeleri için DPO ve diğer ilgili personel ile nasıl iletişim kurulacağına ilişkin bilgiler erişilebilir olmalıdır. (Doğal olarak, sitenin bu tür talepleri yerine getirebilmesi için personel ve diğer kaynakları da eklemesi gerekir.)

Genel Veri Koruma Yönetmeliğinin (GDPR) Diğer Kuralları ve Zorunlulukları

Tüketiciler için daha fazla koruma olarak, GDPR ayrıca sitelerin topladığı kişisel olarak tanımlanabilir bilgilerin (PII) anonim hale getirilmesini (terimin ima ettiği gibi anonim hale getirilmesini) veya takma adla (tüketicinin kimliğinin takma adla değiştirilmesini) talep eder. Verilerin anonim hale getirilmesi, firmaların belirli bir bölgedeki müşterilerinin ortalama borç oranlarını değerlendirmek gibi daha kapsamlı veri analizi yapmasına olanak tanır – aksi takdirde bir kredinin kredi itibarını değerlendirmek için toplanan verilerin orijinal amaçlarının ötesinde olabilecek bir hesaplama.

GDPR, müşterilerden toplananların ötesinde verileri etkiler. En önemlisi, belki de düzenleme, çalışanların insan kaynakları kayıtları için geçerlidir.

GDPR ile İlişkili Tartışmalar

GDPR bazı çevrelerde eleştiri aldı. Bazılarına göre, DPO’ları atama veya basitçe bunlara olan ihtiyacı değerlendirme gerekliliği, bazı şirketlere aşırı bir idari yük getirmektedir. Bazıları ayrıca çalışan verileriyle en iyi nasıl başa çıkılacağı konusunda yönergelerin çok belirsiz olduğundan şikayet ediyor.

Ek olarak, alıcı şirket AB’nin gerektirdiği aynı koruma derecesini garanti etmediği sürece veriler AB dışındaki başka bir ülkeye aktarılamaz. Bu, ticari uygulamalarda maliyetli aksamalar hakkında şikayetlere yol açmıştır.

Kısmen müşterileri ve çalışanları benzer şekilde veri koruma tehditleri ve çareleri konusunda eğitme ihtiyacının artması nedeniyle GDPR ile ilişkili maliyetlerin zaman içinde artacağına dair başka bir endişe var. Ayrıca, AB ve ötesindeki veri koruma kurumlarının, yönetmeliklerin uygulanmasını ve yorumlanmasını nasıl uygun bir şekilde hizalayabileceklerine ve böylece GDPR daha tam bir etki yarattıkça eşit bir oyun alanı sağlayabileceklerine dair şüpheler var.