GDPR Nedir? | Haklar, Sorumluluklar ve Yapılması Gerekenler

Yazar: | 24 Mayıs 2018

GDPR (General Data Protection Regulation); Genel Veri Koruma Yönetmeliği, AB tarafından 25 Mayıs 2018’de yürürlüğe giren bir tüketici veri gizliliği düzenlemesidir. Doğrudan AB’de iş yapmasanız bile, GDPR’ye uymak kritik öneme sahiptir. Aktif bir web sitesi sahibiyseniz, GDRP Uyumluluğunu duymuş olmanız gerekir. Eğer henüz uygulamaya geçirmediyseniz yapmanızda fayda var.

GDPR dünya çapındaki işletmeler için büyük bir değişikliktir ve etkisi de büyük olacaktır. Ancak, bunun hakkında birçok yanlış anlama var. GDPR ile ilgili tüm soruları yanıtlamak ve web sitesi sahiplerinin referans olarak kullanabileceği bir kaynak oluşturmak için bu yazıyı oluşturduk. Devam etmeden önce ne avukat ne de yasal düzenleme uzmanı olmadığımızı belirtelim. Lütfen bu gönderideki bilgileri yasal tavsiye olarak ele almayın. Bu gönderi, farkındalığı artırmak ve genel olarak GDPR uyumunu açıklamak için oluşturulmuştur.

GDPR Nedir


GDPR, Avrupa Birliği dahilindeki tüm bireyler için veri koruma ve gizlilik konusunda AB tarafından oluşturulan bir yönetmelik olan Genel Veri Koruma Yönetmeliği anlamına gelmektedir. GDPR, 1995’ten beri gizlilik yasası olan 95/46 / EC sayılı Directive (“Direktif”) olarak bilinen eski bir gizlilik yasasının yerini alacak.

GDPR’nın temel amacı, kişilere kişisel verileri üzerinde daha fazla kontrol sağlamaktır. AB’de bulunan işletmeler ve AB’de ikamet eden kişilerin verilerini toplayıp işliyorsa AB’nin dışındaki işletmeler için geçerlidir.

GDPR, 2016 yılında onaylandı ve uygulanma zorunluluk tarihi 25 Mayıs 2018’dir. Özellikle ticari firma web siteleri bu tarihten önce uyumlu hale getirilmelidir.

GDPR, kişisel verileri toplayan tüm işletmeleri etkiler ve kişisel verilerin tanımı çok geniştir.

GDPR aynı zamanda geriye dönüktür. Bu, 25 Mayıs 2018 tarihinden önce toplanmış olsa bile, sakladığınız veya kullandığınız tüm müşteri verileri için geçerli olduğu anlamına gelir.
Üste Çık


Neden GDPR şartlarını sağlamalıyız?


Bir web sitesini işletiyor ve AB’den herhangi bir web sitesi ziyaret ediyorsanız, GDPR’den etkilenirsiniz. Bir e-posta listeniz yoksa, herhangi bir ürün satmıyorsanız, hatta reklam dahi vermiyor olsanız bu kuralları uygulamalısınız. Çünkü, GDPR AB’de yaşayan insanların kişisel verilerini toplayan herhangi bir alanda iş-hizmet veriyor olmanızla ilgilenir. Avrupa Komisyonu’na göre “kişisel veriler, bir şahsa ilişkin, onun özel, profesyonel veya kamusal yaşamıyla ilgili olsun yada olmasın, herhangi bir bilgidir. İsim, ev adresi, fotoğraf, e-posta adresi, banka bilgileri, sosyal medya sitelerinde yayınlar, tıbbi bilgiler veya bilgisayarın IP adresi olabilir.

Bir web sitesi sahibi olarak bir IP adresinin kaydedilmesi bile sizi GDPR kurallarına uymanızı gerektirir. WordPress dahil olmak üzere çoğu CMS, varsayılan olarak IP adresleri topladığından, web sitesilerinin GDPR ile uyumlu olması gerekir.

GDPR’den etkilenecek olan birkaç web sitesi örneği.

  • Kullanıcı profili olan bir forum
  • Herhangi bir ürünü (fiziksel veya dijital) satan ve kullanıcı verilerini (satın alma veya başka bir şekilde) kaydeden bir e-Ticaret mağazası
  • Yeniden hedefleme için çeşitli etiketler kullanan bir web sitesi
  • Kullanıcıların yorum yapmasına izin veren herhangi bir WordPress sitesi
  • Kullanıcıların e-posta listelerine kaydolmasına izin veren herhangi bir WordPress sitesi
  • Analytics kurulumu olan herhangi bir WordPress sitesi

En basit ifadeyle, herhangi bir web sitesine sahipseniz ve tüm AB trafiğini engellemiyorsanız, GDPR’den etkileneceksiniz.

GDPR ile Uyumsuzluk Cezaları

İşletmeniz GDPR’ye uygun olmayan bir şekilde bulunursa, 20 milyon Euro veya global yıllık gelirinizin %4’ü kadar, hangisi daha yüksekse o rakam üzerinden cezalandırılabilirsiniz. Uygunluğu proaktif olarak teşvik etmek için yüksek maliyetler uygulamaya konulmuştur. Bu nedenle, sitenizin GDPR uyumlu olması oldukça önemlidir.
Üste Çık


GDPR Kurallarının Ayrıntıları


GDPR’ye göre, okuyucularınız / kullanıcılarınız / müşterileriniz, verileriyle ilgili 8 hakka sahiptir. Bu haklarla ilgili herhangi bir talep alırsanız, talebe 30 gün içinde cevap vermelisiniz.

Bilgilendirme hakkı

Kullanıcılar hangi verileri topladığınızı ve nasıl kullanıldığını bilme hakkına sahiptir. Bu, kişisel verilerin neden toplandığına, nasıl kaydedileceğine, ne kadar süre saklanacağına ve başka kimlerin erişebileceğine dair net bilgi vermeniz gerektiği anlamına gelir.

Erişim hakkı

Kullanıcılar, istek üzerine veri denetleyicisi tarafından kaydedilen verilere erişim hakkına sahiptir. Veri denetleyicisi, verilerini tutan varlıktır.

Düzeltme hakkı

Kullanıcılar, yanlış veya eksik verilerini güncelleme veya düzeltme hakkına sahiptir. Veri denetçisi düzeltme için bir istek alırsa, verilerin doğruluğunu kontrol etmek ve gerekirse güncelleştirmek için gerekli adımları atmalıdır.

Silme hakkı (veya unutulması)

Kullanıcılar kişisel verilerini tamamen silme hakkına ve ayrıca daha fazla veri toplanmasını önleme hakkına sahiptir. Veri denetleyicisi bu isteği alırsa, kullanıcı, verileri kaydedilmek üzere onaylarını etkili bir şekilde geri çeker.

Kısıtlama hakkı

Belirli koşullar altında, kullanıcılar verilerini kullanma ve işleme koymalarını kısıtlama getirebilirler. Bu durumda, kullanıcının verileri kaydedilebilir, ancak herhangi bir amaçla kullanılamaz.

Taşınabilirlik hakkı

Kullanıcılar, verilerini makine tarafından okunabilir ve insan tarafından okunabilir biçimlerde isteme hakkına sahiptir. Bu verileri, uygun gördüğü herhangi bir şekilde kullanabilir ve hatta başka bir veri denetleyicisine aktarabilirler.

Nesne hakkı

Kullanıcılar kişisel çıkarları içeren kişisel verilerin kullanımına itiraz etme hakkına sahiptir. Ayrıca, verilerin belirli bir şekilde kullanımına itiraz edebilirler ve veri denetleyicisi, kullanıcıların verilerin nasıl işleneceğinin farkında olduklarından emin olmalıdır.

8. Otomatik karar almaya tabi olmamak hakkı

Kullanıcılar, olumsuz bir yasal etki veya benzer bir şey oluşacağı durumlarda, otomatik karar verme sürecinden vazgeçme hakkına sahiptir.
Üste Çık


GDPR Kurallarına Göre Web Yöneticisinin Sorumlulukları

Sözleşmeye göre GDPR kapsamında web sitesi sahibi sorumlulukları şunlardır:

  • Kullanıcıları kendi kimliğiniz, topladığınız veriler, neden topladığınız, neleri depoladığınız ve kimlerle paylaştığınız hakkında bilgilendirin
  • Herhangi bir veri toplarken kullanıcıdan açık ve net onay alın
  • Kullanıcıların, topladığınız verilere erişmesine ve indirmesine izin verin
  • Kullanıcıların istedikleri takdirde verilerini silmelerine izin ver
  • Kullanıcıları herhangi bir veri ihlalinden itibaren 72 saat içinde bilgilendirin
Bu kuralların her birini anlamak önemlidir, bu yüzden bunları tek tek açıklığa kavuşturalım.

Kullanıcıları kimliğiniz, topladığınız veriler, neden topladığınız, neleri depoladığınız ve kimlerle paylaştığınız hakkında bilgilendirin

Bu kural, verilerini saklayan kişinin / kurumun kim olduğu ve nasıl kullanıldığı hakkında bilgi vermeyi amaçlamaktadır. GDPR’ye göre, topladığınız veriler konusunda spesifik olmanız ve veri topladığınızda açık bir onay almanız gerekir (2. maddede ele alınmıştır).

Bu kuralı anlamak için bir örnek verelim. Bir e-Ticaret mağazası işlettiğinizi varsayalım. Bu kurala uymak için hayata geçirmek için gereken temel bilgiler.

  • Gizlilik politikanızda işletme ayrıntıları ve iletişim bilgilerinizi belirtin.
  • Kullanıcılara hangi verileri topladığınızı ve hangi sayfalarda olduğunu açıklayın.
  • E-posta adresi topluyorsanız, neden topladığınızı ve onay aldığınızı belirtin
  • Kullanıcılara e-posta gönderimi yapacaksanız bunu belirtin ve onay alın.
  • Fiziksel adreslerini kargo için topluyorsanız, bunu belirtin ve onay alın.
  • Müşterilerin ürün incelemesine izin verirseniz, incelemenin nasıl ve nerede paylaşılabileceğinden ve onay alınabileceğinden bahsedin.
  • Kullanıcılar ürün resimlerini paylaşabiliyorlarsa, bu resimleri nasıl kullanılabileceğinizden ve onay alınabileceğinden bahsedebilirler.
  • Kişisel bilgilerinizi üçüncü taraflarla (örneğin bir kargo şirketi) paylaşıyorsanız, bunu belirtin ve onay alın.
  • Bilgilerini herhangi bir dönem için saklarsanız (muhasebe, yeniden hedefleme, vb.), bunu belirtin ve onay alın.

Hatırlanması gereken en önemli şey, ziyaretçilerin, verilerin kullanılabileceği her şekilde bilgilendirilmesi gerektiğidir. Ayrıca, verilere erişen her 3. kişilerden de haberdar olmaları gerekir.

Herhangi bir veri toplarken kullanıcıdan açık ve net onay alın

“Açık” tanımı, ziyaretçinin toplanan verileri anlamasını sağlamak için günlük dili kullanmanız gerektiği anlamına gelir. Spesifik tanımları netleştirmelisiniz ve Şartlar ve Koşullar gibi yasal terminolojide kalmayıp, temel dilde anlatılmalıdır.

“Net onay”, her veri toplama işleminde, ziyaretçinin onaylaması gerektiği anlamına gelir. Bu bir onay kutusu şeklinde olabilir, ancak onay kutusunun varsayılan olarak işaretli olmaması önemlidir.

Kullanıcıların, topladığınız verileri onlara erişmesine ve indirmesine izin verin

Bir kullanıcı isteğinde, kendileri hakkında topladığınız tüm verilere erişim vermeniz gerekir. Bu eklentiler ve temalar tarafından toplanan verileri içermelidir. WordPress’in en son sürümü bir çözüm sunmuş ve makalenin devamında daha fazla ayrıntı ele alınmıştır.

Bu kural uyarınca, okuyucularınıza oluşturdukları verilere erişim sağlamanız gerekir. Örneğin, ziyaretçinin web sitenizde hangi yazıları okuduğunu kaydediyorsanız, bu verileri paylaşmanız gerekir. Ancak, okumak istedikleri içerik türünü tahmin etmek için bazı analizler kullandıysanız, bu bilgileri atlayabilirsiniz.

Kullanıcıların istedikleri takdirde verilerini silmelerine izin verin

Bu kural, yukarıdaki kuralla benzerdir, ancak ziyaretçiler yalnızca verilerini görüntülemek yerine, verilerinin silinmesini de talep edebilir. WordPress’in en son sürümü, bu özelliği yerleşik olarak oluşturuyor ve aşağıdaki bölümde ayrıntılı olarak bunu anlatacağız.

Bu kuralın birkaç istisnası vardır. Verileri (fatura verileri gibi) saklamanız için yasal bir neden varsa, verileri silmeyi reddedebilirsiniz.

Herhangi bir veri ihlali durumunda kullanıcıları 72 saat içinde bilgilendirin

Ziyaretçinizin verileri herhangi bir şekilde sızdırılmışsa (saldırıya uğramış web sitesi, çalınan bilgisayarlar, yanlışlıkla parola paylaşımı), ziyaretçileriniz, okuyucularınız veya müşterileriniz 72 saat içinde sızıntı hakkında bilgilendirilmelidir. Ayrıca yerel GDPR yetkililerinizi sızıntı hakkında bilgilendirmeniz gerekiyor.
Üste Çık


WordPress Web Siteleri Neler Yapmalı?

Tüm WordPress web sitelerinin GDPR’den etkileneceği açıktır. Tamamen uyumlu bir web sitesine sahip olmak için, web sitenizi müşteri verileri penceresinden düşünerek tasarlamaya başlamalısınız.

Verilerin yakalandığı tüm yerlerin bir listesini yaparak başlayın ve aşağıda belirtilen kurallar hakkında bir kontrol listesi oluşturun.

  • Kullanıcıların veri toplandığını bildiriyor muyum?
  • Verilerin ne için kullanılacağını belirtmekte açık mıyım?
  • Ziyaretçiler açık ve net bir onay vermesinin bir yolu var mı?
  • Bu verileri istekleri üzerine ziyaretçilere sunabilir miyim?
  • Bu verileri istekleri üzerine silebilir miyim?
  • Bu verileri istek üzerine anonim hale getirebilir miyim?
  • Gizlilik politikam veri kullanımıyla ilgili tüm gerekli bilgileri veriyor mu?

Kullanıcı bilgilerini topladığınız tüm yerler için kendinize bu soruları sormanız gerekir. Bunun dışında, temanızın ve eklentilerinizin hangi tür verileri yakaladığını da bilmeniz gerekir. Kullandığınız her tema ve eklenti de GDPR uyumlu olmalıdır.

WordPress web siteleri genellikle aşağıdaki yöntemlerle veri toplar.

  • Kayıtlı kullanıcılar
  • Yorumlar
  • İletişim formları
  • Trafik ve analiz unsurları
  • E-posta abonelikleri
  • Reklam unsurları
  • Güvenlik eklentileri

Bütün bu noktalarda GDPR kurallarına uymak zorundasınız. Bir sonraki bölümde atmanız gereken adımlara değineceğiz.
Üste Çık


GDPR Uyumlu Olmaya Yönelik Adımlar

Ne tür bir web sitesi sahibi olursanız olun, en kısa zamanda GDPR ile uyumlu hale gelmeniz önemlidir. WordPress web sitenizi uyumlu hale getirmek için yapmanız gereken adımlar.

Yukarıda vurgulanan temel yönergelere dayanarak, aşağıdaki alanlarda değişiklik yapmanız gerekir:

  • Şartlar ve Koşullar sayfanız
  • Gizlilik Politikanız
  • Yorum Alanları
  • Etkileşim formları (haber bülteni, rss ve bildirim abonelikleri, e-posta abonelik formu, iletişim formları)
  • Analiz eklentileri
  • Kullanıcı bilgilerini topladığınız diğer noktalar

Şartlar ve Koşullar

Şartlar ve koşullar, ziyaretçilerinizi web sitenize bağlayan temel kurallardır; gizlilik politikası ise topladığınız verilerle ilgilenir. GDPR’ye uygunluk ile ilgili bilgileri ve ayrıca kullanıcıların kendi verileriyle ilgili isteklerini nasıl yerine getirebileceğini bu sayfaya dahil edin.

Gizlilik Politikası

GDPR, öncelikli olarak tüketici verileriyle ilgili olduğundan, yapmanız gereken en önemli değişiklikler, gizlilik politikanızda olacaktır.

Özellikle, aşağıdaki bilgileri vermeniz gerekir:

  • Kimsiniz – Adınızı veya kuruluşunuzun adını, adresini, iletişim bilgilerini vb. ekleyin.
  • Hangi veriler toplanır – Topladığınız IP Adresi, adı, e-posta ve diğer bilgileri kaydettiğinizden emin olun. Bu bilgiler web sitesinden siteye farklılık gösterecektir
  • Verileri neden toplarsınız – Özellikle neden veri topladığınızdan emin olun.
  • Veriler ne kadar süre korunuyor – Verileri ne kadar süreyle saklayacağınızdan bahsedin
  • Veriler nasıl paylaşılır? – Verileri başka kiminle paylaşırsınız? E-posta bülteni gönderiyorsanız, verilerinizi e-posta servis sağlayıcınızla paylaşıyorsunuzdur. Verileri paylaştığınız tüm hizmetlerden bahsedin.
  • Müşteriler verilerini nasıl indirebilir? – Müşterilerin kendi bilgilerine nasıl erişebileceklerine dair süreci tanımlayın. WordPress’in en son sürümü bunu başarmanıza yardımcı olacak ve bunu son bölümde ele alıyoruz.
  • Veriler nasıl silinir? – Müşterilerin verilerini nasıl silebileceğini veya silinmesini isteyeceğini açıklayın. Son bölümde açıklayacağımız WordPress’in en son sürümü de bu özelliğe sahip.
  • Veri Koruma Görevlisinin İletişim Bilgileri – Çoğu durumda, bu sizin e-posta adresiniz olacaktır.

Bilmeniz gereken diğer önemli şey, WordPress 4.9.6’nın (17 Mayıs’ta yayımlandı), yukarıda bahsedilen pek çok görevi yapmanıza izin verecek birçok özelliğe sahip olmasıdır. Ayrıca, gizlilik politikanıza hangi bilgilerin dahil edilmesi gerektiğine dair sizi yönlendiren bir gizlilik politikası oluşturucusu da vardır. Son bölümdeki detayları anlattık.

Yorum Alanları

Yorumlar web sitenizde saklanacağından ve kişisel veriler olarak nitelendirileceğinden, bu, bilgileri yakalamadan önce kullanıcının açık rızasını almanız gerektiği anlamına gelir. WordPress’in en yeni sürümü bu özelliğe sahiptir.

Etkileşim Formları

Bir kullanıcının herhangi bir bilgiyi verebileceği iletişim formu ve diğer yerler, hangi verilerin yakalandığı ve nasıl kullanılacağı hakkında bilgi ekleyerek uyumlu hale getirilmelidir. Ayrıca, kullanıcıların bu verilerin kullanılmasına izin vermeleri için bir onay kutusu eklemeniz gerekecektir.

Analiz Eklentileri

Web sitenizde kullandığınız tüm analiz eklentilerini gözden geçirmeniz ve gizlilik politikanızda toplanan verileri belirtmeniz gerekir.

Bilgi toplayan diğer noktalar

Kullanıcı bilgilerini toplayabilecek tüm sayfaları (içerik yükseltmeleri, vb.) gözden geçirin ve bu sayfalardaki GDPR yönergelerini takip edin.

Eklenti, tema ve 3. taraf hizmetleri

Temalarınızı, eklentilerinizi ve diğer 3. taraf hizmetlerinizi (e-posta hizmeti vb.) inceleyin ve bunların hepsinin GDPR uyumlu olduğundan emin olun. Bir temanın veya eklentinin uyumlu olmaması, GDPR’ye uymadığınızı gösterir.

Üste Çık


WordPress Uyumluluğu

WordPress, web dünyasının önemli ve büyük bir parçası olduğu için, WordPress ekibi en son versiyonda (4.9.6) GDPR yönetmeliğine uymak için birçok değişiklik yaptı. Önemli değişikliklerden ve WordPress’in uyumlu olmasını nasıl sağlayabileceğinizi anlatalım.

4.9.6 versiyonunu yüklediğinizde veya güncellediğinizde, ilk göreceğiniz şey bir gizlilik politikası oluşturmak ve WordPress’e yeni araçların eklenmesi hakkında bir bildirimdir.

WordPress GDPR

Gizlilik politikası oluşturmak için Settings > Privacy yolunu izleyebilirsiniz.

WordPress Privacy

Aşağıdaki sayfaya ulaşacaksınız. Burada gizlilik politikanızı yayınlamak istediğiniz mevcut bir sayfayı seçebilirsiniz. Eğer henüz oluşturmadıysanız Create New Page butonuna basarak bir tane oluşturabilirsiniz. Bu örnek için yeni bir sayfa oluşturduk.

WordPress GDPR Sayfa Oluşturma

WordPress bir sayfa oluşturacak ve gizlilik politikanızda olması gereken temel bilgileri paylaşacaktır. Olduğu gibi yayınlamayın çünkü henüz Türkçe versiyonu bulunmuyor. WordPress tarafından paylaşılan metin örnek bir gizlilik politikasıdır. Politikadaki içeriği Türkçe’ye çevirmeli, incelemek, veri eklemek veya kaldırmak için zaman ayırmalısınız.

Örnek olarak bir yüzeysel bir çeviri yaptık, kendi bilgilerinizi düzenleyerek benzer bir Gizlilik Politikası Sayfası oluşturabilirsiniz.

Gizlilik politikası dışında, WordPress ayrıca kullanıcıların verilerini görüntüleyebilmeleri ve hatta verilerin silinmesini talep etmeleri için araçlar ekledi. Şu anda, süreç elle işliyor ancak sürecin otomatikleştirilmesine yardımcı olacak daha fazla aracın geleceğinden emin olabiliriz.

WordPress GDPR kullanıcı verisi

Süreç aşağıdaki gibi işler.

  • Bir kullanıcı verilerini görüntülemeyi veya silmeyi ister (yorumlar, iletişim formu veya diğer araçlar aracılığıyla)
  • Site yöneticisi, kişisel veri ayarını dışa aktarmaya veya silmeye gider ve okuyucunun e-posta kimliğine girer ve “istek gönder” i tıklar.
  • Okuyucu, isteklerini onaylamak için bir onay bağlantısı içeren bir e-posta alır.
  • Kullanıcı bağlantıyı tıklarsa, istekleri onaylanır ve site yöneticisi, kişisel bir düğmeyi bir düğmeyi tıklatarak onlara e-posta gönderebilir
  • Kullanıcı dosyayı indirebilir ve kişisel verilerini görüntüleyebilir. Dosya güvenlik nedeniyle 72 saat sonra silinir.
  • İstek silme işlemi için ise, site yöneticisi, okuyucu isteğini onayladıktan sonra verileri silebilir

WordPress ayrıca yorum sistemine değişiklikler yaptı. Bir web sitesi IP Adresini ve yorum yapan kişinin e-postasını kaydedeceğinden, yorum yapandan açık onay almak önemlidir.

Yeni sürümde, bir ziyaretçi yorum yaptığında, WordPress’in bilgisayarlarına bir çerez kaydetmesi için bir onay kutusunu işaretlemesi gerekir.

WordPress GDPR Yorum
Üste Çık


GDPR Hakkında Sıkça Sorulan Sorular

  • Veri koruma görevlisi tutmam gerekiyor mu?

Şart değil. Veri Koruma Görevlisi (DPO) işe almak, 250’den fazla çalışanı olan bir veri denetleyiciniz varsa zorunludur.

  • WordPress’te kişisel bir blog yazıyor. Ben de uyumlu olmalı mıyım?

GDPR sadece tüzel kişiler için bir yönetmeliktir. İşletmenizden herhangi bir şekilde para kazanırsanız, o zaman bir işletme olarak kabul edilirsiniz. Web sitenizden para kazanmıyor ancak kullanıcı verilerini herhangi bir şekilde (eklenti, analytics vb) topluyorsanız, kullandığınız öğelerin GDPR ile uyumlu olduklarından emin olun ve gizlilik politikanızı uygun şekilde güncelleyin.

Ayrıca, kolayca GDPR uyumlu hale gelmek için gelecek güncel WordPress özelliklerini kullanın. Uyumsuzluk maliyeti çok yüksek olduğundan, bu güvenlik adımını uygulamakta fayda var.

  • Açık onay ile ne kastedilmektedir?

Açık onay, veri toplama için her isteğin özel olarak kabul edilmesi gerektiği anlamına gelir. Onay kutularının varsayılan olarak işaretlenmemiş olması gerekir.