Genel Veri Koruma Yönetmeliği (GDPR), şirketlerin ve diğer kuruluşların kişisel verileri nasıl ele aldığını kontrol eden AB çapında bir düzenlemedir. Bu, 20 yıl içinde veri koruma konusunda en önemli girişimdir ve Avrupa Birliği'nden bireylere hizmet eden dünyadaki herhangi bir organizasyon için büyük etkileri vardır.
İnsanlara verilerinin nasıl kullanıldığı üzerinde kontrol sağlamak ve "gerçek kişilerin temel hak ve özgürlüklerini" korumak için, mevzuat veri işleme prosedürleri, şeffaflık, dokümantasyon ve kullanıcı onayı ile ilgili katı gereklilikler belirler.
Her kuruluş kişisel veri işleme faaliyetlerini kaydetmeli ve izlemelidir.
Veri denetleyicisi olarak, her kuruluş kişisel veri işleme faaliyetlerini kaydetmeli ve izlemelidir. Bu, kuruluş içinde işlenen kişisel verileri değil, aynı zamanda veri işlemcileri adı verilen üçüncü taraflarca da ele alınır.
Veri işlemcileri, Hizmet Olarak Yazılım sağlayıcılarından yerleşik üçüncü taraf hizmetlerine, kuruluşun web sitesindeki ziyaretçileri izleyip profillendirmeye kadar her şey olabilir.
Hem veri denetleyicileri hem de işlemciler, ne tür verilerin işlendiğini, işlemenin amacını ve verilerin hangi ülkelere ve üçüncü taraflara iletildiğini açıklayabilmelidir.
Kişisel veriler, GDPR'nin ulaşamayacağı kuruluşlara veya yargı bölgelerine gönderiliyorsa veya GDPR tarafından 'yeterli' kabul edilmezse, kullanıcıyı özellikle bu ve ilgili riskler hakkında bilgilendirmek gerekir.
Tüm onaylar, onay verildiğine dair kanıt olarak kaydedilmelidir.
1 Ekim 2019'da Avrupa Birliği Adalet Divanı, AB'deki tek geçerli rıza biçiminin açık rıza olduğuna karar vermiştir.
Bu, web sitelerinin GDPR'nin zorunlu kıldığı gibi yalnızca hassas kişisel veri kategorileri için değil, her türlü kişisel veri için olumlu ve aktif onay alması gerektiği anlamına gelir.
Geçerli rıza hakkındaki CJEU kararı, web sitenizin onay banner'ının, web sitenizin temel işlevi için kesinlikle gerekli olanlar dışında çerez kategorileri üzerinde önceden işaretlenmiş onay kutularına sahip olmasına izin verilmediği anlamına gelir.
Bu önceden onay olarak bilinir.
Bireyler artık "veri taşınabilirliği hakkına", "veri erişim hakkına" ve "unutulma hakkına" sahiptir ve istedikleri zaman onaylarını geri alabilirler. Bu durumda veri denetleyicisinin artık toplanma amacına gerek duyulmuyorsa bireyin kişisel verilerini silmesi gerekir.
Veri ihlali durumunda, şirket veri koruma yetkililerini ve etkilenen kişileri 72 saat içinde haberdar edebilmelidir.
Ayrıca, GDPR kamu yetkilileri, 250'den fazla çalışanı olan kuruluşlar ve büyük ölçekli hassas kişisel verileri işleyen şirketler için bir veri koruma görevlisi (DPO) istihdam etmek veya eğitmekle yükümlüdür. DPO, kuruluş genelinde GDPR uyumluluğunu sağlamak için önlemler almalıdır.
Brexit ile ilgili olarak, Birleşik Krallık Hükümeti GSYİH'yi büyük ölçüde takip edecek eşdeğer mevzuat uygulamayı planlamaktadır.
GSYİH web sitem için ne anlama geliyor?
Web siteniz AB'den bireylere hizmet veriyorsa ve siz - veya Google ve Facebook gibi yerleşik üçüncü taraf hizmetleri - her türlü kişisel veriyi işliyorsanız, ziyaretçiden önceden onay almanız gerekir.
Geçerli onay almak için, herhangi bir kişisel veriyi işlemeden önce, veri işleminizin kapsamını ve amacını ziyaretçiye açık bir dilde açıklamanız gerekir.
Bu bilgiler her zaman ziyaretçinin kullanımına açık olmalıdır, ör. gizlilik politikanızın bir parçası olarak. Ayrıca ziyaretçinin rızasını değiştirmesi veya geri çekmesi için kolay bir yol açmalısınız.
Tüm onaylar kanıt olarak kaydedilmelidir. Kişisel verilerin tüm izleme ve ayrıca kullanılan üçüncü taraf hizmetleri belgelenmelidir;
Veri koruma yasalarının reformu hakkında AB infopage'ini inceleyin.
