Web Sitenizle GDPR Uyumlu Olmak İçin 8 Adım

2018'de Avrupa Birliği , (European Union)Genel Veri Koruma Yönetmeliği(General Data Protection Regulation) ( GDPR ) olarak bilinen bir dizi veri koruma reformu uyguladı . Temelde GDPR , tüm farklı veri koruma yasalarını, her (GDPR)AB ülkesi(EU state) için geçerli olan tek bir kurallar dizisiyle değiştirdi . Pek çok işletme GDPR'ye uyumlu(GDPR compliant) olmak için politikalarını değiştirmek zorunda kaldı , ancak geçiş dönemine(transition period) rağmen yeni kurallarla ilgili hâlâ çok fazla kafa karışıklığı var. 

Peki GDPR nedir ve (GDPR)işletmenizi(business compliant) nasıl uyumlu hale getirebilirsiniz ?

Bu makalede, AB veri koruma direktifini(EU data protection directive) okumanıza gerek kalmadan GDPR(GDPR compliant) ile nasıl uyumlu olunacağını öğreneceksiniz . GDPR'nin(GDPR) ne olduğunu anlamanıza yardımcı olacağız ve sitenizi GDPR ile uyumlu(GDPR compliant) hale getirmek için hangi adımları atmanız gerektiğini size söyleyeceğiz .

GDPR Nedir?

GDPR , AB vatandaşlarının çevrimiçi gizliliğini(the online privacy) korumak için tasarlanmış Avrupa Birliği'nde(European Union) bir veri koruma yönergesidir . (data protection directive)Kişisel verilerin nasıl kullanıldığını ve web sitelerinin sizin hakkınızda ne tür veriler toplayabileceğini düzenler. Bir AB düzenlemesi(EU regulation) olmasına rağmen , GDPR , AB'den kullanıcılar tarafından erişilen tüm web siteleri için geçerlidir. Sonuç olarak, web siteleri ve işletmeler GDPR uyumlu olmalı veya AB trafiğini engellemelidir(GDPR compliant or block EU traffic) .

Bunu göz önünde bulundurarak, GDPR'nin(GDPR) işletmenizi etkileyebilecek temel yönleri şunlardır :

  • Siteniz, ziyaretçilere kişisel verilerinin toplandığını açıkça bildirmelidir.
  • Ayrıca, verilerinin nasıl ve neden toplandığını ve saklandığını da açıklamanız gerekir.
  • Kullanıcılar topladığınız kişisel verileri silmenizi(delete personal data) isterse, çoğu durumda talebe uymanız gerekir.
  • Kullanıcılar ayrıca sakladığınız tüm kişisel bilgilerin bir kopyasını isteyebilir.
  • İşletmenizin ana faaliyetlerinden biri kişisel verileri toplamak ve depolamaksa, bir veri koruma görevlisi(data protection officer) tutmanız gerekir .
  • Web siteniz ihlal edilirse ve kullanıcılarınızın kişisel bilgileri dışarı sızarsa, ihlali bildirmek için 72 saatiniz vardır.
  • GDPR düzenlemesinin çiğnenmesi (GDPR regulation), 20 milyon Euro'ya(fines of up to €20 million) (~24 milyon $) kadar veya şirketinizin yıllık cirosunun % 4'üne varan para cezalarına yol açabilir .

GDPR'nin(GDPR) temel amacı, insanları ve kişisel bilgilerini veri ihlallerinden(data breaches) korumaktır . Şimdi soru şu ki, GDPR(GDPR) kapsamına ne tür veriler giriyor ?

GDPR Tarafından Düzenlenen Veri Türleri(Types of Data Regulated by GDPR)

Web sitenizi sıfırdan oluşturmuş veya bir WordPress teması(WordPress theme) kullanmış olsanız da , siteniz farklı türde veriler toplar. Web siteleri, analitik, WordPress(WordPress) formları, abonelik formları, iletişim formları ve e-posta pazarlama kampanyaları dahil olmak üzere farklı şekillerde bilgi toplar .

Kısacası, tüm kişisel veriler GDPR kapsamına girer , ancak bunları aşağıdaki türlere ayırabiliriz:

  • Genetik ve sağlık bilgileri.
  • Biyometrik veri.
  • Siyasi ve/veya dini görüşler.
  • Irk, etnik köken ve cinsiyet.
  • IP adresiniz(IP address) ve çerez verileriniz gibi web verileri

İşletmeniz yukarıda belirtilen AB vatandaşlarının verilerini sakladığı sürece sitenizin GDPR uyumlu(GDPR compliant) olması gerekir . Avrupa Birliği sınırları içinde varlığınız olmasa bile bunun geçerli olduğunu unutmayın.

GDPR Uyumlu Olmak İçin Gerekli Adımlar

Bir web sitesi sahibi(website owner) olarak sorumluluklarınızı okuduğunuzda, bunalmış hissedebilir ve gelen tüm AB trafiğini(EU traffic) engellemenin daha kolay olduğuna karar verebilirsiniz . GDPR'nin (Don)cesaretinizi kırmasına(GDPR discourage) izin vermeyin(t let) . Aşağıda GDPR uyumlu(GDPR compliant) olmak için atmanız gereken temel adımlar verilmiştir .

1. Gizlilik Politikanızı İyileştirin(1. Improve Your Privacy Policy)

Veri toplama, depolama ve paylaşma konusunda şeffaf olun. Web siteniz , veri toplama uygulamalarını, veri korumayı, tanımlama bilgilerinin kullanımını ve veri paylaşımını açıkça açıklayan ayrıntılı bir gizlilik politikası(privacy policy) içermelidir . İyi bir gizlilik politikası(privacy policy) en azından aşağıdaki noktaları içermelidir:

  • Kullanıcılarınızın özel verilerini satmazsınız.
  • Yasalar sizi zorunlu kılmadıkça özel verileri paylaşmazsınız .(t share)
  • Topladığınız veri türleri.
  • Veri toplamanızın nedenleri ve bunları nasıl kullandığınız.
  • Kullanıcı verilerini nasıl korursunuz.
  • Eklentileriniz verileri nasıl toplar ve kullanır.

Yoruma yer bırakmayan basit bir dil kullanarak mümkün olduğunca açık olun ve net bir şekilde şeffaf bir gizlilik politikasına(privacy policy) sahip olacaksınız .

2. Bir Çerez Toplama Bildirimi Oluşturun(2. Create a Cookie Collection Notice)

GDPR'ye(GDPR) göre çerezler kişisel veri sayılır, bu nedenle çerez verilerini kullanmadan önce kullanıcılarınızdan izin almanız gerekir. Web sitenize açık bir çerez toplama bildirimi yerleştirin ve izin (cookie collection notice)vermeseler(Place) bile kullanıcıların web sitenize erişmesine izin verdiğinizden emin olun. Kullanıcılarınız ayrıca istedikleri zaman onaylarını geri çekmenin kolay bir yoluna sahip olmalıdır.

3. Tüm Web Sitesi Formlarında Bildirimleri Görüntüleyin(3. Display Notices On All Website Forms)

Çeşitli gönderim formları aracılığıyla bazı kullanıcı verilerini toplamak standart bir uygulamadır . (standard practice)E-posta adreslerini ve diğer ayrıntıları toplamaya devam etmek istiyorsanız, bir veri toplama bildirimi yayınlayın(data collection notice) . Bu noktadan önce ve kullanıcının onayı olmadan herhangi bir veri toplamayın. Aksi takdirde , işletmeniz (Otherwise)GDPR'yi(GDPR) ihlal ettiği için ağır bir ceza alabilir .

İfadelerinizde olabildiğince açık olun ve veri toplamayla ilgili tüm önemli ayrıntıları sunun. Ayrıca önceden kontrol edilmiş onay kutularını kullanmaktan da kaçınmalısınız. Kullanıcının, veri toplamanın(data collection) isteğe bağlı olduğunu ve kendi rızasını gerektirdiğini anlaması gerekir.

4. Tüm Eklentilerin GDPR Uyumlu Olduğundan Emin Olun(4. Make Sure All Plugins Are GDPR Compliant)

Google Analytics gibi veri toplayan üçüncü taraf eklentiler kullanıyorsanız , verileri anonim hale getirmeniz gerekir. Bunu manuel olarak yapmak zor olabilir, ancak bu işlemi sizin için gerçekleştiren GDPR uyumlu eklentiler bulabilirsiniz. GDPR uyumluluk(GDPR compliance) ayarlarına sahip bir araç aramanız yeterlidir.(Just search)

5. Double Opt-in'i kullanın(5. Use the Double Opt-in)

GDPR(GDPR doesn) , çift katılımı zorunlu kılmaz, ancak bunların kullanılması şiddetle tavsiye edilir. Çift katılım, kullanıcıdan iki kez veri toplamaya izin verdiğini onaylamasını istediğiniz anlamına gelir. Bu, özellikle e-posta listesi abonelikleri için önemlidir. 

Çift katılım eklemek için, önce web sitesinin abonelik formu aracılığıyla (subscription form)onay istemeniz(request consent) gerekir . Ardından kullanıcı, e-posta yoluyla aldığı bir bağlantıya tıklayarak ikinci kez onay vermelidir.

Çift katılımı kullanmak, kendinizi veri korumasına ve gizliliğe(protection and privacy) adadığınızı gösterir ve ayrıca yetkililere sitenizin GDPR uyumlu olduğuna dair daha fazla kanıt sağlar.

6. Abonelikten Çıkma Bağlantıları Ekleyin(6. Add Unsubscribe Links)

(Include)Abonelerinize gönderdiğiniz her iletiye okunması kolay abonelikten çıkma bağlantılarını ekleyin . Posta listenizden çıkmak, kolay bir işlem ve anında(process and instant) olmalıdır .

7. Talep Üzerine Kişisel Verileri Silin(7. Delete Personal Data on Request)

GDPR , kullanıcılara unutulma hakkı verir. Bu, verilerinin silinmesini her zaman talep edebilecekleri anlamına gelir. Her zaman istendiği gibi yapın. Buna, kullanıcılarınızın posta listelerinden çıkarılması, hesaplarının silinmesi ve onlar hakkında sahip olduğunuz tüm kişisel bilgilerin silinmesi dahildir. Blog gönderileri ve forum yorumları bile kişisel veri sayılır ve istenirse kaldırılmalıdır.

8. Posta Listeleri Satın Almayın(8. Don’t Buy Mailing Lists)

GDPR'yi(GDPR) ihlal ediyor olabileceğiniz için posta listeleri satın almanız önerilmez . Çoğu durumda, bu e-posta adreslerinin kullanıcıların izniyle toplanıp toplanmadığından emin olamazsınız.

Bununla birlikte, hala bir posta listesi satın almaya kararlıysanız, gönderdiğiniz her e-postaya en azından abonelikten çıkma bağlantılarını eklediğinizden emin olun.

GDPR Uyumlu Olmak Buna Değer

Yukarıdaki tüm adımları izleyerek web sitenizi ve işletmenizi(website and business) AB vatandaşlarına açın . GDPR uyumlu(GDPR compliant) olmak ilk başta zor gelebilir, ancak o kadar da zor değil. Çoğunlukla veri toplama ve onay isteme konusunda şeffaf olmayı içerir. Bonus olarak, AB üyesi olmayan kullanıcılar, işletmenizin gizliliğe ve veri korumasına(privacy and data protection) önem verdiğini görecek ve size güvenme olasılıkları daha yüksek olacaktır.



İsmail Şahin

About the author

Microsoft Office ve Edge'de 15 yılı aşkın deneyime sahip bir yazılım mühendisiyim. Ayrıca, önemli sağlık verilerini izlemek için bir uygulama ve bir fidye yazılımı dedektörü gibi son kullanıcılar tarafından kullanılan birkaç araç geliştirdim. Becerilerim, çeşitli platformlarda iyi çalışan zarif kod geliştirmenin yanı sıra kullanıcı deneyimi konusunda mükemmel bir anlayışa sahip olmada yatmaktadır.


Related posts