Genel Veri Koruma Yönetmeliğinin gelişi

GDPR nedir ve web siteleri ve e-ticaret siteleri için kişisel verileri korumanın anlamı nedir?

Genel Veri Koruma Yönetmeliğinin amaçları

Avrupa Birliği tarafından çıkarılan bu mevzuatın yararlılığını daha iyi anlamak için, GDPR'nin amaçlarını listelemek önemlidir. Bu yeni düzenleme ile kullanıcıların öncelikle kişisel verilerinin akıbeti konusunda daha bilinçli olmaları ve öncelikle açık rıza vermeleri gerekmektedir. Aynı veriler daha sonra aşırı derecede cimrilikle kullanılmalı, Avrupa Topluluğu dışında işlenmelerine izin verecek katı kurallar konulmalı ve son olarak Genel Veri Koruma Yönetmeliği hükümlerini ihlal edenler için ağır cezalar uygulanmalıdır. Bunlar, bu yeni gizlilik düzenlemesinin dayandığı noktalardır, ancak yayınlanmasından kısa bir süre sonra, Genel Veri Koruma Yönetmeliği zaten bazı kusurlar sunmaktadır.

Üye devletlerin "oranı" ve İtalyan bataklığı

Genel Veri Koruma Yönetmeliği, kendisini gizlilik adına önemli bir baskıyı garanti eden bir kurallar sistemi olarak sunmuştur. Bununla birlikte, yasama döneminde AB, üye devletlere bu yeni belgede yer alan düzenlemeleri "yorumlayabilme" olanağını bırakmıştı. Bu, çok vaat edilen katılığın daha başlamadan ortadan kalktığı ve örneğin Fransız ve İspanyol kullanıcıların kişisel verilerinin Portekizli veya Alman kullanıcılardan farklı şekilde ele alındığını görebileceği anlamına gelir. İtalya'daki durum daha da tuhaftır: Bugüne kadar Hükümetimiz Genel Veri Koruma Yönetmeliği'ne ilişkin kanun hükmünde kararnameyi henüz yayınlamamıştır, bu nedenle Avrupa yönetmeliği ülkemizde halen geçerlidir. Kanun hükmünde kararname olmaksızın, bu yeni belgenin mahremiyete ilişkin hükümlerini ihlal edenlerin kovuşturulması ve cezalandırılması mümkün olmadığı gerçeği olmasaydı, işin kendi içinde olumlu yönleri de olabilirdi.

"Kişisel veriler" ile ne kastedilmektedir?

"Kişisel veri" terimi, günlük hayatın çeşitli alanlarında kullanılmakta (ve suistimal edilmektedir), ancak uzman olmayan herkes için yanıltıcı bir kavramdır. Aynı zamanda hassas verilerin korunması ve mahremiyetin ihlaline karşı kurallardan bahsettiğimiz düşünülürse, “kişisel veriler” konusunda net bir fikre sahip olunması esastır. "kişisel veriler": bu nedenle bu kategori ad, soyad, vergi kodu, doğum tarihi, adres, telefon numarası ve çok daha fazlasını içerir. Bununla birlikte, web portallarında gizlilikten bahsettiğimizde, bir konuyu benzersiz şekilde tanımlayan başka unsurlar da vardır, bunlar daha çok aynı cihazların kullandığı cihazlara atfedilebilir: IP adresleri, e-posta adresleri, tanımlama bilgileri vb.

Bu tanım ışığında şu soru ortaya çıkıyor: Peki kullanıcılar hassas verilerini bir web sitesine emanet etmeye ne zaman karar veriyor? Vakaların büyük çoğunluğunda bu işlem, ister ayrılmış bir alan oluşturmak, ister sadece bir haber bültenine abone olmak olsun, portaldaki kayıt aşamasında gerçekleşir. Spesifik olarak, o zaman, birçok e-ticaret siteleri ayrıca "hassas" olarak tanımlanabilecek diğer veri türlerine de erişebilirler: her şeyden önce, çevrimiçi işlemleri gerçekleştirebilmek için kesinlikle gerekli olan finansal niteliktekiler (banka kodları, IBAN ve vergi ikametgahı). Daha az dikkate alınan ancak yine de kişisel veri kategorisine atfedilebilen tüketim alışkanlıkları da vardır: hangi sosyal ağı kullanıyorsunuz? Favori içeceğin nedir? İnternetten en son satın aldığınız ürün nedir? Önemsiz gibi görünen bu sorular, bir tüketici profili yaratma eğilimindedir, böylece kullanıcıya yalnızca gerçekten merakını uyandırabilecek mal ve hizmetler sunulur. Bu verilerin ticari amaçlarla kullanılması da her zaman Genel Veri Koruma Yönetmeliği hükümlerine uygun olarak kullanıcıya açıkça açıklanmalıdır.

Yeni Genel Veri Koruma Yönetmeliği ile ne yapılmalı?

arkasındaki teorik yönleri derinleştirmek kişisel verilerin korunması gereklidir, ancak web portallarını ve e-ticaret sitelerini yöneten herkes temelde bu yeni gizlilik mevzuatı ile ilgili yapılacak yeni işlemlerin neler olduğunu anlamak ister.

Gizlilik Politikası ile birleştirilmiş iletişim formları

Daha önce de yazdığımız gibi, kullanıcılar kişisel verilerinin belirli amaçlarla toplanabileceğini ve işlenebileceğini bilmelidir. Bu nedenle, kullanıcının e-ticaret sitelerine kayıt olurken veya bir İnternet portalını ziyaret ederken açık bir şekilde rıza göstermesi esastır. Bu nedenle Genel Veri Koruma Yönetmeliği herkesi zorunlu kılar. İnternet siteleri Bir var Gizlilik Politikasıveya kullanıcılara ne tür verilerin toplandığının, bunları kimlerin ve neden topladığının açıklandığı ancak her şeyden önce bunların üçüncü şahıslara aktarılıp aktarılmadığı ve ne kadar süreyle tutulduğu açıklanmalıdır. portal veritabanı. Böyle bir belgenin çoğu zaman özellikle uzun ve sıkıcı olduğu ve web kullanıcılarının (kendi kişisel güvenliklerine rağmen) okunacak uzun metinlerin olduğu internet sitelerinden kaçınma eğiliminde oldukları göz önüne alındığında, Gizlilik Politikalarının birleştirilmesi gerektiği tespit edilmiştir. kullanıcının kişisel verilerini fiziksel olarak girdiği formlarla. Bu nedenle, örneğin bir web sitesi haber bültenine abone olduğunuzda, adınızı, soyadınızı ve e-posta adresinizi girmenin yanı sıra, kullanıcının kişisel verilerin işlenmesine izin verilmesiyle ilgili kutuyu "işaretlemesi" gerekir.

Veri kaydı ve Google Analytics

Bu yeni mevzuat, diğer hususların yanı sıra, kişisel verilerin korunmasını düzenlemenin yanı sıra, e-ticaret sitelerinin ve web portallarının yöneticilerini kayıt altına almak ve hassas kullanıcı referanslarını saklamakla yükümlü kılmaktadır. Sadece bu da değil, kullanıcının kişisel verilerinin işlenmesine izin verdiği tarih bile kolayca doğrulanabilir olmalıdır. Bu nedenle, web sitelerinin herhangi bir zamanda yararlanabilecekleri ve bir veri kayıt aracıyla birleştirilmesi gereken gerçek bir veritabanına sahip olmaları gerekir. İkincisi, kullanıcının portala eriştiği cihazın IP adresini kaydeden bir yazılımdır ve bu şekilde verilen iznin kaynağını, tarihini ve saatini her an doğrulamak mümkündür.

Veri kayıt araçlarına başvurmaları gerekir, örneğin, kullanıcıların kendi "ayrılmış alanlarına" sahip oldukları, hassas verilerini istedikleri zaman kontrol edemeyecekleri, aynı zamanda gerekirse değiştirebilecekleri ve/veya veya onları sil. Dünyanın en ünlü veri kayıt araçlarından biri, kullanıcıların web sitelerinin performansını kontrol etmek için kullandıkları aynı adlı Mountain View şirketinin yazılımı olan Google Analytics'tir. Google Analytics, her kullanıcının IP adresini, ziyaret edilen sayfaları, harcanan zamanı ve diğer birçok veriyi kaydeder. Bu yazılımları kullanan sitelerin yöneticileri, her zaman Genel Veri Koruma Yönetmeliği hükümlerine uygun olarak, Google Analytics gibi programların kullanıldığını portallarında açıkça belirtmelidir.

İşte Veri Koruma Görevlisi geliyor

için yeni kurallar kişisel veri güvenliği kullanıcıların web portallarına emanet ettikleri şeylerin yönetimi ve korunması sorumluluğunu üstlenmesi gereken belirli bir profesyonel figür sağlamak. Bu rakam, Veri Koruma Görevlisi veya Veri Koruma Memuru (DPO olarak kısaltılır). Veri Koruma Yöneticisi, her şeyden önce, yalnızca Genel Veri Koruma Yönetmeliği hakkında değil, aynı zamanda geçmiş, şimdiki veya gelecekteki mahremiyet konusunda yürürlükte olan diğer tüm düzenlemeler hakkında derin bir bilgiye sahip olmalıdır. O halde sitenin mülkiyeti konusunda kesinlikle bağımsız, kimseden emir almayan ve şirketin organizasyon şemasının üst yönetimi ile doğrudan konuşması gereken bir figür olmalıdır. Aynı zamanda, son olarak, kişisel verilerin güvenliği için yeni düzenlemelerle getirilenleri mümkün olan en iyi şekilde gerçekleştirmesine olanak tanıyan finansal ve insan kaynaklarını kullanabilmelidir. Aslında, figürün arkasında bile DPO açıklığa kavuşturulması gereken birkaç kusur ve yön var. Her şeyden önce Veri Koruma Görevlisinin becerileri ile ilgilidir: gerçekte bu kişi yalnızca gizlilik düzenlemeleri ile ilgili doğru becerilere sahip olmamalı, aynı zamanda özellikle belirli bir öneme sahipse, web portalı tarafından ele alınan konularda da yetkin olmalıdır. (tıbbi-bilimsel nitelikteki konuları ele alan portalları düşünün). Tüm bu becerileri tek bir figürde bulmanın imkansız değilse bile çoğu zaman zor olduğunu söylemeye gerek yok.

Genel Veri Koruma Yönetmeliğini ihlal etme riski nedir?

Yukarıda da belirttiğimiz gibi, bu yeni mahremiyet mevzuatına ilişkin yaptırım çerçevesi, özellikle burada, belirli bir kanun hükmünde kararnamenin bulunmamasının suçluları, en azından kağıt üzerinde, kovuşturmaya tabi tutmadığı İtalya'da, hala eksiktir. Ancak kullanıcıların kişisel verilerinin güvenliğini ön planda tutmayanların maruz kaldığı cezaları çok kısa bir şekilde özetlemek istesek bunları iki makro alana ayırabiliriz: