GDPR Değişiklikleri Hakkında

June 11th, 2018 Genel

25 Mayıs 2018 itibari ile çokça konuşulmaya başlayan GDPR kapsamı nedir ve hayatımızda neleri değiştirecek?Yazımızda kendi yorumumuzu da katarak bilgileri derledik. Keyifli okumalar…

GDPR  (General Data Protection Regulation) Nedir?

25 Mayıs 2018 itibari ile kişisel verilerin, markalar tarafından kullanımına yönelik oluşturulan bir yönerge olarak karşımıza çıkıyor. Yeni yönerge kullanıcı merkezli olduğundan, içinde bulundurduğu tüm maddeler tamamen kullanıcı düşünülerek oluşturulmuş. Bir başka deyişle, yönergenin kullanıcılara yönelik tasarlandığını söyleyebiliriz. GDPR’da kullanıcı, “ilgili kişi” olarak adlandırılmaktadır. Siz, ben ve diğer herkes, kişisel verilerimizin sahipleriyiz.

  • Daha önceki gizlilik yönergelerinde odak noktası, kişisel verileri işleyen işletme ya da ticari işlemlerin kendisiydi. Bu yönergeler sayesinde kişisel verilerin ne kadarının tutulacağı, bu verilerle ne yapabileceği gibi kurallar belirlenmiş durumdaydı.
  • GDPR’da ise odak noktası doğrudan kullanıcının kendisinin, kişisel verilerine ait hangi haklara sahip olacağı kesin bir çizgi ile çizilmiş durumda. Kişisel verileri işleyen herkes, ilgili kişinin haklarını gözetlediğinden emin olmak zorunda.
  • İlgili kişiye ait bilgilerin toplanması, saklanması ve işlenmesi için, öncelikle hangi amaç için ne maksatla bu bilgilerin ele alınacağını açık bir şekilde bildirmek gerekiyor. Eğer amaç değişirse ilgili kişiden yeniden muvaffakiyet almak gerekiyor. Buradan hareketle, Avrupa’daki tüm firmaların kişisel veri ile ilgili işlem yapmadan önce, bu verileri nasıl kullanacağıyla ilgili sıkı bir inceleme yapması gerekecek.

GDPR’a Göre Kişisel Veri Nedir?

GDPR, kullanıcıların “kişisel verilerini” koruyor. GDPR’da kişisel veri ise “tanımlanmış veya tanımlanabilir doğal kişiyle alakalı tüm veriler” kapsamında değerlendiriliyor. Birkaç basit örnek verilmesi gerekirse:

  • Fiziksel görünüşünüze dair veriler. Saç, göz ve ten rengi ya da vücut ölçüleriniz.
  • İsminiz, adresiniz, telefon numaranız, sosyal güvenlik numaranız gibi biyografik bilgileriniz.
  • Eğitim hayatınız ve çalışma geçmişiniz hakkındaki bilgiler. Okuduğunuz okullar, maaşınız, eğitim durumunuz, vergi bilgileriniz ve kimlik bilgileriniz.
  • Tıbbi veya genetik veriler.
  • Arama geçmişiniz, özel mesajlarınız veya konum bilgileriniz gibi hassas verileriniz.

Bu listedeki verilerin her biri sizi tanımlanabilir kişiye dönüştürüyor.

GDPR kapsamında bu listenin daha uzunca bir yolculuk yaptığını ve belirttiklerimizin kilit noktalar olduğunu unutmayın.

GDPR ile Değişen Kişisel Veri Politikası 

  • Kişisel veri, farklı alanlarda veya Google Analytics evreninde ‘Personally Identifiable Information’ (PII) olarak terimleştirilir ve bireylerin kimliklerini herhangi bir şekilde işaret edebilecek potansiyelde olan tüm veri çeşitlerini kapsar; e-mail adresi, telefon numarası, kimlik numarası, IMEI numarası, MAC adresi vb. Google kendi sunucularında bu tarz hassas verileri barındırmak istemediği için, PII konusunda oldukça sıkı bir politika yürütür ve ihlal durumunda hesabınızın kapanmasına kadar giden bir yaptırım sistemi uygular.
  • Peki Google Analytics’te PII kısmında belirttiğimiz tekilleştirici unsurları kullanmadan, kullanıcı bazlı bir ölçümlemeyi nasıl yapıyoruz? Kullanıcıları farklı platformlarda tanıyabilmek için Google Analytics ile kişiye özel, rastgele -ancak her platformda sabit- bir değer atayabiliriz, ki bunun teknik karşılığı User-ID bazlı bir ölçümleme demektir. Google Adwords, Doubleclick gibi Google evreni içerisinde yapılması gereken tekilleştirmeleri ise küçük ayarlar ile tarayıcı cookie’leri üzerinden gerçekleştirebiliriz.
  • Avrupa Birliği’nde hali hazırda yürürlükte olan veri koruma yönergesi yaklaşık 25 yıldır mevcut. Demografik kapsam açısından ise tüm AB vatandaşlarına ait veri korunumu amaçlandığı için, sadece EU’da konuşlanmış işletmeleri değil, AB dışında yerleşik ancak AB ile herhangi bir şekilde iş bağı bulunan bütün işletmeleri de kapsar durumda.
  • Bu bağlamda incelenecek olursa, Avrupa Birliği’nden bir kullanıcıya dair herhangi bir veriyi elinde tutan veya kullanmış olan her kişi veya kuruluş GDPR yönergesi kapsamında tedbirler almak durumunda.

Bu bağlamda reklam sektöründe faaliyet gösteren firmalar açısından durumu özetlersek;

  1. Yayıncı yönünden; en çok dikkat edilmesi gereken nokta, mutlaka ama mutlaka kullanıcının bilgilerini elde ederken ve bu veriyi saklarken onay şartını sağlamak. Kullanıcının onayı olmaksızın verilerinin kullanılması ve saklanması, karşınıza çıkabilecek herhangi bir durumda direkt bir suç niteliği taşımakta.
  1. Reklamveren yönünden; yeniden pazarlama (remarketing), dönüşüm (conversion) vb. reklam amaçlı etiketlerin kullanıldığı sitelerde, uyarı olarak mutlaka çerez kullanım bilgisi verilmesi gerekmektedir.
  • Kullanıcı datası güvenliği açısından , Facebook, Adwords gibi mecralara yüklenmesi gereken kullanıcı dataları, mutlaka müşterinin hesabı üzerinden ve müşteri tarafından yüklenmelidir. Müşteri tarafından mail üzerinden herhangi bir data paylaşımı yapılmamalı veya talep edilmemelidir.
  • Bu bağlamda reklamverenlerin kullandığı veya sakladığı çevrimdışı ve çevrimiçi tüm kullanıcı datalarının auditlenmesi tavsiye edilmektedir.
  1. Ajanslar yönünden; yukarıdaki iki maddenin koşullarını sağlayacak şekilde veri kullanmalı, bahsi geçen maddeleri yoksayacak uygulamalardan uzak durmalıdır. Reklamverelerin mecralar tarafından elde ettiği verilerin (Google Analytics vb.) saklanmasına dair uygulamalara gitmelidir. Konu ile alakalı detaylı bilgiye buradan ulaşabilirsiniz.

GDPR Uygulamasına Yönelik Dikkat Edilmesi Gereken Diğer Detaylar ise,

  • Neden ve nasıl veri topladığınızı veya kullandığınızı mümkün olduğunca sade bir dil ile anlatmak zorundasınız.
  • Büyük çapta hassas veriye sahip firmalar ‘Data Protection Officer’ olarak anılacak, yeni insanlar istihdam etmek zorundalar.
  • Herhangi bir veri sızıntısı olduğu zaman, en geç 72 saat içerisinde, şirketler ilgili kullanıcılara bilgilendirme yapmak zorundalar.
  • Ailesinin rızası alınmadan 16 yaşından küçük çocuklara ait veri toplanamaz. (Önceden bu sınır 13 yaş idi.)
  • Bulut servis sağlayıcıları da tüm bu kurallara uyum göstermek zorunda.
  • Kullanıcılar kendilerine ait tutulan verinin bir kopyasını talep edebilirler. Şirketler bu talebi 30 gün içerisinde, ücretsiz bir şekilde ve yaygın kullanıma sahip bir format kullanarak karşılama yükümlülüğündeler.

Özetle; teknolojinin bu kadar hızlı ilerlediği bir süreçte tüm iş süreçlerinizi optimize etmek ve performansları yukarı taşımak için farklı iş alalarında offline veya online olarak datanın kullanımı vazgeçilmezken, bunun legal boyutu göz ardı edilmemelidir.

İşin hukuksal boyutunda sözleşmelerden, teknik boyutunda datanın nasıl toplanıp nerelerde hangi amaçla kullanıldığına ve third party paylaşımlarındaki sınırlara kadar tüm sürecin data sahipleri tarafından denetime tabi tutularak kontrollerinin sağlanması önemlidir.

Her ne kadar şu an için GDPR Avrupa birliği kapsamında aktif olsa da Türkiye’de faaliyet gösteren firmaların da bir an önce bu yönergeye hazır olmalarını öneriyoruz.

 

No comments yet. You should be kind and add one!

Leave a Reply

Your email address will not be published.This is a required field!

You may use these HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>